I livelli di accesso sensibile al contesto combinano condizioni e valori che definiscono un contesto utente o dispositivo. Questi livelli di accesso definiscono il contesto entro il quale gli utenti possono accedere alle app.
Ad esempio, puoi creare un livello di accesso per Gmail che richiede agli utenti di connettersi da uno specifico intervallo di indirizzi IP usando dispositivi criptati.
Nota: prima di creare un livello di accesso, devi implementare la verifica degli endpoint e attivare l'accesso sensibile al contesto. Per maggiori dettagli, vedi Configurare la verifica degli endpoint e attivare l'accesso sensibile al contesto in Deployment dell'accesso sensibile al contesto.
Creare un livello di accesso
I livelli di accesso sono costituiti da una o più condizioni definite da te. Per accedere alle app, gli utenti devono soddisfare le condizioni. Le condizioni dei livelli di accesso contengono attributi che puoi selezionare, ad esempio criteri relativi ai dispositivi, subnet IP o un altro livello di accesso.
Puoi creare livelli di accesso in due diverse modalità, di base e avanzata. La modalità di base fornisce un elenco di attributi predefiniti da selezionare. Se devi utilizzare attributi che non sono nell'interfaccia, crea un livello di accesso personalizzato in modalità avanzata.
Nota: quando modifichi un livello di accesso, le modifiche vengono applicate immediatamente. Tieni presente che le modifiche ai livelli di accesso avranno effetto sui tuoi utenti non appena le apporti. Assicurati che siano quelle previste.
Apri sezione | Comprimi tutto e torna all'inizio della pagina
- Seleziona Livelli di accesso.
Viene visualizzato l'elenco dei livelli di accesso definiti. I livelli di accesso sono una risorsa condivisa tra Google Workspace e Google Cloud, quindi è possibile che l'elenco includa livelli di accesso non creati da te. Per indicare il team che ha creato un livello di accesso, puoi includere la piattaforma nel nome di quel livello. - In alto a destra, seleziona Crea livello di accesso.
Per impostazione predefinita è selezionata la modalità di base. Aggiungi una o più condizioni per definire il livello di accesso. Definisci quindi ogni condizione specificando uno o più attributi.Nota: ti consigliamo di non utilizzare l'interfaccia della piattaforma Cloud per aggiungere o modificare i livelli di accesso sensibile al contesto se sei un cliente solo di Workspace. Se aggiungi o modifichi i livelli di accesso utilizzando un metodo diverso dall'interfaccia di accesso sensibile al contesto, è possibile che venga generato l'errore Su Google Workspace vengono utilizzati attualmente attributi non supportati e che gli utenti vengano bloccati.
- Aggiungi un nome al livello di accesso e, in via facoltativa, una descrizione.
- Per la condizione che aggiungi al livello di accesso, specifica se è valida quando gli utenti:
- Soddisfano gli attributi: gli utenti devono soddisfare tutti gli attributi della condizione.
- Non soddisfano gli attributi: gli utenti non soddisfano nessun attributo della condizione. Questa opzione specifica il contrario della condizione ed è la più comunemente utilizzata per gli attributi di subnet IP. Ad esempio, se specifichi una subnet IP e "Non soddisfano gli attributi", solo gli utenti con indirizzi IP esterni all'intervallo specificato soddisferanno la condizione.
- Fai clic su Aggiungi attributo per aggiungere uno o più attributi alla condizione del livello di accesso. Gli attributi che puoi aggiungere sono:
- Subnet IP: indirizzo IPv4 o IPv6 o prefisso di routing nella notazione a blocchi CIDR.
- Gli indirizzi IP privati non sono supportati (incluse le reti di casa dell'utente).
- Gli indirizzi IP statici sono supportati.
- Per utilizzare un indirizzo IP dinamico, devi definire una subnet IP statica per il livello di accesso. Se conosci l'intervallo dell'indirizzo IP dinamico e l'indirizzo IP statico definito nel livello di accesso copre quell'intervallo, l'accesso viene concesso. L'accesso viene negato quando l'indirizzo IP dinamico non si trova nella subnet IP statica definita.
- Località: paesi/regioni in cui l'utente accede ai servizi Google Workspace. I dispositivi con indirizzi IP interni non sono supportati perché quegli indirizzi IP non sono univoci a livello globale.
- Criteri relativi ai dispositivi (scegli solo i criteri relativi ai dispositivi che devi implementare):
- Approvazione dell'amministratore obbligatoria (in questo caso, il dispositivo deve essere approvato)
- Dispositivo di proprietà dell'azienda obbligatorio
- Blocco schermo obbligatorio
- Crittografia del dispositivo (Non supportata, Senza crittografia, Con crittografia)
- Sistema operativo del dispositivo (gli utenti possono accedere a Google Workspace solo con il sistema operativo che selezioni. Imposta una versione minima del sistema operativo o consenti qualsiasi versione. Utilizza il formato major.minor.patch per la versione del sistema operativo) -
- macOS
- Windows
- Linux
- Chrome OS
- iOS
- Android
- Livello di accesso (deve soddisfare i requisiti di un livello di accesso esistente).
