Attribuer des niveaux d'accès contextuel aux applications

Après avoir créé des niveaux d'accès, vous pouvez les attribuer à des applications. Vous pouvez contrôler les accès selon l'identité de l'utilisateur, le niveau de sécurité de l'appareil, l'adresse IP et l'emplacement géographique. Vous pouvez également contrôler l'accès aux applications qui tentent d'accéder aux données Google Workspace via des interfaces de programmation d'applications (API).

Lorsque vous attribuez des niveaux d'accès…

• Lorsque vous sélectionnez un niveau d'accès, le mode Moniteur est appliqué par défaut. Ainsi, vous ne bloquerez pas involontairement des utilisateurs lorsque vous activez un niveau d'accès.
• Les utilisateurs ont accès à l'application dès lors qu'ils remplissent les conditions spécifiées dans l'un des niveaux d'accès que vous sélectionnez (il s'agit d'une relation "OU" logique des niveaux d'accès de la liste). Pour que les utilisateurs remplissent les conditions de plusieurs niveaux d'accès à la fois (une relation "ET" logique des niveaux d'accès), vous devez créer un niveau d'accès contenant plusieurs niveaux d'accès. Si vous souhaitez attribuer plus de 10 niveaux d'accès à une application, vous pouvez utiliser des niveaux d'accès imbriqués.
• Pour les applications mobiles, si vous utilisez Gmail intégré, vous pouvez accorder ou refuser simultanément l'accès à Gmail, Google Chat et Google Meet. Si Google Chat et Google Meet sont implémentés en tant qu'applications distinctes (dissociées de Gmail intégré), vous devrez accorder ou refuser l'accès à ces applications séparément.

Attribuer des niveaux d'accès contextuel à une application

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Dans la console d'administration, accédez à Menu    Sécurité  Contrôle des accès et des données  Accès contextuel.
   
3. Cliquez sur Attribuer des niveaux d'accès. Une liste d'applications s'affiche.
4. (Facultatif) Si vous souhaitez n'appliquer le paramètre qu'à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé). Voir la marche à suivre

   Les paramètres de groupe remplacent les unités organisationnelles. En savoir plus

   
   
5. Pointez sur une application, puis cliquez sur Attribuer.
   Pour attribuer les mêmes niveaux d'accès à plusieurs applications simultanément, cochez les cases de ces applications, puis cliquez sur Attribuer en haut de la page.
   
6. Sur la gauche, cliquez sur un ou plusieurs niveaux d'accès (jusqu'à 10) pour les sélectionner. Les niveaux d'accès sélectionnés sont affichés à droite et sont définis sur le mode Moniteur par défaut.
   • Pour tester l'impact du niveau d'accès sélectionné sur les utilisateurs sans réellement bloquer l'accès, laissez le paramètre en mode Moniteur.
   • Si vous avez testé un paramètre de niveau d'accès et que vous êtes prêt à l'appliquer, définissez-le sur Actif.
7. Cliquez sur Continuer.
8. (Recommandé) Cochez l'option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés pour appliquer les niveaux d'accès aux utilisateurs d'applications natives de bureau, Android et iOS, et d'applications Web. Consultez la section Comportement des applications en fonction des paramètres de niveau d'accès ci-dessous.
9. (Facultatif) Cochez l'option Empêcher d'autres applications d'accéder aux applications sélectionnées via les API si les niveaux d'accès ne sont pas respectés pour empêcher les applications d'accéder aux données Google Workspace via des API publiques.
10. (Facultatif) Pour empêcher le blocage des applications approuvées via les API exposées :
    Disponible pour la configuration par unité organisationnelle, et non par groupe de configuration, même si vous pouvez sélectionner un groupe dans la console d'administration. Pour en savoir plus, consultez Cas d'utilisation : Empêcher le blocage d'applications tierces approuvées. 
    1. Cochez l'option Exempter des applications ajoutées à la liste d'autorisation pour qu'elles aient toujours accès via des API à des services Google spécifiques, quels que soient leurs niveaux d'accès. 
    2. Si la liste des applications ou l'application que vous souhaitez exempter n'apparaît pas, cliquez sur Accéder au contrôle d'accès des applications et suivez la procédure permettant d'approuver l'application.
       Les applications tierces que vous désignez comme Approuvées sur la page "Contrôle de l'accès des applications" sont répertoriées dans le tableau des applications autorisées. Il se peut que certaines soient déjà présélectionnées si vous les avez marquées comme approuvées et exemptes de l'application des API.
    3. Vous ne pouvez pas exempter les applications Google (telles que Drive, Agenda ou Apps Script) du blocage des API. Ces applications sont grisées dans la liste.
    4. Si nécessaire, sélectionnez les applications pour lesquelles vous souhaitez exempter l'application des API, puis cliquez sur Continuer.
11. Cliquez sur Continuer.
12. Examinez le champ d'application, les applications et les niveaux d'accès sélectionnés, ainsi que le mode de niveau d'accès (Moniteur ou Actif).
13. Cliquez sur Attribuer.

Vous êtes redirigé vers la page de la liste des applications. La colonne "Niveaux d'accès" indique le nombre de niveaux d'accès appliqués à chaque application en mode Moniteur et en mode Actif.

Consulter ou modifier les niveaux d'accès attribués

Ce paramètre permet d'appliquer les modifications localement et n'affiche pas les attributions héritées.

1. Pointez sur l'application, puis cliquez sur Attribuer.

   Les niveaux d'accès sélectionnés sont affichés à droite.

2. Effectuez l'une des actions suivantes :
   • Cliquez sur Supprimer à gauche pour annuler l'attribution d'un niveau d'accès.
   • À droite, faites passer un niveau d'accès attribué de l'état Moniteur à Actif, ou inversement.
   • Pour attribuer des niveaux d'accès supplémentaires, localisez le niveau souhaité sur la gauche, puis cliquez sur Sélectionner.
3. Cliquez sur Continuer pour configurer ou modifier les paramètres des règles (consultez les étapes 8 à 13 de la section Attribuer des niveaux d'accès à une application ci-dessus).

Afficher les événements consignés pour un niveau d'accès

L'option "Afficher le rapport" vous permet de vérifier si les niveaux d'accès qui vous ont été attribués fonctionnent correctement pour contrôler l'accès des utilisateurs aux applications. Les niveaux d'accès définis en mode Moniteur ou Actif génèrent des événements qui sont consignés dans le journal d'accès contextuel.

1. Cliquez sur Attribuer des niveaux d'accès.
2. Sélectionnez l'UO ou le groupe dont vous souhaitez examiner les résultats.

   Dans la liste des applications, la colonne Niveaux d'accès indique le nombre de niveaux d'accès en mode Moniteur ou Actif qui sont appliqués à chaque application :

   

3. Pointez sur une application, puis cliquez sur Afficher le rapport à droite.

4. Dans la barre latérale de droite, cliquez sur Link to Security Investigation Tool (Lien vers l'outil d'investigation de sécurité) afin de rechercher automatiquement les événements de journaux d'accès contextuel associés à l'application sélectionnée.

Les résultats de recherche incluent les informations suivantes :

• Les événements Accès refusé (mode Moniteur) indiquent les utilisateurs qui auraient été bloqués si ce niveau d'accès avait été appliqué.
• La colonne Acteur indique l'utilisateur bloqué.
• Niveaux d'accès appliqués, satisfaits (conditions d'accès remplies) et non satisfaits (conditions d'accès non remplies).

Pour en savoir plus, consultez Événements de journaux d'accès contextuel.