Contrôler l'accès aux applications en fonction du contexte d'un utilisateur et d'un appareil

Protéger votre entreprise avec l'accès contextuel

Éditions compatibles avec cette fonctionnalité: Frontline Standard; Enterprise Standard et Enterprise Plus; Education Standard et Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Comparer votre édition

Grâce à l'accès contextuel, vous pouvez créer des règles de sécurité précises pour le contrôle des accès, sur la base d'attributs comme l'identité des utilisateurs, le lieu, le niveau de sécurité des appareils et l'adresse IP.

Vous contrôlez l'accès des utilisateurs en fonction de leur contexte, par exemple la conformité de leur appareil aux règles informatiques de votre organisation.

Exemples d'utilisation de l'accès contextuel

L'accès contextuel permet d'effectuer les actions suivantes :

Autoriser l'accès aux applications seulement depuis les appareils fournis par l'entreprise
Autoriser l'accès à Drive uniquement si l'appareil de stockage de l'utilisateur est chiffré
Restreindre l'accès aux applications hors du réseau de l'entreprise

Vous pouvez également combiner plusieurs cas d'utilisation dans une même règle. Par exemple, vous pouvez créer un niveau d'accès qui oblige les utilisateurs à accéder à l'application depuis des appareils appartenant à l'entreprise, chiffrés et ayant au minimum une certaine version du système d'exploitation.

Remarque : Les règles d'accès contextuel ne peuvent contrôler l'accès aux applications que depuis les comptes d'utilisateurs finaux. Elles ne limitent pas l'accès aux API Google depuis des comptes de service.

Compatibilité avec les éditions, applications, plates-formes et types d'administrateurs

Ouvrir la section | Tout réduire et revenir en haut de la page

À propos des éditions

Applications

Vous pouvez appliquer des règles d'accès contextuel aux applications Web et intégrées, sur ordinateur et applications mobiles. L'accès aux applications, une fois accordé, est évalué en permanence. Ce n'est pas le cas pour les applications SAML, dont les règles sont évaluées lors de la connexion.

Applications Google Workspace (services principaux)

L'évaluation des règles est permanente pour les applications qui sont également des services principaux. Par exemple, si un utilisateur se connecte à un service principal au bureau, puis se rend dans un café, une règle d'accès contextuel pour ce service est de nouveau vérifiée lorsqu'il change d'emplacement.

Ce tableau présente les services compatibles pour applications Web et intégrées, sur ordinateur et applications mobiles.

Services principaux	Applications Web (mobiles ou sur ordinateur)	Applications intégrées sur les appareils mobiles* (Les appareils mobiles sont gérés à l'aide de la gestion Google des points de terminaison de base ou avancée.)	Applications intégrées sur ordinateur
Google Agenda	✔	✔
Google Cloud Search	✔	✔
Google Drive et Google Docs (y compris Sheets, Slides et Forms)	✔	✔	✔ (Google Drive pour ordinateur)
Gemini	✔
Gmail	✔	✔
Google Meet	✔	✔
Google Vault	✔
Groups for Business	✔
Google Chat	✔	✔
Google Keep	✔	✔
Google Sites	✔
Google ToDo	✔	✔
Console d'administration Google	✔	✔
NotebookLM	✔

* Remarques sur la compatibilité avec les applications mobiles :

Vous ne pouvez pas appliquer de règles d'accès contextuel aux appareils mobiles pour les applications intégrées tierces (Salesforce, par exemple).
Vous pouvez appliquer des règles d'accès contextuel pour les applications SAML dont l'accès se fait depuis le navigateur Web Chrome.
Les appareils mobiles sont gérés à l'aide de la gestion Google des points de terminaison de base ou avancée.

Services Google supplémentaires

Pour les services Google supplémentaires, l'évaluation des règles est continue. Ces services sont des applications Web uniquement.

Looker Studio : transforme les données en graphiques faciles à lire et en rapports interactifs.
Google Play Console : proposez des applications Android que vous développez à la base grandissante d'utilisateurs Android.

Applications SAML

L'évaluation des règles pour les applications SAML est effectuée lors de la connexion à l'application.

