Dopo aver creato i livelli di accesso, puoi assegnarli in qualsiasi momento alle app. Puoi controllare l'accesso in base a identità dell'utente, stato della sicurezza del dispositivo, indirizzo IP e posizione geografica. Puoi anche controllare l'accesso per le app che tentano di accedere ai dati di Google Workspace tramite API (Application Programming Interface).
Quando assegni i livelli di accesso…
- Al momento della selezione, il livello di accesso viene impostato sulla modalità Monitoraggio per impostazione predefinita, evitandoti di bloccare inavvertitamente gli utenti quando attivi un livello di accesso.
- L'accesso all'app viene concesso agli utenti quando soddisfano le condizioni specificate in uno solo dei livelli di accesso selezionati (ai livelli di accesso nell'elenco viene applicato l'operatore logico "OR"). Se vuoi che gli utenti soddisfino le condizioni in più di un livello di accesso (ai livelli di accesso viene applicato l'operatore logico AND), crea un livello di accesso che ne contenga altri. Se vuoi assegnare più di 10 livelli di accesso per un'app, puoi usare i livelli di accesso nidificati.
- Per le app mobile, se utilizzi la versione integrata di Gmail, puoi concedere o negare l'accesso a Gmail, Google Chat e Google Meet contemporaneamente. Se Google Chat e Google Meet sono implementate come app separate (che non fanno parte della versione integrata di Gmail), devi concedere o negare l'accesso a queste app separatamente.
Assegnare i livelli di accesso sensibile al contesto a un'app
Prima di iniziare: per applicare l'impostazione a determinati utenti, inserisci i loro account in un'unità organizzativa (per applicare l'impostazione in base al reparto) oppure inseriscili in un gruppo di configurazione (per applicare l'impostazione a utenti di reparti diversi).
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu
Sicurezza
Accesso e controllo dei dati
- Fai clic su Assegna livelli di accesso. Viene visualizzato un elenco di app.
- Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. In alternativa, puoi selezionare un'unità organizzativa secondaria o un gruppo di configurazione.
- Passa il mouse sopra un'app e fai clic su Assegna.
Per assegnare gli stessi livelli di accesso a più app contemporaneamente, seleziona le caselle accanto alle app e fai clic su Assegna in alto.
- A sinistra, fai clic su un massimo di 10 livelli di accesso, per selezionarli. I livelli di accesso selezionati vengono visualizzati sulla destra e vengono impostati sulla modalità Monitoraggio per impostazione predefinita.
- Per verificare gli effetti sugli utenti del livello di accesso selezionato, senza bloccare effettivamente l'accesso, mantieni impostata la modalità Monitoraggio.
- Se hai testato un'impostazione del livello di accesso e vuoi iniziare ad applicarla, modifica l'impostazione in Attiva.
- Fai clic su Continua.
- (Consigliato) Seleziona la casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso per applicare i livelli di accesso agli utenti di app e app web e desktop native per Android e iOS. Vedi Comportamento delle app in base alle impostazioni del livello di accesso, più avanti in questo articolo.
- (Facoltativo) Seleziona la casella Impedisci ad altre app di accedere alle app selezionate tramite le API, se non vengono soddisfatti i livelli di accesso per impedire alle app di tentare di accedere ai dati di Google Workspace tramite il blocco. API pubbliche.
- (Facoltativo) Per impedire che le app attendibili vengano bloccate tramite le API esposte:
Disponibile per la configurazione in base all'unità organizzativa, non al gruppo di configurazione, anche se puoi selezionare un gruppo nella console di amministrazione. Per maggiori dettagli, vedi Casi d'uso: escludere il blocco delle app di terze parti attendibili.- Seleziona la casella Escludi app incluse nella lista consentita in modo che possano sempre accedere alle API per servizi Google specifici, indipendentemente dai livelli di accesso.
- Se non vedi l'elenco delle app o l'app che vuoi escludere, fai clic su Vai al controllo accesso app e completa la procedura per impostare l'app come attendibile.
Le app di terze parti che contrassegni come Attendibile nella pagina Controllo accesso app sono elencate nella tabella delle app incluse nella lista consentita. Alcune potrebbero essere già preselezionate se le hai contrassegnati come attendibili ed esenti dall'applicazione delle API. - Non puoi escludere app Google (ad esempio Drive, Calendar o Apps Script) dal blocco delle API. Queste app non sono selezionabili nell'elenco.
- Se necessario, seleziona le app che vuoi escludere dall'applicazione delle API e fai clic su Continua.
- Fai clic su Continua.
- Esamina l'ambito selezionato, le app e i livelli di accesso selezionati e la modalità del livello di accesso (monitoraggio o attiva).
