Controlar o acesso a apps com base no contexto do usuário e do dispositivo

Criar níveis de acesso baseado no contexto

Os níveis de acesso baseado no contexto combinam condições e valores que definem o contexto de um usuário ou dispositivo. Esses níveis de acesso definem o contexto em que os usuários acessam os apps.

Por exemplo, você pode criar um nível de acesso ao Gmail que exija a conexão a um determinado intervalo de endereços IP e a criptografia dos dispositivos.

Observação: antes de criar um nível de acesso, você precisa implantar a verificação de endpoints e ativar o acesso baseado no contexto. Veja mais detalhes em "Configurar a verificação de endpoints" e "Ativar o acesso baseado no contexto" em Implantar o acesso baseado no contexto .

Criar um nível de acesso

Os níveis de acesso são compostos por uma ou mais condições definidas por você. Para acessar os apps, os usuários precisam atender às condições. Você pode selecionar os atributos das condições de nível de acesso, como a política do dispositivo, a sub-rede IP ou outro nível de acesso.

É possível criar os níveis de acesso nos modos básico e avançado. O Modo básico mostra uma lista de atributos predefinidos para você selecionar. Se você precisar usar outros atributos, crie um nível de acesso personalizado no Modo avançado. 

Observação: quando você modifica um nível de acesso, as mudanças são aplicadas imediatamente. As mudanças nos níveis de acesso vão afetar seus usuários, assim que você fizer as alterações. Confira se as mudanças são intencionais.

Abrir seção  |  Recolher tudo e voltar ao início

Definir níveis de acesso: Modo básico

  1. Selecione Níveis de acesso.
    Aparecerá uma lista com níveis de acesso definidos. Como esses recursos são compartilhados entre o Google Workspace e o Google Cloud, talvez apareçam níveis de acesso que você não criou. Para indicar a equipe que criou um nível de acesso, você pode incluir a plataforma no nome do nível de acesso.
  2. No canto superior direito, selecione Criar nível de acesso.
    O Modo básico é selecionado por padrão. Defina o nível de acesso adicionando uma ou mais condições. Em seguida, defina cada condição especificando um ou mais atributos.

    Observação: recomendamos que você não use a interface do Google Cloud Platform (GCP) para adicionar ou modificar níveis de acesso baseado no contexto, se você for um cliente apenas do Workspace. Se você adicionar ou mudar os níveis de acesso usando um método que não seja a interface de acesso baseado no contexto, a seguinte mensagem de erro pode aparecer: Atributos não compatíveis estão sendo usados no Google Workspace e os usuários podem ter o acesso bloqueado.

  3. Adicione um nome e uma descrição opcional ao nível de acesso.
  4. Especifique se a condição do nível de acesso que você adicionar será aplicável quando o usuário:
    • Tiver os atributos: os usuários precisam ter todos os atributos na condição.
    • Não tiverem os atributos: os usuários não têm os atributos na condição. Esta opção especifica o oposto da condição e é usada com mais frequência para atributos de sub-rede IP. Por exemplo, se você especificar uma sub-rede IP e “Não atender às condições”, somente os usuários com endereços IP fora do intervalo especificado atenderão à condição.
  5. Clique em Adicionar atributo para adicionar um ou mais atributos à condição de nível de acesso. Estes são os atributos que você pode incluir:
    • Sub-rede IP: digite um endereço IPv4 ou IPv6 ou um prefixo de roteamento na notação de bloco CIDR.
      • Os endereços IP particulares não são compatíveis, incluindo as redes domésticas do usuário. 
      • Os endereços IP estáticos são compatíveis.
      • Para usar um endereço IP dinâmico, defina uma sub-rede IP estática para o nível de acesso. Se você souber o intervalo do endereço IP dinâmico e o endereço IP estático definido no nível de acesso abranger esse intervalo, esse acesso será concedido. O acesso é negado quando o endereço IP dinâmico não está na sub-rede IP estático definido. 
    • Local: países em que o usuário acessa os serviços do Google Workspace. Os dispositivos com endereços IP internos não são compatíveis porque não são globalmente exclusivos.
    • Política do dispositivo (apenas as que você precisa implementar)
      • A aprovação do administrador é obrigatória (neste caso, o dispositivo precisará ser aprovado)
      • Um dispositivo da empresa é obrigatório
      • O bloqueio de tela é obrigatório
      • Criptografia do dispositivo (não compatível, não criptografado, criptografado)
    • Sistema operacional do dispositivo Os usuários só poderão acessar o Google Workspace nos sistemas operacionais que você selecionar. Defina uma versão mínima ou permita qualquer versão. Use o formato mais recente.mais antiga.patch para a versão do sistema operacional.
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Nível de acesso (precisa atender aos requisitos de um nível de acesso existente)
  6. Para adicionar outra condição ao nível de acesso, clique em Adicionar condição e adicione atributos.
  7. Indique as condições que os usuários precisam atender:
    • And: os usuários precisam atender à primeira condição e à condição adicionada.
    • Or: os usuários precisam atender a apenas uma das condições.
  8. Quando terminar de adicionar condições de nível de acesso, salve a definição de nível de acesso clicando em Salvar.
  9. Escolha o que fazer com o nível de acesso:
    • Atribua o nível de acesso a apps.
    • Crie uma regra de proteção de dados com esse nível de acesso. Se você escolher esta opção, iniciará o assistente de criação de regras. Saiba mais sobre como combinar regras de proteção de dados com níveis de Acesso baseado no contexto.

