Über kontextsensitive Zugriffsebenen können Sie Bedingungen und Werte kombinieren, die einen Nutzer- oder Gerätekontext definieren. Damit legen Sie mithilfe dieser Zugriffsebenen fest, in welchem Kontext Nutzer auf Apps zugreifen dürfen.
Sie können beispielsweise eine Zugriffsebene für Gmail erstellen, die erfordert, dass Nutzer ein verschlüsseltes Gerät verwenden und eine IP-Adresse haben, die aus einem bestimmten Adressbereich stammt.
Hinweis: Bevor Sie eine Zugriffsebene erstellen, sollten Sie die Endpunktprüfung bereitstellen und den kontextsensitiven Zugriff aktivieren. Eine Anleitung hierzu finden Sie im Hilfeartikel Kontextsensitiven Zugriff implementieren unter „Endpunktprüfung einrichten und kontextsensitiven Zugriff aktivieren“.
Zugriffsebene erstellen
Zugriffsebenen bestehen aus mindestens einer von Ihnen definierten Bedingung. Nutzer müssen die Bedingungen erfüllen, damit sie auf Apps zugreifen können. In diesen Bedingungen können verschiedene Attribute enthalten sein, z. B. „Geräterichtlinie“, „IP-Subnetz“ oder eine andere Zugriffsebene.
Sie können Zugriffsebenen in zwei verschiedenen Modi erstellen – im einfachen oder erweiterten Modus. Im einfachen Modus haben Sie Zugriff auf eine Liste vordefinierter Attribute, die Sie auswählen können. Wenn Sie Attribute verwenden möchten, die auf der Benutzeroberfläche nicht angezeigt werden, erstellen Sie stattdessen eine benutzerdefinierte Zugriffsebene im erweiterten Modus.
Hinweis: Wenn Sie eine Zugriffsebene ändern, werden die Änderungen sofort wirksam. Änderungen an den Zugriffsebenen wirken sich auf Ihre Nutzer aus, sobald Sie sie umsetzen. Sie sollten daher vor dem Speichern überprüfen, dass die Änderungen den gewünschten Effekt haben.
Abschnitt öffnen | Alle minimieren und nach oben
- Klicken Sie auf Zugriffsebenen.
Eine Liste der definierten Zugriffsebenen wird angezeigt. Zugriffsebenen werden übergreifend für Google Workspace und Google Cloud genutzt. Deswegen sehen Sie in der Liste möglicherweise auch Zugriffsebenen, die Sie nicht erstellt haben. Der Übersicht halber sollten Zugriffsebenen so benannt werden, dass sie sich den Teams zuordnen lassen, die sie erstellt haben. - Wählen Sie rechts oben Zugriffsebene erstellen aus.
Standardmäßig ist der einfache Modus ausgewählt. Definieren Sie die Zugriffsebene, indem Sie mindestens eine Bedingung angeben. Legen Sie anschließend mindestens ein Attribut für jede Bedingung fest.Hinweis: Wenn Sie ausschließlich Workspace nutzen, sollten Sie kontextsensitive Zugriffsebenen nicht über die Oberfläche der Google Cloud Platform (GCP) hinzufügen oder ändern. Verwenden Sie stattdessen die Oberfläche für den kontextsensitiven Zugriff. Bei einer anderen Methode erhalten Sie unter Umständen diese Fehlermeldung: In Google Workspace werden nicht unterstützte Attribute verwendet. Als Folge hiervon können Nutzer blockiert werden.
- Geben Sie einen Namen an und fügen Sie bei Bedarf eine Beschreibung für die Zugriffsebene hinzu.
- Wählen Sie für jede Bedingung der Zugriffsebene eine der folgenden Einstellungen aus:
- Attribute erfüllen: Nutzer müssen alle Attribute in der Bedingung erfüllen.
- Attribute nicht erfüllen: Nutzer erfüllen keines der Attribute in der Bedingung. Über diese Option legen Sie das Gegenteil der Bedingung fest. Es wird häufig für das Attribut „IP-Subnetz“ verwendet. Wenn Sie beispielsweise ein IP-Subnetz angeben und „Attribute nicht erfüllen“ auswählen, entsprechen nur Nutzer mit IP-Adressen außerhalb des angegebenen Bereichs der Bedingung.