- Fai clic su Assegna.
Tornerai alla pagina con l'elenco delle app. La colonna Livelli di accesso mostra il numero di livelli di accesso applicati a ogni app sia in modalità di monitoraggio che in modalità attiva.
Comportamento delle app in base alle impostazioni del livello di accessoNella tabella seguente è riportato in sintesi il comportamento derivante dalla selezione, o dalla mancata selezione, della casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso e dalla scelta di implementare o meno la verifica degli endpoint. Le impostazioni consigliate sono indicate nelle righe con testo in grassetto e sottolineato.
Parole chiave per questa tabella:
- Livello di accesso applicato: l'accesso è consentito sulla base dei livelli che hai impostato nella configurazione dell'accesso sensibile al contesto.
- Accesso consentito: l'accesso sensibile al contesto non è stato applicato e sono consentiti tutti gli accessi.
- Accesso bloccato: l'accesso sensibile al contesto non è stato configurato o la verifica degli endpoint non è attiva.
|
Livello di accesso |
Accesso sensibile al contesto (CAA) attivato |
Consenti/blocca (app native e web) |
||||
|
Dispositivo mobile |
Computer |
|||||
|
Nativa mobile |
Web mobile |
Web desktop |
Nativa desktop |
Verifica degli endpoint implementata? |
||
|
Livello di accesso con i soli attributi IP/Geo |
Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso selezionata |
Livello di accesso applicato |
Livello di accesso applicato |
Non obbligatoria |
||
|
Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso non selezionata |
Accesso consentito |
Livello di accesso applicato |
Livello di accesso applicato |
Accesso consentito |
Non obbligatoria |
|
|
Livello di accesso con attributi dispositivo |
Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso selezionata |
Livello di accesso applicato |
Livello di accesso applicato |
Sì |
||
|
Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso selezionata |
Livello di accesso applicato |
Accesso bloccato |
No |
|||
| Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso non selezionata |
Accesso consentito |
Livello di accesso applicato |
Livello di accesso applicato |
Accesso consentito |
Sì |
|
| Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso non selezionata | Accesso consentito | Livello di accesso applicato | Accesso bloccato | Accesso consentito | No | |
Esaminare o modificare i livelli di accesso assegnati
Questa impostazione consente di applicare le modifiche localmente, ma non mostra le assegnazioni ereditate.
- Passa il mouse sopra l'app e fai clic su Assegna.
I livelli di accesso selezionati vengono visualizzati a destra.
- Esegui una delle seguenti operazioni:
- Per annullare l'assegnazione di un livello di accesso, fai clic su Rimuovi, a sinistra.
- Sulla destra, puoi modificare un livello di accesso assegnato dalla modalità Monitoraggio allo stato Attivo e viceversa.
- Per assegnare livelli di accesso aggiuntivi, individua il livello desiderato sulla sinistra e fai clic su Seleziona.
- Fai clic su Continua per configurare o modificare le impostazioni dei criteri (vedi i Passaggi da 8 a 13 nella precedente sezione Assegnare livelli di accesso a un'app).
Visualizzare gli eventi registrati per un livello di accesso
L'opzione Visualizza rapporto consente di monitorare i livelli di accesso assegnati, per verificare se funzionano correttamente e controllare l'accesso alle app da parte degli utenti. I livelli di accesso impostati sulla modalità di monitoraggio o sulla modalità attiva generano eventi che vengono registrati nel log di accesso sensibile al contesto.
- Fai clic su Assegna livelli di accesso.
- Seleziona l'unità organizzativa o il gruppo per cui desideri esaminare i risultati.
Nell'elenco delle app, la colonna Livelli di accesso mostra il numero di livelli di accesso con modalità attiva e di monitoraggio applicati a ogni app:
-
Passa il mouse sopra un'app e fai clic su Visualizza rapporto, sulla destra.
-
Nella barra laterale a destra, fai clic su Link allo strumento di indagine sulla sicurezza per eseguire automaticamente una ricerca di eventi del log di log di accesso sensibile al contesto per l'applicazione selezionata.
I risultati della ricerca includono le seguenti informazioni:
- Gli eventi Accesso negato (modalità di monitoraggio) mostrano gli utenti che sarebbero stati bloccati se questo livello di accesso fosse applicato forzatamente.
- La colonna Attore, che mostra l'utente bloccato.
- I livelli di accesso applicati, rispettati (condizioni di accesso soddisfatte) e non rispettati (condizioni di accesso non soddisfatte)
Per ulteriori informazioni, vedi Eventi dei log di accesso sensibile al contesto.
