Auf dieser Seite erfahren Sie, wie Sie den Policy Remediator aktivieren und verwenden.
Wenn Nutzer versuchen, auf eine Google Cloud Ressource zuzugreifen, aber nicht der Zugriffsrichtlinie für die Ressource entsprechen, wird ihnen der Zugriff verweigert und sie erhalten eine allgemeine 403-Fehlermeldung. Mit dem Policy Remediator können Sie Nutzern umsetzbare Schritte zur Verfügung stellen, mit denen sie ihr Problem beheben können, bevor sie sich an einen Administrator wenden. Die konkreten Maßnahmen hängen von den Zugriffsrichtlinien ab, können aber z. B. das Aktivieren der Displaysperre, das Aktualisieren der Betriebssystemversion oder den Zugriff auf eine App über ein von Ihrem Unternehmen zugelassenes Netzwerk umfassen.
Policy Remediator aktivieren
Weisen Sie Ihrem Organisationsadministrator die Rolle
roles/policyremediatormanager.policyRemediatorAdmin
auf Organisationsebene zu, indem Sie die folgenden Befehle in der Google Cloud CLI ausführen:gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \ --member PRINCIPAL \ --role roles/policyremediatormanager.policyRemediatorAdmin
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: die Google Cloud Organisations-ID.
- PRINCIPAL: Die Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat:
PRINCIPAL_TYPE:ID
. Beispiel:user:my-user@example.com
.
Aktivieren Sie die Policy Remediator Manager API, indem Sie den folgenden Befehl ausführen:
gcloud services enable policyremediatormanager.googleapis.com
Rufen Sie den Policy Remediator Manager auf, um Policy Remediator für die Projekte in einer Organisation zu aktivieren. Dadurch wird ein Dienst-Agent erstellt.
curl -X POST \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: die Google Cloud Organisations-ID.
- ACCESS_TOKEN: Verwenden Sie den folgenden Befehl, um das Zugriffstoken zu generieren.
gcloud auth print-access-token
- PROJECT_ID: die Google Cloud Projekt-ID.
Das folgende Beispiel zeigt eine Antwort mit den Details des Dienst-Agents:
{ "name": "organizations/ORGANIZATION_ID/locations/global/operations/
", "metadata": { "@type": "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph a.OperationMetadata", "createTime": " ", "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "verb": "update", "requestedCancellation": false, "apiVersion": "v1alpha" }, "done": false } Dabei ist ORGANIZATION_ID die Google Cloud Organisations-ID.
Führen Sie in der Google Cloud CLI den folgenden Befehl aus, um auf den von Ihnen erstellten Dienst-Agent zuzugreifen:
curl -X GET \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: die Google Cloud Organisations-ID.
- ACCESS_TOKEN: Verwenden Sie den folgenden Befehl, um das Zugriffstoken zu generieren.
gcloud auth print-access-token
- PROJECT_ID: die Google Cloud Projekt-ID.
Sie sollten die E-Mail-Adresse des Dienst-Agents im folgenden Format erhalten:
{ "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "state": "ENABLED", "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com" }
Dabei ist ORGANIZATION_ID die Google Cloud Organisations-ID.
Dienst-Agent-Rolle in der Admin-Konsole zuweisen
Melden Sie sich in der Google Admin-Konsole an.
Klicken Sie auf Konto > Administratorrollen und dann auf Neue Rolle erstellen.
Geben Sie einen Namen und optional eine Beschreibung für die Rolle ein und klicken Sie dann auf Weiter.
Gehen Sie unter Berechtigungen der Admin-Konsole zu Dienste > Mobilgeräte- und Geräteverwaltung und wählen Sie die Berechtigung Geräte und Einstellungen verwalten aus.
Klicken Sie unter Berechtigungen für Admin-APIs auf Gruppen und wählen Sie dann die Berechtigung Lesen aus.
Klicken Sie auf Weiter, bestätigen Sie Ihre Eingaben und schließen Sie die Erstellung der Rolle ab.
Rufen Sie Dienstkonten zuweisen auf und geben Sie die E-Mail-Adresse des neu erstellten Dienst-Agents ein.
Klicken Sie auf Hinzufügen > Rolle zuweisen.
