Toegang tot apps beheren op basis van gebruikers- en apparaatcontext

Overzicht van contextbewuste toegang

Deze functie is beschikbaar in de versies G Suite Enterprise, Cloud Identity Premium, G Suite Enterprise for Education en Drive Enterprise (alleen domeingeverifieerd)

Met contextbewuste toegang kunt u gedetailleerd toegangscontrolebeleid maken voor apps, op basis van kenmerken als gebruikersidentiteit, apparaatbeveiligingsstatus en IP-adres.

Met contextbewuste toegang krijgt u controle over welke apps een gebruiker kan openen op basis van de context, zoals of het apparaat van de gebruiker voldoet aan uw IT-beleid.

U kunt nog steeds toegangsbeleid, zoals authenticatie in twee stappen, instellen voor alle leden van een organisatie-eenheid. Contextbewuste toegang biedt aanvullende gedetailleerde en contextuele functies voor die gebruikers.

Voorbeelden van toepassingen van contextbewuste toegang

U kunt contextbewuste toegang gebruiken om het volgende te doen:

  • Alleen toegang geven tot apps op apparaten die eigendom zijn van het bedrijf.
  • Alleen toegang geven tot Drive als de opslag op het apparaat van een gebruiker is versleuteld.
  • De toegang tot apps van buiten het bedrijfsnetwerk blokkeren.

U kunt ook meerdere toepassingen combineren in een beleidsregel. U kunt bijvoorbeeld een toegangsniveau maken waarmee gebruikers alleen toegang krijgen tot apps op apparaten die eigendom zijn van het bedrijf, zijn versleuteld en die een bepaalde OS-versie of hoger gebruiken.

Ondersteuning voor contextbewuste toegang

Licenties

U kunt beleid voor contextbewuste toegang alleen toepassen op gebruikers met een van de volgende licenties:

  • G Suite Enterprise

  • Cloud Identity Premium

  • G Suite Enterprise for Education

  • Drive Enterprise (alleen domeingeverifieerd)

Gebruikers met een ander type licentie (zoals G Suite Basic of G Suite Business) houden toegang tot apps, zelfs als u een beleidsregel voor contextbewuste toegang toepast op alle gebruikers in dezelfde organisatie-eenheid. Beleid voor contextbewuste toegang dat wordt afgedwongen voor een organisatie-eenheid geldt niet voor gebruikers zonder een van de ondersteunde licenties.

Apps

U kunt beleid voor contextbewuste toegang toepassen op de volgende apps:
  • Agenda
  • Cloud Search
  • Drive en Documenten (inclusief Spreadsheets, Presentaties en Formulieren)
  • Gmail
  • Google Hangouts
  • Google Vault
  • Google+
  • Groups for Business
  • Hangouts Chat
  • Jamboard
  • Keep
  • Sites
  • Tasks
U kunt beleid voor contextbewuste toegang niet toepassen op de volgende apps:
  • Mobiele apps, zoals de Gmail-app of de Apple Mail-app
  • Desktop-apps, zoals Drive File Stream

Platformvereisten

U kunt verschillende typen beleidsregels voor contextbewuste toegang maken voor toegang tot apps, op basis van IP-adres, apparaat en geografische oorsprong.

Platformondersteuning, zoals apparaattype, besturingssysteem en browsertoegang, verschilt per beleidstype.

Beleidstypen

  • IP-adres: Hiermee kunt u een IP-adresbereik opgeven waarbinnen gebruikers toegang hebben tot een app.
  • Apparaat: Hiermee kunt u kenmerken opgeven van het apparaat waarmee een gebruiker een app opent, zoals of het apparaat is versleuteld of een wachtwoord vereist.
  • Geografische oorsprong: Hiermee kunt u landen opgeven waarin een gebruiker toegang heeft tot apps.

Platformondersteuning voor IP-adres en geografische oorsprong

  • Apparaattype: Desktop, laptop of mobiel apparaat
  • Besturingssysteem: Mac, Windows, Chrome
  • Toegang: Alleen via webbrowser
  • Software: Alle browsers

Platformondersteuning voor apparaatbeleid

  • Apparaattype: Desktop en laptop
  • Besturingssysteem: Mac, Windows, Chrome
  • Toegang: Alleen via webbrowser
  • Software: Chrome-webbrowser, Chrome Endpoint Verification-extensie

Vereisten voor beheerders

Deze beheerders kunnen beleid voor contextbewuste toegang instellen:
  • Hoofdgebruikers
  • Gemachtigde beheerders met elk van deze rechten:
    • Gegevensbeveiliging > Toegangsniveaus beheren
    • Gegevensbeveiliging > Regelbeheer

Gebruikerservaring

Als een gebruiker die niet voldoet aan de voorwaarden voor het toegangsniveau een app probeert te openen, ziet deze een door u ingestelde foutmelding.

In het bericht moet staan met wie de gebruiker contact kan opnemen om toegang te krijgen. Hetzelfde bericht wordt weergegeven voor alle apps voor gebruikers in een bepaalde organisatie-eenheid. Als de contactgegevens van de beheerder voor een andere locatie anders zijn, kunt u verschillende berichten maken voor verschillende organisatie-eenheden.

Als u bijvoorbeeld apparaatbeleid voor Gmail-toegang heeft ingesteld en een gebruiker probeert Gmail te openen vanuit de Safari-browser op een Mac of iPhone, krijgt deze dit bericht te zien. Dat komt omdat apparaatbeleid gebruikers alleen toestaat apps te openen via de Chrome-browser en alleen vanaf een desktop of laptop (niet vanaf een mobiel apparaat).

Praktische tips voor de implementatie van beleid voor contextbewuste toegang

Volg deze praktische tips om te zorgen dat de implementatie van beleid voor contextbewuste toegang in uw bedrijf soepel verloopt. Deze praktische tips zijn gebaseerd op feedback van klanten.

Voorkom dat werknemers, partners of externe bijdragers worden buitengesloten

  • Blokkeer niet de toegang tot G Suite-services, zoals Gmail, waarmee u communiceert met uw gebruikers (en waarmee zij communiceren met u).
  • Bepaal welke IP-bereiken partners, externe bijdragers en klanten nodig hebben.
  • Sommige G Suite-services, zoals Formulieren en Sites, hebben geen mobiele app en worden geblokkeerd op telefoons.

Implementeer apparaatbeleid in fasen

  • Ontdekken: Dwing het gebruik van eindpuntverificatie af zodat u weet welke apparaten toegang hebben tot G Suite-gegevens. Bekijk informatie over elk apparaat, bijvoorbeeld of het is versleuteld, de nieuwste versie van het besturingssysteem gebruikt en of het eigendom is van het bedrijf of een persoonlijk apparaat is.
     
  • Optimaliseren: Zorg dat apparaten onder IT-beheer vallen en voldoen aan de bedrijfsstandaarden voordat u apparaatbeleid implementeert. Zo vermindert u e-mails en telefoontjes naar de helpdesk.
     
  • Afdwingen: Dwing beleid af om de toegang tot apps te beperken op basis van apparaatcontext. Identificeer de organisatie-eenheden en suborganisatie-eenheden en implementeer apparaatbeleid in fasen. Baseer het implementatieplan op het type en aantal apparaten in elke organisatie-eenheid en zorg dat er voldoende helpdeskmedewerkers beschikbaar zijn.

Volgende stappen: toegangsniveaus maken

 

Was dit nuttig?
Hoe kunnen we dit verbeteren?