Notificación

Duet AI ahora es Gemini para Google Workspace. Más información

Controlar el acceso a las aplicaciones según el contexto del usuario y del dispositivo

Proteger tu empresa con el acceso contextual

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium.  Comparar ediciones

Con el acceso contextual, puedes controlar el acceso a aplicaciones mediante políticas de seguridad detalladas que se basan en determinados atributos, como la identidad de los usuarios, su ubicación, la seguridad de los dispositivos o la dirección IP.

Puedes controlar el acceso de los usuarios en función de su contexto, como si su dispositivo cumple o no la política de TI de la organización.

Casos prácticos de ejemplo del acceso contextual

Puedes utilizar el acceso contextual en los siguientes casos:

  • Si quieres que solo se pueda acceder a aplicaciones desde los dispositivos de empresa
  • Si quieres que únicamente se pueda acceder a Drive desde dispositivos que tengan un sistema de almacenamiento cifrado
  • Si quieres restringir el acceso a aplicaciones desde redes que no sean las de la organización

Puedes combinar en una política varios de estos casos. Por ejemplo, puedes crear un nivel de acceso que solo permita acceder a aplicaciones desde dispositivos propiedad de la empresa que estén cifrados y tengan una versión específica o superior del sistema operativo.

Compatibilidad con ediciones, aplicaciones, plataformas y tipos de administrador

Abrir sección  |  Ocultar todo y volver al principio

Acerca de las ediciones

Solo puedes aplicar las políticas del acceso contextual a los usuarios que tienen una de las ediciones enumeradas en la parte superior de este artículo.

Los usuarios que tengan una edición de otro tipo pueden acceder a aplicaciones de la manera habitual, aunque pertenezcan a una unidad organizativa o un grupo que esté sujeto a una política de acceso contextual. Los usuarios que no tengan ninguna de las ediciones que se indican arriba no estarán sujetos a las políticas de acceso contextual que se hayan implementado obligatoriamente en su unidad organizativa o grupo.

Aplicaciones
Puedes aplicar políticas de acceso contextual a aplicaciones web de ordenador, a aplicaciones móviles y a aplicaciones nativas de ordenador. Una vez concedido, el acceso a las aplicaciones se evalúa continuamente, con la salvedad de las aplicaciones SAML, que se evalúan al iniciar sesión.

Aplicaciones de Google Workspace (servicios principales)

Las políticas de aplicaciones que son servicios principales se evalúan continuamente. Por ejemplo, si un usuario inicia sesión en un servicio principal en la oficina y luego se va a una cafetería, se vuelve a comprobar la política de acceso contextual de ese servicio cuando el usuario cambia de ubicación.

En esta tabla se muestran las aplicaciones compatibles con las aplicaciones web de ordenador, las aplicaciones móviles y las aplicaciones nativas de ordenador.

Servicios principales

Aplicaciones web (ordenadores o móviles)

Aplicaciones nativas de móvil*
(Los dispositivos móviles se administran con la gestión de endpoints de Google básica o avanzada).

Aplicaciones nativas de ordenador

Calendar

 

Cloud Search

 

Drive y Documentos (incluidos Hojas de cálculo, Presentaciones y Formularios)

(Drive para ordenadores)

Gmail

 

Google Meet

 

Google Vault

   

Grupos para empresas

   

Google Chat 

 

Servicio Jamboard

 

Keep

 

Sites

   

Tasks

 

Consola de administración

 

* Notas de uso de las aplicaciones móviles: 

  • No puedes implementar obligatoriamente políticas de acceso contextual para aplicaciones nativas de terceros para móviles (por ejemplo, Salesforce). 
  • Puedes implementar obligatoriamente políticas de acceso contextual en aplicaciones SAML a las que se accede mediante el navegador web Chrome. 
  • Los dispositivos móviles se administran con la gestión de endpoints de Google básica o avanzada.

Servicios adicionales de Google

Las políticas de servicios adicionales de Google se evalúan continuamente. Estos servicios son solo para aplicaciones web.

  • Looker Studio: convierte los datos en gráficos e informes interactivos fáciles de leer.
  • Google Play Console: pon las aplicaciones Android que desarrolles a disposición de la amplia base de usuarios de Android, que no para de crecer.

Aplicaciones SAML

En el caso de las aplicaciones SAML, la evaluación de las políticas tiene lugar al iniciar sesión en la aplicación.

  • Aplicaciones SAML externas que usan Google como proveedor de identidades. También se puede utilizar un proveedor de identidades externo, que se federa con Google Cloud Identity, mientras que Google Cloud Identity lo hace con las aplicaciones SAML. Para obtener más información, consulta el artículo Configurar el inicio de sesión único en cuentas de Google gestionadas a través de proveedores de identidades externos.
  • Cuando un usuario inicia sesión en una aplicación SAML, se aplican obligatoriamente políticas de acceso contextual.

