Controlar el acceso a las aplicaciones según el contexto del usuario y del dispositivo

Introducción al acceso contextual

Ediciones compatibles con esta función: Enterprise y Education Plus.  Comparar ediciones

Con el acceso contextual, puedes controlar el acceso a aplicaciones mediante políticas detalladas que se basan en determinados atributos, como la identidad de los usuarios, su ubicación, la seguridad de los dispositivos y la dirección IP.

El acceso contextual te permite controlar a qué aplicaciones puede acceder un usuario en función de su contexto, como por ejemplo, si su dispositivo cumple o no la política de TI de la organización.

Puedes seguir creando y aplicando políticas de acceso, como la verificación en dos pasos, a todos los miembros de una unidad organizativa o un grupo. El acceso contextual te permite controlar qué nivel de acceso tienen esos usuarios, de forma más precisa y según el contexto.

Ejemplos de cómo usar el acceso contextual

Puedes utilizar el acceso contextual en los siguientes casos:

  • Si quieres que solo se pueda acceder a aplicaciones desde los dispositivos de la empresa.
  • Si quieres que únicamente se pueda acceder a Drive desde dispositivos que tengan un sistema de almacenamiento cifrado.
  • Si quieres restringir el acceso a aplicaciones desde redes que no sean las de la organización.

Puedes utilizar una política para cubrir varios de estos casos. Por ejemplo, puedes crear un nivel de acceso que solo permita acceder a aplicaciones desde dispositivos propiedad de la empresa que estén cifrados y tengan una versión específica o superior del sistema operativo.

Cuándo se puede usar el acceso contextual

Ediciones

Las políticas de acceso contextual solo afectan a los usuarios que tengan una de estas ediciones:

  • Enterprise
  • Cloud Identity Premium
  • Enterprise para Centros Educativos

Los usuarios que tengan una edición de otro tipo pueden acceder a aplicaciones de la manera habitual, aunque pertenezcan a una unidad organizativa o grupo que estén sujetos a una política de acceso contextual. Los usuarios que no tengan ninguna de las ediciones que se indican arriba no estarán sujetos a las políticas de acceso contextual que se hayan aplicado obligatoriamente en su unidad organizativa o grupo. 

Aplicaciones

Puedes aplicar políticas de acceso contextual en los siguientes productos:
  • Servicios principales (evaluación continua de las políticas)

    Ejemplo: Si un usuario inicia sesión en un servicio principal en la oficina y luego se va a una cafetería, se vuelve a comprobar la política de acceso contextual de ese servicio cuando el usuario cambia de ubicación.

    • Calendar
    • Cloud Search
    • Drive y Documentos (incluidos Hojas de cálculo, Presentaciones y Formularios)
    • Gmail
    • Google Meet (puedes aplicar políticas de control de acceso a Google Meet mediante Hangouts Meet)
    • Hangouts Meet
    • Google Vault
    • Google+
    • Grupos para empresas
    • Google Chat (puedes aplicar políticas de control de acceso a Google Chat mediante Hangouts Chat)
    • Hangouts Chat 
    • Servicio Jamboard
    • Keep
    • Sites
    • Tasks
  • Aplicaciones SAML (evaluación de políticas al iniciar sesión)
    • Aplicaciones SAML de terceros que usan Google como proveedor de identidades. También se puede utilizar un proveedor de identidades externo, que se federa con Google Cloud Identity, mientras que Google Cloud Identity lo hace con aplicaciones SAML. Para obtener más información, consulta el artículo Configurar el inicio de sesión único en cuentas de Google gestionadas a través de proveedores de identidades externos.
    • Cuando un usuario inicia sesión en una aplicación SAML, se aplican políticas de acceso contextual obligatorias.

      Ejemplo: Si un usuario inicia sesión en una aplicación SAML en la oficina y luego se va a una cafetería, no se vuelve a comprobar la política de acceso contextual de esa aplicación SAML cuando el usuario cambia de ubicación. Cuando se trata de aplicaciones de este tipo, la política solo se vuelve a comprobar cuando el usuario finaliza la sesión y vuelve a iniciarla.

    •  Si se aplica una política de dispositivos, se bloquea el acceso al navegador web en dispositivos móviles, incluidas las aplicaciones móviles que utilizan un navegador web para iniciar sesión.

No puedes aplicar políticas obligatorias de acceso contextual en:
  • Aplicaciones móviles, como la aplicación Gmail o la aplicación Mail de Apple (todo el acceso permitido)
  • Aplicaciones para ordenadores, como File Stream de Drive (todo el acceso permitido)
Requisitos de plataforma

Puedes crear diferentes tipos de políticas de acceso contextual que permitan acceder a aplicaciones: políticas según la IP, el dispositivo o el origen geográfico.

Los contextos de plataforma admitidos, como el tipo de dispositivo, el sistema operativo y el acceso de navegador, varían según el tipo de política.

