此示例展示了如何创建情境感知访问权限级别,从而为您的企业支持受管理的 Chrome 浏览器政策,然后将此政策分配给应用。
注意:如果您仅使用 Workspace,我们建议不要通过 Google Cloud Platform (GCP) 控制台添加或修改情境感知访问权限级别。否则,可能会导致“在 Google Workspace 中使用了不支持的属性”错误并且会阻止用户。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
安全性 > 访问权限和数据控件 > 情境感知访问权限。
- 选择访问权限级别。
- 点击创建访问权限级别。
- 添加访问权限级别的名称(对于此示例,名称可以是受管理的 Chrome 浏览器)并选择添加相关说明。
- 选择满足属性。这意味着用户必须满足相应条件中的属性才能访问应用。
- 点击添加属性以创建访问权限级别条件。
- 点击高级模式。在此模式下,您可以使用通用表达式语言 (CEL) 在编辑窗口中构建自定义访问权限级别。如需了解详情,请参阅创建情境感知访问权限级别、定义访问权限级别 - 高级模式。
- 添加该访问权限级别的代码:
device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED && device.chrome.versionAtLeast("94.0.4606.81"). - 点击保存。现在,您可以将此访问权限级别分配给应用了。
- 点击向应用授予。此链接会在您创建访问权限级别后立即显示。如果您想稍后分配访问权限级别,请导航至安全
访问权限和数据控制
- 选择一个组织部门。此组织部门中的用户是对您指定的应用拥有访问权限的用户,且处于您创建的访问权限级别中定义的级别。例如,选择人力资源可向一组人力资源部门的用户授予访问权限。
- 选择供用户访问的应用。例如云端硬盘、Google 文档、Gmail 和 Google Chat。
- 点击分配。您可能需要滚动页面,才能看到所需应用对应的“分配”按钮。请确保将访问权限级别分配给正确的应用。请勿将访问权限级别分配给管理控制台。
- 选择要使用的访问权限级别。选择受管理的 Chrome 浏览器
您可以根据需要选择多个访问权限级别。只要用户符合您所选择的任一访问权限级别中指定的条件(列表中各访问权限级别之间的逻辑关系是“或”),系统就会授予用户访问该应用的权限。
如果您希望用户满足多个访问权限级别中的条件(访问权限级别之间的逻辑关系是“与”),则需要创建包含多个访问权限级别的访问权限级别。
注意:请选中应用至 Google 桌面和移动应用复选框。 - 点击保存。请注意,如果访问权限级别被分配给包含大量用户的单位部门或群组,访问权限级别分配最长可能需要 24 小时才能显示。
- 为确保正确分配,请查找:
- 组织部门名称旁边有一个灰色圆点。
- 为应用列出的访问权限级别的名称。
- 要自定义用户在访问应用被拒时收到的消息,请导航至安全
- 修复措施消息 - 这类消息是系统生成的,与阻止用户的具体政策违规行为相对应。修复措施消息会向用户提供修复选项,以便他们取消阻止应用访问。
- 自定义消息 - 您添加的为用户提供具体帮助的消息,例如关于取消阻止的建议或可以点击的实用链接。
- 默认消息 - 默认消息示例:贵组织的政策禁止您使用此应用。。如果您未指定修复措施消息或自定义消息,则会显示此消息。
如需了解详情,请参阅允许用户利用情境感知访问权限中的修复措施消息来取消阻止应用。