Controlar el acceso a las aplicaciones según el contexto del usuario y del dispositivo

Proteger tu empresa con el acceso contextual

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Con el acceso contextual, puedes controlar el acceso a aplicaciones mediante políticas de seguridad detalladas que se basan en determinados atributos, como la identidad de los usuarios, su ubicación, la seguridad de los dispositivos o la dirección IP.

Puedes controlar el acceso de los usuarios en función de su contexto, como si su dispositivo cumple o no la política de TI de la organización.

Casos prácticos de ejemplo del acceso contextual

Puedes utilizar el acceso contextual en los siguientes casos:

  • Si quieres que solo se pueda acceder a aplicaciones desde los dispositivos de empresa
  • Si quieres que únicamente se pueda acceder a Drive desde dispositivos que tengan un sistema de almacenamiento cifrado
  • Si quieres restringir el acceso a aplicaciones desde redes que no sean las de la organización

Puedes combinar en una política varios de estos casos. Por ejemplo, puedes crear un nivel de acceso que solo permita acceder a aplicaciones desde dispositivos propiedad de la empresa que estén cifrados y tengan una versión específica o superior del sistema operativo.

Nota: Las políticas de acceso contextual solo pueden controlar el acceso a aplicaciones desde cuentas de usuario final. No restringen el acceso a las APIs de Google desde cuentas de servicio.

Compatibilidad con ediciones, aplicaciones, plataformas y tipos de administrador

Abrir sección  |  Ocultar todo y volver al principio

Acerca de las ediciones

Solo puedes aplicar las políticas del acceso contextual a los usuarios que tengan una licencia de una de las ediciones enumeradas en la parte superior de este artículo.

Los usuarios que tengan una edición de otro tipo pueden acceder a aplicaciones de la manera habitual, aunque pertenezcan a una unidad organizativa o un grupo que esté sujeto a una política de acceso contextual. Los usuarios que no tengan ninguna de las ediciones que se indican arriba no estarán sujetos a las políticas de acceso contextual que se hayan implementado obligatoriamente en su unidad organizativa o grupo.

Aplicaciones
Puedes aplicar políticas de acceso contextual a aplicaciones web de ordenador, a aplicaciones móviles y a aplicaciones nativas de ordenador. Una vez concedido, el acceso a las aplicaciones se evalúa continuamente, con la salvedad de las aplicaciones SAML, que se evalúan al iniciar sesión.

Aplicaciones de Google Workspace (servicios principales)

Las políticas de aplicaciones que son servicios principales se evalúan continuamente. Por ejemplo, si un usuario inicia sesión en un servicio principal en la oficina y luego se va a una cafetería, se vuelve a comprobar la política de acceso contextual de ese servicio cuando el usuario cambia de ubicación.

En esta tabla se muestran las aplicaciones compatibles con las aplicaciones web de ordenador, las aplicaciones móviles y las aplicaciones integradas en ordenadores.

Servicios principales

Aplicaciones web (ordenadores o móviles)

Aplicaciones integradas en móviles*
Los dispositivos móviles se administran con la gestión de endpoints de Google básica o avanzada.

Aplicaciones integradas en ordenadores

Google Calendar

 

Google Cloud Search

 

Google Drive y Documentos de Google (incluidos Hojas de cálculo, Presentaciones y Formularios)

(Google Drive para ordenadores)
Gemini    

Gmail

 

Google Meet

 

Google Vault

   

Grupos para empresas

   

Google Chat 

 

Servicio Jamboard

 

Google Keep

 

Google Sites

   

Google Tasks

 

Consola de administración de Google

 

* Notas de uso de las aplicaciones móviles: 

  • No puedes implementar obligatoriamente políticas de acceso contextual para aplicaciones integradas de terceros para móviles (por ejemplo, Salesforce). 
  • Puedes implementar obligatoriamente políticas de acceso contextual en aplicaciones SAML a las que se accede mediante el navegador web Chrome. 
  • Los dispositivos móviles se administran con la gestión de endpoints de Google básica o avanzada.

Servicios adicionales de Google

Las políticas de servicios adicionales de Google se evalúan continuamente. Estos servicios son solo para aplicaciones web.

  • Looker Studio: convierte los datos en gráficos e informes interactivos fáciles de leer.
  • Google Play Console: pon las aplicaciones Android que desarrolles a disposición de la amplia base de usuarios de Android, que no para de crecer.

Aplicaciones SAML

En el caso de las aplicaciones SAML, la evaluación de las políticas tiene lugar al iniciar sesión en la aplicación.

  • Esto incluye aplicaciones SAML de terceros que utilizan Google como proveedor de identidades. También se puede utilizar un proveedor de identidades externo, que se federa con Google Cloud Identity, mientras que Google Cloud Identity lo hace con las aplicaciones SAML. Consulta más información en el artículo Acerca de los servicios de inicio de sesión único.
  • Cuando un usuario inicia sesión en una aplicación SAML, se aplican obligatoriamente políticas de acceso contextual.

