Ondersteunde versies voor deze functie: Frontline Standard; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Versies vergelijken
Met contextbewuste toegang kun je gedetailleerd beveiligingsbeleid voor toegangsbeheer maken voor apps, op basis van kenmerken als gebruikersidentiteit, locatie, apparaatbeveiligingsstatus en IP-adres.
U bepaalt welke apps een gebruiker kan openen gebaseerd op de context, zoals of het apparaat van de gebruiker voldoet aan uw IT-beleid.
Voorbeelden van toepassingen van contextbewuste toegang
U kunt contextbewuste toegang gebruiken om het volgende te doen:
- Alleen toegang geven tot apps op apparaten die eigendom zijn van het bedrijf
- Alleen toegang geven tot Drive als het opslagapparaat van een gebruiker is versleuteld
- De toegang tot apps van buiten het bedrijfsnetwerk blokkeren
U kunt ook meerdere toepassingen combineren in één beleidsregel. U kunt bijvoorbeeld een toegangsniveau maken waarmee gebruikers alleen toegang krijgen tot apps op apparaten die eigendom zijn van het bedrijf, die zijn versleuteld en die een bepaalde minimale versie van het besturingssysteem gebruiken.
Support voor versies, apps, platforms en beheerderstypen
Gedeelte openen | Alles samenvouwen en naar bovenkant gaan
U kunt beleid voor contextbewuste toegang alleen toepassen op gebruikers die een van de versies gebruiken die boven in dit artikel staan.
Gebruikers met een andere versie houden toegang tot apps, zelfs als u beleid voor contextbewuste toegang toepast op alle gebruikers in dezelfde organisatie-eenheid of groep. Voor gebruikers die niet een van de ondersteunde versies gebruiken, geldt beleid voor contextbewuste toegang dat wordt afgedwongen voor een organisatie-eenheid of groep niet.
Google Workspace-apps (kernservices)
Voor apps die kernservices zijn, wordt het beleid continu gecontroleerd. Als een gebruiker bijvoorbeeld inlogt bij een kernservice op kantoor en naar een koffiebar loopt, wordt het beleid voor contextbewuste toegang voor die service opnieuw gecontroleerd wanneer de gebruiker van locatie verandert.
In deze tabel ziet u welke apps worden ondersteund voor web-apps op desktops, mobiele apps en systeemeigen apps (ingebouwde apps) op desktops.
|
Kernservices |
Web-apps (desktop of mobiel) |
Systeemeigen apps op mobiel* |
Systeemeigen apps op desktop |
|
Agenda |
✔ |
✔ |
|
|
Cloud Search |
✔ |
✔ |
|
|
Drive en Documenten (inclusief Spreadsheets, Presentaties en Formulieren) |
✔ |
✔ |
✔ (Drive voor desktop) |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
Google Groepen voor bedrijven |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Jamboard |
✔ |
✔ |
|
|
Keep |
✔ |
✔ |
|
|
Sites |
✔ |
||
|
Tasks |
✔ |
✔ |
|
|
Beheerdersconsole |
✔ | ✔ |
|
*Supportopmerkingen voor mobiele apps:
- U kunt beleid voor contextbewuste toegang niet afdwingen voor systeemeigen mobiele apps van derden (bijvoorbeeld Salesforce).
- U kunt beleid voor contextbewuste toegang wel afdwingen voor SAML-apps die worden geopend via de Chrome-webbrowser.
- Mobiele apparaten worden beheerd met Google-eindpuntbeheer op basis- of geavanceerd niveau.
Aanvullende Google-services
Voor aanvullende Google-services wordt het beleid continu gecontroleerd. Deze services zijn alleen web-apps.
- Google Looker Studio: Zet gegevens om in makkelijk te lezen diagrammen en interactieve rapporten.
- Google Play Console: Stel Android-apps die u ontwikkelt ter beschikking aan het snel groeiende bestand van Android-gebruikers.
SAML-apps
Beleid voor SAML-apps wordt gecontroleerd als gebruikers inloggen bij de app.
- SAML-apps van derden die Google gebruiken als identiteitsprovider. U kunt ook een identiteitsprovider (IdP) van derden gebruiken (IdP van derden federeert met Google Cloud Identity en Google Cloud Identity federeert met SAML-apps). Zie Single sign-on (SSO) instellen voor beheerde Google-accounts met identiteitsproviders van derden voor meer informatie.
- Beleid voor contextbewuste toegang wordt afgedwongen als een gebruiker inlogt bij een SAML-app.
