创建访问权限级别后,就可以将它们分配给应用了。您可以按用户身份、设备安全状态、IP 地址和地理位置来控制访问权限。对于尝试通过应用编程接口 (API) 访问 Google Workspace 数据的应用,您还可以控制其访问权限。
当您分配访问权限级别时…
- 选择访问权限级别后,系统会默认将其设置为监控模式。这样可以确保您不会在启用访问权限级别时无意中阻止用户访问。
- 只要用户符合您所选择的任一访问权限级别中指定的条件(列表中各访问权限级别之间的逻辑关系是“或”),系统就会授予用户访问该应用的权限。如果您希望用户满足多个访问权限级别中的条件(访问权限级别之间的逻辑关系是“与”),则需要创建包含多个访问权限级别的访问权限级别。如果您想为某个应用分配超过 10 个访问权限级别,则可以使用嵌套访问权限级别。
- 对于移动应用,如果您使用一体化 Gmail,则可以一次授予或拒绝对 Gmail、Google Chat 和 Google Meet 的访问权限。如果 Google Chat 和 Google Meet 是作为独立的应用使用(不与 Gmail 集成),那么您就需要分别授予或拒绝对这些应用的访问权限。
为应用分配情境感知访问权限级别
准备工作:如有需要,请了解如何将设置应用于部门或群组。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
访问权限和数据控件
- 点击分配访问权限级别。您会看到一个应用列表。
- (可选)要将设置仅应用于部分用户,请在侧边选择一个组织部门(通常用于部门)或配置群组(高级)。显示具体方法
群组设置会覆盖组织部门的设置。了解详情
- 将鼠标悬停在应用上,然后点击分配。
如要同时为多个应用分配相同的访问权限级别,请勾选应用旁边的复选框,然后点击顶部的分配。
- 点击左侧的一个或多个访问权限级别(最多 10 个)将其选中。所选的访问权限级别会显示在右侧,默认设为监控模式。
- 如要在不实际屏蔽访问权限的情况下,测试选择访问权限级别会对用户有何影响,请将相应设置保留为监控模式。
- 如果您测试了一项访问权限级别设置,并准备好开始应用此设置,请将此设置更改为活跃。
- 点击继续。
- (推荐)勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框,为原生桌面应用、Android 应用、iOS 应用、Web 应用的用户应用访问权限级别。 请参阅下面的基于访问权限级别设置的应用行为。
- (可选)勾选阻止其他应用通过 API 访问所选应用(如果不符合访问权限级别)复选框,以阻止应用通过公开的公共 API 尝试访问 Google Workspace 数据。
- (可选)要使受信任的应用能够通过公开的 API 访问 Google Workspace 数据,请勾选以下复选框:
即使您可以通过管理控制台选择某个群组,也可按组织部门(而非配置群组)进行配置。有关详情,请参阅“用例:不阻止受信任的第三方应用”。- 勾选豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何)复选框。
- 如果您没有看到要豁免的应用列表或相关应用,请点击转到应用访问权限控制,然后完成信任应用的步骤。
您在“应用访问权限控制”页面上标记为受信任的任何第三方应用都会列在已列入许可名单的应用表格中。如果您已将某些应用标记为“受信任”并使其不受限于 API 强制执行,则这些应用可能已预先选中。 - 您无法豁免 Google 应用(例如云端硬盘、日历或 Apps 脚本)的 API 屏蔽。这些应用在列表中会灰显。
- 如果需要,请选择不受限于 API 强制执行的应用,然后点击继续。
- 点击继续。
- 查看所选范围、所选应用和所选的访问权限级别,以及访问权限级别模式(监控或活跃)。
- 点击分配。
您会返回到应用列表页面。“访问权限级别”列显示了监控模式和活跃模式下应用于各个应用的访问权限级别的数量。
基于访问权限级别设置的应用行为以下表格总结了是否勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框和是否部署端点验证所对应的行为。文字为粗体且带下划线的行显示的是推荐设置。
此表格中的重要术语:
- 应用访问权限级别 - 根据您在情境感知访问权限配置中设置的访问权限级别来授予访问权限。
- 允许访问 - 未采用情境感知访问权限,允许任意访问。
- 禁止访问 - 由于未配置情境感知访问权限或者您尚未启用端点验证,导致访问被禁止。
|
访问权限级别 |
已启用 CAA |
允许/禁止(原生应用和 Web 应用) |
||||
|
移动设备 |
桌面设备 |
|||||
|
移动原生应用 |
移动网页 |
桌面版网站 |
桌面原生应用 |
部署了端点验证? |
||
|
仅包含 IP/地理属性的访问权限级别 |
已勾选“阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)”复选框 |
应用访问权限级别 |
应用访问权限级别 |
不需要 |
||
|
未勾选“阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)”复选框 |
允许访问 |
应用访问权限级别 |
应用访问权限级别 |
允许访问 |
不需要 |
|
|
包含设备属性的访问权限级别 |
已勾选“阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)”复选框 |
应用访问权限级别 |
应用访问权限级别 |
是 |
||
|
已勾选“阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)”复选框 |
应用访问权限级别 |
禁止访问 |
否 |
|||
| 未勾选“阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)”复选框 |
允许访问 |
应用访问权限级别 |
应用访问权限级别 |
允许访问 |
是 |
|
| 未勾选“阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)”复选框 | 允许访问 | 应用访问权限级别 | 禁止访问 | 允许访问 | 否 | |
查看或修改已分配的访问权限级别
此设置用于在本地应用更改,且不显示继承的分配。
- 将鼠标悬停在应用上,然后点击分配。
所选访问权限级别会显示在右侧。
- 执行以下任意操作:
- 点击左侧的移除即可取消分配访问权限级别。
- 在右侧,将已分配的访问权限级别从监控更改为活跃状态,或者从活跃更改为监控状态。
- 如要分配其他访问权限级别,请在左侧找到所需级别,然后点击选择。
- 点击继续以配置或更改政策设置(请参阅上文为应用分配访问权限级别中的第 8-13 步)。
查看针对访问权限级别的记录事件
使用“查看报告”选项,跟踪分配的访问权限级别是否能够正常控制用户对应用的访问权限。如果访问权限级别设置为监控模式或活跃模式,则系统会生成记录在情境感知访问权限日志中的事件。
- 点击分配访问权限级别。
- 选择要查看哪个组织部门或群组的结果。
在应用列表中,访问权限级别列会显示有多少个活跃访问权限级别和监控访问权限级别应用于各个应用:
-
将鼠标悬停在某个应用上,然后点击右侧的查看报告。
-
在右侧边栏中,点击安全调查工具链接,自动搜索所选应用的情境感知访问权限日志事件。
搜索结果包括以下信息:
- 访问遭拒(监控模式)事件会显示因强制执行此访问权限级别而被屏蔽的用户。
- 执行者列会显示被屏蔽的用户。
- 已应用、已满足(符合访问条件)和不满足(不符合访问条件)的访问权限级别
有关详情,请参阅情境感知访问权限日志事件。