Zeitbeschränkung für Google Workspace (G Suite) aktivieren

1. Google Workspace (G Suite) in miniOrange konfigurieren

• Melden Sie sich bei miniOrange an Admin-Konsole.
• Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .



• In Wählen Sie Anwendungstyp Klicken Sie auf App erstellen Schaltfläche im SAML/WS-FED-Anwendungstyp.



• Suchen Sie nach den Google in der Liste.



• Geben Sie Ihre Domain Name die Sie mit Google Workspace verwenden.
• Geben Sie die Einzelne Abmelde-URL as https://mail.google.com/a/out/tld/?logout.
• Von dem Provisioning Geben Sie den Domänenadministrator in Google Apps (G Suite)-Administrator und klicken Sie auf "Google Apps-Administrator bestätigen", um zu überprüfen, ob die eingegebene Domäne die eines Administrators ist (dies ist ein optionales Feld).



• Klicken Sie auf Gespeichert.

Holen Sie sich IdP-Metadatendetails zum Hochladen in Google Apps:

• Gehe zu Apps >> Apps verwalten.
• Suchen Sie nach Ihrer App und klicken Sie auf das wählen im Aktionsmenü für Ihre App.
• Klicken Sie auf Metadaten um Metadatendetails abzurufen, die später benötigt werden. Klicken Sie auf SSO-Link anzeigen um den vom IDP initiierten SSO-Link für Google Apps anzuzeigen.



• Hier sehen Sie 2 Optionen, wenn Sie einrichten miniOrange als IDP Kopieren Sie die Metadatendetails zu miniOrange, wenn Sie eine Authentifizierung benötigen über externe IDPs (OKTA, AZURE AD, ADFS, ONELOGIN, GOOGLE APPS) Sie können Metadaten aus dem 2. Abschnitt abrufen, wie unten gezeigt.



• Behalten SAML-Anmelde-URL und klicken Sie auf Zertifikat herunterladen , um das Zertifikat herunterzuladen, das Sie benötigen in Schritt 2.

2. SAML SSO in Google Workspace (G Suite) konfigurieren

• Melden Sie sich jetzt an Google Admin-Konsole und wählen Sicherheit Registerkarte in der Admin-Konsole.
• Gehe zu Authentifizierung >> SSO mit Drittanbieter-IDP. Hier, aus dem SSO-Profil für Ihre Organisation Klicken Sie im Abschnitt auf das Bearbeitungssymbol.





• Aktivieren Sie die Einrichten von SSO mit einem Identitätsanbieter eines Drittanbieters Kontrollkästchen.
• Enter URL der Anmeldeseite: SAML-Anmelde-URL aus Schritt 1.
• Enter URL der Abmeldeseite: <Basisserver-URL> /idp/oidc/logout?post_logout_redirect_uri=https://gmail.com
  Beispiel: https://login.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri=https://gmail.com
  
• Laden Sie das Zertifikat hoch, indem Sie auf Zertifikat ersetzen Link, der zuvor in Schritt 1 heruntergeladen wurde.
• Geben Sie die URL zum Ändern des Passworts ein: SAML-Anmelde-URL ab Schritt 1.
• Sichern Sie die Einstellungen.
• Ihre Google SSO SAML-Integration ist abgeschlossen.



2.1. SSO-Profile Organisationseinheiten oder Gruppen zuweisen:




Wenn Sie möchten, dass sich einige Ihrer Benutzer direkt bei Google anmelden, können Sie diese Benutzer in eine Organisationseinheit (OU) oder Gruppe verschieben. Verwalten Sie dann die SSO-Einstellungen für die OU oder Gruppe, sodass diese Benutzer von Google authentifiziert werden und nicht Ihren Drittanbieter-IdP verwenden. Führen Sie die folgenden Schritte aus:

• Wenn Sie möchten, dass sich alle Ihre (nicht-Superadministrator-)Benutzer über einen IdP eines Drittanbieters anmelden: Sie müssen keine Verwaltung durchführen.
• Wenn Sie möchten, dass sich einige Ihrer Benutzer direkt bei Google anmelden: Klicken Sie auf Verwalten von SSO-Profilzuweisungen und fahren Sie mit dem nächsten Schritt fort.
  • Wenn Sie das SSO-Profil zum ersten Mal zuweisen, klicken Sie auf Los geht´s. Andernfalls klicken Sie auf Verwalten. Note: Get started is only available if you’ve already enabled your third-party SSO profile.
  