Führen Sie in der Google Cloud CLI die folgenden Befehle aus, um dem Dienst-Agent (
policyremediator.serviceAgent
) die Rolle „Dienst-Agent“ auf Organisationsebene zuzuweisen. Dadurch erhält der Dienst-Agent die Berechtigung, die IAM-Richtlinien (Identity and Access Management) und andere Zugriffsrichtlinien für Ihre Organisation zu lesen.gcloud organizations add-iam-policy-binding 'organizations/
' \ --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \ --role='roles/policyremediator.serviceAgent' Ersetzen Sie ORGANIZATION_ID durch die Google Cloud Organisations-ID.
Policy Remediator für eine IAP-Ressource aktivieren
Rufen Sie die Seite „Identity-Aware Proxy (IAP)“ auf.
Zu IAPWählen Sie eine Ressource aus und klicken Sie auf Einstellungen.
Rufen Sie Zugriff korrigieren auf und wählen Sie Korrekturmaßnahmen generieren aus.
Rolle „Rechtsbehelfsbearbeiter“ zuweisen
Wenn Sie Nutzern die Berechtigung erteilen möchten, den verweigerten Zugriff auf IAP-Ressourcen zu beheben, führen Sie den folgenden Befehl in der Google Cloud CLI aus:
gcloud iap web add-iam-policy-binding \ --member='PRINCIPAL' \ --role='roles/iap.remediatorUser'
Ersetzen Sie PRINCIPAL durch eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID
. Beispiel: user:my-user@example.com
.
Weitere Informationen finden Sie unter gcloud IAP web add-iam-policy-binding.
Wenn Sie Nutzern die Berechtigung erteilen möchten, den Zugriff auf IAP-Ressourcen auf Projektebene zu beheben, führen Sie den folgenden Befehl in der Google Cloud CLI aus:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member PRINCIPAL \ --role roles/iap.remediatorUser
Ersetzen Sie Folgendes:
- PROJECT_ID: die Google Cloud Projekt-ID.
- PRINCIPAL: Die Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat:
PRINCIPAL_TYPE:ID
. Beispiel:user:my-user@example.com
.
Mit dem Helpdesk beheben
Wenn Endnutzern der Zugriff verweigert wird, werden sie zu einer Chrome Enterprise Premium-Seite weitergeleitet, die Informationen zur Fehlerbehebung enthält, darunter eine URL zur Fehlerbehebung und ein Korrekturtoken. Wenn Nutzer keine Berechtigung zum Öffnen des Abhilfetokens haben, können sie es kopieren und an den Helpdesk senden, um weitere Unterstützung zu erhalten.
Richtlinienattribute und zugehörige Meldungen
In der folgenden Tabelle finden Sie eine Liste der Attribute, die vom Policy Remediator unterstützt werden.
Attribut | Standardnachricht |
---|---|
ip_address
|
Sie greifen über das Netzwerk auf die App zu, das von Ihrem Unternehmen nicht zugelassen ist. |
region_code
|
Greifen Sie auf diese App aus einer Region zu, die von Ihrem Unternehmen zugelassen ist. |
is_secured_with_screenlock
|
Legen Sie ein Passwort für den Sperrbildschirm fest. Deaktivieren Sie das Passwort für den Sperrbildschirm auf Ihrem Gerät. |
verified_chrome_os
|
Verwenden Sie ein Gerät mit einem bestätigten [OS type]. Ein Gerät ohne verifizierten [OS type] verwenden. |
is_admin_approved_device
|
Verwenden Sie ein Gerät, das vom Administrator Ihrer Organisation genehmigt wurde. Sie verwenden ein Gerät, das nicht vom Administrator Ihrer Organisation genehmigt wurde. |
is_corp_owned_device
|
Verwenden Sie ein Gerät, das Ihrer Organisation gehört. Verwenden Sie ein Gerät, das nicht Ihrer Organisation gehört. |
encryption_status
|
Verwenden Sie ein verschlüsseltes Gerät. Verwenden Sie ein unverschlüsseltes Gerät. |
os_type
|
Wechseln Sie zu einem Gerät mit [OS type]. Auf [OS type]-Geräten kann nicht auf diese App zugegriffen werden. |
os_version
|
Aktualisieren Sie das Betriebssystem auf mindestens [Version]. Dowgraden Sie das Betriebssystem auf eine Version unter [Version]. |
Fehlerbehebung
Der Policy Remediator kann keine Korrekturen generieren, wenn einer der folgenden Fälle eintritt:
- Für eine Ressource gibt es widersprüchliche Richtlinien, z. B. dass ein Nutzer eine Verbindung über Windows und macOS herstellen muss.
- Das Attribut wird vom Policy Remediator nicht unterstützt.
- Der Dienst-Agent ist nicht berechtigt, das Problem zu beheben.