Voorbeeld: Als een gebruiker inlogt bij een SAML-app op kantoor en naar een koffiebar loopt, wordt het beleid voor contextbewuste toegang voor de SAML-app niet opnieuw gecontroleerd als de gebruiker van locatie verandert. Voor SAML-apps wordt het beleid alleen opnieuw gecontroleerd als de gebruikerssessie voorbij is en de gebruiker opnieuw inlogt.
-
Als apparaatbeleid wordt toegepast, wordt toegang tot webbrowsers op mobiele apparaten (inclusief mobiele apps die inloggen via een webbrowser) geblokkeerd.
U kunt verschillende typen beleidsregels voor contextbewuste toegang maken voor toegang tot apps, op basis van IP-adres, apparaat, geografische oorsprong en aangepaste kenmerken in het toegangsniveau. Zie Custom access level specification (Aangepaste toegangsniveaus opgeven) voor hulp en voorbeelden van ondersteunde kenmerken en expressies voor aangepaste toegangsniveaus.
Zie Integraties met derden instellen voor meer informatie over ondersteunde BeyondCorp Alliance-partners.
Platformondersteuning, zoals apparaattype, besturingssysteem en browsertoegang, verschilt per beleidstype.
Dit zijn enkele beleidstypen:
- IP-adres: Hiermee kunt u een IP-adresbereik opgeven waarbinnen gebruikers toegang hebben tot een app.
- Apparaatbeleid en Apparaat-OS: Hiermee kunt u kenmerken opgeven van het apparaat waarmee een gebruiker een app opent, zoals of het apparaat is versleuteld of een wachtwoord vereist.
- Geografische oorsprong: Hiermee kunt u landen opgeven waarin een gebruiker toegang heeft tot apps.
Platformondersteuning voor IP-adres en geografische oorsprong
Als een internetprovider het IP-adres wijzigt tussen verschillende geografische regio's, wordt dit met wat vertraging doorgevoerd. Tijdens deze vertraging kunnen gebruikers worden geblokkeerd door contextbewuste toegang als hun toegang wordt afgedwongen door kenmerken voor geolocatie.
- Apparaattype: Desktop, laptop of mobiel apparaat.
- Besturingssysteem:
- Desktop: Mac, Windows, Chrome OS, Linux OS.
- Mobiel: Android, iOS.
- Toegang:
- Webbrowser voor desktop en Drive voor desktop.
- Webbrowser en systeemeigen apps van het bedrijf op mobiele apparaten.
- Software: Geen agent vereist (behalve safari met Apple Private Relay geactiveerd). Als Apple Private Relay is ingesteld in iCloud, wordt het IP-adres van het apparaat verborgen. Google Workspace krijgt dan een anoniem IP-adres. Als er een niveau voor contextbewuste toegang is toegewezen als het IP-subnetwerk, wordt de toegang tot Safari geweigerd. U kunt dit probleem oplossen door Private Relay uit te zetten of door het toegangsniveau met IP-subnetwerken te verwijderen.
Platformondersteuning voor apparaatbeleid
- Apparaattype: Desktop, laptop of mobiel apparaat.
- Besturingssysteem:
- Desktop: Mac, Windows, Chrome OS, Linux OS.
- Mobiel: Android, iOS. Voor Android-versies vóór versie 6.0 moet u Google-eindpuntbeheer in de basismodus gebruiken voor eindpuntverificatie.
- Eigendom van het bedrijf: Wordt niet ondersteund voor apparaten met Android 12 of hoger en een werkprofiel. Bij deze apparaten staat altijd dat het apparaat eigendom is van de gebruiker, zelfs als ze in de inventaris van apparaten die eigendom zijn van het bedrijf staan. Ga voor meer informatie naar Gegevens van mobiele apparaten bekijken, Informatie over apparaatgegevens. Scroll in de tabel Apparaatgegevens omlaag naar de rij Eigendom.
- Toegang:
- Chrome-browser voor desktop en Drive voor desktop
- Chrome-browser voor systeemeigen apps van het bedrijf op mobiele apparaten
- Software:
- Desktop: Chrome-webbrowser, Chrome Endpoint Verification-extensie.
- Mobiel: U moet mobiele apparaten beheren met Google-eindpuntbeheer basis of geavanceerd).
- Hoofdgebruikers
- Gemachtigde beheerders met elk van deze rechten:
- Gegevensbeveiliging > Toegangsniveaus beheren
- Gegevensbeveiliging > Regelbeheer
- Rechten voor de Admin API > Groepen > Lezen
- Rechten voor de Admin API > Gebruikers > Lezen