- Subnet IP: indirizzo IPv4 o IPv6 o prefisso di routing nella notazione a blocchi CIDR.
- Per aggiungere un'altra condizione al livello di accesso, fai clic su Aggiungi condizione e inserisci gli attributi.
- Indica le condizioni che gli utenti devono soddisfare:
- AND: gli utenti devono soddisfare la prima condizione e la condizione aggiunta.
- OR: gli utenti devono soddisfare solo una delle condizioni.
- Dopo aver aggiunto le condizioni, salva la definizione del livello di accesso facendo clic su Salva.
- Scegli l'operazione da eseguire con il livello di accesso:
- Assegna questo livello di accesso alle app.
- Crea una regola per la protezione dei dati con questo livello di accesso. Se scegli questa opzione, viene avviata la procedura guidata per la creazione delle regole. Scopri di più sulla combinazione delle regole di protezione dei dati con i livelli di accesso sensibile al contesto.
Esempio di livello di accesso creato in modalità di base
Questo esempio illustra un livello di accesso denominato "corp_access". Se "corp_access" viene applicato a Gmail, gli utenti possono accedere a Gmail solo da un dispositivo criptato di proprietà dell'azienda e solo dagli Stati Uniti o dal Canada.
Nome livello di accesso | corp_access |
Un utente può accedere se | Soddisfa tutti gli attributi della condizione |
Attributo condizione 1 |
Criteri relativi ai dispositivi |
Unisci la condizione 1 alla condizione 2 con | AND |
Un utente può accedere se | Soddisfa tutti gli attributi della condizione |
Attributo condizione 2 |
Origine geografica
|
Per altri esempi, vedi la pagina degli esempi di accesso sensibile al contesto per la modalità di base.
Questa modalità ti consente di creare livelli di accesso che non possono essere creati nel generatore di condizioni dell'interfaccia di accesso sensibile al contesto. Ad esempio:
- L'amministratore potrebbe dover creare livelli di accesso che includono condizioni del fornitore per le integrazioni di terze parti.
- Alcuni attributi avanzati non sono accessibili dall'interfaccia delle condizioni della modalità di base, ad esempio la possibilità di utilizzare l'autenticazione basata su certificati.
In questa modalità, puoi creare il tuo livello di accesso personalizzato in una finestra di modifica utilizzando il Common Expression Language (CEL).
Per definire i livelli di accesso utilizzando la modalità avanzata:
- Seleziona Livelli di accesso.
Viene visualizzato l'elenco dei livelli di accesso definiti. I livelli di accesso rappresentano una risorsa condivisa tra Google Workspace, Cloud Identity e Google Cloud, perciò è possibile che l'elenco includa livelli di accesso non creati da te. Per indicare il team che ha creato un livello di accesso, puoi includere la piattaforma nel nome di quel livello. - Seleziona Crea livello di accesso.
- Seleziona Modalità avanzata.
- Aggiungi un nome al livello di accesso e, in via facoltativa, una descrizione.
Puoi definire il livello di accesso scrivendo un'espressione CEL. - Crea il tuo livello di accesso personalizzato nell'editor dell'espressione CEL.
Per farlo, è necessario avere una certa esperienza con il CEL. Per linee guida ed esempi di espressioni supportate per la creazione di livelli di accesso personalizzati, vedi le specifiche del livello di accesso personalizzato. - Fai clic su Salva.
L'espressione viene compilata e vengono segnalati eventuali errori di sintassi.- Se non sono presenti errori di sintassi, il livello di accesso personalizzato viene salvato e puoi assegnarlo alle app.
- In caso di errori di sintassi, viene visualizzato il messaggio Correggi gli errori per continuare contenente gli errori di compilazione (solo in inglese) specifici per l'espressione appena creata. Puoi correggere l'errore e salvare di nuovo. Quando il livello di accesso personalizzato non contiene errori e viene salvato, puoi assegnare questo livello di accesso alle app.
Esempio di livello di accesso creato in modalità avanzata
In questo esempio è mostrato un livello di accesso che richiede la conformità alle seguenti condizioni per consentire una richiesta:
- Il dispositivo di origine è criptato.
- Una o più delle seguenti condizioni è vera:
- La richiesta ha avuto origine negli Stati Uniti.
- Il dispositivo da cui ha avuto origine la richiesta è approvato dall'amministratore di dominio.
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
Per altri esempi, vedi la pagina degli esempi di accesso sensibile al contesto per la modalità avanzata.
Passaggio successivo: assegnare i livelli di accesso alle app
Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.