情境感知访问权限级别结合使用条件和值来定义用户或设备情境。这类访问权限级别规定了用户可以在哪些情境中访问应用。
例如,您可以创建一个用于访问 Gmail 的访问权限级别,要求用户必须通过特定 IP 地址范围进行连接,并且其设备必须经过加密。
注意:在创建访问权限级别之前,您应该部署端点验证并开启情境感知访问权限。如需了解详情,请参阅部署情境感知访问权限中的“设置端点验证”和“开启情境感知访问权限”。
创建访问权限级别
访问权限级别由您定义的一个或多个条件组成。用户必须符合相应条件才能使用应用。访问权限级别包含您可以选择的属性,例如设备政策、IP 子网或其他访问权限级别。
您可以创建两种不同模式的访问权限级别:基本模式和高级模式。基本模式会列出预定义的属性供您选择。如需使用界面中没有的属性,请改为在高级模式下创建自定义访问权限级别。
注意:修改访问权限级别后,所做更改会立即生效。请注意,如果您更改访问权限级别,用户会立即受到影响。因此,请务必确认您要进行相应更改,再执行操作。
- 选择访问权限级别。
您会看到已定义的访问权限级别的列表。访问权限级别是 Google Workspace 和 Google Cloud 之间共用的资源,因此您可能会在列表中看到不是由您创建的访问权限级别。若要表明某个访问权限级别是由哪个团队创建的,我们建议将平台添加到访问权限级别的名称中。 - 选择右上方的创建访问权限级别。
系统会默认选择基本模式。您需要添加一个或多个条件,从而定义相应访问权限级别。接下来,请指定一个或多个属性来定义各个条件。注意:如果您仅使用 Workspace,那么我们建议您不要使用 Google Cloud Platform (GCP) 界面来添加或修改情境感知访问权限级别。如果您使用情境感知访问权限界面以外的方式添加或更改访问权限级别,则系统可能会显示错误消息“在 Google Workspace 中使用了不受支持的属性”,且用户可能会遭到屏蔽。
- 添加访问权限级别的名称,并选择添加相关说明。
- 对于您添加的访问权限级别条件,请指定用户在以下情况下,相应条件是否适用:
- 满足属性 - 用户必须满足相应条件中的所有属性。
- 不满足属性 - 用户不满足相应条件中的所有属性。此选项指定了完全相反的条件,最常用于 IP 子网属性。举例来说,如果您指定了一个 IP 子网和“不满足”,则只有 IP 地址不在指定范围内的用户才会匹配该条件。
- 点击添加属性以向访问权限级别的条件添加一个或多个属性。您可添加的属性如下:
- IP 子网 - IPv4 或 IPv6 地址,或是采用 CIDR 地址块表示法的路由前缀。
- 不支持使用专用 IP 地址(包括用户的家庭网络)。
- 支持静态 IP 地址。
- 如要使用动态 IP 地址,您必须为访问权限级别指定静态 IP 子网。如果您知道动态 IP 地址的范围,且在访问权限级别中指定的静态 IP 地址涵盖该范围,则系统会授予访问权限。当动态 IP 地址不在指定的静态 IP 子网中时,访问会遭拒。
- 位置 - 用户访问 Google Workspace 服务时所在的国家/地区。系统不支持使用内部 IP 地址的设备,因为这些 IP 地址不具备全局唯一性。
- 设备政策(仅选择您需要执行的设备政策)-
- 需要管理员审批(如果需要,则相应设备必须经过批准)
- 必须使用公司自有设备
- 必须开启屏幕锁定功能
- 设备加密(不支持、未加密、已加密)
- 设备操作系统(用户只能通过您选择的操作系统访问 Google Workspace。请设置最低操作系统版本,或允许使用任意版本。按照“<主要版本号>.<次要版本号>.<补丁版本号>”格式设置操作系统版本)-
- macOS
- Windows
- Linux
- ChromeOS
- iOS
- Android
- 访问权限级别(必须满足某个现有访问权限级别的要求)。
- IP 子网 - IPv4 或 IPv6 地址,或是采用 CIDR 地址块表示法的路由前缀。
- 如要为访问权限级别添加其他条件,请点击添加条件,然后添加条件的属性。
- 表明用户必须满足的条件:
- 且 - 用户必须满足第一个条件和添加的条件。
- 或 - 用户只需满足其中一个条件。
- 添加完访问权限级别条件后,请点击保存,以保存访问权限级别定义。
- 选择如何处理访问权限级别:
- 将此访问权限级别分配给相关应用。
- 使用此访问权限级别创建数据保护规则。如果您选择此选项,则会启动规则创建向导。详细了解如何将数据保护规则与情境感知访问权限级别结合使用。
访问权限级别示例 - 在基本模式下创建
此处以名为“公司访问权限”的访问权限级别为例。如果“公司访问权限”应用于 Gmail,则用户只能通过加密的公司自有设备访问 Gmail,且必须从美国或加拿大境内进行访问。
| 访问权限级别名称 | 公司访问权限 |
| 用户获得访问权限的前提 | 满足相应条件中的所有属性 |
| 条件 1 的属性 |
设备政策 |
| 连接条件 1 和条件 2 所使用的逻辑关系 | 且 |
| 用户获得访问权限的前提 | 满足相应条件中的所有属性 |
| 条件 2 的属性 |
地理位置来源
|
如需查看更多示例,请参阅情境感知访问权限示例(基本模式)。
使用此模式可以创建无法在情境感知访问权限界面的条件构建器中创建的访问权限级别。例如:
- 管理员可能需要创建包含供应商条件的访问权限级别,用于第三方集成。
- 在基本模式条件界面中无法使用部分高级属性,例如使用基于证书的身份验证。
在此模式下,您可以使用通用表达式语言 (CEL) 在编辑窗口中创建自定义访问权限级别。
要使用高级模式定义访问权限级别,请执行以下操作:
- 选择访问权限级别。
您会看到已定义的访问权限级别的列表。访问权限级别是 Google Workspace、Cloud Identity 和 Google Cloud 之间共用的资源,因此您可能会在列表中看到不是由您创建的访问权限级别。要表明某个访问权限级别是由哪个团队创建的,我们建议将平台添加到访问权限级别的名称中。 - 选择创建访问权限级别。
- 选择高级模式。
- 添加访问权限级别的名称,并选择添加相关说明。
您可以通过编写 CEL 表达式定义访问权限级别。 - 在 CEL 表达式编辑器中构建自定义访问权限级别。
为此,您需要有使用 CEL 的经验。如要查看用于创建自定义访问权限级别的受支持表达式的相关指南和示例,请参阅自定义访问权限级别规范。 - 点击保存。
系统会编译表达式并报告所有语法错误。- 如果不存在语法错误,系统将保存您的自定义访问权限级别,您可以将其分配给应用。
- 如果存在语法错误,系统会显示修正错误以继续消息,以及针对您刚刚创建的表达式的编译器错误(仅提供英文版)。您可以更正错误并重新保存。如果自定义访问权限级别不包含任何错误,且已保存,您可以将此访问权限级别分配给应用。
访问权限级别示例 - 在高级模式下创建
下列示例所示的访问权限级别要求满足以下条件才能允许请求:
- 来源设备已加密。
- 满足以下一项或多项条件:
- 请求来自美国。
- 发出请求的设备已通过网域管理员的批准。
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
如需查看更多示例,请参阅情境感知访问权限示例(高级模式)。
下一步:为应用分配访问权限级别
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
