此示例说明了如何创建情境感知访问权限级别来支持贵企业的 IP 地址强制执行政策,然后将此政策分配给应用。
注意:如果您仅使用 Workspace,我们建议不要通过 Google Cloud Platform (GCP) 控制台添加或修改情境感知访问权限级别。这样做可能会导致出现“在 Google Workspace 中使用了不支持的属性”错误,并导致用户被禁止访问。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
访问权限和数据控件
- 选择访问权限级别。
- 点击创建访问权限级别。
- 添加访问权限级别名称(例如,可添加像 IP 地址强制执行这样的名称),说明部分可视需要选择是否添加。
- 选择满足属性。这意味着用户必须满足相应条件中的属性才能访问应用。
- 点击添加属性以创建访问权限级别条件。系统会默认选择基本模式。
- 选择 IP 子网,然后添加一个 IP 地址。此地址可以是 IPv4 或 IPv6 地址,也可以是以 CIDR 地址块表示法输入的路由前缀。
- 不支持使用专用 IP 地址(包括用户的家庭网络)。
- 支持使用静态 IP 地址。
- 如要使用动态 IP 地址,您必须为访问权限级别指定静态 IP 子网。如果您知道动态 IP 地址的范围,并且在访问权限级别中指定的静态 IP 地址涵盖该范围,则系统会授予访问权限。当动态 IP 地址不在指定的静态 IP 子网中时,访问会被拒绝。
- 点击保存。现在,您可以将此访问权限级别分配给应用了。
- 点击向应用授予。此链接会在您创建访问权限级别后立即显示。如果您想以后再分配此访问权限级别,请前往安全性
- 选择一个组织部门。此组织部门中的用户是对您指定的应用拥有访问权限的用户,且处于您创建的访问权限级别中指定的级别。例如,选择欧洲组织部门可向一组欧洲用户授予访问权限。
- 选择可供用户访问的应用。例如 Google 云端硬盘和文档、Gmail 以及 Google Chat。
- 点击分配。您可能需要滚动页面,才能看到所需应用对应的“分配”按钮。请确保将访问权限级别分配给正确的应用。请勿将访问权限级别分配给管理控制台。
- 选择要使用的访问权限级别。在此例中为 IP 地址强制执行。
您可以根据需要选择多个访问权限级别。只要用户符合您所选择的任一访问权限级别中指定的条件(列表中各访问权限级别之间的逻辑关系是“或”),系统就会授予用户访问该应用的权限。
如果您希望用户满足多个访问权限级别中的条件(访问权限级别之间的逻辑关系是“与”),则需要创建包含多个访问权限级别的访问权限级别。
注意:请选中应用至 Google 桌面和移动应用复选框。 - 点击保存。请注意,如果访问权限级别被分配给包含大量用户的组织部门或群组,分配的访问权限级别最长可能需要 24 小时才能显示。
- 为确保正确分配,可以检查:
- 组织部门名称旁边是否有一个灰色圆点。
- 为应用列出的访问权限级别的名称。
- 如要自定义用户在访问应用被拒时所看到的消息,请前往安全性
- 修复措施消息 - 这类消息是系统生成的,与导致用户被禁止访问的具体违规行为相对应。修复措施消息会向用户提供修复选项,以便他们可以恢复应用访问权限。
- 自定义消息 - 您添加的为用户提供具体帮助的消息,例如关于恢复访问权限的建议或可以点击的实用链接。
- 默认消息 - 默认消息示例:贵组织的政策禁止您使用此应用。如果您未指定修复措施消息或自定义消息,则系统会显示此消息。
有关详情,请参阅允许用户通过情境感知访问权限设置中的修复措施消息来恢复对应用的访问权限。
