Po utworzeniu poziomów dostępu możesz przypisać je do aplikacji. Możesz kontrolować dostęp na podstawie tożsamości użytkownika, stanu zabezpieczeń urządzenia, adresu IP i lokalizacji geograficznej. Możesz też kontrolować aplikacje, które próbują uzyskać dostęp do danych Google Workspace przy użyciu interfejsów API.
Gdy przypisujesz poziomy dostępu…
- Po wybraniu poziomu dostępu zostanie dla niego automatycznie ustawiony tryb monitorowania. Dzięki temu po włączeniu poziomu dostępu nie zablokujesz przypadkowo użytkowników.
- Użytkownicy otrzymują dostęp do aplikacji, gdy spełniają warunki określone w tylko jednym z wybranych poziomów dostępu (jest sprawdzana suma logiczna „LUB” poziomów dostępu na liście). Jeśli chcesz, by użytkownicy musieli spełnić warunki wielu poziomów dostępu (logiczne „I” poziomów dostępu), utwórz poziom dostępu zawierający wiele poziomów dostępu. Jeśli chcesz przypisać więcej niż 10 poziomów dostępu do aplikacji, możesz to zrobić za pomocą zagnieżdżonych poziomów dostępu.
- W przypadku aplikacji mobilnych, jeśli używasz zintegrowanego Gmaila, możesz przyznawać i odbierać dostęp do Gmaila, Google Chat oraz Google Meet jednocześnie. Jeśli usługi Google Chat i Google Meet są zaimplementowane jako osobne aplikacje (nie są częścią zintegrowanego Gmaila), musisz oddzielnie przyznać lub odrzucić dostęp do tych aplikacji.
Przypisywanie poziomów dostępu zależnego od kontekstu do aplikacji
Zanim zaczniesz: aby zastosować ustawienie do określonych użytkowników, dodaj ich konta do jednostki organizacyjnej (jeśli ustawienie ma dotyczyć działu) lub grupy konfiguracji (jeśli wprowadzasz ustawienie dla użytkowników w wielu działach lub w poszczególnych działach).
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz menu
Bezpieczeństwo
Dostęp do danych i kontrola nad nimi
- Kliknij Przypisz poziomy dostępu. Zobaczysz listę aplikacji.
- Aby zastosować to ustawienie do wszystkich użytkowników, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W innym przypadku wybierz podrzędną jednostkę organizacyjną lub grupę konfiguracji.
- Najedź kursorem na aplikację i kliknij Przypisz.
Aby przypisać te same poziomy dostępu do kilku aplikacji jednocześnie, zaznacz pola obok wybranych aplikacji i u góry kliknij Przypisz.
- Po lewej stronie kliknij od 1 do 10 poziomów dostępu, które chcesz wybrać. Wybrane poziomy dostępu wyświetlą się po prawej stronie i zostanie dla nich domyślnie ustawiony tryb monitorowania.
- Aby bez blokowania dostępu sprawdzić, jak wybór jego poziomu wpłynie na użytkowników, pozostaw ustawiony tryb monitorowania.
- Jeśli po przetestowaniu ustawienia poziomu dostępu chcesz zacząć je stosować, zmień je na Aktywny.
- Kliknij Dalej.
- (Zalecane) Zaznacz pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu, aby poziomy dostępu były stosowane do użytkowników natywnych aplikacji komputerowych, aplikacji na Androida i iOS oraz aplikacji internetowych. Zobacz poniżej sekcję Działanie aplikacji na podstawie ustawień poziomu dostępu.
- (Opcjonalnie) Zaznacz pole Blokuj innym aplikacjom dostęp do wybranych aplikacji przez interfejsy API, jeśli poziomy dostępu nie są zgodne, aby uniemożliwić aplikacjom uzyskiwanie dostępu do danych Google Workspace przez ujawnione publiczne interfejsy API.
- (Opcjonalnie) Aby umożliwić zaufanym aplikacjom uzyskiwanie dostępu przez ujawnione interfejsy API:
Dostępne do konfiguracji na poziomie jednostki organizacyjnej, a nie grupy konfiguracji, mimo że można wybrać grupę w konsoli administracyjnej. Więcej informacji znajdziesz w artykule na temat usuwania zaufanych aplikacji innych firm z listy blokowanych aplikacji.- Zaznacz pole Blokuj innym aplikacjom dostęp do wybranych aplikacji przez interfejsy API, jeśli poziomy dostępu nie są zgodne.
- Jeśli nie widzisz listy aplikacji lub aplikacji, którą chcesz usunąć z listy, kliknij Otwórz kontrolę dostępu do aplikacji i wykonaj odpowiednie czynności, aby oznaczyć aplikację jako zaufaną.
Wszystkie aplikacje innych firm oznaczone jako zaufane na stronie kontroli dostępu do aplikacji są wymienione w tabeli dozwolonych aplikacji. Niektóre z nich mogą być już wybrane, jeśli zostały przez Ciebie oznaczone jako zaufane i wykluczone z egzekwowania zasad interfejsu API. - Nie możesz wykluczyć aplikacji Google (takich jak Dysk, Kalendarz czy Apps Script) przez blokowanie interfejsu API. Te aplikacje będą na liście wyszarzone.
- W razie potrzeby wybierz aplikacje, które nie mają być objęte ograniczeniami dotyczącymi interfejsu API, i kliknij Dalej.
- Kliknij Dalej.
