Controllare l'accesso alle app in base al contesto utente e dispositivo

Proteggere l'attività con l'accesso sensibile al contesto

Versioni supportate per questa funzionalità: Frontline Standard; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Con l'accesso sensibile al contesto, puoi creare criteri di sicurezza per il controllo granulare degli accessi alle app in base ad attributi come l'identità dell'utente, la località, lo stato della sicurezza del dispositivo e l'indirizzo IP.

Puoi controllare l'accesso dell'utente in base al relativo contesto, ad esempio il fatto che il dispositivo sia conforme o meno ai criteri IT.

Esempi di casi d'uso dell'accesso sensibile al contesto

Puoi utilizzare l'accesso sensibile al contesto per:

  • Consentire l'accesso alle app solo da dispositivi forniti dall'azienda
  • Consentire l'accesso a Drive solo se il dispositivo di archiviazione dell'utente è criptato
  • Limitare l'accesso alle applicazioni dall'esterno della rete aziendale

Puoi anche combinare più di un caso d'uso in un criterio. Ad esempio, potresti creare un livello di accesso che richiede l'accesso alle app da dispositivi di proprietà dell'azienda, criptati e che soddisfano i requisiti sulla versione minima del sistema operativo.

Nota: i criteri di accesso sensibile al contesto possono controllare l'accesso alle app solo dagli account utente finali. Non limitano l'accesso alle API Google dagli account di servizio.

Supporto di versioni, app, piattaforme e tipi di amministratore

Apri sezione  |  Comprimi tutto e torna all'inizio della pagina

Informazioni sulle versioni

Puoi applicare i criteri di accesso sensibile al contesto solo agli utenti che dispongono di una licenza per una delle versioni riportate all'inizio di questo articolo.

Gli utenti con qualsiasi altro tipo di versione possono accedere alle app come di consueto, anche se applichi un criterio di accesso sensibile al contesto a tutti gli utenti della stessa unità organizzativa o dello stesso gruppo. Gli utenti che non hanno una delle versioni supportate non sono soggetti ai criteri di accesso sensibile al contesto applicati nella loro unità organizzativa o nel loro gruppo.

App
Puoi applicare i criteri di accesso sensibile al contesto ad app web su computer, app mobile e app native su computer.  Dopo essere stato concesso, l'accesso per le app viene continuamente valutato. Fanno eccezione le app SAML, che vengono valutate al momento dell'accesso.

App Google Workspace (servizi principali)

Per le app dei servizi principali, la valutazione dei criteri è continua. Ad esempio: se un utente accede a un servizio principale in ufficio e poi si dirige verso un bar, un criterio di accesso sensibile al contesto per quel servizio viene ricontrollato quando cambia il luogo in cui si trova l'utente.

Questa tabella mostra le app supportate per app web sul desktop, app per dispositivi mobili e app integrate sul desktop.

Servizi principali

App web (desktop o dispositivo mobile)

App integrate sul dispositivo mobile*
(I dispositivi mobili sono gestiti usando Gestione degli endpoint Google di base o avanzata).

Integrate app su computer

Google Calendar

 

Google Cloud Search

 

Google Drive e Documenti Google (inclusi Fogli, Presentazioni e Moduli)

(Google Drive per computer)
Gemini    

Gmail

 

Google Meet

 

Google Vault

   

Groups for Business

   

Google Chat 

 

Servizio Jamboard

 

Google Keep

 

Google Sites

   

Google Tasks

 

Console di amministrazione Google

 

*Le app per dispositivi mobili supportano le note: 

  • Non puoi forzare l'applicazione dei criteri di accesso sensibile al contesto per i dispositivi mobili su app integrate di terze parti (ad esempio, Salesforce). 
  • Puoi applicare i criteri di accesso sensibile al contesto alle app SAML accessibili tramite il browser web Chrome. 
  • I dispositivi mobili sono gestiti usando Gestione degli endpoint Google di base o avanzata.

Servizi Google aggiuntivi

Per i servizi Google aggiuntivi, la valutazione dei criteri è continua. Questi servizi sono disponibili soltanto sotto forma di app web.

  • Looker Studio: trasforma i tuoi dati in grafici di facile lettura e report interattivi.
  • Google Play Console: metti a disposizione della base utenti in rapida crescita di Android le applicazioni di tua creazione.

App SAML

Per le app SAML, la valutazione dei criteri avviene all'accesso all'app.

  • Sono incluse le app SAML di terze parti che utilizzano Google come provider di identità. È anche possibile utilizzare un provider di identità (IdP) di terze parti (IdP di terze parti federati con Google Cloud Identity e account Google Cloud Identity federati con le app SAML). Per maggiori dettagli, vedi Informazioni su SSO.
  • I criteri di accesso sensibile al contesto vengono applicati quando un utente accede a un'app SAML.

