情境感知存取層級結合條件和值,可定義使用者或裝置的情境,這類存取層級界定了使用者可在哪些情境下存取應用程式。
舉例來說,您可以建立用於存取 Gmail 的存取層級,要求使用者必須從特定的 IP 位址範圍連線,且其裝置必須經過加密。
注意:在建立存取層級前,您應部署端點驗證作業,並啟用情境感知存取權。如需瞭解詳情,請參閱「部署情境感知存取權」中的「設定端點驗證作業和啟用情境感知存取權」一節。
建立存取層級
存取層級內含您定義的一或多個條件。使用者必須符合條件才能存取應用程式。您可以在存取層級條件中選取各種屬性,例如裝置政策、IP 子網路或其他存取層級。
您可以在 2 種不同的模式 (基本和進階) 中建立存取層級。基本模式提供預先定義的屬性清單,讓您可以從中選取。如果您需要使用介面上沒有的屬性,請改為在進階模式中建立自訂存取層級。
注意事項:修改存取層級後,變更會立即生效。請注意,在您變更存取層級後,便會立即對使用者造成影響。因此,請務必確認您要進行變更才執行動作。
- 選取 [存取層級]。
系統隨即會列出定義的存取層級。由於存取層級是 Google Workspace 和 Google Cloud 的共用資源,因此您可能會在這份清單中看到他人建立的存取層級。為了標示哪個團隊建立了存取層級,建議您在存取層級名稱中加入平台名稱。 - 選取右上方的 [建立存取層級]。
根據預設,系統會選取基本模式。您必須為存取層級新增一或多個條件,藉此定義存取層級。接下來,請指定一或多個屬性來定義各個條件。注意:如果您只有使用 Google Workspace,建議您不要使用 Google Cloud Platform (GCP) 介面新增或修改情境感知存取層級。如果您透過情境感知存取權介面以外的方式新增或變更存取層級,就可能收到下列錯誤訊息:「在 Google Workspace 使用了不支援的屬性」,且使用者可能會遭到封鎖。
- 新增存取層級名稱和選填說明。
- 針對您新增的存取層級條件,指定在以下情況下該條件是否適用:
- 符合屬性:使用者必須符合條件中的所有屬性。
- 不符合屬性:使用者不符合條件中的任何屬性。該選項指定相反的條件,最常用於 IP 子網路屬性。舉例來說,如果您指定了 IP 子網路和「不符合」選項,那麼只有指定 IP 位址範圍外的使用者才會符合條件。
- 按一下 [新增屬性],在存取層級條件中新增一或多個屬性。您可以新增的屬性包括:
- IP 子網路:IPv4 或 IPv6 位址,或是採用 CIDR 區塊標記法的路徑前置字元。
- 不支援私人 IP 位址 (包括使用者的家用網路)。
- 支援靜態 IP 位址。
- 如要使用動態 IP 位址,您必須為存取層級定義靜態 IP 子網路。如果您知道動態 IP 位址的範圍,且在存取層級中定義的靜態 IP 位址涵蓋該範圍,則系統會授予存取權。如果動態 IP 位址不在定義的靜態 IP 子網路範圍內,系統會拒絕存取權。
- 地區:使用者存取 Google Workspace 服務時所在的國家/地區。系統不支援具有內部 IP 位址的裝置,因為這些 IP 位址並非全域唯一。
- 裝置政策 (僅選擇您需要採用的裝置政策):
- 必須獲得管理員核准 (如果選擇 [必要],裝置將須經過核准)
- 必須是公司擁有的裝置
- 必須啟用螢幕鎖定功能
- 裝置加密 (不支援、未加密、已加密)
- 裝置 OS (使用者僅能透過您選取的作業系統存取 Google Workspace。請允許使用所有版本,或使用 <主版號>.<次版號>.<修訂號> 格式設定最低作業系統版本):
- macOS
- Windows
- Linux
- ChromeOS
- iOS
- Android
- 存取層級 (必須符合某個現有存取層級的要求)。
- IP 子網路:IPv4 或 IPv6 位址,或是採用 CIDR 區塊標記法的路徑前置字元。
- 如要為存取層級新增其他條件,請按一下 [新增條件] 並新增條件屬性。
- 指出使用者必須符合的條件:
- 且:使用者必須符合第一個條件和新增的條件。
- 或:使用者僅須符合其中一個條件。
- 存取層級條件新增完成後,請按一下「儲存」,儲存存取層級的定義。
- 選擇要透過存取層級執行的動作:
- 將這個存取層級指派給應用程式。
- 使用這個存取層級建立資料保護規則。如果您選擇這個選項,系統就會啟動規則建立精靈。請參閱這篇文章,進一步瞭解如何結合資料保護規則與情境感知存取權層級。
在基本模式中建立存取層級的範例
這個範例使用的是「corp_access」這個存取層級。當「corp_access」套用至 Gmail 時,使用者就只能透過加密的公司裝置存取 Gmail,且只能從美國或加拿大存取。
| 存取層級名稱 | corp_access |
| 使用者獲得存取權的條件 | 符合條件中的所有屬性 |
| 條件 1 屬性 |
裝置政策 |
| 將條件 1 和條件 2 統整在一起 | 且 |
| 使用者獲得存取權的條件 | 符合條件中的所有屬性 |
| 條件 2 屬性 |
地理位置來源
|
如需查看更多範例,請參閱基本模式的情境感知存取權範例。
這個模式可讓您建立無法在情境感知存取權介面條件建構工具中建立的存取層級。舉例來說:
- 管理員可能須建立包含廠商條件的存取層級,來進行第三方整合。
- 部分進階屬性無法透過基本模式條件介面存取,例如使用憑證式驗證。
在這個模式下,您必須使用一般運算語言 (CEL),在編輯視窗中建立自訂存取層級。
如何使用進階模式定義存取層級:
- 選取 [存取層級]。
系統隨即會列出定義的存取層級。由於存取層級是 Google Workspace、Cloud Identity 和 Google Cloud 的共用資源,因此您可能會在這份清單中看到他人建立的存取層級。為了標示哪個團隊建立了存取層級,建議您在存取層級名稱中加入平台名稱。 - 選取 [建立存取層級]。
- 選取 [進階模式]。
- 新增存取層級名稱和選填說明。
您必須編寫 CEL 運算式來定義存取層級。 - 在 CEL 運算式編輯器中建立自訂存取層級。
您需要一些編寫 CEL 的經驗才能這麼做。針對用於建立自訂存取層級的支援運算式,如果您需要相關指引和範例,可以參閱自訂存取層級詳細說明。 - 按一下 [儲存]。
運算式會經過編譯,且系統會回報任何語法錯誤。- 如果沒有任何語法錯誤,系統就會儲存自訂存取層級,而您可以指派存取層級給應用程式。
- 如果有語法錯誤,系統會顯示 [修正錯誤以繼續] 訊息,以及與您剛建立的運算式相關的特定編譯器錯誤 (僅提供英文版)。請修正錯誤並重新儲存。如果自訂存取層級沒有任何錯誤且已儲存,您就可以將這個存取層級指派給應用程式。
在進階模式中建立存取層級的範例
以下範例顯示的存取層級必須符合下列條件才能發出要求:
- 來源裝置已經過加密。
- 下列一或多項敘述為真:
- 要求來自美國。
- 提出要求的來源裝置已經過網域管理員核准。
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
如需查看更多範例,請參閱進階模式的情境感知存取權範例。
下一步:指派應用程式的存取層級
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。