ระดับการเข้าถึงแบบ Context-Aware ผสานรวมเงื่อนไขและค่าที่กำหนดบริบทของผู้ใช้หรืออุปกรณ์ โดยระดับการเข้าถึงเหล่านี้จะกำหนดบริบทที่ผู้ใช้จะเข้าถึงแอปได้
ตัวอย่างเช่น คุณสามารถสร้างระดับการเข้าถึงสำหรับเข้าถึง Gmail ที่กำหนดให้ผู้ใช้เชื่อมต่อจากช่วงที่อยู่ IP ที่เฉพาะเจาะจงและมีการกำหนดให้ต้องเข้ารหัสอุปกรณ์ได้
หมายเหตุ: คุณควรทำให้การยืนยันปลายทางใช้งานได้และเปิดใช้การเข้าถึงแบบ Context-Aware ก่อนสร้างระดับการเข้าถึง โปรดดูรายละเอียดในส่วน "ตั้งค่าการยืนยันปลายทาง" และ "เปิดใช้การเข้าถึงแบบ Context-Aware" ที่หัวข้อทำให้การเข้าถึงแบบ Context-Aware ใช้งานได้
สร้างระดับการเข้าถึง
ระดับการเข้าถึงประกอบด้วยเงื่อนไขที่คุณกำหนดอย่างน้อย 1 ข้อ และผู้ใช้ต้องปฏิบัติตามเงื่อนไขที่กำหนดจึงจะเข้าถึงแอปได้ โดยเงื่อนไขระดับการเข้าถึงจะมีแอตทริบิวต์ที่ให้เลือก เช่น นโยบายด้านอุปกรณ์, ซับเน็ต IP หรือระดับการเข้าถึงอื่น
คุณสามารถสร้างระดับการเข้าถึงได้ 2 โหมด คือ โหมดพื้นฐานและขั้นสูง โดยโหมดพื้นฐานจะแสดงรายการแอตทริบิวต์ที่กําหนดไว้ล่วงหน้าซึ่งคุณสามารถเลือกได้ หากต้องการใช้แอตทริบิวต์ที่ไม่อยู่ในอินเทอร์เฟซ ให้สร้างระดับการเข้าถึงที่กำหนดเองในโหมดขั้นสูงแทน
หมายเหตุ: เมื่อแก้ไขระดับการเข้าถึง การเปลี่ยนแปลงดังกล่าวจะมีผลทันที โปรดทราบว่าการเปลี่ยนแปลงระดับการเข้าถึงจะส่งผลต่อผู้ใช้ทันทีที่ดำเนินการ คุณจึงควรตรวจสอบว่าไม่ได้ดำเนินการไปโดยไม่ได้ตั้งใจ
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
- เลือกระดับการเข้าถึง
คุณจะเห็นรายการระดับการเข้าถึงที่กำหนด ระดับการเข้าถึงเป็นทรัพยากรที่แชร์ร่วมกันระหว่าง Google Workspace และ Google Cloud คุณจึงอาจเห็นระดับการเข้าถึงที่คุณไม่ได้สร้างในรายการ หากต้องการระบุว่าทีมใดสร้างระดับการเข้าถึงไว้ ให้พิจารณาระบุแพลตฟอร์มในชื่อระดับการเข้าถึง - ที่ด้านขวาบน ให้เลือกสร้างระดับการเข้าถึง
ระบบจะเลือกโหมดพื้นฐานไว้โดยค่าเริ่มต้น คุณจะกำหนดระดับการเข้าถึงได้โดยการเพิ่มเงื่อนไขอย่างน้อย 1 ข้อลงในระดับการเข้าถึง จากนั้นจึงกำหนดเงื่อนไขแต่ละข้อด้วยการระบุแอตทริบิวต์อย่างน้อย 1 รายการหมายเหตุ: เราไม่แนะนำให้ใช้อินเทอร์เฟซของ Google Cloud Platform (GCP) เพื่อเพิ่มหรือแก้ไขระดับการเข้าถึงแบบ Context-Aware หากคุณเป็นลูกค้าที่ใช้เพียง Workspace เท่านั้น หากคุณเพิ่มหรือเปลี่ยนระดับการเข้าถึงโดยใช้วิธีการอื่นที่ไม่ใช่อินเทอร์เฟซการเข้าถึงแบบ Context-Aware ข้อความแสดงข้อผิดพลาดระบุว่ามีการใช้แอตทริบิวต์ที่ไม่รองรับใน Google Workspace อาจปรากฏขึ้นและผู้ใช้อาจถูกบล็อกได้
