Les niveaux d'accès contextuel associent des conditions à des valeurs, et définissent le contexte d'un utilisateur ou d'un appareil. Ces niveaux d'accès définissent le contexte dans lequel les utilisateurs peuvent accéder aux applications.
Par exemple, vous pouvez créer un niveau d'accès à Gmail qui oblige les utilisateurs à se connecter à partir d'une plage d'adresses IP spécifique et à chiffrer leurs appareils.
Remarque : Avant de créer un niveau d'accès, vous devez déployer la validation des points de terminaison et activer l'accès contextuel. Pour en savoir plus, consultez les sections "Configurer la validation des points de terminaison" et "Activer l'accès contextuel" de la page Déployer l'accès contextuel.
Créer un niveau d'accès
Les niveaux d'accès consistent en une ou plusieurs conditions que vous définissez. Pour accéder aux applications, les utilisateurs doivent remplir ces conditions. Les conditions des niveaux d'accès contiennent des attributs que vous pouvez sélectionner, comme les règles relatives aux appareils, le sous-réseau IP ou un autre niveau d'accès.
Vous pouvez créer des niveaux d'accès dans deux modes distincts : de base et avancé. Le mode de base vous permet d'obtenir la liste des attributs prédéfinis que vous pouvez sélectionner. Si vous devez utiliser des attributs qui ne figurent pas dans l'interface, créez plutôt un niveau d'accès personnalisé en mode avancé.
Remarque : Lorsque vous modifiez un niveau d'accès, les modifications prennent effet immédiatement. Notez que les modifications apportées aux niveaux d'accès affecteront vos utilisateurs dès que vous les appliquerez. Assurez-vous de bien effectuer les modifications souhaitées.
Ouvrir la section | Tout réduire et revenir en haut de la page
- Sélectionnez Niveaux d'accès.
La liste des niveaux d'accès définis s'affiche. Les niveaux d'accès sont une ressource partagée entre Google Workspace et Google Cloud. La liste peut donc contenir des niveaux d'accès que vous n'avez pas créés. Pour indiquer quelle équipe a créé un niveau d'accès, pensez à inclure la plate-forme dans le nom du niveau d'accès. - En haut à droite, sélectionnez Créer un niveau d'accès.
Le mode de base est sélectionné par défaut. Définissez le niveau d'accès en y ajoutant une ou plusieurs conditions, puis définissez chaque condition en spécifiant au moins un attribut.Remarque : Nous vous recommandons de ne pas utiliser l'interface Google Cloud Platform (GCP) pour ajouter ou modifier des niveaux d'accès contextuel si vous êtes un client Workspace uniquement. Si vous ajoutez ou modifiez des niveaux d'accès autrement que via l'interface de l'accès contextuel, le message d'erreur Des attributs non compatibles sont utilisés dans Google Workspace peut s'afficher et les utilisateurs peuvent être bloqués.
- Spécifiez le nom du niveau d'accès et ajoutez une description (facultatif).
- Pour la condition de niveau d'accès que vous ajoutez, spécifiez si elle s'applique selon que les utilisateurs :
- remplissent les conditions des attributs : les utilisateurs doivent posséder tous les attributs de la condition.
- ne remplissent pas les conditions des attributs : les utilisateurs ne possèdent aucun des attributs de la condition. Cette deuxième option est l'inverse de la première, et elle est le plus souvent utilisée pour les attributs de sous-réseau IP. Par exemple, si vous spécifiez un sous-réseau IP et que ces conditions ne sont pas remplies, seuls les utilisateurs dont les adresses IP sont en dehors de la plage spécifiée correspondent à la condition.
- Cliquez sur Ajouter un attribut pour ajouter un ou plusieurs attributs à la condition de niveau d'accès. Vous pouvez par exemple ajouter les attributs suivants :
- Sous-réseau IP : adresse IPv4 ou IPv6, ou préfixe de routage dans la notation de bloc CIDR.
- Les adresses IP privées ne sont pas acceptées (y compris les réseaux domestiques de l'utilisateur).
- Les adresses IP statiques sont acceptées.
- Pour utiliser une adresse IP dynamique, vous devez définir un sous-réseau IP statique pour le niveau d'accès. Si vous connaissez la plage de l'adresse IP dynamique et l'adresse IP statique définie dans le niveau d'accès couvrant cette plage, l'accès est autorisé. L'accès est refusé lorsque l'adresse IP dynamique ne se trouve pas dans le sous-réseau IP statique défini.
- Emplacement : pays/régions dans lesquels l'utilisateur accède aux services Google Workspace. Les appareils disposant d'adresses IP internes ne sont pas acceptés, car ces adresses IP ne sont pas uniques.
- Règles relatives aux appareils (ne sélectionnez que les règles relatives aux appareils que vous avez besoin de mettre en œuvre) :
- Approbation de l'administrateur requise (l'appareil doit être approuvé si nécessaire)
- Appareil détenu par l'entreprise requis
- Verrouillage d'écran requis
- Chiffrement des appareils (non disponible, non chiffré ou chiffré)
- Système d'exploitation de l'appareil (les utilisateurs ne peuvent accéder à Google Workspace qu'avec les systèmes d'exploitation que vous sélectionnez. Définissez une version minimale obligatoire du système d'exploitation ou autorisez toutes les versions à l'aide du format "majeure.mineure.correctif") :
- macOS
- Windows
- Linux
- Chrome OS
- iOS
- Android
- Niveau d'accès (doit répondre aux exigences d'un niveau d'accès existant).