- Klicken Sie auf Attribut hinzufügen, um als Bedingung für die Zugriffsebene mindestens ein Attribut anzugeben. Folgende Attribute können Sie hinzufügen:
- IP-Subnetz: IPv4- oder IPv6-Adresse oder ein Routing-Präfix in CIDR-Blöcken.
- Private IP-Adressen werden nicht unterstützt (einschließlich Heimnetzwerke des Nutzers).
- Statische IP-Adressen werden unterstützt.
- Um eine dynamische IP-Adresse zu verwenden, müssen Sie ein statisches IP-Subnetz für die Zugriffsebene definieren. Wenn Sie den Bereich der dynamischen IP-Adresse kennen und die in der Zugriffsebene definierte statische IP-Adresse in diesem Bereich liegt, wird der Zugriff gewährt. Er wird hingegen verweigert, wenn sich die dynamische IP-Adresse nicht im definierten statischen IP-Subnetz befindet.
- Standort: Länder/Regionen, in denen der Nutzer auf Google Workspace-Dienste zugreift. Geräte mit internen IP-Adressen werden nicht unterstützt, da sie nicht global eindeutig sind.
- Geräterichtlinien: Wählen Sie nur die Geräterichtlinien aus, die Sie implementieren müssen:
- „Administratorgenehmigung ist erforderlich“ (wenn erforderlich, muss das Gerät genehmigt werden)
- „Unternehmenseigenes Gerät ist erforderlich“
- „Displaysperre ist erforderlich“
- Geräteverschlüsselung („Nicht unterstützt“, „Nicht verschlüsselt“, „Verschlüsselt“)
- Betriebssystem des Geräts: Nutzer können nur über die von Ihnen ausgewählten Betriebssystemen auf Google Workspace zugreifen. Legen Sie als Bedingung eine mindestens erforderliche Betriebssystemversion fest oder lassen Sie alle Versionen zu. Verwenden Sie das Format „major.minor.patch“ für die Betriebssystemversion:
- macOS
- Windows
- Linux
- Chrome OS
- iOS
- Android
- Die Zugriffsebene muss die Anforderungen einer vorhandenen Zugriffsebene erfüllen.
- IP-Subnetz: IPv4- oder IPv6-Adresse oder ein Routing-Präfix in CIDR-Blöcken.
- Optional: Geben Sie für die Zugriffsebene eine weitere Bedingung an, indem Sie auf Bedingung hinzufügen klicken und Attribute festlegen.
- Optional: Wählen Sie eine logische Verknüpfung für die beiden Bedingungen aus:
- Und: Nutzer müssen die erste Bedingung und die zusätzlich hinzugefügte erfüllen.
- Oder: Nutzer müssen nur eine der Bedingungen erfüllen.
- Wenn Sie die gewünschten Bedingungen für die Zugriffsebene hinzugefügt haben, speichern Sie die Definition. Klicken Sie dazu auf Speichern.
- Wählen Sie aus, was mit der Zugriffsebene passieren soll:
- Weisen Sie Apps diese Zugriffsebene zu.
- Eine Datenschutzregel mit dieser Zugriffsebene erstellen. Wenn Sie diese Option auswählen, wird der Assistent für die Regelerstellung gestartet. Weitere Informationen zum Kombinieren von Datenschutzregeln mit kontextsensitiven Zugriffsebenen
Beispiel für eine Zugriffsebene, die im einfachen Modus erstellt wurde
In diesem Beispiel wird die Zugriffsebene „Zugriff_Unternehmen“ verwendet. Wenn sie auf Gmail angewendet wird, können Nutzer nur aus den USA und Kanada und über ein verschlüsseltes unternehmenseigenes Gerät auf Gmail zugreifen.