- เพิ่มชื่อระดับการเข้าถึงและคำอธิบายตามต้องการ
- สำหรับเงื่อนไขระดับการเข้าถึงที่เพิ่ม ให้ระบุว่าเงื่อนไขจะมีผลหรือไม่เมื่อผู้ใช้มีคุณสมบัติดังนี้
- ตรงตามแอตทริบิวต์ - ผู้ใช้ต้องมีคุณสมบัติตรงตามแอตทริบิวต์ทั้งหมดในเงื่อนไข
- ไม่ตรงตามแอตทริบิวต์ - ผู้ใช้มีคุณสมบัติที่ไม่ตรงตามแอตทริบิวต์รายการใดรายการหนึ่งในเงื่อนไข ตัวเลือกนี้จะระบุสิ่งที่ตรงกันข้ามกับเงื่อนไขและเป็นตัวเลือกที่ใช้บ่อยสำหรับแอตทริบิวต์ซับเน็ต IP ตัวอย่างเช่น หากระบุซับเน็ต IP และ "ไม่ตรงตาม" จะมีเพียงผู้ใช้ที่มีที่อยู่ IP ภายนอกช่วงที่ระบุเท่านั้นที่จะตรงตามเงื่อนไขที่กำหนด
- คลิกเพิ่มแอตทริบิวต์เพื่อเพิ่มแอตทริบิวต์อย่างน้อย 1 รายการลงในเงื่อนไขระดับการเข้าถึง แอตทริบิวต์ที่เพิ่มได้มีดังต่อไปนี้
- ซับเน็ต IP - ที่อยู่ IPv4 หรือ IPv6 หรือคำนำหน้าเส้นทางในรูปแบบบล็อก CIDR
- ไม่รองรับที่อยู่ IP ส่วนตัว (รวมถึงเครือข่ายในบ้านของผู้ใช้)
- รองรับที่อยู่ IP แบบคงที่
- หากต้องการใช้ที่อยู่ IP แบบไดนามิก คุณต้องกำหนดซับเน็ต IP แบบคงที่ให้กับระดับการเข้าถึง โดยระบบจะให้สิทธิ์เข้าถึงในกรณีที่คุณทราบว่าช่วงที่อยู่ IP แบบไดนามิก และที่อยู่ IP แบบคงที่ที่กำหนดไว้ในระดับการเข้าถึงนั้นครอบคลุมช่วงดังกล่าว แต่จะปฏิเสธการเข้าถึงเมื่อที่อยู่ IP แบบไดนามิกไม่ได้อยู่ในซับเน็ต IP แบบคงที่ที่กำหนดไว้
- สถานที่ตั้ง - ประเทศ/ภูมิภาคที่ผู้ใช้เข้าถึงบริการของ Google Workspace โดยระบบไม่รองรับอุปกรณ์ที่มีที่อยู่ IP ภายในเนื่องจากที่อยู่ IP ดังกล่าวซ้ำกันทั่วโลก
- นโยบายด้านอุปกรณ์ (เลือกนโยบายด้านอุปกรณ์ที่ต้องการใช้เท่านั้น) -
- จำเป็นต้องได้รับการอนุมัติจากผู้ดูแลระบบ (ต้องอนุมัติอุปกรณ์ก่อนหากจำเป็น)
- ต้องเป็นอุปกรณ์ของบริษัท
- ต้องใช้การล็อกหน้าจอ
- การเข้ารหัสอุปกรณ์ (ไม่รองรับ ไม่เข้ารหัส และเข้ารหัส)
- ระบบปฏิบัติการของอุปกรณ์ (ผู้ใช้จะเข้าถึง Google Workspace ด้วยระบบปฏิบัติการที่เลือกไว้เท่านั้น โปรดเลือกเวอร์ชันของระบบปฏิบัติการขั้นต่ำ หรืออนุญาตทุกเวอร์ชัน ใช้รูปแบบ major.minor.patch สำหรับเวอร์ชันของระบบปฏิบัติการ) -
