Apps kontextsensitive Zugriffsebenen zuweisen

Nachdem Sie Zugriffsebenen erstellt haben, können Sie sie Apps zuweisen. Der Zugriff lässt sich nach Nutzeridentität, Sicherheitsstatus des Geräts, IP-Adresse und geografischem Standort steuern. Außerdem können Sie den Zugriff für Apps steuern, die über APIs (Application Programming Interfaces) auf Google Workspace-Daten zugreifen.

Wenn Sie Zugriffsebenen zuweisen…

• Wenn Sie eine Zugriffsebene auswählen, wird sie standardmäßig auf den Modus Monitoring festgelegt. So wird sichergestellt, dass Sie beim Aktivieren einer Zugriffsebene nicht versehentlich Nutzer blockieren.
• Nutzer erhalten Zugriff darauf, wenn sie die festgelegten Bedingungen in einer der ausgewählten Zugriffsebenen erfüllen. Das ist eine logische OR-Verknüpfung der Zugriffsebenen in der Liste. Wenn Sie möchten, dass Nutzer die Bedingungen in mehreren Zugriffsebenen erfüllen, also eine logische AND-Verknüpfung der Zugriffsebenen, erstellen Sie eine Zugriffsebene mit mehreren Ebenen. Wenn Sie mehr als zehn Zugriffsebenen für eine App zuweisen möchten, können Sie dazu verschachtelte Zugriffsebenen verwenden.
• Wenn Sie das integrierte Gmail verwenden, können Sie den Zugriff auf Gmail, Google Chat und Google Meet auf einmal gewähren oder verweigern. Wenn Google Chat und Google Meet als separate Apps implementiert werden und nicht als Teil des integrierten Gmail, müssen Sie den Zugriff auf diese Apps separat gewähren oder verweigern.

Einer App kontextsensitive Zugriffsebenen zuweisen

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zu „Menü“  SicherheitZugriffs- und DatenkontrolleKontextsensitiver Zugriff.
   
3. Klicken Sie auf Zugriffsebenen zuweisen. Eine Liste mit Apps wird angezeigt.
4. Wenn die Einstellung für alle Nutzer gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit oder eine Konfigurationsgruppe an.
   
5. Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Zuweisen.
   Wenn Sie mehreren Apps gleichzeitig dieselben Zugriffsebenen zuweisen möchten, klicken Sie die Kästchen neben den Apps an und klicken Sie dann oben auf Zuweisen.
   
6. Klicken Sie links auf eine oder mehrere Zugriffsebenen (bis zu 10), um sie auszuwählen. Die ausgewählten Zugriffsebenen werden rechts angezeigt und standardmäßig auf den Modus Monitoring eingestellt.
   • Wenn Sie testen möchten, wie sich die Auswahl der Zugriffsebene auf Nutzer auswirkt, ohne den Zugriff tatsächlich zu blockieren, belassen Sie die Einstellung im Modus Monitoring.
   • Wenn Sie eine Einstellung für die Zugriffsebene getestet haben und sie jetzt anwenden möchten, ändern Sie die Einstellung in Aktiv.
7. Klicken Sie auf Weiter.
8. Empfohlen: Wählen Sie das Häkchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen aus, um die Zugriffsebenen auf Nutzer von systemeigenen Desktop-, Android- und iOS-Apps und Web-Apps anzuwenden. Weitere Informationen finden Sie unten im Abschnitt App-Verhalten basierend auf den Einstellungen der Zugriffsebene.
9. Optional: Klicken Sie auf das Kästchen Andere Apps ohne entsprechende Zugriffsebene blockieren, sodass sie nicht über APIs auf die ausgewählten Apps zugreifen können, um zu verhindern, dass Apps versuchen, über preisgegebene öffentliche APIs auf Google Workspace-Daten zuzugreifen.
10. Optional: So verhindern Sie, dass vertrauenswürdige Apps über preisgegebene APIs blockiert werden:
    Für die Konfiguration nach Organisationseinheit und nicht für Konfigurationsgruppe verfügbar, obwohl Sie in der Admin-Konsole eine Gruppe auswählen können. Weitere Informationen finden Sie unter Anwendungsfälle: Verhindern, dass vertrauenswürdige Drittanbieter-Apps blockiert werden. 
    1. Klicken Sie auf das Kästchen Apps von der Zulassungsliste ausgenommen, damit sie unabhängig von Zugriffsebenen immer für bestimmte Google-Dienste auf APIs zugreifen können. 
    2. Wenn Sie keine Liste der Apps oder Apps sehen, für die Sie eine Ausnahme festlegen möchten, klicken Sie auf App-Zugriffssteuerung aufrufen und führen Sie die Schritte aus, um die App als vertrauenswürdig zu kennzeichnen.
       Alle Drittanbieter-Apps, die Sie auf der Seite „App-Zugriffssteuerung“ als Vertrauenswürdig markieren, werden in der Tabelle zugelassener Apps aufgeführt. Einige sind möglicherweise vorab ausgewählt, wenn Sie sie als vertrauenswürdig markiert und von der API-Erzwingung ausgenommen haben.
    3. Google-Apps wie Drive, Kalender oder Apps Script lassen sich nicht von der API-Blockierung ausnehmen. Diese Apps werden in der Liste ausgegraut dargestellt.
    4. Wählen Sie bei Bedarf die Apps aus, die von der API-Erzwingung ausgenommen werden sollen, und klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Sehen Sie sich den ausgewählten Bereich, die ausgewählten Apps und Zugriffsebenen sowie den Zugriffsebenenmodus („Monitoring“ oder „Aktiv“) an.
13. Klicken Sie auf Zuweisen.