Cela inclut les applications SAML tierces qui utilisent Google comme fournisseur d'identité. Le recours à un fournisseur d'identité tiers est également possible (le fournisseur tiers est associé à Google Cloud Identity, et Google Cloud Identity aux applications SAML). Pour en savoir plus, consultez À propos du SSO.
Les règles d'accès contextuel sont appliquées lorsqu'un utilisateur se connecte à une application SAML.
Exemple : Si un utilisateur se connecte à une application SAML au bureau, puis se rend dans un café, les règles d'accès contextuel pour cette application SAML ne sont pas vérifiées de nouveau lorsque l'utilisateur change d'emplacement. Pour les applications SAML, la règle n'est vérifiée de nouveau qu'à la fin de la session de l'utilisateur et lors de sa reconnexion.
Si une règle relative aux appareils est appliquée à un niveau d'accès, un utilisateur ne peut être approuvé que par une application SAML tierce via le navigateur Chrome sur lequel la validation des points de terminaison est activée.
Si une règle relative aux appareils est appliquée, l'accès au navigateur Web sur mobile (y compris les applications mobiles qui utilisent un navigateur Web pour la connexion) est bloqué.

Exigences liées aux plates-formes

Vous pouvez créer différents types de règles d'accès contextuel pour accéder aux applications : en fonction d'attributs tels que l'adresse IP, l'appareil, l'origine géographique et le niveau d'accès personnalisé. Pour obtenir des conseils et des exemples d'attributs et d'expressions compatibles avec la création de niveaux d'accès personnalisés, consultez Spécification de niveaux d'accès personnalisés.

Pour en savoir plus sur les partenaires BeyondCorp Alliance compatibles, consultez Configurer les intégrations partenaires tierces.

Les plates-formes compatibles telles que le type d'appareil, le système d'exploitation ou l'accès via un navigateur varient en fonction du type de règle.

Les types de règles incluent les suivants :

Adresse IP : permet de spécifier une plage d'adresses IP depuis lesquelles un utilisateur peut se connecter à une application.
Règles relatives aux appareils et système d'exploitation de l'appareil : permet de spécifier les caractéristiques de l'appareil avec lequel un utilisateur accède à une application, par exemple si l'appareil est chiffré ou nécessite un mot de passe.
Origine géographique : permet de spécifier les pays dans lesquels un utilisateur peut accéder aux applications.

Plates-formes compatibles avec les règles relatives à l'adresse IP et à l'origine géographique

Notez que si un fournisseur d'accès à Internet (FAI) modifie les adresses IP de différentes régions géographiques, un délai peut être nécessaire pour que ces modifications soient prises en compte. Pendant ce délai, l'accès contextuel peut bloquer les utilisateurs si leur accès est conditionné par des attributs de géolocalisation.

Type d'appareil : ordinateur de bureau, ordinateur portable ou appareil mobile
Système d'exploitation
- Sur ordinateur : Mac, Windows, ChromeOS, système d'exploitation Linux
- Sur un appareil mobile : Android, iOS
Accès
- Navigateur Web pour ordinateur et Drive pour ordinateur
- Navigateur Web et applications propriétaires intégrées sur appareil mobile
Logiciel : aucun agent n'est nécessaire (sauf si Safari est activé avec Apple Private Relay). Si Apple Private Relay est configuré dans iCloud, l'adresse IP de l'appareil est masquée. Google Workspace reçoit une adresse IP anonyme. Dans ce cas, si un niveau d'accès contextuel est attribué en tant que sous-réseau IP, l'accès à Safari est refusé. Pour résoudre ce problème, désactivez Apple Private Relay ou supprimez le niveau d'accès qui contient les sous-réseaux IP.

Plates-formes compatibles avec les règles relatives aux appareils

Type d'appareil : ordinateur de bureau, ordinateur portable ou appareil mobile
Système d'exploitation
- Sur ordinateur : Mac, Windows, ChromeOS, système d'exploitation Linux
- Sur un appareil mobile : Android, iOS Notez que pour les versions antérieures à Android 6.0, vous devez utiliser la gestion Google des points de terminaison en mode de base pour la validation des points de terminaison.
Détenu par l'entreprise : cette option n'est pas disponible pour les appareils équipés d'Android 12 ou version ultérieure et d'un profil professionnel. Ces appareils sont toujours signalés comme appartenant à l'utilisateur, même s'ils font partie de l'inventaire de l'entreprise. Pour en savoir plus, consultez Afficher des détails sur les appareils mobiles, "En savoir plus sur les détails de l'appareil", et dans le tableau "Données concernant l'appareil utilisé", faites défiler la page jusqu'à la ligne "Propriété".
Accès
- Navigateur Chrome pour ordinateur et Drive pour ordinateur
- Navigateur Chrome pour les applications propriétaires intégrées sur appareil mobile
Logiciels
- Ordinateur de bureau : navigateur Web Chrome, extension Chrome Endpoint Verification
- Mobile : gérez les appareils mobiles avec la gestion Google des points de terminaison (de base ou avancée).

Conditions requises pour les administrateurs

_{Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.}

Choisissez la section sur laquelle vous souhaitez donner votre avis

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?