根據使用者和裝置情境來控管應用程式存取權

應用實例：讓信任的第三方應用程式不會遭到封鎖

這些範例說明如何豁免已加入許可清單的應用程式，這樣一來，無論指派的存取層級為何，這些應用程式都能隨時存取特定 Google 服務的應用程式設計介面 (API)。

在本範例中，我們不會排除任何可信任的第三方應用程式。針對 Google Keep，您必須為臨時員工機構單位設定「禁止存取公司網路」存取層級。這會使任何應用程式都無法透過貴機構網路之外的 API 存取 Google Keep。

在本範例中，我們會豁免第三方應用程式 Box。針對 Google 雲端硬碟，您必須為臨時員工機構單位設定「禁止存取公司網路」存取層級。這樣一來，第三方應用程式 Box 就能存取 Google 雲端硬碟，即使 API 要求並非來自貴機構網路也一樣。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「安全性」「存取權與資料控管」「情境感知存取權」。
按一下「指派存取層級」。
選取「臨時員工」機構單位。
在應用程式清單中選取「Google 雲端硬碟」，然後按一下「指派」。
選取「禁止存取公司網路」，然後按一下「繼續」。
勾選「如果存取層級不符合，禁止使用者存取 Google 電腦版和行動版應用程式」方塊。
勾選「如果存取層級不符合，禁止其他應用程式透過 API 存取所選應用程式」方塊。
勾選「豁免已加入許可清單的應用程式，讓它們無論存取層級為何，都可以隨時存取特定 Google 服務的 API」方塊。
任何您在「應用程式存取權控制項」頁面上標示為「可信任」的第三方應用程式，都會列在已加入許可清單的應用程式表格中。
選取「Box」，然後按一下「繼續」。
查看並點選「完成」。

在本範例中，我們要將 Salesforce 第三方應用程式新增至先前應用實例的設定中。

應用程式豁免清單是機構單位專屬的清單，適用於在任何原有及全新的情境感知存取權層級指派作業中，豁免的所有第三方應用程式。應用程式豁免清單僅適用於其定義的機構單位。因此，機構單位有專屬的應用程式豁免清單。

所以在這個範例中，不論指派的存取層級為何，Box 和 Salesforce 都能存取 雲端硬碟和 Gmail。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「安全性」「存取權與資料控管」「情境感知存取權」。
按一下「指派存取層級」。
選取「臨時員工」機構單位。
在應用程式清單中選取「Gmail」，然後按一下「指派」。
選取存取層級「禁止在美國以外地區存取」，然後按一下「繼續」。
勾選「如果存取層級不符合，禁止使用者存取 Google 電腦版和行動版應用程式」方塊。
勾選「如果存取層級不符合，禁止其他應用程式透過 API 存取所選應用程式」方塊。
勾選「豁免已加入許可清單的應用程式，讓它們無論存取層級為何，都可以隨時存取特定 Google 服務的 API」方塊。
任何您在「應用程式存取權控制項」頁面上標示為「可信任」的第三方應用程式，都會列在已加入許可清單的應用程式表格中。
選取第三方應用程式「Salesforce」，然後按一下「繼續」。
查看並點選「完成」。

即使群組政策取代了機構單位政策，您還是能在群組層級指派情境感知存取權層級時，透過公開 API 讓可信任的第三方應用程式不會遭到封鎖。不過，您無法像對機構單位進行的操作一樣，定義群組層級的豁免清單。

如果您在指派群組層級的情境感知存取權層級時，勾選「豁免已加入許可清單的應用程式，讓它們無論存取層級為何，都可以隨時存取特定 Google 服務的 API」，則群組中的個別使用者將適用於所屬機構單位層級的豁免清單。如果使用者個人隸屬於多個機構單位，則會套用這些機構單位相對應的豁免清單。

如果您在指派群組層級的情境感知存取權層級時，取消勾選「豁免已加入許可清單的應用程式，讓它們無論存取層級為何，都可以隨時存取特定 Google 服務的 API」，則系統不會將任何豁免項目套用至群組中的個別使用者。群組政策會取代機構單位政策，因此任何來自先前建立的情境感知存取權層級豁免項目，都不會套用至這個群組中的個別使用者。

_{Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。}

我們應如何改進呢？