Proteggere l'attività con l'accesso sensibile al contesto

App Google Workspace (servizi principali)

Per le app dei servizi principali, la valutazione dei criteri è continua. Ad esempio: se un utente accede a un servizio principale in ufficio e poi si dirige verso un bar, un criterio di accesso sensibile al contesto per quel servizio viene ricontrollato quando cambia il luogo in cui si trova l'utente.

Questa tabella mostra le app supportate per app web sul desktop, app per dispositivi mobili e app integrate sul desktop.

*Le app per dispositivi mobili supportano le note: 

• Non puoi forzare l'applicazione dei criteri di accesso sensibile al contesto per i dispositivi mobili su app integrate di terze parti (ad esempio, Salesforce). 
• Puoi applicare i criteri di accesso sensibile al contesto alle app SAML accessibili tramite il browser web Chrome. 
• I dispositivi mobili sono gestiti usando Gestione degli endpoint Google di base o avanzata.

Servizi Google aggiuntivi

Per i servizi Google aggiuntivi, la valutazione dei criteri è continua. Questi servizi sono disponibili soltanto sotto forma di app web.

• Looker Studio: trasforma i tuoi dati in grafici di facile lettura e report interattivi.
• Google Play Console: metti a disposizione della base utenti in rapida crescita di Android le applicazioni di tua creazione.

App SAML

Per le app SAML, la valutazione dei criteri avviene all'accesso all'app.

• Sono incluse le app SAML di terze parti che utilizzano Google come provider di identità. È anche possibile utilizzare un provider di identità (IdP) di terze parti (IdP di terze parti federati con Google Cloud Identity e account Google Cloud Identity federati con le app SAML). Per maggiori dettagli, vedi Informazioni su SSO.
• I criteri di accesso sensibile al contesto vengono applicati quando un utente accede a un'app SAML.

  Esempio: se un utente accede a un'app SAML in ufficio e poi si sposta in un bar, i criteri di accesso sensibile al contesto per quell'app SAML non vengono ricontrollati quando l'utente cambia posizione. Per le app SAML, i criteri vengono ricontrollati solo quando la sessione termina e l’utente effettua di nuovo l'accesso.

• Se un criterio relativo ai dispositivi viene applicato a un livello di accesso, un utente può essere approvato solo da un'app SAML di terze parti tramite il browser Chrome con la verifica endpoint abilitata.

•  Se viene applicato un criterio relativo ai dispositivi, l'accesso mediante browser web su dispositivi mobili viene bloccato (incluse le app per dispositivi mobili che utilizzano il browser web per l'accesso).

Puoi creare diversi tipi di criteri di Accesso sensibile al contesto per l'accesso alle applicazioni: IP, dispositivo, origine geografica e attributi del livello di accesso personalizzato.  Per linee guida ed esempi di espressioni e attributi supportati per la creazione di livelli di accesso personalizzati, vedi le specifiche del livello di accesso personalizzato.

Inoltre, per maggiori dettagli sui partner BeyondCorp Alliance supportati, vai a Configurare le integrazioni di un partner terzo.

Il supporto della piattaforma, ad esempio il tipo di dispositivo, il sistema operativo e l'accesso al browser, varia a seconda del tipo di criterio.

I tipi di criteri includono:

• IP: specifica un intervallo di indirizzi IP da cui un utente può connettersi a un'app
• Criteri relativi ai dispositivi e Sistema operativo del dispositivo: specificano le caratteristiche del dispositivo da cui un utente accede a un'app, ad esempio se il dispositivo è criptato o richiede una password
• Origine geografica: specifica i paesi in cui un utente può accedere alle app

Supporto della piattaforma per IP e origine geografica

Tieni presente che, se un provider di servizi internet (ISP) cambia gli indirizzi IP tra aree geografiche diverse, si verifica un ritardo durante l'applicazione delle modifiche.  In questo periodo di tempo, se i criteri di accesso vengono applicati tramite attributi di geolocalizzazione, l'accesso sensibile al contesto potrebbe bloccare gli utenti.

• Tipo di dispositivo: computer, laptop o dispositivo mobile
• Sistema operativo
  • Desktop: Mac, Windows, Chrome OS, Linux OS
  • Dispositivo mobile: Android, iOS
• Accesso
  • Browser web per desktop e Drive per computer
  • Browser web e app proprietarie integrate sui dispositivi mobili
• Software: non è necessario alcun agente (tranne Safari con Apple Private Relay attivato). Se in iCloud è configurato il servizio Apple Private Relay, l'indirizzo IP del dispositivo è nascosto. Google Workspace riceve un indirizzo IP anonimo. In questo caso, se è stato assegnato un livello di accesso sensibile al contesto come subnet IP, l'accesso a Safari verrà negato. Per risolvere il problema, disattiva il servizio Apple Private Relay o rimuovi il livello di accesso che contiene le subnet IP.

Supporto della piattaforma per i criteri relativi ai dispositivi

• Tipo di dispositivo: computer, laptop o dispositivo mobile
• Sistema operativo
  • Desktop: Mac, Windows, Chrome OS, Linux OS
  • Dispositivo mobile: Android, iOS Tieni presente che, per la verifica degli endpoint con versioni precedenti ad Android 6.0, devi utilizzare la Gestione degli endpoint Google in modalità di base.
• Di proprietà dell'azienda: non supportato per i dispositivi con Android 12 o versioni successive e con un profilo di lavoro. Questi dispositivi sono sempre segnalati come di proprietà degli utenti, anche se fanno parte dell'inventario dei dispositivi di proprietà dell'azienda.  Per saperne di più, vai alla sezione Informazioni sui dettagli dei dispositivi in Visualizzare i dettagli dei dispositivi mobili e nella tabella Informazioni sul dispositivo scorri verso il basso fino alla riga Proprietà.
• Accesso
  • Browser Chrome per computer e Drive per computer
  • Browser Chrome per app proprietarie integrate sui dispositivi mobili
• Software
  • Computer: browser web Chrome, estensione Endpoint Verification di Chrome
  • Dispositivo mobile: gestisci i dispositivi mobili con la gestione degli endpoint Google (di base o avanzata).

• Super amministratore
• Un utente amministratore con ciascuno dei seguenti privilegi:
  • Sicurezza dei dati > Gestione del livello di accesso
  • Sicurezza dei dati > Gestione regole
  • Privilegi delle API amministrative > Gruppi > Lettura
  • Privilegi delle API amministrative > Utenti > Lettura