Unterstützte Versionen für diese Funktion: Frontline Standard; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. G Suite-Versionen vergleichen
Mit dem kontextsensitiven Zugriff können Sie detaillierte Sicherheitsrichtlinien auf Grundlage von Attributen wie Nutzer-ID, Standort, Sicherheitsstatus des Geräts oder IP-Adresse erstellen, mit denen sich der Zugriff auf Apps steuern lässt.
Sie legen damit den Nutzerzugriff abhängig vom Kontext fest, etwa ob das Gerät Ihrer IT-Richtlinie entspricht.
Anwendungsbeispiele
Über diese Funktion lässt sich zum Beispiel Folgendes ausführen:
- Zugriff auf Apps nur von unternehmenseigenen Geräten erlauben
- Zugriff auf Google Drive nur erlauben, wenn das Speichergerät des Nutzers verschlüsselt ist
- Zugriff auf Apps außerhalb des Unternehmensnetzwerks einschränken
Es können auch mehrere Anwendungsfälle in einer Richtlinie kombiniert werden. Beispielsweise haben Sie die Möglichkeit, eine Zugriffsebene für eine App zu erstellen, für die unternehmenseigene und verschlüsselte Geräte mit der Mindestversion eines Betriebssystems erforderlich sind.
Unterstützung für Versionen, Apps, Plattformen und Administratortypen
Abschnitt öffnen | Alle minimieren und nach oben
Die Richtlinien für den kontextsensitiven Zugriff lassen sich nur auf Nutzer mit einer der oben im Artikel genannten Versionen anwenden.
Nutzer mit anderen Versionen können wie gewohnt auf Apps zugreifen, selbst wenn Sie eine Richtlinie für den kontextsensitiven Zugriff für alle Nutzer in einer Organisationseinheit oder Gruppe festlegen. Diese Richtlinien werden also auf Nutzer mit nicht unterstützten Versionen nicht angewandt.
Google Workspace-Apps (Hauptdienste)
Bei Apps, die zu den Hauptdiensten zählen, werden Richtlinien kontinuierlich ausgewertet. Beispiel: Ein Nutzer meldet sich an seinem Arbeitsplatz in einem Hauptdienst an. Anschließend geht er in ein Café. In diesem Fall wird eine Richtlinie für den kontextsensitiven Zugriff für diesen Dienst noch einmal geprüft, wenn der Nutzer seinen Standort wechselt.
Diese Tabelle enthält alle Web- und systemeigenen Apps auf dem Computer sowie alle mobilen Apps, die unterstützt werden.
|
Hauptdienste |
Web-Apps (Computer oder Mobilgerät) |
Systemeigene Apps auf Mobilgeräten* |
Systemeigene Apps auf dem Computer |
|
Kalender |
✔ |
✔ |
|
|
Cloud Search |
✔ |
✔ |
|
|
Google Drive und Google Docs (einschließlich Tabellen, Präsentationen und Formulare) |
✔ |
✔ |
✔ (Drive for Desktop) |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
Google Groups for Business |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Jamboard |
✔ |
✔ |
|
|
Google Notizen |
✔ |
✔ |
|
|
Google Sites |
✔ |
||
|
Tasks |
✔ |
✔ |
|
|
Admin-Konsole |
✔ | ✔ |
|
* Supporthinweise für mobile Apps:
- Richtlinien für den kontextsensitiven Zugriff bei Mobilgeräten können nicht auf systemeigenen Apps von Drittanbietern (z. B. Salesforce) erzwungen werden.
- Richtlinien für den kontextsensitiven Zugriff lassen sich auf SAML-Apps erzwingen, auf die über den Chrome-Browser zugegriffen wird.
- Mobilgeräte werden mithilfe der einfachen oder erweiterten Google-Endpunktverwaltung verwaltet.
Zusätzliche Google-Dienste
Bei zusätzlichen Google-Diensten werden die Richtlinien kontinuierlich ausgewertet. Diese Dienste sind nur Webanwendungen.
- Looker Studio: Wandelt Daten in übersichtliche Diagramme und interaktive Berichte um.
- Google Play Console: Ermöglicht die Entwicklung von Android-Apps für die stetig steigende Zahl von Android-Nutzern.
SAML-Apps
Bei SAML-Apps werden Richtlinien bei der Anmeldung in der App ausgewertet.
- SAML-Apps von Drittanbietern, die Google als Identitätsanbieter nutzen Auch ein externer Identitätsanbieter (IdP) kann verwendet werden. Dabei greift der externe Identitätsanbieter auf Google Cloud Identity und Google Cloud Identity auf SAML-Apps zurück. Weitere Informationen finden Sie im Hilfeartikel Einmalanmeldung (SSO) für verwaltete Google-Konten mit anderen Identitätsanbietern einrichten.
- Richtlinien für den kontextsensitiven Zugriff werden erzwungen, wenn sich ein Nutzer in einer SAML-App anmeldet.
