Zugriffsprobleme mit Policy Remediator beheben

Auf dieser Seite erfahren Sie, wie Sie den Policy Remediator aktivieren und verwenden.

Wenn Nutzer versuchen, auf eine Google Cloud Ressource zuzugreifen, aber nicht der Zugriffsrichtlinie für die Ressource entsprechen, wird ihnen der Zugriff verweigert und sie erhalten eine allgemeine 403-Fehlermeldung. Mit dem Policy Remediator können Sie Nutzern umsetzbare Schritte zur Verfügung stellen, mit denen sie ihr Problem beheben können, bevor sie sich an einen Administrator wenden. Die konkreten Maßnahmen hängen von den Zugriffsrichtlinien ab, können aber z. B. das Aktivieren der Displaysperre, das Aktualisieren der Betriebssystemversion oder den Zugriff auf eine App über ein von Ihrem Unternehmen zugelassenes Netzwerk umfassen.

Policy Remediator aktivieren

  1. Weisen Sie Ihrem Organisationsadministrator die Rolle roles/policyremediatormanager.policyRemediatorAdmin auf Organisationsebene zu, indem Sie die folgenden Befehle in der Google Cloud CLI ausführen:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
        --member PRINCIPAL \
        --role roles/policyremediatormanager.policyRemediatorAdmin
    

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die Google Cloud Organisations-ID.
    • PRINCIPAL: Die Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.
  2. Aktivieren Sie die Policy Remediator Manager API, indem Sie den folgenden Befehl ausführen:

    gcloud services enable policyremediatormanager.googleapis.com
    
  3. Rufen Sie den Policy Remediator Manager auf, um Policy Remediator für die Projekte in einer Organisation zu aktivieren. Dadurch wird ein Dienst-Agent erstellt.

    curl -X POST \
    "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
    --header 'Authorization: Bearer ACCESS_TOKEN' \
    --header 'X-Goog-User-Project:PROJECT_ID'
    

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die Google Cloud Organisations-ID.
    • ACCESS_TOKEN: Verwenden Sie den folgenden Befehl, um das Zugriffstoken zu generieren.
      gcloud auth print-access-token
      
    • PROJECT_ID: die Google Cloud Projekt-ID.

    Das folgende Beispiel zeigt eine Antwort mit den Details des Dienst-Agents:

    {
    "name": "organizations/ORGANIZATION_ID/locations/global/operations/",
    "metadata": {
      "@type":
    "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
    a.OperationMetadata",
       "createTime": "",
       "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
       "verb": "update",
       "requestedCancellation": false,
       "apiVersion": "v1alpha"
     },
     "done": false
    }
    

    Dabei ist ORGANIZATION_ID die Google Cloud Organisations-ID.

  4. Führen Sie in der Google Cloud CLI den folgenden Befehl aus, um auf den von Ihnen erstellten Dienst-Agent zuzugreifen:

    curl -X GET \
    "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
    --header 'Authorization: Bearer ACCESS_TOKEN' \
    --header 'X-Goog-User-Project:PROJECT_ID'
    

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die Google Cloud Organisations-ID.
    • ACCESS_TOKEN: Verwenden Sie den folgenden Befehl, um das Zugriffstoken zu generieren.
      gcloud auth print-access-token
      
    • PROJECT_ID: die Google Cloud Projekt-ID.

    Sie sollten die E-Mail-Adresse des Dienst-Agents im folgenden Format erhalten:

    {
    "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
    "state": "ENABLED",
    "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
    }
    

    Dabei ist ORGANIZATION_ID die Google Cloud Organisations-ID.

Dienst-Agent-Rolle in der Admin-Konsole zuweisen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Zur Google Admin-Konsole

  2. Klicken Sie auf Konto > Administratorrollen und dann auf Neue Rolle erstellen.

    • Geben Sie einen Namen und optional eine Beschreibung für die Rolle ein und klicken Sie dann auf Weiter.

    • Gehen Sie unter Berechtigungen der Admin-Konsole zu Dienste > Mobilgeräte- und Geräteverwaltung und wählen Sie die Berechtigung Geräte und Einstellungen verwalten aus.

    • Klicken Sie unter Berechtigungen für Admin-APIs auf Gruppen und wählen Sie dann die Berechtigung Lesen aus.

    • Klicken Sie auf Weiter, bestätigen Sie Ihre Eingaben und schließen Sie die Erstellung der Rolle ab.

    • Rufen Sie Dienstkonten zuweisen auf und geben Sie die E-Mail-Adresse des neu erstellten Dienst-Agents ein.

