Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Contrôler l'accès aux applications en fonction du contexte d'un utilisateur et d'un appareil

Protéger votre entreprise avec l'accès contextuel

Éditions compatibles avec cette fonctionnalité: Frontline Standard; Enterprise Standard et Enterprise Plus; Education Standard et Education Plus; Enterprise Essentials Plus; Cloud Identity Premium.  Comparer votre édition

Grâce à l'accès contextuel, vous pouvez créer des règles de sécurité précises pour le contrôle des accès, sur la base d'attributs comme l'identité des utilisateurs, le lieu, le niveau de sécurité des appareils et l'adresse IP.

Vous contrôlez l'accès des utilisateurs en fonction de leur contexte, par exemple la conformité de leur appareil avec vos règles informatiques.

Exemples d'utilisation de l'accès contextuel

L'accès contextuel permet d'effectuer les actions suivantes :

  • Autoriser l'accès aux applications seulement depuis les appareils fournis par l'entreprise
  • Autoriser l'accès à Drive uniquement si l'appareil de stockage de l'utilisateur est chiffré
  • Restreindre l'accès aux applications hors du réseau de l'entreprise

Vous pouvez également combiner plusieurs cas d'utilisation dans une même règle. Par exemple, vous pouvez créer un niveau d'accès qui oblige les utilisateurs à accéder à l'application depuis des appareils appartenant à l'entreprise, chiffrés et ayant au minimum une certaine version du système d'exploitation.

Compatibilité avec les éditions, applications, plates-formes et types d'administrateurs

Ouvrir la section  |  Tout réduire et revenir en haut de la page

À propos des éditions

Vous ne pouvez appliquer des règles d'accès contextuel qu'aux utilisateurs disposant de l'une des éditions listées au début de cet article.

Les utilisateurs disposant d'un autre type d'édition peuvent accéder aux applications normalement, même si vous appliquez une règle d'accès contextuel à tous les utilisateurs de la même unité organisationnelle ou du même groupe. Seuls les utilisateurs possédant l'une des éditions compatibles sont sujets aux règles d'accès contextuel appliquées à leur unité organisationnelle ou à leur groupe.

Applications
Vous pouvez aussi appliquer des règles d'accès contextuel aux applications Web et natives, sur ordinateur et sur mobile. L'accès aux applications, une fois accordé, est évalué en permanence. Ce n'est pas le cas pour les applications SAML, dont les règles sont évaluées lors de la connexion.

Applications Google Workspace (services principaux)

L'évaluation des règles est permanente pour les applications qui sont également des services principaux. Par exemple, si un utilisateur se connecte à un service principal au bureau, puis se rend dans un café, une règle d'accès contextuel pour ce service est de nouveau vérifiée lorsqu'il change d'emplacement.

Ce tableau présente les services compatibles pour applications Web et natives (intégrées), sur ordinateur et applications mobiles.

Services principaux

Applications Web (mobiles ou sur ordinateur)

Applications natives sur les appareils mobiles*
(Les appareils mobiles sont gérés à l'aide de la gestion Google des points de terminaison de base ou avancée.)

Applications natives sur ordinateur

Agenda

 

Cloud Search

 

Drive et Docs (dont Sheets, Slides et Forms)

(Drive pour ordinateur)

Gmail

 

Google Meet

 

Google Vault

   

Groups for Business

   

Google Chat 

 

Service Jamboard

 

Keep

 

Sites

   

Tasks

 

Console d'administration

 

* Remarques sur la compatibilité avec les applications mobiles : 

  • Vous ne pouvez pas appliquer de règles d'accès contextuel aux appareils mobiles pour les applications natives tierces (Salesforce, par exemple). 
  • Vous pouvez appliquer des règles d'accès contextuel pour les applications SAML dont l'accès se fait depuis le navigateur Web Chrome.
  • Les appareils mobiles sont gérés à l'aide de la gestion Google des points de terminaison (de base ou avancée).

Services Google supplémentaires

Pour les services Google supplémentaires, l'évaluation des règles est continue. Ces services sont des applications Web uniquement.

  • Looker Studio : transforme les données en graphiques faciles à lire et en rapports interactifs.
  • Google Play Console : proposez des applications Android que vous développez à la base grandissante d'utilisateurs Android.

Applications SAML

L'évaluation des règles pour les applications SAML est effectuée lors de la connexion à l'application.

  • Applications SAML tierces qui utilisent Google comme fournisseur d'identité. Le recours à un fournisseur d'identité tiers est également possible (le fournisseur tiers est associé à Google Cloud Identity, et Google Cloud Identity aux applications SAML). Pour en savoir plus, consultez Configurer l'authentification unique pour les comptes Google gérés faisant appel à des fournisseurs d'identité tiers.
  • Les règles d'accès contextuel sont appliquées lorsqu'un utilisateur se connecte à une application SAML.