Exemplo de nível de acesso: criado no Modo básico

Este exemplo mostra um nível de acesso chamado “corp_access”. Quando ele é aplicado ao Gmail, os usuários só podem acessar o serviço em um dispositivo criptografado, empresarial e apenas nos EUA e no Canadá.

Nome do nível de acesso corp_access
Um usuário terá acesso se Tiver todos os atributos da condição
Atributo da condição 1

Política do dispositivo
   Criptografia do dispositivo = criptografado
   Dispositivo da empresa = obrigatório

Unir a condição 1 e a condição 2 com AND
Um usuário terá acesso se Tiver todos os atributos da condição
Atributo da condição 2

Origem geográfica
   Países = EUA, Canadá

 

Veja mais em Exemplos de acesso baseado no contexto para o modo básico.

Definir níveis de acesso: Modo avançado

Nesse modo, é possível criar níveis de acesso que não podem ser gerados no Criador de condições da interface do acesso baseado no contexto. Exemplo:

  • Talvez o administrador precise criar níveis de acesso que incluam as condições do fornecedor para integrações com terceiros.
  • Alguns atributos avançados não são acessíveis na interface de condição do Modo básico, como a capacidade de usar a autenticação baseada em certificado.

Nesse modo, você cria seu nível de acesso personalizado em uma janela de edição usando a Common Expression Language (CEL). 

Para definir os níveis de acesso usando o Modo avançado, faça o seguinte:

  1. Selecione Níveis de acesso.
    Aparecerá uma lista com níveis de acesso definidos. Como esses recursos são compartilhados entre o Google Workspace, o Cloud Identity e o Google Cloud, talvez apareçam níveis de acesso que você não criou. Para indicar a equipe que criou um nível de acesso, você pode incluir a plataforma no nome do nível de acesso.
  2. Selecione Criar nível de acesso.
  3. Selecione Modo avançado.
  4. Adicione um nome e uma descrição opcional ao nível de acesso.
    Para definir o nível de acesso, escreva uma expressão CEL.
  5. Crie seu nível de acesso personalizado no editor de expressão de CEL. 
    Para isso, você precisa ter alguma experiência com CEL. Veja orientações e exemplos de expressões aceitas para criar níveis de acesso personalizados em Especificação do nível de acesso personalizado.
  6. Clique em Salvar.
    A expressão é compilada, e todos os erros de sintaxe são relatados.
    • Quando não ocorrem erros de sintaxe, seu nível de acesso personalizado é salvo e pode ser atribuído a apps.
    • Do contrário, aparece a mensagem Corrigir erros para continuar, que mostra os erros do compilador (somente em inglês) referentes à expressão que você acabou de criar. Corrija o erro e salve novamente. Quando o nível de acesso personalizado é salvo sem erros, você pode atribuí-lo a apps.

Exemplo de nível de acesso: criado no Modo avançado.

Neste exemplo, o nível de acesso apresenta as seguintes condições para permitir uma solicitação:

  • O dispositivo de origem foi criptografado.
  • Um ou mais itens a seguir são verdadeiros:
    • A solicitação foi originada nos Estados Unidos.
    • O dispositivo de origem da solicitação foi aprovado pelo administrador do domínio.

 device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Veja mais em Exemplos de acesso baseado no contexto para o Modo avançado.

Próximas etapas: atribuir níveis de acesso a apps


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
653979374718226835
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false