- Sous-réseau IP : adresse IPv4 ou IPv6, ou préfixe de routage dans la notation de bloc CIDR.
- Pour ajouter une autre condition au niveau d'accès, cliquez sur Ajouter une condition, puis ajoutez-y des attributs.
- Indiquez les conditions auxquelles les utilisateurs doivent répondre :
- AND : les utilisateurs doivent remplir la première condition ainsi que la condition ajoutée.
- OR : les utilisateurs ne doivent remplir qu'une seule de ces conditions.
- Lorsque vous avez terminé d'ajouter des conditions d'accès, enregistrez la définition du niveau d'accès en cliquant sur Enregistrer.
- Indiquez ce que vous souhaitez faire du niveau d'accès :
- Attribuez ce niveau d'accès aux applications.
- Créez une règle de protection des données avec ce niveau d'accès. Si vous choisissez cette option, vous lancerez l'assistant de création de règles. En savoir plus sur la combinaison des règles de protection des données avec des niveaux d'accès contextuel
Exemple de niveau d'accès créé en mode de base
Cet exemple montre un niveau d'accès appelé "corp_access". Si "corp_access" est appliqué à Gmail, les utilisateurs ne peuvent accéder à Gmail qu'à partir d'un appareil chiffré appartenant à l'entreprise, et uniquement s'ils sont au Canada ou aux États-Unis.
| Nom du niveau d'accès | corp_access |
| L'accès d'un utilisateur est autorisé lorsque | Tous les attributs de la condition sont respectés |
| Attribut de la condition 1 |
Règles relatives aux appareils |
| Conditions 1 et 2 associées à l'aide de | "AND" |
| L'accès d'un utilisateur est autorisé lorsque | Tous les attributs de la condition sont respectés |
| Attribut de la condition 2 |
Origine géographique
|
Pour obtenir plus d'exemples, consultez Exemples d'accès contextuel pour le mode de base.
Ce mode vous permet de créer des niveaux d'accès qui ne peuvent pas être créés dans le générateur de conditions de l'interface avec accès contextuel. Exemple :
- L'administrateur devra peut-être créer des niveaux d'accès incluant les conditions du fournisseur pour les intégrations tierces.
- Certains attributs avancés, comme la possibilité d'utiliser l'authentification basée sur un certificat, ne sont pas accessibles à partir de l'interface des conditions du mode de base.
Dans ce mode, vous créez votre niveau d'accès personnalisé dans une fenêtre d'édition à l'aide du langage CEL (Common Expression Language).
Pour définir des niveaux d'accès à l'aide du mode avancé :
- Sélectionnez Niveaux d'accès.
La liste des niveaux d'accès définis s'affiche. Les niveaux d'accès sont une ressource partagée entre Google Workspace, Cloud Identity et Google Cloud. La liste peut donc contenir des niveaux d'accès que vous n'avez pas créés. Pour indiquer quelle équipe a créé un niveau d'accès, pensez à inclure la plate-forme dans le nom du niveau d'accès. - Sélectionnez Créer un niveau d'accès.
- Sélectionnez Mode avancé.
- Spécifiez le nom du niveau d'accès et ajoutez une description (facultatif).
Définissez le niveau d'accès en rédigeant une expression CEL. - Créez votre niveau d'accès personnalisé dans l'éditeur d'expression CEL.
Pour ce faire, vous devez connaître le langage CEL. Pour obtenir des conseils et des exemples d'expressions compatibles avec la création de niveaux d'accès personnalisés, consultez Spécification de niveaux d'accès personnalisés. - Cliquez sur Enregistrer.
L'expression est compilée, et les éventuelles erreurs de syntaxe sont signalées.- En l'absence d'erreurs de syntaxe, votre niveau d'accès personnalisé est enregistré et vous pouvez l'attribuer aux applications.
- En cas d'erreurs de syntaxe, le message Corriger les erreurs pour continuer s'affiche avec des erreurs de compilation spécifiques à l'expression que vous venez de créer (en anglais uniquement). Vous pouvez corriger l'erreur et réenregistrer. Lorsque le niveau d'accès personnalisé ne contient aucune erreur et est enregistré, vous pouvez l'attribuer aux applications.
Exemple de niveau d'accès créé en mode avancé
Cet exemple illustre un niveau d'accès qui nécessite que les conditions suivantes soient remplies pour autoriser une requête :
- L'appareil d'origine est chiffré.
- Une ou plusieurs des affirmations suivantes sont vraies :
- La requête provient des États-Unis.
- L'appareil à l'origine de la requête est approuvé par l'administrateur de domaine.
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
Pour obtenir plus d'exemples, consultez Cas d'utilisation de l'accès contextuel en mode avancé.
Prochaine étape : Attribuer des niveaux d'accès aux applications
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.
