建立存取層級後,即可將層級指派給應用程式。您可以根據使用者身分、裝置安全性狀態、IP 位址和地理位置來控管存取權,也可以透過應用程式設計介面 (API),控管嘗試存取 Google Workspace 資料的應用程式。
指派存取層級時…
- 選取存取層級時,系統預設會將存取層級設為「監控」模式。以免在啟用存取層級時不小心封鎖使用者。
- 只要使用者符合您所選取的「其中一項」存取層級條件,系統就會授予他們應用程式存取權 (清單中的存取層級使用「或」邏輯運算子)。如果您希望使用者一次符合多項存取層級條件 (使用「且」邏輯運算子的存取層級),請建立包含多個存取層級的存取層級。如要指派超過 10 個存取層級給應用程式,可以使用巢狀存取層級。
- 如果是行動應用程式,則可透過 Gmail 整合式介面,一次授予或拒絕 Gmail、Google Chat 和 Google Meet 的存取權。如果使用的是 Google Chat 和 Google Meet 的獨立應用程式 (而非 Gmail 整合式介面中的服務),則必須分別授予或拒絕這些應用程式的存取權。
為應用程式指派情境感知存取權層級
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
- 按一下「指派存取層級」。系統隨即會顯示應用程式清單。
- 如要為所有使用者套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位或配置群組。
- 將滑鼠游標懸停在應用程式上,然後按一下「指派」。
如要一次將相同存取層級指派給多個應用程式,請勾選應用程式旁邊的方塊,然後按一下頂端的「指派」。
- 點選左側的一或多個存取層級 (最多 10 個)。選取的存取層級會顯示在右側,並預設為「監控」模式。
- 如要測試選取存取層級對使用者有何影響,而不要實際封鎖存取權,請將設定維持在「監控」模式。
- 如果您已測試過存取層級設定,且準備開始套用,請將設定變更為「啟用」。
- 按一下 [繼續]。
- (建議做法) 勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊,即可為原生桌面、Android 及 iOS 應用程式,還有網頁應用程式的使用者套用存取層級。 請參閱下方的「以存取層級設定為依據的應用程式行為」一節。
- (選用做法) 勾選「如果存取層級不符合,禁止其他應用程式透過 API 存取所選應用程式」方塊,即可禁止應用程式嘗試透過公用 API 存取 Google Workspace 資料。
- (選用) 如要讓可信任的應用程式不會遭到公開的 API 封鎖:
您可以使用機構單位設定,而非透過配置群組進行設定 (即使您可以在管理控制台中選取群組)。詳情請參閱「用途:讓信任的第三方應用程式不會遭到封鎖」。- 勾選「豁免已加入許可清單的應用程式,讓它們無論存取層級為何,都可以隨時存取特定 Google 服務的 API」方塊。
- 如果沒有看到您要的應用程式清單或要豁免的應用程式,請按一下「前往應用程式存取權控制項」,並完成相關步驟以信任應用程式。
任何您在「應用程式存取權控制項」頁面上標示為「可信任」的第三方應用程式,會列在已加入許可清單的應用程式表格中。如果您將部分應用程式標示為可信任且豁免 API 強制執行,系統可能已預先選取這些應用程式。 - 您無法讓 Google 應用程式 (例如雲端硬碟、日曆或 Apps Script) 不受 API 封鎖限制。這些應用程式在清單中會顯示為灰色。
- 如有需要,請選取要豁免 API 強制執行的應用程式,然後按一下「繼續」。
- 按一下 [繼續]。
- 檢查所選的範圍、應用程式、存取層級,以及存取層級模式 (監控或啟用)。
- 按一下「指派」。
您會回到應用程式清單頁面。「存取層級」欄會顯示在監控模式和啟用模式中,套用至每個應用程式的存取層級數量。
以存取層級設定為依據的應用程式行為下表針對是否勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊,以及是否部署端點驗證,列出了對應行為的匯總資訊。文字為粗體且帶底線的列為建議採用的設定。
該表的重要用語:
- 套用存取層級:系統會依據您在情境感知存取權設定中所設的存取層級,來授予存取權。
- 允許存取:未採用情境感知存取權,但允許所有存取行為。
- 封鎖存取權:由於尚未設定情境感知存取權,或未啟用端點驗證,系統會封鎖存取權。
|
存取層級 |
已啟用 CAA |
允許/封鎖 (原生及網頁應用程式) |
||||
|
行動裝置 |
電腦 |
|||||
|
行動版原生應用程式 |
行動版網頁 |
電腦版網站 |
電腦版原生應用程式 |
是否已部署端點驗證? |
||
|
僅包含 IP/地理區域屬性的存取層級 |
勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊。 |
已套用存取層級 |
已套用存取層級 |
非必要 |
||
|
未勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊 |
允許存取 |
套用存取層級 |
套用存取層級 |
允許存取 |
非必要 |
|
|
包含裝置屬性的存取層級 |
勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊。 |
已套用存取層級 |
已套用存取層級 |
是 |
||
|
勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊。 |
已套用存取層級 |
封鎖存取權 |
否 |
|||
| 未勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊 |
允許存取 |
套用存取層級 |
套用存取層級 |
允許存取 |
是 |
|
| 未勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊 | 允許存取 | 套用存取層級 | 封鎖存取權 | 允許存取 | 否 | |
查看或修改已指派的存取層級
這項設定可用於在本機套用變更,而不顯示繼承的指派層級。
- 將滑鼠游標懸停在應用程式上,然後按一下「指派」。
所選存取層級會顯示在右側。
- 執行下列任一操作:
- 按一下左側的「移除」,取消指派存取層級。
- 在右側將指派的存取層級從「監控」變更為「啟用」狀態,或執行相反操作。
- 如要指派其他存取層級,請在左側找出所需層級,然後按一下「選取」。
- 按一下「繼續」即可設定或變更政策設定 (請參閱上方「將存取層級指派給應用程式」一節的步驟 8 到 13)。
查看存取層級的記錄事件
使用「查看報表」選項,即可追蹤指派的存取層級是否正常運作,控管使用者對應用程式的存取權。如果將存取層級設為監控或啟用模式,系統會產生事件,記錄到情境感知存取權記錄中。
- 按一下「指派存取層級」。
- 選取要查看結果的機構單位或群組。
在應用程式清單中,「存取層級」欄會顯示每個應用程式套用的「啟用」及「監控」存取層級數量:
-
將滑鼠游標懸停在應用程式上,然後按一下右側的「查看報表」。
-
在右側欄中,按一下「安全調查工具的連結」,自動搜尋所選應用程式的情境感知存取權記錄事件。
搜尋結果包含以下資訊:
- 「存取遭拒 (監控模式)」事件會顯示系統在強制執行這個存取層級時,遭到封鎖的使用者。
- 「執行者」欄會顯示遭封鎖的使用者。
- 已套用、符合要求 (符合存取條件) 和不符合要求 (不符合存取條件)
詳情請參閱「情境感知存取權記錄事件」。