- macOS
- Windows
- Linux
- Chrome OS
- iOS
- Android
- ระดับการเข้าถึง (ต้องตรงตามข้อกำหนดของระดับการเข้าถึงที่มีอยู่)
- ซับเน็ต IP - ที่อยู่ IPv4 หรือ IPv6 หรือคำนำหน้าเส้นทางในรูปแบบบล็อก CIDR
- หากต้องการเพิ่มเงื่อนไขอื่นในระดับการเข้าถึง ให้คลิกเพิ่มเงื่อนไข แล้วเพิ่มแอตทริบิวต์ในเงื่อนไข
- ระบุเงื่อนไขที่ผู้ใช้ต้องมีคุณสมบัติตรงตามดังนี้
- AND (และ) - ผู้ใช้ต้องตรงตามเงื่อนไขแรกและเงื่อนไขที่เพิ่มเข้ามา
- OR (หรือ) - ผู้ใช้แค่ต้องตรงตามเงื่อนไขอย่างใดอย่างหนึ่ง
- เมื่อเพิ่มเงื่อนไขระดับการเข้าถึงเรียบร้อยแล้ว ให้บันทึกการกำหนดระดับการเข้าถึงโดยคลิกบันทึก
- เลือกวิธีดำเนินการกับระดับการเข้าถึง ดังนี้
- มอบหมายระดับการเข้าถึงนี้ให้แอปต่างๆ
- สร้างกฎการคุ้มครองข้อมูลด้วยระดับการเข้าถึงนี้ หากเลือกตัวเลือกนี้ คุณจะเริ่มต้นวิซาร์ดการสร้างกฎ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการรวมกฎการคุ้มครองข้อมูลเข้ากับระดับการเข้าถึงแบบ Context-Aware
ตัวอย่างระดับการเข้าถึงที่สร้างในโหมดพื้นฐาน
ตัวอย่างนี้แสดงระดับการเข้าถึงที่เรียกว่า "corp_access" หากมีการใช้ "corp_access" กับ Gmail ผู้ใช้จะเข้าถึง Gmail ได้เฉพาะจากอุปกรณ์ที่มีการเข้ารหัสและเป็นของบริษัท และเข้าถึงได้จากสหรัฐอเมริกาหรือแคนาดาเท่านั้น
ชื่อระดับการเข้าถึง | corp_access |
ผู้ใช้จะได้รับสิทธิ์เข้าถึงหากมีคุณสมบัติต่อไปนี้ | มีคุณสมบัติตรงตามแอตทริบิวต์ทั้งหมดในเงื่อนไข |
แอตทริบิวต์ของเงื่อนไข 1 |
นโยบายด้านอุปกรณ์ |
รวมเงื่อนไข 1 และเงื่อนไข 2 เข้าด้วยกันด้วย | AND |
ผู้ใช้จะได้รับสิทธิ์เข้าถึงหากมีคุณสมบัติต่อไปนี้ | มีคุณสมบัติตรงตามแอตทริบิวต์ทั้งหมดในเงื่อนไข |
แอตทริบิวต์ของเงื่อนไข 2 |
ต้นทางทางภูมิศาสตร์
|
โปรดดูตัวอย่างเพิ่มเติมได้ที่ตัวอย่างการเข้าถึงแบบ Context-Aware สำหรับโหมดพื้นฐาน
โหมดนี้ช่วยให้คุณสร้างระดับการเข้าถึงที่ไม่สามารถสร้างได้ในเครื่องมือสร้างเงื่อนไขของอินเทอร์เฟซการเข้าถึงแบบ Context-Aware เช่น
- ผู้ดูแลระบบอาจต้องสร้างระดับการเข้าถึงที่รวมเงื่อนไขของผู้ให้บริการสําหรับการผสานรวมกับบุคคลที่สาม