Beispiel: Ein Nutzer meldet sich an seinem Arbeitsplatz in einer SAML-App an. Anschließend geht er in ein Café. In diesem Fall wird eine Richtlinie für den kontextsensitiven Zugriff für diese SAML-App nicht noch einmal geprüft, wenn der Nutzer seinen Standort wechselt. Bei SAML-Apps wird die Richtlinie nur dann nochmals überprüft, wenn die Nutzersitzung endet und ein Nutzer sich wieder anmeldet.
-
Wenn Geräterichtlinien angewendet werden, wird der Webbrowserzugriff auf Mobilgeräten blockiert. Das gilt auch für mobile Apps, bei denen die Anmeldung über einen Webbrowser läuft.
Sie können die Richtlinien für den kontextsensitiven App-Zugriff auf verschiedene Bereiche ausrichten: IP-Adresse, Gerät, geografische Herkunft sowie benutzerdefinierte Zugriffsebenenattribute. Eine Anleitung sowie Beispiele für unterstützte Attribute und Ausdrücke zur Erstellung benutzerdefinierter Zugriffsebenen finden Sie auf der Seite Benutzerdefinierte Spezifikation der Zugriffsebene.
Weitere Informationen zu unterstützten BeyondCorp Alliance-Partnern erhalten Sie unter Integrationen von Drittanbietern einrichten.
Die Anforderungen für die Plattformunterstützung, z. B. zu Gerätetyp, Betriebssystem und Browserzugriff, variieren je nach Richtlinientyp.
Es gibt Richtlinien für folgende Bereiche:
- IP-Adresse: Geben Sie einen IP-Adressbereich an, über den ein Nutzer eine Verbindung zu einer App herstellen darf.
- Geräterichtlinien und Betriebssystem des Geräts: Legen Sie die erforderlichen Merkmale der Geräte fest, über die Nutzer auf eine App zugreifen. Müssen die Geräte zum Beispiel verschlüsselt sein oder ist ein Passwort erforderlich?
- Geografische Herkunft: Geben Sie die Länder an, aus denen Nutzer auf Apps zugreifen dürfen.
Plattformunterstützung für IP-Adresse und geografische Herkunft
Wenn ein Internetanbieter IP-Adressen zwischen verschiedenen geografischen Regionen ändert, kommt es zu einer Verzögerung, bis diese Änderungen wirksam werden. Während dieser Zeit kann es passieren, dass Nutzer durch den kontextsensitiven Zugriff blockiert werden, wenn ihr Zugriff durch Attribute zur Standortbestimmung erzwungen wird.
- Gerätetyp: Computer, Laptop oder Mobilgerät
- Betriebssystem:
- Computer: Mac, Windows, Chrome OS, Linux OS
- Mobilgerät: Android, iOS
- Zugriff:
- Webbrowser für den Computer und Drive for Desktop
- Webbrowser und systemeigene Google-Apps auf Mobilgeräten
- Software: Kein Agent erforderlich (Ausnahme: Safari mit aktiviertem Apple Private Relay). Wenn Apple Private Relay in iCloud konfiguriert ist, wird die IP-Adresse des Geräts ausgeblendet. Google Workspace erhält eine anonyme IP-Adresse. Wenn dem IP-Subnetz eine kontextsensitive Zugriffsebene zugewiesen ist, wird Safari in diesem Fall der Zugriff verweigert. Deaktivieren Sie entweder Private Relay oder entfernen Sie die Zugriffsebene, die IP-Subnetze enthält.
Plattformunterstützung für Geräterichtlinien
- Gerätetyp: Computer, Laptop oder Mobilgerät
- Betriebssystem:
- Computer: Mac, Windows, Chrome OS, Linux OS
- Mobilgerät: Android, iOS In älteren Versionen als Android 6.0 müssen Sie für die Endpunktprüfung die Google-Endpunktverwaltung im einfachen Modus verwenden.
- Gehört dem Unternehmen: Diese Option wird auf Geräten mit Android 12 oder höher und einem Arbeitsprofil nicht unterstützt. Diese Geräte werden immer als nutzereigene Geräte behandelt, auch wenn sie sich im Bestand unternehmenseigener Geräte befinden. Weitere Informationen finden Sie unter Mobilgeräte aufrufen, „Informationen zu Gerätedetails“ und in der Tabelle „Geräteinformationen“ unten in der Zeile „Inhaberschaft“.
- Zugriff:
- Chrome-Browser für den Computer und Drive for Desktop
- Chrome-Browser für systemeigene Google-Apps auf Mobilgeräten
- Software:
- Super Admin
- Delegierter Administrator mit den folgenden Berechtigungen:
- Datensicherheit > Zugriffsebenen verwalten
- Datensicherheit > Regelverwaltung
- Admin API-Berechtigungen > Gruppen > Lesezugriff
- Admin-API-Berechtigungen > Nutzer > Lesezugriff