Tipos de políticas

  • IP: indica un intervalo de direcciones IP desde las que los usuarios pueden conectarse a una aplicación.
  • Dispositivo: especifica las características de los dispositivos desde los que los usuarios pueden acceder a una aplicación; por ejemplo, si están cifrados o requieren introducir una contraseña.
  • Origen geográfico: indica los países desde los que los usuarios pueden acceder a las aplicaciones.

Contextos de plataforma compatibles con políticas de IPs y orígenes geográficos

  • Tipo de dispositivo: ordenador de sobremesa, portátil o dispositivo móvil
  • Sistema operativo: Mac, Windows y Chrome
  • Acceso: solo navegador web
  • Software: cualquier navegador

Contextos de plataforma compatibles con políticas de dispositivos

  • Tipo de dispositivo: ordenador de sobremesa y portátil
  • Sistema operativo: Mac, Windows y Chrome
  • Acceso: solo navegador web
  • Software: navegador web Chrome, extensión de verificación de puntos de conexión de Chrome
Requisitos de administrador
Estos son los administradores que pueden crear políticas de acceso contextual:
  • Superadministradores
  • Administradores delegados que tengan todos estos privilegios:
    • Seguridad de los datos > Gestión del nivel de acceso
    • Seguridad de los datos > Gestión de reglas
    • Privilegios de la API de administración > Grupos > Lectura
    • Privilegios de la API de administración > Usuarios > Lectura 

Experiencia de usuario

Cuando un usuario intente acceder a una aplicación y no cumpla las condiciones del nivel de acceso, aparecerá un mensaje de error que previamente tienes que haber creado.
Te recomendamos que en el mensaje incluyas información sobre con quién deben ponerse en contacto los usuarios para obtener acceso. Se mostrará el mismo mensaje con todas las aplicaciones de los usuarios de la misma unidad organizativa. Si la información de contacto del administrador de otra ubicación es distinta, puedes crear mensajes diferentes para mostrarlos en otras unidades organizativas.
Por ejemplo, si has definido una política de dispositivos para acceder a Gmail y un usuario intenta acceder a este servicio desde el navegador Safari de un Mac o un iPhone, se mostrará el mensaje que hayas creado,  porque las políticas de dispositivos solo permiten que los usuarios accedan a aplicaciones desde el navegador Chrome, y únicamente desde ordenadores de sobremesa o portátiles, no desde dispositivos móviles. Consulta los requisitos de plataforma.

Prácticas recomendadas para aplicar políticas de acceso contextual

Para asegurarte de que las políticas de acceso contextual que crees se apliquen correctamente en tu empresa, sigue las prácticas recomendadas que hemos elaborado a partir de los comentarios de nuestros clientes.

Evitar que los empleados, partners y colaboradores externos no puedan iniciar sesión

  • No bloquees el acceso a los servicios de Google Workspace con los que tus usuarios y tú os comunicáis, como Gmail.
  • Identifica los intervalos de direcciones IP que necesitan los partners, los colaboradores externos y los clientes.
  • Recuerda que algunos servicios de Google Workspace, como Formularios y Sites, no tienen aplicación móvil, por lo que no se podrán usar en teléfonos.

Aplicar políticas de dispositivos por fases

  • Descubrimiento: implementa el uso obligatorio de la verificación de puntos de conexión para saber qué dispositivos acceden (o accederán) a datos de Google Workspace. Consulta información sobre cada dispositivo y averigua, por ejemplo, si está cifrado, si tiene actualizado el sistema operativo o si es un dispositivo personal o de la empresa.

    Ten en cuenta que, si aplicas una política obligatoria de dispositivos de acceso contextual y hay algún usuario que no ha iniciado sesión en la verificación de puntos de conexión, puede que se le deniegue el acceso a ese usuario aunque su dispositivo cumpla los requisitos de la política de acceso contextual. Esta situación se produce porque se pueden tardar unos segundos en sincronizar los atributos del dispositivo mediante la verificación de puntos de conexión. Para evitarlo, asegúrate de que los usuarios inicien sesión en la verificación de puntos de conexión antes de aplicar una política obligatoria de dispositivos de acceso contextual.  
  • Adecuación: pide a tu departamento de informática que gestione los dispositivos y que estos cumplan los estándares de la empresa de cara a la aplicación de políticas obligatorias. De este modo, el servicio de asistencia recibirá menos incidencias y llamadas.
  • Aplicación: aplica políticas obligatorias para restringir el acceso a las aplicaciones según el contexto de los dispositivos. Identifica organizaciones, suborganizaciones y grupos específicos, y aplica políticas de dispositivos de manera gradual. Básate en los dispositivos de cada organización o grupo a la hora de diseñar el plan de aplicación, y asegúrate de que el servicio de asistencia tenga los recursos suficientes para atender todas las solicitudes.

Paso siguiente: Crear niveles de acceso

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.