Zugriffsprobleme mit Policy Remediator beheben

Auf dieser Seite erfahren Sie, wie Sie den Chrome Enterprise Premium Policy Remediator aktivieren und verwenden.

Wenn Nutzer versuchen, auf eine Google Cloud Ressource zuzugreifen, aber nicht der Zugriffsrichtlinie für die Ressource entsprechen, wird ihnen der Zugriff verweigert und sie erhalten eine allgemeine 403-Fehlermeldung. Mit dem Richtlinien-Tool können Sie Nutzern umsetzbare Schritte zur Behebung ihres Problems zur Verfügung stellen, bevor sie sich an einen Administrator wenden. Die konkreten Maßnahmen zur Behebung hängen von den Zugriffsrichtlinien ab, können aber z. B. das Aktivieren der Displaysperre, das Aktualisieren der Betriebssystemversion oder den Zugriff auf eine App über ein von Ihrem Unternehmen zugelassenes Netzwerk umfassen.

Policy Remediator aktivieren

  1. Weisen Sie dem Administrator Ihrer Organisation die Rolle roles/policyremediatormanager.policyRemediatorAdmin auf Organisationsebene zu. Führen Sie dazu die folgenden Befehle in der Google Cloud CLI aus:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die Google Cloud Organisations-ID.
    • PRINCIPAL: Die Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.

  2. Aktivieren Sie die Policy Remediator Manager API mit dem folgenden Befehl:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Rufen Sie den Policy Remediator Manager auf, um Policy Remediator für die Projekte in einer Organisation zu aktivieren. Dadurch wird ein Dienst-Agent erstellt.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die Google Cloud Organisations-ID.
    • ACCESS_TOKEN: Mit dem folgenden Befehl das Zugriffstoken generieren. 
      gcloud auth print-access-token
    • PROJECT_ID: die Google Cloud Projekt-ID.

    Im Folgenden findest du ein Beispiel für eine Antwort, die die Details zum Kundenservicemitarbeiter enthält:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    Dabei ist ORGANIZATION_ID die Google Cloud Organisations-ID.

  4. Führen Sie in der Google Cloud CLI den folgenden Befehl aus, um auf den von Ihnen erstellten Dienst-Agenten zuzugreifen:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die Google Cloud Organisations-ID.
    • ACCESS_TOKEN: Mit dem folgenden Befehl das Zugriffstoken generieren. 
      gcloud auth print-access-token
    • PROJECT_ID: die Google Cloud Projekt-ID.

    Sie sollten die E-Mail des Kundenservicemitarbeiters im folgenden Format erhalten:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    Dabei ist ORGANIZATION_ID die Google Cloud Organisations-ID.

Rolle „Kundenservicemitarbeiter“ in der Admin-Konsole zuweisen

  1. Melden Sie sich in der Admin-Konsole an.

    Google Admin-Konsole aufrufen

  2. Klicken Sie auf Konto > Administratorrollen und dann auf Neue Rolle erstellen.

    • Geben Sie einen Namen und optional eine Beschreibung für die Rolle ein und klicken Sie auf Weiter.

    • Gehen Sie unter Berechtigungen der Admin-Konsole zu Dienste > Mobilgeräte- und Geräteverwaltung und wählen Sie die Berechtigung Geräte und Einstellungen verwalten aus.

    • Klicken Sie unter Admin API-Berechtigungen auf Gruppen und wählen Sie die Berechtigung Lesen aus.

    • Klicken Sie auf Weiter, bestätigen Sie Ihre Eingaben und schließen Sie die Erstellung der Rolle ab.

    • Klicken Sie auf Dienstkonten zuweisen und geben Sie die E-Mail-Adresse des neu erstellten Kundenservicemitarbeiters ein.

    • Klicken Sie auf Hinzufügen > Rolle zuweisen.