    Ejemplo: Si un usuario inicia sesión en una aplicación SAML en la oficina y luego se va a una cafetería, no se vuelve a comprobar la política de acceso contextual de esa aplicación SAML cuando el usuario cambia de ubicación. En aplicaciones de este tipo, la política solo se vuelve a comprobar cuando finaliza la sesión del usuario y este vuelve a iniciarla.

  • Si se aplica una política de dispositivos en un nivel de acceso, solo una aplicación SAML de terceros podrá aprobar a un usuario a través del navegador Chrome con la verificación de puntos finales habilitada.

  •  Si se aplica una política de dispositivos, se bloquea el acceso al navegador web en dispositivos móviles, incluidas las aplicaciones móviles que utilizan un navegador web para iniciar sesión.

Requisitos de plataforma

Puedes crear distintos tipos de políticas de acceso contextual que permitan acceder a aplicaciones: según la IP, el dispositivo, el origen geográfico o atributos de nivel de acceso personalizados.  Para obtener directrices y ejemplos de expresiones y atributos admitidos para crear niveles de acceso personalizados, consulta la especificación de niveles de acceso personalizados.

Consulta información detallada sobre los partners de BeyondCorp Alliance admitidos en el artículo Configurar integraciones con servicios de terceros.

Los contextos de plataforma admitidos, como el tipo de dispositivo, el sistema operativo y el acceso de navegador, varían según el tipo de política.

Entre los tipos de políticas, se incluyen los siguientes:

  • IP: indica un intervalo de direcciones IP desde las que los usuarios pueden conectarse a una aplicación
  • Política de dispositivos y SO de dispositivos: especifica las características de los dispositivos desde los que los usuarios pueden acceder a una aplicación; por ejemplo, si están cifrados o requieren introducir una contraseña
  • Origen geográfico: indica los países desde los que los usuarios pueden acceder a las aplicaciones

Contextos de plataforma compatibles con políticas de IPs y orígenes geográficos

Ten en cuenta que, si un proveedor de servicios de Internet cambia las direcciones IP en distintas regiones geográficas, se producirá un retraso mientras se aplican los cambios.  Durante este retraso, el acceso contextual puede bloquear a los usuarios si su acceso viene determinado por atributos de geolocalización.

  • Tipo de dispositivo: ordenador de escritorio, portátil o dispositivo móvil
  • Sistema operativo
    • Ordenador: Mac, Windows, ChromeOS, Linux OS
    • Móvil: Android, iOS
  • Acceso
    • Navegador web para ordenadores y Drive para ordenadores
    • Navegador web y aplicaciones propias integradas en móviles
  • Software: no se requiere ningún agente (excepto para Safari con Relay privado de Apple activado). Si has configurado Relay privado de Apple en iCloud, la dirección IP del dispositivo estará oculta. Google Workspace recibe una dirección IP anónima. En este caso, si se ha asignado un nivel de acceso contextual como subred de la IP, se denegará el acceso a Safari. Para solucionar este problema, desactiva Relay privado de Apple o quita el nivel de acceso que contenga subredes de la IP.

Contextos de plataforma compatibles con políticas de dispositivos

  • Tipo de dispositivo: ordenador de escritorio, portátil o dispositivo móvil
  • Sistema operativo
    • Ordenador: Mac, Windows, ChromeOS, Linux OS
    • Móvil: Android, iOS Ten en cuenta que, para verificar los endpoints en las versiones de Android anteriores a la 6.0, debes usar la gestión de endpoints de Google en el modo básico.
  • Propiedad de la empresa: no está disponible en los dispositivos con Android 12 ni versiones posteriores que tienen un perfil de trabajo. Estos dispositivos aparecen siempre como propiedad del usuario, aunque estén en el inventario de la empresa.  Puedes obtener más datos en el artículo Consultar la información de dispositivos móviles. En la sección Información disponible sobre los dispositivos, fíjate en la fila Propiedad de la tabla Información del dispositivo.
  • Acceso
    • Navegador Chrome para ordenadores y Drive para ordenadores
    • Navegador Chrome para aplicaciones propias integradas en móviles
  • Software
    • Ordenador: navegador web Chrome y extensión de Endpoint Verification de Chrome
    • Móvil: gestiona los dispositivos móviles con la gestión de endpoints de Google (ya sea básica o avanzada).
Requisitos de administrador
Estos son los administradores que pueden crear políticas de acceso contextual:
  • Superadministrador
  • Administrador que tenga todos estos privilegios:
    • Seguridad de los datos > Gestión del nivel de acceso
    • Seguridad de los datos > Gestión de reglas
    • Privilegios de la API de administración > Grupos > Lectura
    • Privilegios de la API de administración > Usuarios > Lectura 


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
11065038921211083621
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false