Niveaus voor contextbewuste toegang maken

1. Selecteer Toegangsniveaus.
   U ziet een lijst met ingestelde toegangsniveaus. Toegangsniveaus zijn hetzelfde in Google Workspace en Google Cloud. U ziet dus mogelijk toegangsniveaus in de lijst die u niet zelf heeft gemaakt. Als u wilt kunnen zien welk team een toegangsniveau heeft gemaakt, raden we u aan het platform in de naam van het toegangsniveau zetten.
2. Selecteer rechtsboven Toegangsniveau maken.
   Standaard is de basismodus geselecteerd. Stel het toegangsniveau in door er een of meer voorwaarden aan toe te voegen. Stel daarna elke voorwaarde in door een of meer kenmerken op te geven.

   Opmerking: We raden u af de Google Cloud Platform-interface (GCP) te gebruiken om contextbewuste toegangsniveaus toe te voegen of aan te passen als u alleen Workspace-klant bent. Als u toegangsniveaus toevoegt of wijzigt via een andere methode dan de interface voor contextbewuste toegang, ziet u mogelijk deze foutmelding: Er worden niet-ondersteunde kenmerken gebruikt in Google Workspace. Ook kunnen gebruikers worden geblokkeerd.

3. Voeg een naam en eventueel een beschrijving toe voor het toegangsniveau.
4. Kies voor de voorwaarde die u toevoegt voor het toegangsniveau een van de volgende opties voor gebruikers:
   • Ze voldoen aan de kenmerken: Gebruikers moeten voldoen aan alle kenmerken in de voorwaarde.
   • Ze voldoen niet aan de kenmerken: Gebruikers voldoen niet aan een of meer kenmerken in de voorwaarde. Met deze optie geeft u het tegenovergestelde op van de voorwaarde. Deze wordt het meest gebruikt voor IP-subnetkenmerken. Als u bijvoorbeeld een IP-subnet opgeeft en kiest voor de optie Ze voldoen niet, voldoen alleen gebruikers met een IP-adres buiten het opgegeven bereik aan de voorwaarde.
5. Klik op Kenmerk toevoegen om een of meer kenmerken toe te voegen aan de voorwaarde voor het toegangsniveau. U kunt de volgende kenmerken toevoegen:
   • IP-subnetwerk: IPv4- of IPv6-adres of routingsvoorvoegsel in CIDR-bloknotatie.
     • Privé-IP-adressen worden niet ondersteund (inclusief de thuisnetwerken van gebruikers).
     • Statische IP-adressen worden wel ondersteund.
     • Als u een dynamisch IP-adres wilt gebruiken, moet u een statisch IP-subnet opgeven voor het toegangsniveau. Als u het bereik van het dynamische IP-adres weet en het statische IP-adres dat u opgeeft binnen dat bereik valt, krijgen gebruikers toegang. Als het dynamische IP-adres niet binnen het opgegeven statische IP-subnet valt, krijgen gebruikers geen toegang.
   • Locatie: Landen/regio's van waaruit de gebruiker toegang heeft tot Google Workspace-services. Apparaten met interne IP-adressen worden niet ondersteund, omdat deze IP-adressen niet wereldwijd uniek zijn.
   • Apparaatbeleid (kies alleen het apparaatbeleid dat u wilt implementeren):
     • Goedkeuring door beheerder vereist (indien vereist moet het apparaat worden goedgekeurd)
     • Apparaat dat eigendom is van het bedrijf vereist
     • Schermvergrendeling vereist
     • Apparaatversleuteling (Niet ondersteund, Niet versleuteld, Versleuteld)
   • Apparaat-OS (gebruikers hebben alleen toegang tot Google Workspace via de besturingssystemen die u selecteert. Stel een minimumversie in voor het besturingssysteem of sta alle versies toe. Gebruik de indeling hoofdversie.subversie.patch voor de versie van het besturingssysteem.)—
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • Toegangsniveau (moet voldoen aan de vereisten van een bestaand toegangsniveau).
6. Als u nog een voorwaarde aan het toegangsniveau wilt toevoegen, klikt u op Voorwaarde toevoegen en voegt u kenmerken toe.
7. Geef de voorwaarden op waaraan gebruikers moeten voldoen):
   • AND: Gebruikers moeten voldoen aan de eerste voorwaarde en de toegevoegde voorwaarde.
   • OR: Gebruikers moeten voldoen aan slechts één van de voorwaarden.
8. Als u klaar bent met het toevoegen van voorwaarden voor toegangsniveaus, slaat u de definitie voor het toegangsniveau op door op Opslaan te klikken.
9. Kies wat u wilt doen met het toegangsniveau:
   • Wijs dit toegangsniveau toe aan apps.
   • Maak een regel voor gegevensbescherming met dit toegangsniveau. Als u deze optie kiest, wordt de wizard voor het maken van regels gestart. Bekijk meer informatie over hoe u regels voor gegevensbescherming combineert met niveaus voor contextbewuste toegang.

Voorbeeld van een toegangsniveau dat is gemaakt in de basismodus

In dit voorbeeld wordt een toegangsniveau gebruikt met de naam 'bedrijfstoegang'. Als 'bedrijfstoegang' wordt toegepast op Gmail, kunnen gebruikers Gmail alleen openen vanaf versleutelde apparaten die eigendom zijn van het bedrijf, en alleen vanuit de VS of Canada.

Naam van toegangsniveau	bedrijfstoegang
De gebruiker krijgt toegang als deze	Voldoet aan alle kenmerken in de voorwaarde
Voorwaarde 1 kenmerk	Apparaatbeleid    Apparaatversleuteling = versleuteld    Apparaat eigendom van het bedrijf = vereist
Voeg voorwaarde 1 en 2 samen door er de volgende operator tussen te plaatsen	AND
De gebruiker krijgt toegang als deze	Voldoet aan alle kenmerken in de voorwaarde
Voorwaarde 2 kenmerk	Geografische oorsprong    Landen = VS, Canada

Zie Voorbeelden van contextbewuste toegang voor de basismodus voor meer voorbeelden.

In deze modus kunt u toegangsniveaus maken die niet kunnen worden gemaakt in de voorwaardenbuilder voor de interface van contextbewuste toegang. Voorbeeld:

• Een beheerder wil toegangsniveaus maken met voorwaarden voor leveranciers, voor integraties met derden.
• U kunt sommige geavanceerde kenmerken niet gebruiken in de voorwaardeninterface in de basismodus, zoals de mogelijkheid om certificaatgebaseerde verificatie te gebruiken.

In deze modus maakt u een aangepast toegangsniveau in een bewerkingsvenster met Common Expression Language (CEL).

Toegangsniveaus instellen met de geavanceerde modus:

1. Selecteer Toegangsniveaus.
   U ziet een lijst met ingestelde toegangsniveaus. Toegangsniveaus zijn hetzelfde in Google Workspace, Cloud Identity en Google Cloud. U ziet dus mogelijk toegangsniveaus in de lijst die u niet zelf heeft gemaakt. Als u wilt kunnen zien welk team een toegangsniveau heeft gemaakt, raden we u aan het platform in de naam van het toegangsniveau zetten.
2. Selecteer Toegangsniveau maken.
3. Selecteer Geavanceerde modus.
4. Voeg een naam en eventueel een beschrijving toe voor het toegangsniveau.
   U stelt het toegangsniveau in door een CEL-expressie te maken.
5. Maak het aangepaste toegangsniveau in de editor voor CEL-expressies.
   Hiervoor moet u enige ervaring met CEL hebben. Zie Custom access level specification (Aangepaste toegangsniveaus opgeven) voor hulp en voorbeelden van ondersteunde expressies voor aangepaste toegangsniveaus.
6. Klik op Opslaan.
   De expressie wordt samengesteld en u krijgt een melding van eventuele syntaxisfouten.
   • Als er geen syntaxisfouten zijn, wordt het aangepaste toegangsniveau opgeslagen en kunt u het toewijzen aan apps.
   • Als er wel syntaxisfouten zijn, ziet u de melding Los de fouten op om door te gaan met de compilerfouten (alleen in het Engels) die specifiek zijn voor de gemaakte expressie. U kunt de fouten corrigeren en de expressie opnieuw opslaan. Als het aangepaste toegangsniveau geen fouten bevat en is opgeslagen, kunt u het toewijzen aan apps.

Voorbeeld van een toegangsniveau dat is gemaakt in de geavanceerde modus

In dit voorbeeld ziet u een toegangsniveau waarin aan de volgende voorwaarden moet worden voldaan om een verzoek toe te staan:

• Het apparaat waarvan het verzoek afkomstig is, is versleuteld.
• Een of meer van de volgende voorwaarden zijn van toepassing:
  • Het verzoek is afkomstig uit de Verenigde Staten.
  • Het apparaat waarvan het verzoek afkomstig is, is goedgekeurd door de domeinbeheerder.

 device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Zie Voorbeelden van contextbewuste toegang voor de geavanceerde modus voor meer voorbeelden.