  
  
  
  • Wählen Sie links die Organisationseinheit oder Gruppe aus, für die Sie das SSO-Profil zuweisen.
    Note: If the SSO profile assignment for an OU or group differs from your domain-wide profile assignment,
an override warning appears when you select that OU or group. You can’t assign the SSO profile on a
per-user basis. The Users view let you check the setting for a specific user.
    
  
  
  
  • Wählen Drittanbieter-SSO-Profil der Organisation wenn Sie möchten, dass sich Ihre Benutzer in der Organisationseinheit oder Gruppe mit dem im Drittanbieter-SSO-Profil Ihrer Domäne angegebenen IdP bei Google-Diensten anmelden.
  • Wählen Non wenn Sie möchten, dass sich Ihre Benutzer in der Organisationseinheit oder Gruppe direkt bei Google anmelden.
  • Wählen Ein weiteres SSO-Profil falls Sie bereits einen anderen Identitätsanbieter konfiguriert haben und diesen zur Benutzerauthentifizierung verwenden möchten.
  • Dann klick Gespeichert.

2.2. So deaktivieren Sie SSO für alle Benutzer:

Wenn Sie die Drittanbieter-Authentifizierung für alle Ihre Benutzer deaktivieren möchten, ohne die SSO-Profilzuweisung für Organisationseinheiten oder Gruppen zu ändern, können Sie das Drittanbieter-SSO-Profil deaktivieren:

• Deaktivieren Einrichten von SSO mit einem Identitätsanbieter eines Drittanbieters.
• Klicke Gespeichert.

3. Zeitbeschränkung konfigurieren: Zugriffsbeschränkung durch Begrenzung der Zeitzonen

Bei dieser Einschränkungsmethode konfiguriert der Administrator eine Zeitzone mit Start- und Endzeit für diese Zeitzone und Benutzer werden je nach Bedingung in der Richtlinie entweder zugelassen, abgelehnt oder abgewiesen. Wenn ein Endbenutzer versucht, sich mit aktivierter adaptiver Authentifizierung anzumelden, werden seine zeitzonenbezogenen Attribute wie Zeitzone und aktuelle Systemzeit anhand der vom Administrator konfigurierten Liste überprüft und je nach Konfiguration wird der Benutzer entweder zugelassen, abgelehnt oder abgewiesen.

• Gehe zu Adaptive Authentifizierung aus der linken Navigationsleiste.
• Klicken Sie auf Richtlinie hinzufügen Tab.



• Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.



• Scrollen Sie nach unten Zeitkonfiguration Abschnitt und klicken Sie auf Bearbeiten.



• Hier kannst du Zeiterfassung aktivieren wenn der Benutzer die Herausforderung abschließt.
• Geben Sie den Wert in Minuten in das Eingabefeld von ein. Zulässiger Zeitunterschied für die Prüfung zur Betrugsprävention (in Minuten). Mit diesem Wert können Sie eine gewisse Zeitspanne vor Ihrer Startzeit und nach Ihrer Endzeit festlegen. (Wenn also die Startzeit 6:6 Uhr und die Endzeit 30:5 Uhr ist und der Zeitunterschied auf 30 Minuten eingestellt ist, berücksichtigt die Richtlinie die Zeit zwischen 6:30 Uhr und 15:XNUMX Uhr.) Wenn in dieses Feld kein Wert eingegeben wird, wird der Standardwert von XNUMX Minuten festgelegt.



• Der Konfigurierte Zeit, klicke auf Zeit hinzufügenWählen Sie einen Tag/Tage aus dem Wählen Sie Tage Dropdown-Liste. Aus dem Wähle Zeitzone aus Wählen Sie die Zeitzone aus. Wählen Sie aus der Startzeit kombiniert mit einem nachhaltigen Materialprofil. Endzeit Listen wählen Sie die entsprechenden Werte aus. Für jede Zeitkonfiguration, die Sie hinzufügen, können Sie wählen, ob Whitelist/Zulassen or Schwarze Liste/Verweigern indem Sie die entsprechende Option auswählen.
• Sie können auf die Schaltfläche Zeit hinzufügen Schaltfläche, um mehr als eine Zeitkonfiguration hinzuzufügen, und befolgen Sie dann die oben genannten Schritte.



• Scrollen Sie nun nach unten zum Maßnahmen zur Verhaltensänderung Abschnitt und klicken Sie auf Bearbeiten. Wählen Sie die Aktion aus, die Sie ausführen möchten, wenn die IP-Adresse außerhalb des Bereichs liegt. Zulassen, Anfechten oder Ablehnen.