    Exemple : Si un utilisateur se connecte à une application SAML au bureau, puis se rend dans un café, les règles d'accès contextuel pour cette application SAML ne sont pas vérifiées de nouveau lorsque l'utilisateur change d'emplacement. Pour les applications SAML, la règle n'est vérifiée de nouveau qu'à la fin de la session de l'utilisateur et lors de sa reconnexion.

  •  Si une règle relative aux appareils est appliquée, l'accès au navigateur Web sur mobile (y compris les applications mobiles qui utilisent un navigateur Web pour la connexion) est bloqué.

Exigences liées aux plates-formes

Vous pouvez créer différents types de règles d'accès contextuel pour accéder aux applications : en fonction d'attributs tels que l'adresse IP, l'appareil, l'origine géographique et le niveau d'accès personnalisé. Pour obtenir des conseils et des exemples d'attributs et d'expressions compatibles avec la création de niveaux d'accès personnalisés, consultez Spécification de niveaux d'accès personnalisés.

Pour en savoir plus sur les partenaires BeyondCorp Alliance compatibles, consultez Configurer les intégrations partenaires tierces.

Les plates-formes compatibles (type d'appareil, système d'exploitation, accès via un navigateur Web, etc.) varient en fonction du type de règle.

Les types de règles incluent les suivants :

  • IP – permet de spécifier une plage d'adresses IP depuis lesquelles un utilisateur peut se connecter à une application.
  • Règles relatives aux appareils et système d'exploitation de l'appareil – permet de spécifier les caractéristiques de l'appareil avec lequel un utilisateur accède à une application, par exemple si l'appareil est chiffré ou nécessite un mot de passe.
  • Origine géographique – permet de spécifier les pays dans lesquels un utilisateur peut accéder aux applications.

Plates-formes compatibles avec les règles relatives à l'adresse IP et à l'origine géographique

Notez que si un fournisseur d'accès à Internet modifie les adresses IP de différentes régions géographiques, un délai peut être nécessaire pour que ces modifications soient prises en compte. Pendant ce délai, l'accès contextuel peut bloquer les utilisateurs si leur accès est conditionné par des attributs de géolocalisation.

  • Type d'appareil : ordinateur de bureau, ordinateur portable ou appareil mobile
  • Système d'exploitation :
    • Sur ordinateur : Mac, Windows, Chrome OS, système d'exploitation Linux
    • Sur un appareil mobile : Android, iOS
  • Accès :
    • Navigateur Web pour ordinateur et Drive pour ordinateur
    • Navigateur Web et applications natives propriétaires sur appareil mobile
  • Logiciel : aucun agent n'est nécessaire (sauf si Safari est activé avec Apple Private Relay). Si Apple Private Relay est configuré dans iCloud, l'adresse IP de l'appareil est masquée. Google Workspace reçoit une adresse IP anonyme. Dans ce cas, si un niveau d'accès contextuel est attribué en tant que sous-réseau IP, l'accès à Safari est refusé. Pour résoudre ce problème, désactivez le relais privé ou supprimez le niveau d'accès qui contient les sous-réseaux IP.

Plates-formes compatibles avec les règles relatives aux appareils

  • Type d'appareil : ordinateur de bureau, ordinateur portable ou appareil mobile
  • Système d'exploitation :
    • Sur ordinateur : Mac, Windows, Chrome OS, système d'exploitation Linux
    • Sur un appareil mobile : Android, iOS Notez que pour les versions antérieures à Android 6.0, vous devez utiliser la gestion Google des points de terminaison en mode de base pour la validation des points de terminaison.
  • Détenu par l'entreprise : cette option n'est pas disponible pour les appareils équipés d'Android 12 ou version ultérieure et d'un profil professionnel. Ces appareils sont toujours signalés comme appartenant à l'utilisateur, même s'ils font partie de l'inventaire de l'entreprise. Pour en savoir plus, consultez Afficher des détails sur les appareils mobiles, accédez à la section "En savoir plus sur les détails de l'appareil", puis faites défiler le tableau "Données concernant l'appareil utilisé" jusqu'à la ligne "Propriété".
  • Accès :
    • Navigateur Chrome pour ordinateur et Drive pour ordinateur
    • Navigateur Chrome pour applications natives propriétaires sur appareil mobile
  • Logiciels :
    • Ordinateur de bureau – Navigateur Web Chrome, extension Chrome Endpoint Verification
    • Mobile – Les appareils mobiles doivent être gérés via la gestion Google des points de terminaison (de base ou avancée).
Conditions requises pour les administrateurs
Les administrateurs suivants peuvent définir des règles d'accès contextuel :
  • Super-administrateur
  • Administrateur délégué disposant de l'un des droits suivants :
    • Sécurité des données > Gestion des niveaux d'accès
    • Sécurité des données > Gestion des règles
    • Droits pour l'API Admin > Groupes > Consulter
    • Droits pour l'API Admin > Utilisateurs > Consulter 

Étape suivante : Comprendre le déploiement

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
15855949183872932654
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false