Name der Zugriffsebene: | Zugriff_Unternehmen |
Nutzer erhalten Zugriff, wenn sie: | Alle Attribute in der Bedingung erfüllen |
Attribut der Bedingung 1: |
Geräterichtlinie |
Logische Verknüpfung der Bedingungen 1 und 2 mit: | AND |
Nutzer erhalten Zugriff, wenn sie: | Alle Attribute in der Bedingung erfüllen |
Attribut der Bedingung 2: |
Standort
|
Weitere Beispiele finden Sie in diesem Hilfeartikel zum kontextsensitiven Zugriff im einfachen Modus.
In diesem Modus können Sie Zugriffsebenen erstellen, die nicht im Tool zur Bedingungserstellung in der Oberfläche für den kontextsensitiven Zugriff erstellt werden können. Beispiel:
- Möglicherweise muss der Administrator Zugriffsebenen erstellen, die Anbieterbedingungen für Integrationen von Drittanbietern enthalten.
- Auf einige erweiterte Attribute kann nicht über die Oberfläche für die Bedingungen im einfachen Modus zugegriffen werden, z. B. auf die Verwendung der zertifikatsbasierten Authentifizierung.
In diesem Modus erstellen Sie Ihre benutzerdefinierte Zugriffsebene in einem Bearbeitungsfenster mit Common Expression Language (CEL).
So definieren Sie Zugriffsebenen im erweiterten Modus:
- Klicken Sie auf Zugriffsebenen.
Eine Liste der definierten Zugriffsebenen wird angezeigt. Zugriffsebenen werden übergreifend für Google Workspace, Cloud Identity und Google Cloud genutzt. Deswegen sehen Sie in der Liste möglicherweise auch Zugriffsebenen, die Sie nicht erstellt haben. Der Übersicht halber sollten Zugriffsebenen so benannt werden, dass sie sich den Teams zuordnen lassen, die sie erstellt haben. - Wählen Sie Zugriffsebene erstellen aus.
- Wählen Sie Erweiterter Modus aus.
- Geben Sie einen Namen an und fügen Sie bei Bedarf eine Beschreibung für die Zugriffsebene hinzu.
Definieren Sie die Zugriffsebene, indem Sie einen CEL-Ausdruck schreiben. - Erstellen Sie Ihre benutzerdefinierte Zugriffsebene im CEL-Ausdruckseditor.
Dazu benötigen Sie Erfahrung mit CEL. Eine Anleitung und Beispiele für unterstützte Ausdrücke für die Erstellung benutzerdefinierter Zugriffsebenen finden Sie auf der Seite Benutzerdefinierte Spezifikation der Zugriffsebene. - Klicken Sie auf Speichern.
Der Ausdruck wird kompiliert und alle Syntaxfehler werden gemeldet.- Wenn keine Syntaxfehler auftreten, wird Ihre benutzerdefinierte Zugriffsebene gespeichert und Sie können sie Apps zuweisen.
- Wenn Syntaxfehler vorliegen, sehen Sie die Meldung Fehler beheben, um fortzufahren. Sie enthält Compiler-Fehler (nur in englischer Sprache) für den gerade erstellten Ausdruck. Sie können den Fehler beheben und die Ebene noch einmal speichern. Wenn die benutzerdefinierte Zugriffsebene keine Fehler enthält und gespeichert wird, können Sie diese Zugriffsebene Apps zuweisen.
Beispiel für eine Zugriffsebene, die im erweiterten Modus erstellt wurde
Dieses Beispiel zeigt eine Zugriffsebene, bei der die folgenden Bedingungen erfüllt sein müssen, damit eine Anfrage zugelassen wird:
- Das Gerät, von dem die Anfrage stammt, ist verschlüsselt.
- Mindestens eine der folgenden Bedingungen trifft zu:
- Die Anfrage stammt aus den USA.
- Das Gerät, von dem die Anfrage stammt, wurde vom Domainadministrator genehmigt.
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
Weitere Beispiele finden Sie in diesem Hilfeartikel zum kontextsensitiven Zugriff im erweiterten Modus.
Nächster Schritt: Apps Zugriffsebenen zuweisen
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.