Aktion für Verhaltensänderungsoptionen:




Attribut	Beschreibung
Erlauben	Erlauben Sie dem Benutzer, sich zu authentifizieren und Dienste zu verwenden, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
Herausforderung	Fordern Sie Benutzer mit einer der drei unten genannten Methoden zur Überprüfung der Benutzerauthentizität heraus.
Ablehnen	Verweigern Sie Benutzerauthentifizierungen und den Zugriff auf Dienste, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.




Optionen für den Herausforderungstyp:




Attribut	Beschreibung
Benutzer zweiter Faktor	Der Benutzer muss sich mit dem zweiten Faktor authentifizieren, den er gewählt oder zugewiesen hat, wie zum Beispiel OTP über SMS Push-Benachrichtigung OTP über E-Mail Und 12 weitere Methoden.
KBA (Wissensbasierte Authentifizierung)	Das System stellt dem Benutzer zwei von drei Fragen, die er in seiner Self-Service-Konsole konfiguriert hat. Erst wenn der Benutzer beide Fragen richtig beantwortet hat, kann er fortfahren.
OTP über alternative E-Mail	Der Benutzer erhält ein OTP an die alternative E-Mail-Adresse, die er über die Self Service Console konfiguriert hat. Sobald der Benutzer das richtige OTP eingegeben hat, kann er fortfahren.



• Scrollen Sie bis zum Ende und klicken Sie auf Speichern.

4. Aktivieren Sie die Einschränkung für Google Apps

• Gehe zu Richtlinien >> App-Anmelderichtlinie aus der linken Navigationsleiste.
• Klicken Sie auf Bearbeiten Option für Ihre ausgewählte App.



• Legen Sie Ihren Anwendungsnamen im Antragsprozess und wählen Sie Passwort als Anmeldemethode.
• Ermöglichen Adaptive Authentifizierung.
• Von dem Wählen Sie „Anmelderichtlinie“ Wählen Sie aus der Dropdown-Liste die Richtlinie aus, die wir im letzten Schritt erstellt haben, und wählen Sie die gewünschte Einschränkungsmethode als eine Option.
• Klicke Gespeichert.

1. SAML-App in miniOrange konfigurieren

• Melden Sie sich an miniOrange Admin-Konsole.
• Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .



• Wählen Sie unter Anwendung auswählen SAML/WS-FED von dem Alle Apps Dropdown-Liste.



• Suchen Sie im nächsten Schritt nach Benutzerdefinierte SAML-App und klicken Sie darauf.



• Im Grundeinstellungen geben Sie die gewünschte App Name und fügen Sie die SP-Metadaten hinzu, indem Sie auf das SP-Metadaten importieren Schaltfläche; die Metadaten finden Sie im Authentifizierungsquelle Registerkarte in CASB.



• Wenn Sie fertig sind, klicken Sie auf Gespeichert .



• Gehen Sie nun zum miniOrange CASB-Dashboard, indem Sie auf . .



• Nach der Anmeldung sollten Sie zur miniOrange-Dashboard-Seite weitergeleitet werden. Klicken Sie auf "Google" app und klicken Sie darauf.



• Wähle aus Authentifizierungsquelle hinzufügen Option aus dem Dropdown-Menü.



• Erwähnen Sie einen Authentifizierungsname für die Authentifizierungsquelle und klicken Sie auf Metadaten generieren.



• Nach dem Klicken auf Metadaten generierenerhalten Sie die Metadatendetails, wie im Bild unten dargestellt. Verwenden Sie diese Daten, um die SAML-Anwendung in Ihrem Identitätsanbieter (IDP).



• Wenn Sie die Metadatendetails erneut anzeigen möchten, klicken Sie auf das Metadaten anzeigen .
• Sie können die erforderlichen IDP-Metadaten abrufen aus der SAML-App Sie haben die Konfiguration mit dem Identitätsanbieter Miniorange.
• Geben Sie nun die restlichen Details ein, wie IDP-Entitäts-ID, SAML-Anmelde-URL, SAML-Abmelde-URL und X.509-Zertifikat die Sie in Ihrem Identitätsanbieter Metadaten.
• Wählen Sie anschließend den Bindungstyp für die SSO-Anforderung nach Bedarf aus. Sie finden diese Informationen in den IDP-Metadaten. Wenn Sie sich jedoch nicht sicher sind, wählen Sie bitte den HTTP-Redirect-Bindung als Standardkonfiguration.



• Klicken Sie auf die Speichern weiter Schaltfläche, sobald Sie alle Details ausgefüllt haben.