- Sprawdź wybrany zakres, aplikacje i poziomy dostępu oraz tryb poziomu dostępu (monitorowania lub aktywny).
- Kliknij Przypisz.
Wrócisz na stronę z listą aplikacji. Kolumna Poziomy dostępu zawiera liczbę poziomów dostępu zastosowanych do poszczególnych aplikacji zarówno w trybie monitorowania, jak i w trybie aktywnym.
Działanie aplikacji na podstawie ustawień poziomu dostępuTabela poniżej pokazuje efekty zaznaczenia pola wyboru Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu oraz wdrożenia weryfikacji punktów końcowych. Wiersze z tekstem pogrubionym i podkreślonym zawierają zalecane ustawienia.
Najważniejsze terminy użyte w tej tabeli:
- Poziom dostępu zastosowany – dostęp przyznawany jest na podstawie poziomów dostępu ustawionych w ramach konfiguracji dostępu zależnego od kontekstu.
- Dostęp przyznany – nie skonfigurowano dostępu zależnego od kontekstu i każdy rodzaj dostępu jest dozwolony.
- Dostęp zablokowany – dostęp jest zablokowany, ponieważ nie skonfigurowano dostępu zależnego od kontekstu lub nie wdrożono weryfikacji punktów końcowych.
|
Poziom dostępu |
Dostęp zależny od kontekstu włączony |
Dostęp przyznany/zablokowany (aplikacje natywne i internetowe) |
||||
|
Komórka |
Komputer |
|||||
|
Aplikacje natywne (na urządzenia mobilne) |
W przeglądarce mobilnej |
Witryna na komputery |
Aplikacje natywne (na komputer) |
Czy wdrożono weryfikację punktów końcowych? |
||
|
Poziom dostępu tylko na podstawie adresu IP / danych geograficznych |
Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu jest zaznaczone |
Poziom dostępu zastosowany |
Poziom dostępu zastosowany |
Niewymagane |
||
|
Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu nie jest zaznaczone |
Dostęp przyznany |
Poziom dostępu zastosowany |
Poziom dostępu zastosowany |
Dostęp przyznany |
Niewymagane |
|
|
Poziom dostępu na podstawie atrybutów urządzenia |
Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu jest zaznaczone |
Poziom dostępu zastosowany |
Poziom dostępu zastosowany |
Tak |
||
|
Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu jest zaznaczone |
Poziom dostępu zastosowany |
Dostęp zablokowany |
Nie |
|||
| Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu nie jest zaznaczone |
Dostęp przyznany |
Poziom dostępu zastosowany |
Poziom dostępu zastosowany |
Dostęp przyznany |
Tak |
|
| Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu nie jest zaznaczone | Dostęp przyznany | Poziom dostępu zastosowany | Dostęp zablokowany | Dostęp przyznany | Nie | |
Przeglądanie lub modyfikowanie przypisanych poziomów dostępu
To ustawienie służy do stosowania zmian lokalnie i nie wyświetla dziedziczonych przypisań.
- Najedź kursorem na aplikację i kliknij Przypisz.
Wybrane poziomy dostępu są widoczne po prawej stronie.
- Wykonaj jedną z tych czynności:
- Aby cofnąć przypisanie poziomu dostępu, po lewej stronie kliknij Usuń.
- Po prawej stronie zmień przypisany poziom dostępu z Monitorowanie na Aktywny lub odwrotnie.
- Aby przypisać dodatkowe poziomy dostępu, znajdź odpowiedni poziom po lewej stronie i kliknij Wybierz.
- Kliknij Dalej, aby skonfigurować lub zmienić ustawienia zasad (zobacz kroki 8–13 w sekcji Przypisywanie poziomów dostępu do aplikacji powyżej).
Wyświetlanie zarejestrowanych zdarzeń dotyczących poziomu dostępu
Korzystając z opcji Wyświetl raport, możesz sprawdzić, czy przypisane poziomy dostępu działają prawidłowo, i kontrolować dostęp użytkowników do aplikacji. Poziomy dostępu ustawione na tryb monitorowania lub tryb aktywny generują zdarzenia rejestrowane w dzienniku dostępu zależnego od kontekstu.
- Kliknij Przypisz poziomy dostępu.
- Wybierz jednostkę organizacyjną lub grupę, dla której chcesz sprawdzić rezultaty.
Na liście aplikacji kolumna Poziomy dostępu zawiera liczbę aktywnych i monitorowanych poziomów dostępu zastosowanych do poszczególnych aplikacji:
-
Najedź kursorem na aplikację i kliknij Wyświetl raport po prawej stronie.
-
Na pasku bocznym po prawej stronie kliknij Link do narzędzia do analizy zagrożeń, aby automatycznie wyszukać zdarzenia z dziennika dostępu zależnego od kontekstu dotyczące wybranej aplikacji.
Wyniki wyszukiwania zawierają te informacje:
- Zdarzenia odmowy dostępu (tryb monitorowania) pokazują użytkowników, którzy zostaliby zablokowani, gdyby dany poziom dostępu był wymuszony.
- Kolumna Użytkownik, który wykonał czynność zawiera informacje o zablokowanym użytkowniku.
- Zastosowane poziomy dostępu, spełnione (spełnione warunki dostępu) i niespełnione (niespełnione warunki dostępu).
Więcej informacji znajdziesz w artykule Zdarzenia z dziennika dostępu zależnego od kontekstu.