    Esempio: se un utente accede a un'app SAML in ufficio e poi si sposta in un bar, i criteri di accesso sensibile al contesto per quell'app SAML non vengono ricontrollati quando l'utente cambia posizione. Per le app SAML, i criteri vengono ricontrollati solo quando la sessione termina e l’utente effettua di nuovo l'accesso.

  • Se un criterio relativo ai dispositivi viene applicato a un livello di accesso, un utente può essere approvato solo da un'app SAML di terze parti tramite il browser Chrome con la verifica endpoint abilitata.

  •  Se viene applicato un criterio relativo ai dispositivi, l'accesso mediante browser web su dispositivi mobili viene bloccato (incluse le app per dispositivi mobili che utilizzano il browser web per l'accesso).

Requisiti della piattaforma

Puoi creare diversi tipi di criteri di Accesso sensibile al contesto per l'accesso alle applicazioni: IP, dispositivo, origine geografica e attributi del livello di accesso personalizzato.  Per linee guida ed esempi di espressioni e attributi supportati per la creazione di livelli di accesso personalizzati, vedi le specifiche del livello di accesso personalizzato.

Inoltre, per maggiori dettagli sui partner BeyondCorp Alliance supportati, vai a Configurare le integrazioni di un partner terzo.

Il supporto della piattaforma, ad esempio il tipo di dispositivo, il sistema operativo e l'accesso al browser, varia a seconda del tipo di criterio.

I tipi di criteri includono:

  • IP: specifica un intervallo di indirizzi IP da cui un utente può connettersi a un'app
  • Criteri relativi ai dispositivi e Sistema operativo del dispositivo: specificano le caratteristiche del dispositivo da cui un utente accede a un'app, ad esempio se il dispositivo è criptato o richiede una password
  • Origine geografica: specifica i paesi in cui un utente può accedere alle app

Supporto della piattaforma per IP e origine geografica

Tieni presente che, se un provider di servizi internet (ISP) cambia gli indirizzi IP tra aree geografiche diverse, si verifica un ritardo durante l'applicazione delle modifiche.  In questo periodo di tempo, se i criteri di accesso vengono applicati tramite attributi di geolocalizzazione, l'accesso sensibile al contesto potrebbe bloccare gli utenti.

  • Tipo di dispositivo: computer, laptop o dispositivo mobile
  • Sistema operativo
    • Desktop: Mac, Windows, Chrome OS, Linux OS
    • Dispositivo mobile: Android, iOS
  • Accesso
    • Browser web per desktop e Drive per computer
    • Browser web e app proprietarie integrate sui dispositivi mobili
  • Software: non è necessario alcun agente (tranne Safari con Apple Private Relay attivato). Se in iCloud è configurato il servizio Apple Private Relay, l'indirizzo IP del dispositivo è nascosto. Google Workspace riceve un indirizzo IP anonimo. In questo caso, se è stato assegnato un livello di accesso sensibile al contesto come subnet IP, l'accesso a Safari verrà negato. Per risolvere il problema, disattiva il servizio Apple Private Relay o rimuovi il livello di accesso che contiene le subnet IP.

Supporto della piattaforma per i criteri relativi ai dispositivi

  • Tipo di dispositivo: computer, laptop o dispositivo mobile
  • Sistema operativo
    • Desktop: Mac, Windows, Chrome OS, Linux OS
    • Dispositivo mobile: Android, iOS Tieni presente che, per la verifica degli endpoint con versioni precedenti ad Android 6.0, devi utilizzare la Gestione degli endpoint Google in modalità di base.
  • Di proprietà dell'azienda: non supportato per i dispositivi con Android 12 o versioni successive e con un profilo di lavoro. Questi dispositivi sono sempre segnalati come di proprietà degli utenti, anche se fanno parte dell'inventario dei dispositivi di proprietà dell'azienda.  Per saperne di più, vai alla sezione Informazioni sui dettagli dei dispositivi in Visualizzare i dettagli dei dispositivi mobili e nella tabella Informazioni sul dispositivo scorri verso il basso fino alla riga Proprietà.
  • Accesso
    • Browser Chrome per computer e Drive per computer
    • Browser Chrome per app proprietarie integrate sui dispositivi mobili
  • Software
    • Computer: browser web Chrome, estensione Endpoint Verification di Chrome
    • Dispositivo mobile: gestisci i dispositivi mobili con la gestione degli endpoint Google (di base o avanzata).
Requisiti per gli amministratori
Questi amministratori possono impostare i criteri di accesso sensibile al contesto:
  • Super amministratore
  • Un utente amministratore con ciascuno dei seguenti privilegi:
    • Sicurezza dei dati > Gestione del livello di accesso
    • Sicurezza dei dati > Gestione regole
    • Privilegi delle API amministrative > Gruppi > Lettura
    • Privilegi delle API amministrative > Utenti > Lettura 


Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
18328876414272443586
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false