Sie werden zur Seite mit der App-Liste zurückgeleitet. In der Spalte „Zugriffsebenen“ sehen Sie die Anzahl der Zugriffsebenen, die auf jede App im Modus „Monitoring“ oder „Aktiv“ angewendet werden.

Zugewiesene Zugriffsebenen prüfen oder ändern

Diese Einstellung wird verwendet, um Änderungen lokal anzuwenden. Übernommene Zuweisungen werden nicht angezeigt.

1. Bewegen Sie den Mauszeiger auf die App und klicken Sie auf Zuweisen.

   Die ausgewählten Zugriffsebenen werden rechts angezeigt.

2. Sie haben folgende Möglichkeiten:
   • Klicken Sie links auf Entfernen, um die Zuweisung einer Zugriffsebene aufzuheben.
   • Ändern Sie rechts eine zugewiesene Zugriffsebene von Monitoring in Aktiv oder umgekehrt.
   • Wenn Sie weitere Zugriffsebenen zuweisen möchten, suchen Sie die gewünschte Ebene links und klicken Sie auf Auswählen.
3. Klicken Sie auf Weiter, um die Richtlinieneinstellungen zu konfigurieren oder zu ändern (siehe Schritte 8–13 in Einer App Zugriffsebenen zuweisen).

Erfasste Ereignisse für eine Zugriffsebene ansehen

Mit der Option „Bericht ansehen“ können Sie prüfen, ob die zugewiesenen Zugriffsebenen richtig funktionieren, um den Nutzerzugriff auf Apps zu steuern. Zugriffsebenen im Modus „Monitoring“ oder „Aktiv“ generieren Ereignisse, die im Log für den kontextsensitiven Zugriff protokolliert werden.

1. Klicken Sie auf Zugriffsebenen zuweisen.
2. Wählen Sie die Organisationseinheit oder Gruppe aus, deren Ergebnisse Sie sich ansehen möchten.

   In der App-Liste sehen Sie in der Spalte Zugriffsebenen, wie viele Zugriffsebenen im Modus „Monitoring“ oder „Aktiv“ auf jede App angewendet werden:

   

3. Bewegen Sie den Mauszeiger auf eine App und klicken Sie rechts auf Bericht ansehen.

4. Klicken Sie in der rechten Seitenleiste auf Link zum Sicherheits-Prüftool, um automatisch eine Suche nach Protokollereignissen für den kontextsensitiven Zugriff für die ausgewählte Anwendung auszuführen.

Die Suchergebnisse enthalten die folgenden Informationen:

• Die Ereignisse Zugriff verweigert (Monitormodus) zeigen Nutzer, die bei Erzwingen dieser Zugriffsebene blockiert worden wären.
• In der Spalte Akteur wird der blockierte Nutzer angezeigt.
• Zugriffsebenen angewendet, erfüllt (Zugriffsbedingungen erfüllt) und nicht erfüllt (Zugriffsbedingungen nicht erfüllt)

Weitere Informationen finden Sie unter Protokollereignisse für den kontextsensitiven Zugriff.