- แอตทริบิวต์ขั้นสูงบางรายการไม่สามารถเข้าถึงได้จากอินเทอร์เฟซเงื่อนไขของโหมดพื้นฐาน เช่น ความสามารถในการใช้การตรวจสอบสิทธิ์ที่ใช้ใบรับรอง
ในโหมดนี้ คุณจะสร้างระดับการเข้าถึงที่กำหนดเองในหน้าต่างแก้ไขได้โดยใช้ Common Expression Language (CEL)
วิธีกําหนดระดับการเข้าถึงโดยใช้โหมดขั้นสูง
- เลือกระดับการเข้าถึง
คุณจะเห็นรายการระดับการเข้าถึงที่กำหนด ระดับการเข้าถึงเป็นทรัพยากรที่แชร์ร่วมกันระหว่าง Google Workspace, Cloud Identity และ Google Cloud คุณจึงอาจเห็นระดับการเข้าถึงที่คุณไม่ได้สร้างในรายการ หากต้องการระบุว่าทีมใดสร้างระดับการเข้าถึงไว้ ให้พิจารณาระบุแพลตฟอร์มในชื่อระดับการเข้าถึง - เลือกสร้างระดับการเข้าถึง
- เลือกโหมดขั้นสูง
- เพิ่มชื่อระดับการเข้าถึงและคำอธิบายตามต้องการ
คุณจะกําหนดระดับการเข้าถึงได้โดยการเขียนนิพจน์ CEL - สร้างระดับการเข้าถึงที่กําหนดเองในเครื่องมือแก้ไขนิพจน์ CEL
คุณต้องมีประสบการณ์ใช้งาน CEL จึงจะดําเนินการได้ โปรดดูคําแนะนําและตัวอย่างของนิพจน์ที่รองรับสําหรับการสร้างระดับการเข้าถึงที่กําหนดเองที่หัวข้อข้อกําหนดระดับการเข้าถึงที่กําหนดเอง - คลิกบันทึก
ระบบจะรวบรวมนิพจน์และรายงานข้อผิดพลาดทางไวยากรณ์- หากไม่มีข้อผิดพลาดทางไวยากรณ์ ระบบจะบันทึกระดับการเข้าถึงที่กําหนดเอง และคุณจะกําหนดระดับการเข้าถึงให้กับแอปได้
- หากมีข้อผิดพลาดทางไวยากรณ์ คุณจะเห็นข้อความให้แก้ไขข้อผิดพลาดเพื่อดําเนินการต่อ พร้อมข้อผิดพลาดของคอมไพเลอร์ (ซึ่งเป็นภาษาอังกฤษเท่านั้น) เกี่ยวกับนิพจน์ที่คุณเพิ่งสร้าง ให้คุณแก้ไขข้อผิดพลาดและบันทึกอีกครั้ง เมื่อระดับการเข้าถึงที่กําหนดเองไม่มีข้อผิดพลาดและได้รับการบันทึกแล้ว คุณก็จะกําหนดระดับการเข้าถึงให้กับแอปได้
ตัวอย่างระดับการเข้าถึงที่สร้างในโหมดขั้นสูง
ตัวอย่างด้านล่างแสดงระดับการเข้าถึงที่ต้องตรงตามเงื่อนไขต่อไปนี้เพื่ออนุญาตคำขอ
- อุปกรณ์ต้นทางมีการเข้ารหัส
- ต้องเป็นไปตามรายการต่อไปนี้อย่างน้อย 1 รายการ
- คําขอสร้างขึ้นในสหรัฐอเมริกา
- อุปกรณ์ที่สร้างคำขอได้รับการอนุมัติจากผู้ดูแลระบบโดเมน
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
โปรดดูตัวอย่างเพิ่มเติมได้ที่ตัวอย่างการเข้าถึงแบบ Context-Aware สำหรับโหมดขั้นสูง
ขั้นตอนต่อไป: กำหนดระดับการเข้าถึงให้แอป
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง