Tworzenie poziomów dostępu zależnego od kontekstu

1. Wybierz Poziomy dostępu.
   Zobaczysz listę zdefiniowanych poziomów dostępu. Poziomy dostępu są używane jednocześnie w usługach Google Workspace i Google Cloud. Dlatego na liście możesz zobaczyć poziomy dostępu, które nie zostały utworzone przez Ciebie. Aby było jasne, który zespół utworzył dany poziom dostępu, rozważ umieszczenie nazwy platformy w nazwie tworzonego poziomu.
2. W prawym górnym rogu kliknij Utwórz poziom dostępu.
   Domyślnie wybrany jest tryb podstawowy. Aby utworzyć poziom dostępu, dodaj do niego co najmniej 1 warunek. Następnie zdefiniuj każdy warunek, określając co najmniej 1 atrybut.

   Uwaga: jeśli korzystasz tylko z Google Workspace, nie zalecamy dodawania ani modyfikowania poziomów dostępu zależnego od kontekstu za pomocą interfejsu Google Cloud Platform (GCP). Jeśli dodasz lub zmienisz poziomy dostępu inaczej niż za pomocą interfejsu dostępu zależnego od kontekstu, może pojawić się komunikat o błędzie „W Google Workspace używane są nieobsługiwane atrybuty”, a użytkownicy mogą zostać zablokowani.

3. Dodaj nazwę i (opcjonalnie) opis poziomu dostępu.
4. W dodanym warunku określ, czy ma obowiązywać, kiedy użytkownicy:
   • Spełniają atrybuty – użytkownicy muszą spełniać wszystkie atrybuty warunku.
   • Nie spełniają atrybutów – użytkownicy nie spełniają żadnych atrybutów warunku. Ta opcja określa przeciwieństwo warunku i najczęściej jest używana w przypadku atrybutów określających podsieć IP. Jeśli na przykład określisz podsieć IP i wybierzesz opcję „nie spełniają”, wówczas tylko użytkownicy z adresami IP spoza określonego zakresu będą spełniać warunek.
5. Kliknij opcję Dodaj atrybut, aby dodać co najmniej 1 atrybut do warunku poziomu dostępu. Poniżej znajdują się atrybuty do wyboru.
   • Podsieć IP – adres IPv4 lub IPv6 albo prefiks routingu w notacji CIDR.
     • Prywatne adresy IP (w tym sieci domowe użytkownika) nie są obsługiwane.
     • Statyczne adresy IP są obsługiwane.
     • Aby używać dynamicznego adresu IP, musisz zdefiniować statyczny adres IP podsieci na poziomie dostępu. Jeśli znasz zakres dynamicznego adresu IP, a statyczny adres IP zdefiniowany w ramach poziomu dostępu obejmuje ten zakres, dostęp zostanie przyznany. Jeśli dynamiczny adres IP nie należy do zdefiniowanej statycznej podsieci IP, nastąpi odmowa dostępu.
   • Lokalizacja – kraje/regiony, z których użytkownik uzyskuje dostęp do usług Google Workspace. Urządzenia z wewnętrznymi adresami IP nie są obsługiwane, ponieważ te adresy nie są unikalne globalnie.
   • Zasady dotyczące urządzeń – wybierz tylko te zasady, które musisz wdrożyć:
     • Zatwierdzenie przez administratora jest wymagane (jeśli jest to wymagane, urządzenie musi zostać zatwierdzone);
     • Urządzenie należące do firmy jest wymagane;
     • Blokada ekranu jest wymagana;
     • Szyfrowanie urządzenia (Funkcja jest nieobsługiwana, Niezaszyfrowane, Zaszyfrowane).
   • System operacyjny urządzenia – użytkownicy mogą uzyskać dostęp do Google Workspace wyłącznie na systemach operacyjnych, które wybierzesz. Możesz ustawić minimalną wersję systemu operacyjnego lub pozwolić na dowolną wersję. Wersję systemu podaj w formacie główna.podrzędna.poprawka:
     • macOS,
     • Windows,
     • Linux,
     • Chrome OS,
     • iOS,
     • Android.
   • Poziom dostępu – użytkownik musi spełniać wymagania utworzonego wcześniej poziomu dostępu.
6. Aby dodać kolejny warunek do poziomu dostępu, kliknij opcję Dodaj warunek i wybierz dla niego atrybuty.
7. Określ warunki, które muszą spełnić użytkownicy:
   • I – użytkownicy muszą spełniać pierwszy warunek oraz dodany warunek.
   • Lub – użytkownicy muszą spełniać tylko jeden z warunków.
8. Po dodaniu warunków zapisz definicję poziomu dostępu, klikając przycisk Zapisz.
9. Wybierz, co zrobić z poziomem dostępu:
   • Przypisz ten poziom dostępu aplikacjom.
   • Utwórz regułę ochrony danych określającą poziom dostępu. Jeśli zdecydujesz się na ten krok, uruchomisz kreator tworzenia reguł. Dowiedz się więcej o łączeniu reguł ochrony danych z poziomami dostępu zależnego od kontekstu.

Przykładowy poziom dostępu utworzony w trybie podstawowym

Ten przykładowy poziom dostępu ma nazwę „dostęp_firmowy”. Po jego zastosowaniu w Gmailu użytkownicy będą mogli uzyskać dostęp do tej usługi tylko za pomocą zaszyfrowanego urządzenia należącego do firmy oraz wyłącznie z terytorium USA lub Kanady.

Nazwa poziomu dostępu	dostęp_firmowy
Użytkownik uzyska dostęp, jeśli:	spełni wszystkie atrybuty warunku
Atrybut warunku 1	Zasady dotyczące urządzeń    Szyfrowanie urządzenia = Zaszyfrowane    Urządzenia należące do firmy = Wymagane
Połączenie warunków 1 i 2 przy użyciu operatora	I
Użytkownik uzyska dostęp, jeśli:	spełni wszystkie atrybuty warunku
Atrybut warunku 2	Pochodzenie geograficzne    Kraje = USA, Kanada

Więcej przykładów znajdziesz w artykule zawierającym przykłady dostępu zależnego od kontekstu w trybie podstawowym.

Tryb zaawansowany umożliwia tworzenie poziomów dostępu, których nie można utworzyć za pomocą narzędzia do definiowania warunków znajdującego się w interfejsie dostępu zależnego od kontekstu. Przykład:

• Może być koniecznie utworzenie przez administratora poziomów dostępu obejmujących warunki dostawcy w celu integracji z usługami innych firm.
• Niektóre atrybuty zaawansowane, takie jak możliwość uwierzytelniania za pomocą certyfikatów, są niedostępne w interfejsie trybu podstawowego.

Okno edycji trybu zaawansowanego umożliwia utworzenie niestandardowego poziomu dostępu za pomocą języka CEL (Common Expression Language).

Aby utworzyć poziomy dostępu w trybie zaawansowanym:

1. Wybierz Poziomy dostępu.
   Zobaczysz listę zdefiniowanych poziomów dostępu. Poziomy dostępu są żywane jednocześnie w usługach Google Workspace, Cloud Identity i Google Cloud. Dlatego na liście możesz zobaczyć poziomy, które nie zostały utworzone przez Ciebie. Aby było jasne, który zespół utworzył dany poziom dostępu, rozważ umieszczenie nazwy platformy w nazwie tworzonego poziomu.
2. Wybierz Utwórz poziom dostępu.
3. Wybierz Tryb zaawansowany.
4. Dodaj nazwę i (opcjonalnie) opis poziomu dostępu.
   Napisz wyrażenie w języku CEL, aby zdefiniować poziom dostępu.
5. Utwórz niestandardowy poziom dostępu w edytorze wyrażeń CEL.
   Aby to zrobić, przyda Ci się nieco doświadczenia z językiem CEL. Wskazówki i przykłady obsługiwanych wyrażeń, których można użyć do tworzenia niestandardowych poziomów dostępu, znajdziesz w specyfikacji niestandardowych poziomów dostępu (w języku angielskim).
6. Kliknij Zapisz.
   Wyrażenie zostanie skompilowane, a wszystkie ewentualne błędy w składni zostaną zgłoszone.
   • Jeśli system nie wykryje żadnych błędów w składni, Twój niestandardowy poziom dostępu zostanie zapisany i będzie można go przypisać do wybranych aplikacji.
   • W przeciwnym razie zobaczysz komunikat Aby kontynuować, popraw błędy oraz listę wykrytych w Twoim wyrażeniu błędów kompilatora (tylko w języku angielskim). Po poprawieniu błędów będzie można podjąć kolejną próbę zapisania poziomu dostępu. Jeśli Twój niestandardowy poziom dostępu nie zawiera żadnych błędów i został poprawnie zapisany, będzie można go przypisać do wybranych aplikacji.

Przykładowy poziom dostępu utworzony w trybie zaawansowanym

Poniżej znajdziesz przykładowy poziom dostępu, który wymaga spełnienia wymienionych warunków, aby umożliwić realizację żądania.

• Urządzenie źródłowe jest zaszyfrowane.
• Spełniono co najmniej 1 z następujących warunków:
  • Żądanie pochodzi ze Stanów Zjednoczonych.
  • Urządzenie, z którego pochodzi żądanie, zostało zatwierdzone przez administratora domeny.

 device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Więcej przykładów znajdziesz w artykule zawierającym przykłady dostępu zależnego od kontekstu w trybie zaawansowanym.