2. Konfigurieren von SAML SSO in der Google Admin-Konsole

• Jetzt werden Sie weitergeleitet zu Grundeinstellungen .
• Füllen Sie die folgenden Angaben aus, um den Google Anwendung:

Organisation Name:	Geben Sie den Namen Ihrer Organisation ein.
Organisationsdomäne:	Geben Sie die Domain Ihrer Organisation bei Google ein. (Beispiel: example.com)
Attributschlüssel:	Geben Sie den Gruppenattributschlüssel für die SSO-App ein, den Sie im IDP im Abschnitt „SAML-Attribute“ konfiguriert haben.
Name-Attributschlüssel:	Geben Sie den Attributnamen ein, etwa Fname, Lname usw.
Geben Sie die ACS-URL ein:	Sie können die Google ACS-URL über das Google-Administrationsbereich abrufen.
Geben Sie die Entitäts-URL ein:	Sie können die Google-Entitäts-URL über das Google-Administrationsbereich abrufen.
CASB-Typ	Wählen Sie den CASB-Typ als „Inline“ oder „Offline“
MDM aktivieren	Wenn Sie MDM auf Ihrem Gerät konfigurieren möchten, aktivieren Sie es




• Für ACS-URL kombiniert mit einem nachhaltigen Materialprofil. Entitäts-URL Sie müssen zuerst die Google Admin-Authentifizierung mit den folgenden Schritten konfigurieren.
• Melden Sie sich zunächst bei Ihrem an Google Admin Instrumententafel.



• Klicken Sie links unter dem Menüsymbol (☰) auf Zuhause () ⤏ Sicherheit () ⤏ Authentifizierung ⤏ SSO mit Drittanbieter-IDP.



• Klicken Sie nun auf SAML-PROFIL HINZUFÜGEN um ein neues SAML-Profil zu erstellen.



• Enter SSO-Profilname und ausfüllen IDP-Entitäts-ID kombiniert mit einem nachhaltigen Materialprofil. URL der Anmeldeseite aus IDP-Metadaten.



• Gehen Sie zum CASB-Grundeinstellungsbildschirm und klicken Sie auf IDP-Metadaten anzeigen zu finden IDP-Entitäts-ID kombiniert mit einem nachhaltigen Materialprofil. URL der AnmeldeseiteSie können auch die X.509-Zertifikat von hier.



• Kopiere und füge die IDP-Entitäts-ID kombiniert mit einem nachhaltigen Materialprofil. URL der Anmeldeseite und befestigen Sie die X.509-Zertifikat in Zertifikat hochladen und klicken Sie auf Gespeichert .

3. Richtlinien konfigurieren

Sehen wir uns an, wie Richtlinien für Google CASB konfiguriert werden.

• Sie werden weitergeleitet zum Richtlinie verwalten Geben Sie Ihre Versicherungsdetails ein, wie Versicherungsname kombiniert mit einem nachhaltigen Materialprofil. Richtlinienbeschreibung.



• Klicken Sie auf das Kontrollkästchen für „Konfiguration der Zugriffszeit aktivieren“ wie unten in der Abbildung dargestellt.
• Durch Aktivieren dieser Funktion wenden Sie auf Benutzer Zeitbeschränkungen basierend auf den konfigurierten Einstellungen und angegebenen Zeitabläufen an.

1) Wählen Sie Zulassen oder Ablehnen um den Benutzerzugriff während des ausgewählten Zeitfensters zu erlauben oder einzuschränken.

2) Wählen Sie den Benutzer Zeitzone.

3) Wählen Sie die Anfang kombiniert mit einem nachhaltigen Materialprofil. Ende Zeitpunkte für die zeitliche Einschränkung.

• Wenn Sie fertig sind, klicken Sie auf Speichern weiter .

4. Gruppen konfigurieren und Bildschirm bearbeiten

Sehen wir uns an, wie Gruppen für Google CASB konfiguriert werden.

• Sie werden weitergeleitet zum Gruppen verwalten Geben Sie den Name kombiniert mit einem nachhaltigen Materialprofil. Beschreibung für die Gruppe (Es sollte derselbe Name sein wie der Name der Gruppe, die Sie im IDP konfiguriert haben). Wählen Sie die Politik Aus dem Dropdown-Menü.
• Wählen Sie unten die Anwendung aus, der Sie Berechtigungen erteilen möchten.

1) App-Einschränkung: Dabei werden die Einschränkungen auf die Anwendung basierend auf der Richtlinie angewendet, die Sie für die Gruppe konfiguriert haben.