    Ejemplo: Si un usuario inicia sesión en una aplicación SAML en la oficina y luego se va a una cafetería, no se vuelve a comprobar la política de acceso contextual de esa aplicación SAML cuando el usuario cambia de ubicación. En aplicaciones de este tipo, la política solo se vuelve a comprobar cuando finaliza la sesión del usuario y este vuelve a iniciarla.

  •  Si se aplica una política de dispositivos, se bloquea el acceso al navegador web en dispositivos móviles, incluidas las aplicaciones móviles que utilizan un navegador web para iniciar sesión.

Requisitos de plataforma

Puedes crear distintos tipos de políticas de acceso contextual que permitan acceder a aplicaciones: según la IP, el dispositivo, el origen geográfico o atributos de nivel de acceso personalizados.  Para obtener directrices y ejemplos de expresiones y atributos admitidos para crear niveles de acceso personalizados, consulta la especificación de niveles de acceso personalizados.

Consulta información detallada sobre los partners de BeyondCorp Alliance admitidos en el artículo Configurar integraciones con servicios de terceros.

Los contextos de plataforma admitidos, como el tipo de dispositivo, el sistema operativo y el acceso de navegador, varían según el tipo de política.

Entre los tipos de políticas, se incluyen los siguientes:

  • IP: indica un intervalo de direcciones IP desde las que los usuarios pueden conectarse a una aplicación
  • Device Policy y SO del dispositivo: especifica las características de los dispositivos desde los que los usuarios pueden acceder a una aplicación; por ejemplo, si están cifrados o requieren introducir una contraseña
  • Origen geográfico: indica los países desde los que los usuarios pueden acceder a las aplicaciones

Contextos de plataforma compatibles con políticas de IPs y orígenes geográficos

Ten en cuenta que, si un proveedor de servicios de Internet cambia las direcciones IP en distintas regiones geográficas, se producirá un retraso mientras se aplican los cambios.  Durante este retraso, el acceso contextual puede bloquear a los usuarios si su acceso viene determinado por atributos de geolocalización.

  • Tipo de dispositivo: ordenador de escritorio, portátil o dispositivo móvil
  • Sistema operativo:
    • Ordenador: Mac, Windows, Chrome OS, Linux OS
    • Móvil: Android, iOS
  • Acceso:
    • Navegador web para ordenadores y Drive para ordenadores
    • Navegador web y aplicaciones nativas propias en móviles
  • Software: no se requiere ningún agente (excepto para Safari con Relay privado de Apple activado). Si has configurado Relay privado de Apple en iCloud, la dirección IP del dispositivo estará oculta. Google Workspace recibe una dirección IP anónima. En este caso, si se ha asignado un nivel de acceso contextual como subred de la IP, se denegará el acceso a Safari. Para solucionar este problema, desactiva Relay privado o quita el nivel de acceso que contenga subredes de la IP.

Contextos de plataforma compatibles con políticas de dispositivos

  • Tipo de dispositivo: ordenador de escritorio, portátil o dispositivo móvil
  • Sistema operativo:
    • Ordenador: Mac, Windows, Chrome OS, Linux OS
    • Móvil: Android, iOS Ten en cuenta que, para verificar los endpoints en las versiones de Android anteriores a la 6.0, debes usar la gestión de endpoints de Google en el modo básico.
  • Propiedad de la empresa: no está disponible en los dispositivos con Android 12 ni versiones posteriores que tienen un perfil de trabajo. Estos dispositivos aparecen siempre como propiedad del usuario, aunque estén en el inventario de la empresa.  Puedes obtener más datos en el artículo Consultar la información de dispositivos móviles. En la sección Información disponible sobre los dispositivos, fíjate en la fila Propiedad de la tabla Información del dispositivo.
  • Acceso:
    • Navegador Chrome para ordenadores y Drive para ordenadores
    • Navegador Chrome para aplicaciones nativas propias en móviles
  • Software:
    • Ordenador: navegador web Chrome y extensión de Endpoint Verification de Chrome
    • Móvil: los dispositivos móviles deben administrarse con la gestión de endpoints de Google (ya sea básica o avanzada).
Requisitos de administrador
Estos son los administradores que pueden crear políticas de acceso contextual:
  • Superadministradores
  • Administradores delegados que tengan todos estos privilegios:
    • Seguridad de los datos > Gestión del nivel de acceso
    • Seguridad de los datos > Gestión de reglas
    • Privilegios de la API de administración > Grupos > Lectura
    • Privilegios de la API de administración > Usuarios > Lectura 

Pasos siguientes: información sobre la implementación

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal