Controllare l'accesso alle app in base al contesto utente o dispositivo

Panoramica dell'accesso sensibile al contesto

Versioni supportate per questa funzionalità: Enterprise; Education Plus.  Confronta la tua versione

Con l'accesso sensibile al contesto, puoi creare criteri di controllo granulare degli accessi alle app in base ad attributi come l'identità dell'utente, la località, lo stato della sicurezza del dispositivo e l'indirizzo IP.

L'accesso sensibile al contesto permette di stabilire a quali app può accedere un utente in base al contesto, ad esempio il fatto che il dispositivo sia conforme o meno ai criteri IT.

Puoi comunque impostare i criteri di accesso, ad esempio la verifica in due passaggi, per tutti i membri di un'unità organizzativa o un gruppo. L'accesso sensibile al contesto offre ulteriori controlli granulari e contestuali per questi utenti.

Dopo essere stato concesso, l'accesso per le app viene continuamente valutato. L'eccezione alla regola sono le app SAML, che vengono valutate all'accesso.

Casi d'uso di esempio dell'accesso sensibile al contesto

Puoi utilizzare l'accesso sensibile al contesto per:

  • Consentire l'accesso alle app solo da dispositivi forniti dall'azienda.
  • Consentire l'accesso a Drive solo se il dispositivo di archiviazione dell'utente è criptato.
  • Limitare l'accesso alle applicazioni dall'esterno della rete aziendale.

Puoi anche combinare più di un caso d'uso in un criterio. Ad esempio, potresti creare un livello di accesso che richiede l'accesso alle app da dispositivi di proprietà dell'azienda, criptati e che soddisfano i requisiti sulla versione minima del sistema operativo.

Supporto dell'accesso sensibile al contesto

Informazioni sulle versioni

Puoi applicare i criteri di accesso sensibile al contesto solo per gli utenti che dispongono di una delle versioni riportate all'inizio di questo articolo.

Gli utenti con qualsiasi altro tipo di versione possono accedere alle app come di consueto, anche se applichi un criterio di accesso sensibile al contesto per tutti gli utenti della stessa unità organizzativa o dello stesso gruppo. Gli utenti che non hanno una delle versioni supportate non sono infatti soggetti ai criteri di accesso sensibile al contesto applicati nella loro unità organizzativa o nel loro gruppo. 

App

Puoi applicare i criteri di accesso sensibile al contesto ad app web sul desktop, app per dispositivi mobili e app native sul desktop.

Servizi principali

Per le app di servizi principali, la valutazione dei criteri è continua. Ad esempio: se un utente accede a un servizio principale in ufficio e poi si dirige verso un bar, un criterio di accesso sensibile al contesto per quel servizio viene ricontrollato quando cambia il luogo in cui si trova l'utente.

Questa tabella mostra le app supportate per app web sul desktop, app per dispositivi mobili e app native (app integrate) sul desktop.

Servizi principali

App web (desktop o dispositivo mobile)

App native sul dispositivo mobile*
(I dispositivi mobili sono gestiti usando Gestione degli endpoint Google di base o avanzata.)

App native sul desktop

Calendar

 

Cloud Search

 

Drive e Documenti (inclusi Fogli, Presentazioni e Moduli)

 

Gmail

 

Google Meet (puoi applicare i criteri di controllo degli accessi a Google Meet utilizzando Hangouts Meet)

 

Hangouts Meet

 

Google Vault

   

Google Currents (in precedenza Google+)

 

Groups for Business

   

Google Chat (puoi applicare criteri di controllo degli accessi a Google Chat utilizzando Hangouts Chat)

 

Hangouts Chat 

 

Servizio Jamboard

 

Keep

 

Sites

   

Tasks

 

Drive per desktop

   

*Le app per dispositivi mobili supportano le note: 

  • Non puoi forzare l'applicazione dei criteri di accesso sensibile al contesto per i dispositivi mobili su app native di terze parti (ad esempio, Salesforce). 
  • Puoi forzare l'applicazione dei criteri di accesso sensibile al contesto sulle app SAML utilizzando browser web per dispositivi mobili (Safari e Chrome). 
  • I dispositivi mobili sono gestiti usando Gestione degli endpoint Google di base o avanzata.

App SAML

Per le app SAML, la valutazione dei criteri avviene all'accesso all'app.

  • App SAML di terze parti che utilizzano Google come provider di identità. È anche possibile utilizzare un provider di identità (IdP) di terze parti (IdP di terze parti federati con Google Cloud Identity e account Google Cloud Identity federati con le app SAML). Per informazioni dettagliate, vedi Configurare il servizio Single Sign-On (SSO) per gli Account Google gestiti utilizzando Provider di identità di terze parti.
  • I criteri di accesso sensibile al contesto vengono applicati quando un utente accede a un'app SAML.

    Esempio: se un utente accede a un'app SAML in ufficio e poi si sposta in un bar, i criteri di accesso sensibile al contesto per quell'app SAML non vengono ricontrollati quando l'utente cambia posizione. Per le app SAML, i criteri vengono ricontrollati solo quando la sessione termina e l’utente effettua di nuovo l'accesso.

  •  Se viene applicato un criterio relativo ai dispositivi, l'accesso mediante browser web su dispositivi mobili viene bloccato (incluse le app per dispositivi mobili che utilizzano il browser web per l'accesso).

Requisiti della piattaforma

Puoi creare diversi tipi di criteri di accesso sensibile al contesto per l'accesso alle applicazioni: IP, dispositivo e origine geografica.

Il supporto della piattaforma, ad esempio il tipo di dispositivo, il sistema operativo e l'accesso al browser, varia a seconda del tipo di criterio.

Tipi di criteri

  • IP: specifica un intervallo di indirizzi IP da cui un utente può connettersi a un'applicazione
  • Criteri relativi ai dispositivi e sistema operativo del dispositivo: specifica le caratteristiche del dispositivo da cui un utente accede a un'applicazione, ad esempio se il dispositivo è criptato o richiede una password
  • Origine geografica: specifica i paesi in cui un utente può accedere alle applicazioni

Supporto della piattaforma per IP e Origine geografica

  • Tipo di dispositivo: computer desktop, laptop o dispositivo mobile
  • Sistema operativo:
    • Desktop: Mac, Windows, Chrome OS, Linux OS
    • Dispositivo mobile: Android, iOS
  • Accesso:
    • Browser web per desktop e Drive per desktop
    • Browser web e app native proprietarie sui dispositivi mobili
  • Software: nessun agente necessario

Supporto della piattaforma per i criteri relativi ai dispositivi

  • Tipo di dispositivo: computer desktop, laptop o dispositivo mobile
  • Sistema operativo:
    • Desktop: Mac, Windows, Chrome OS, Linux OS
    • Dispositivo mobile: Android, iOS
  • Accesso:
    • Browser web per desktop e Drive per desktop
    • Browser web per app native proprietarie sui dispositivi mobili
  • Software
    • Desktop: browser web Chrome, estensione Endpoint Verification di Chrome
    • Dispositivo mobile: la maggior parte degli attributi sono supportati senza dover installare alcun software. Per alcuni attributi, l'applicazione dei criteri relativi ai dispositivi (MDM avanzata) è necessaria.
Requisiti per gli amministratori
Questi amministratori possono impostare i criteri di accesso sensibile al contesto:
  • Super amministratore
  • Utente con delega di amministratore con ciascuno dei seguenti privilegi:
    • Sicurezza dei dati > Gestione del livello di accesso
    • Sicurezza dei dati > Gestione regole
    • Privilegi delle API amministrative > Gruppi > Lettura
    • Privilegi delle API amministrative > Utenti > Lettura

Esperienza utente

Quando un utente tenta di accedere a un'applicazione e non soddisfa le condizioni del livello di accesso, viene visualizzato un messaggio di errore personalizzato da te.
Il messaggio deve includere informazioni sulla persona da contattare per ottenere l'accesso. Si applica a tutte le applicazioni per gli utenti di un'unità organizzativa. Se le informazioni di contatto dell'amministratore cambiano in base alla località, puoi creare messaggi diversi per le altre unità organizzative.

Best practice per l'implementazione dei criteri di accesso sensibile al contesto

Segui queste best practice per garantire la corretta implementazione dei criteri di accesso sensibile al contesto nella tua azienda. Queste best practice si basano sul feedback dei clienti.

Evitare di bloccare dipendenti, partner o collaboratori esterni

  • Non bloccare l'accesso ai servizi Google Workspace, ad esempio Gmail, che utilizzi per condividere le comunicazioni con gli utenti (e di cui anche gli utenti hanno bisogno per comunicare con te).
  • Identifica gli intervalli IP di cui hanno bisogno partner, collaboratori esterni e clienti.
  • Tieni presente che alcuni servizi Google Workspace, ad esempio Moduli e Sites, non hanno un'app per dispositivi mobili e verranno bloccati sui telefoni.

Implementare i criteri relativi ai dispositivi in più fasi

  • Scoprire: applica forzatamente l'uso della verifica degli endpoint in modo da sapere quali dispositivi accedono (o accederanno) ai dati di Google Workspace. Trova le informazioni su ogni dispositivo, ad esempio se è criptato, se esegue un sistema operativo aggiornato e se è un dispositivo personale o di proprietà dell'azienda.

    Tieni presente che se applichi forzatamente un criterio di accesso sensibile al contesto relativo ai dispositivi prima che l'utente possa accedere alla verifica degli endpoint, all'utente potrebbe essere negato l'accesso anche se il suo dispositivo soddisfa il criterio. Questo è dovuto al fatto che la sincronizzazione degli attributi dei dispositivi tramite la verifica degli endpoint potrebbe richiedere alcuni secondi. Per evitare il problema, assicurati che gli utenti accedano alla verifica degli endpoint prima di applicare un criterio di accesso sensibile al contesto relativo ai dispositivi.  
  • Risolvere: fai in modo che i tuoi dispositivi siano gestiti dall'IT e conformi agli standard aziendali per prepararli all'applicazione dei criteri relativi ai dispositivi. Questo dovrebbe contribuire a ridurre le richieste di supporto all'help desk e le chiamate per l'assistenza.
  • Applicare: applica i criteri per limitare l'accesso alle applicazioni in base al contesto del dispositivo. Identifica le organizzazioni, principali e secondarie, e i gruppi, quindi applica i criteri relativi ai dispositivi in un'implementazione graduale. Basa il piano di implementazione sulla composizione dei dispositivi di ogni organizzazione o gruppo e pianifica un supporto sufficiente da parte dell'help desk.

Passaggio successivo: creare livelli di accesso

È stato utile?
Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Accedi per scoprire altre opzioni di assistenza che ti consentiranno di risolvere rapidamente il tuo problema