  3. Führen Sie in der Google Cloud CLI die folgenden Befehle aus, um dem Kundenservicemitarbeiter die Rolle „Kundenservicemitarbeiter“ (policyremediator.serviceAgent) auf Organisationsebene zuzuweisen. Dadurch erhält der Kundenservicemitarbeiter die Berechtigung, die Identity and Access Management-Richtlinien und andere Zugriffsrichtlinien für Ihre Organisation zu lesen.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Ersetzen Sie ORGANIZATION_ID durch die Organisations-ID. Google Cloud

Policy Remediator für eine IAP-Ressource aktivieren

Sie benötigen eine Chrome Enterprise Premium-Lizenz, um diese Funktion verwenden zu können.

  1. Rufen Sie die Seite „Identity-Aware Proxy“ (IAP) auf.
    Zu IAP

  2. Wählen Sie eine Ressource aus und klicken Sie auf Einstellungen.

  3. Klicken Sie auf Zugriff korrigieren und wählen Sie dann Korrekturaktionen generieren aus.

Rolle „Bearbeiter“ gewähren

Wenn Sie Nutzern die Berechtigung erteilen möchten, den verweigerten Zugriff auf IAP-Ressourcen zu beheben, führen Sie den folgenden Befehl in der Google Cloud CLI aus:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Ersetzen Sie PRINCIPAL durch eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.

Weitere Informationen finden Sie unter gcloud iap web add-iam-policy-binding.

Wenn Sie Nutzern die Berechtigung erteilen möchten, den Zugriff auf IAP-Ressourcen auf Projektebene zu korrigieren, führen Sie in der Google Cloud CLI den folgenden Befehl aus:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Google Cloud Projekt-ID.
  • PRINCIPAL: Die Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.

Problem mit dem Helpdesk beheben

Wenn Endnutzern der Zugriff verweigert wird, werden sie zu einer Chrome Enterprise Premium-Seite mit Informationen zur Fehlerbehebung weitergeleitet, einschließlich einer URL zur Fehlerbehebung und eines Abhilfetokens. Wenn Nutzer nicht berechtigt sind, das Abhilfetoken zu öffnen, können sie es kopieren und an den Helpdesk senden, um weitere Unterstützung zu erhalten.

Richtlinienattribute und zugehörige Meldungen

In der folgenden Tabelle sind die Attribute aufgeführt, die vom Richtlinien-Tool unterstützt werden.

Attribut Standardnachricht
ip_address Sie greifen über ein Netzwerk auf die App zu, das von Ihrem Unternehmen nicht zugelassen ist.
region_code Sie greifen von einer Region aus auf diese App zu, die von Ihrem Unternehmen
zugelassen ist.
is_secured_with_screenlock Legen Sie ein Passwort für den Sperrbildschirm fest.
Deaktivieren Sie das Passwort für den Sperrbildschirm auf Ihrem Gerät.
verified_chrome_os Verwenden Sie ein Gerät mit dem bestätigten [Betriebssystemtyp].
Ein Gerät ohne verifiziertes [Betriebssystemtyp] verwenden.
is_admin_approved_device Verwenden Sie ein Gerät, das von Ihrem Administrator genehmigt wurde.
Sie verwenden ein Gerät, das nicht vom Administrator Ihrer Organisation genehmigt wurde.
is_corp_owned_device Verwenden Sie ein Gerät, das Ihrer Organisation gehört.
Verwenden Sie ein Gerät, das nicht Ihrer Organisation gehört.
encryption_status Verwenden Sie ein verschlüsseltes Gerät.
Verwenden Sie ein unverschlüsseltes Gerät.
os_type Wechseln Sie zu einem [OS-Typ]-Gerät.
Geräte mit [Betriebssystemtyp] können nicht auf diese App zugreifen.
os_version Aktualisieren Sie das Betriebssystem auf mindestens Version [version].
Downgrade des Betriebssystems auf eine Version unter [version].

Fehlerbehebung

Der Policy Remediator kann keine Maßnahmen generieren, wenn eines der folgenden Ereignisse eintritt:

  • Für eine Ressource gelten widersprüchliche Richtlinien, z. B. dass ein Nutzer eine Verbindung über Windows und macOS herstellen muss.
  • Das Attribut wird vom Policy Remediator nicht unterstützt.
  • Der Kundenservicemitarbeiter ist nicht berechtigt, Abhilfe zu schaffen.