    • Klicken Sie auf Hinzufügen > Rolle zuweisen.

  3. Führen Sie in der Google Cloud CLI die folgenden Befehle aus, um dem Dienst-Agent (policyremediator.serviceAgent) die Rolle „Dienst-Agent“ auf Organisationsebene zuzuweisen. Dadurch erhält der Dienst-Agent die Berechtigung, die IAM-Richtlinien (Identity and Access Management) und andere Zugriffsrichtlinien für Ihre Organisation zu lesen.

    gcloud organizations add-iam-policy-binding 'organizations/' \
       --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
       --role='roles/policyremediator.serviceAgent'
    

    Ersetzen Sie ORGANIZATION_ID durch die Google Cloud Organisations-ID.

Policy Remediator für eine IAP-Ressource aktivieren

  1. Rufen Sie die Seite „Identity-Aware Proxy (IAP)“ auf.
    Zu IAP

  2. Wählen Sie eine Ressource aus und klicken Sie auf Einstellungen.

  3. Rufen Sie Zugriff korrigieren auf und wählen Sie Korrekturmaßnahmen generieren aus.

Rolle „Rechtsbehelfsbearbeiter“ zuweisen

Wenn Sie Nutzern die Berechtigung erteilen möchten, den verweigerten Zugriff auf IAP-Ressourcen zu beheben, führen Sie den folgenden Befehl in der Google Cloud CLI aus:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Ersetzen Sie PRINCIPAL durch eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.

Weitere Informationen finden Sie unter gcloud IAP web add-iam-policy-binding.

Wenn Sie Nutzern die Berechtigung erteilen möchten, den Zugriff auf IAP-Ressourcen auf Projektebene zu beheben, führen Sie den folgenden Befehl in der Google Cloud CLI aus:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Google Cloud Projekt-ID.
  • PRINCIPAL: Die Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.

Mit dem Helpdesk beheben

Wenn Endnutzern der Zugriff verweigert wird, werden sie zu einer Chrome Enterprise Premium-Seite weitergeleitet, die Informationen zur Fehlerbehebung enthält, darunter eine URL zur Fehlerbehebung und ein Korrekturtoken. Wenn Nutzer keine Berechtigung zum Öffnen des Abhilfetokens haben, können sie es kopieren und an den Helpdesk senden, um weitere Unterstützung zu erhalten.

Richtlinienattribute und zugehörige Meldungen

In der folgenden Tabelle finden Sie eine Liste der Attribute, die vom Policy Remediator unterstützt werden.

Attribut Standardnachricht
ip_address Sie greifen über das Netzwerk
auf die App zu, das von Ihrem Unternehmen nicht zugelassen ist.
region_code Greifen Sie auf diese App aus einer Region zu, die von Ihrem Unternehmen zugelassen ist.
is_secured_with_screenlock Legen Sie ein Passwort für den Sperrbildschirm fest.
Deaktivieren Sie das Passwort für den Sperrbildschirm auf Ihrem Gerät.
verified_chrome_os Verwenden Sie ein Gerät mit einem bestätigten [OS type].
Ein Gerät ohne verifizierten [OS type] verwenden.
is_admin_approved_device Verwenden Sie ein Gerät, das vom Administrator Ihrer Organisation genehmigt wurde.
Sie verwenden ein Gerät, das nicht vom Administrator Ihrer Organisation genehmigt wurde.
is_corp_owned_device Verwenden Sie ein Gerät, das Ihrer Organisation gehört.
Verwenden Sie ein Gerät, das nicht Ihrer Organisation gehört.
encryption_status Verwenden Sie ein verschlüsseltes Gerät.
Verwenden Sie ein unverschlüsseltes Gerät.
os_type Wechseln Sie zu einem Gerät mit [OS type].
Auf [OS type]-Geräten kann nicht auf diese App zugegriffen werden.
os_version Aktualisieren Sie das Betriebssystem auf mindestens [Version].
Dowgraden Sie das Betriebssystem auf eine Version unter [Version].

Fehlerbehebung

Der Policy Remediator kann keine Korrekturen generieren, wenn einer der folgenden Fälle eintritt:

  • Für eine Ressource gibt es widersprüchliche Richtlinien, z. B. dass ein Nutzer eine Verbindung über Windows und macOS herstellen muss.
  • Das Attribut wird vom Policy Remediator nicht unterstützt.
  • Der Dienst-Agent ist nicht berechtigt, das Problem zu beheben.