2) Keine App-Einschränkung: Hierbei kommt es zu keinerlei Einschränkungen bei der Anmeldung für die Gruppe.

3) App deaktivieren: Durch Auswahl dieser Option wird die Anwendung für die gesamte Gruppe von überall her unzugänglich.

4) Benutzerdefinierte App-Einschränkung: Auf diese Weise können Sie eine anwendungsspezifische, benutzerdefinierte Anwendungseinschränkungsrichtlinie auf eine Anwendung anwenden, die die Einschränkungsrichtlinie der Gruppe außer Kraft setzt.

• Klicken Sie nun auf Farbe .



• Nach erfolgreicher Konfiguration aller Bildschirme werden Sie weitergeleitet zum bearbeiten Bildschirm.
• Im Grundeinstellungen Sie können bei Bedarf alle Konfigurationen in der Authentifizierung ändern.



• Im Gruppeneinstellungen Abschnitt Sie können auf diesem Bildschirm Gruppen hinzufügen und konfigurieren und alle konfigurierten Gruppen anzeigen. Klicken Sie nun auf Neue Gruppe hinzufügen.
• Sie erhalten ein Popup zum Hinzufügen eines Neue Gruppe und Sie können es mit den oben genannten Schritten konfigurieren.



• Im „Sitzungsverwaltung“ können Sie die Details der Sitzungen angemeldeter Benutzer sehen.

1. Registrieren Sie Ihre Organisation bei Android Enterprise.

• Melden Sie sich beim miniOrange MDM-Dashboard an, indem Sie auf ..



• Navigieren Sie nach der Anmeldung zu ANDROID -> Android Enterprise und klicken Sie auf Registrieren Schaltfläche. Sie müssen Ihre Organisation zunächst bei Android Enterprise registrieren. Dies ist ein einmaliger Vorgang.



• Klicke . für detaillierte Anweisungen zur Registrierung Ihrer Organisation bei Android Enterprise.

2. Erstellen Sie eine neue Richtlinie

• Gehe zu ANDROID -> Richtlinien. Klicken Sie auf Richtlinie erstellen um die neue Richtlinie zu erstellen.



• Geben Sie nun einen Namen und eine Beschreibung für Ihre Richtlinie ein und gehen Sie zu App-Katalog → Anwendungen → Play Store-Apps auswählen, und fügen Sie dann alle arbeitsbezogenen Apps hinzu, die auf den registrierten Geräten installiert werden sollen.



• Wenn Sie auf „Play Store-Apps auswählen“ klicken, wird der Play Store geöffnet. Dort können Sie nach Google-Arbeitsbereich Apps. Wählen Sie die gewünschte App aus und klicken Sie dann auf Auswählen Klicken Sie auf die Schaltfläche der einzelnen App, um sie zu Ihrer Richtlinienkonfiguration hinzuzufügen.



• Sobald Sie den Play Store schließen, sehen Sie ein Liste aller ausgewählten Anwendungen. Auf diesem Bildschirm können Sie die Installationstyp für jede App.

3. Zeitbeschränkung konfigurieren: Zugriffsbeschränkung durch Begrenzung der Zeitzonen

• Klicken Sie auf Benutzerdefinierte Einschränkungen und geh zu Zeitbeschränkung um die Einschränkungen zu konfigurieren.



• Ermöglichen die Funktion, wählen Sie dann die entsprechende Zeitzone und stellen Sie die Startzeit kombiniert mit einem nachhaltigen Materialprofil. Endzeit während dieser Zeit wird das Gerät oder das Arbeitsprofil deaktiviert. Wir haben beispielsweise die Zeitzone sowie die Start- und Endzeit als IST, 01:00 Uhr bzw. 01:30 Uhr ausgewählt.



• Wenn Sie alle Details konfiguriert haben, klicken Sie auf Richtlinie erstellen und Ihre neue Police wird wie im Bild unten gezeigt aufgeführt.

4. Testen Sie das Geräteverhalten

Systemanwendungen wie Kontakte, Dateimanager und Managed Google Play Store können nicht blockiert werden. Über das MDM-Dashboard installierte Anwendungen können jedoch basierend auf den Richtlinieneinstellungen eingeschränkt werden.

• Im BYOD-Modus, Anwendungen werden ab 1:00 Uhr blockiert und um 1:30 Uhr wieder freigegeben (siehe Abbildung unten als Referenz).



• Für firmeneigene Geräte, Anwendungen werden um 1:00 Uhr blockiert und um 1:30 Uhr wieder freigegeben (siehe Abbildung unten als Referenz).