Powiadomienie

Duet AI to teraz Gemini w Google Workspace. Więcej informacji

Kontrola nad dostępem do aplikacji na podstawie kontekstu użytkownika i urządzenia

Ochrona firmy za pomocą dostępu zależnego od kontekstu

Ta funkcja jest dostępna w tych wersjach: Frontline Standard; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium.  Porównanie wersji

Za pomocą dostępu zależnego od kontekstu można utworzyć szczegółowe zasady kontroli dostępu do aplikacji oparte na takich atrybutach jak tożsamość użytkownika, lokalizacja, stan zabezpieczeń urządzenia oraz adres IP.

Możesz kontrolować dostęp użytkowników na podstawie kontekstu, na przykład zgodności urządzenia z zasadami IT.

Przykładowe przypadki użycia dostępu zależnego od kontekstu

Za pomocą dostępu zależnego od kontekstu możesz:

  • zezwalać na dostęp do aplikacji tylko z urządzeń firmowych;
  • zezwalać na dostęp do Dysku tylko wtedy, gdy pamięć urządzenia użytkownika jest zaszyfrowana;
  • ograniczyć dostęp do aplikacji spoza sieci firmowej.

W jednej zasadzie można połączyć kilka przypadków użycia. Możesz na przykład utworzyć poziom dostępu pozwalający na dostęp do aplikacji z urządzeń, które są własnością firmy, są zaszyfrowane i mają minimalną wymaganą wersję systemu operacyjnego.

Obsługa wersji, aplikacji, platform i typów administratora

Otwórz sekcję  |  Zwiń wszystko i przejdź na górę strony

Informacje o wersjach

Zasady dostępu zależnego od kontekstu możesz stosować tylko do użytkowników, którzy korzystają z jednej z wersji wymienionych na początku tego artykułu.

Użytkownicy, którzy mają inną wersję, uzyskują dostęp do aplikacji w zwykły sposób – nawet jeśli zastosujesz zasady dostępu zależnego od kontekstu do wszystkich użytkowników w tej samej jednostce organizacyjnej lub grupie. Użytkownicy, którzy nie mają jednej z obsługiwanych wersji, nie podlegają zasadom dostępu zależnego od kontekstu, które są wymuszane w ich jednostkach organizacyjnych lub grupach.

Aplikacje
Zasady dostępu zależnego od kontekstu możesz stosować w przypadku aplikacji internetowych i natywnych na komputer oraz aplikacji mobilnych. Dostęp dla aplikacji – gdy już zostanie przyznany – jest oceniany cały czas. Wyjątek stanowią aplikacje SAML, które są sprawdzane podczas logowania.

Aplikacje Google Workspace (usługi podstawowe)

W przypadku aplikacji będących usługami podstawowymi ocena zasad jest nieustanna. Na przykład: jeśli użytkownik zaloguje się w usłudze podstawowej w biurze, a potem pójdzie do kawiarni, zasady dostępu zależnego od kontekstu zostaną ponownie sprawdzone, gdy użytkownik zmieni lokalizację.

Tabela poniżej zawiera wykaz obsługiwanych aplikacji internetowych i natywnych (wbudowanych) na komputer oraz aplikacji mobilnych.

Usługi podstawowe

Aplikacje internetowe (na komputer lub urządzenia mobilne)

Aplikacje natywne na urządzenia mobilne*
(Urządzenia mobilne zarządzane są za pomocą podstawowych lub zaawansowanych funkcji zarządzania punktami końcowymi Google).

Aplikacje natywne na komputer

Kalendarz

 

Cloud Search

 

Dysk i Dokumenty (w tym Arkusze, Prezentacje i Formularze)

(Dysk na komputer)

Gmail

 

Google Meet

 

Google Vault

   

Grupy dyskusyjne Google dla Firm

   

Google Chat

 

Usługa Jamboard

 

Keep

 

Witryny

   

Lista zadań

 

Konsola administracyjna

 

* Uwagi dotyczące obsługi aplikacji mobilnych:

  • Nie możesz wymuszać stosowania zasad dostępu zależnego od kontekstu w przypadku aplikacji natywnych innych firm (na przykład aplikacji Salesforce).
  • Możesz wymuszać stosowanie zasad dostępu zależnego od kontekstu w przypadku aplikacji SAML, do których dostęp uzyskiwany jest przez przeglądarkę Chrome.
  • Urządzenia mobilne są zarządzane za pomocą podstawowych lub zaawansowanych funkcji zarządzania punktami końcowymi Google.

Usługi dodatkowe Google

W przypadku usług dodatkowych Google ocena zasad jest nieustanna. Te usługi to tylko aplikacje internetowe.

  • Looker Studio – przekształca dane w czytelne wykresy i interaktywne raporty.
  • Konsola Google Play – umożliwia oferowanie samodzielnie opracowanych aplikacji na Androida coraz liczniejszemu gronu użytkowników tego systemu.

Aplikacje SAML

W przypadku aplikacji SAML ocena zasad dokonywana jest podczas logowania.

  • Dotyczy to aplikacji SAML innych firm, które używają Google jako dostawcy tożsamości. Możesz też korzystać z usług zewnętrznego dostawcy tożsamości (zewnętrzny dostawca tożsamości jest sfederowany z Google Cloud Identity, a Google Cloud Identity – z aplikacjami SAML). Szczegółowe informacje znajdziesz w artykule Konfigurowanie logowania jednokrotnego na zarządzanych kontach Google przy użyciu zewnętrznych dostawców tożsamości.
  • Zasady dostępu zależnego od kontekstu są wymuszane podczas logowania się użytkownika w aplikacji SAML.

    Przykład: jeśli użytkownik zaloguje się w aplikacji SAML w biurze, a potem pójdzie do kawiarni, zasady dostępu zależnego od kontekstu dla tej aplikacji SAML nie zostaną ponownie sprawdzone, gdy użytkownik zmieni lokalizację. W przypadku aplikacji SAML zasady są ponownie sprawdzane dopiero po zakończeniu sesji użytkownika i próbie kolejnego zalogowania.

  • Jeśli stosowane są zasady dotyczące urządzeń, dostęp przez przeglądarkę mobilną zostanie zablokowany (dotyczy to też aplikacji mobilnych używających przeglądarki do logowania).

Wymagania dotyczące platformy

Możesz tworzyć różne typy zasad dostępu zależnego od kontekstu. Kontekstem mogą być adresy IP, urządzenia, lokalizacja geograficzna oraz atrybuty niestandardowych poziomów dostępu. Wskazówki i przykłady obsługiwanych atrybutów i wyrażeń, których można użyć do tworzenia niestandardowych poziomów dostępu, znajdziesz w specyfikacji niestandardowych poziomów dostępu (w języku angielskim).

Szczegółowe informacje o obsługiwanych partnerach BeyondCorp Alliance znajdziesz w artykule Konfigurowanie integracji z usługami partnerów zewnętrznych.

Obsługiwane platformy, czyli typ urządzenia, system operacyjny czy przeglądarka, zależą od typu zasady.

Typy zasad:

  • IP – określa zakres adresów IP, z których użytkownik może łączyć się z aplikacją.
  • Zasady dotyczące urządzeń i System operacyjny urządzenia – elementy te pozwalają na określenie właściwości urządzenia, z którego użytkownik uzyskuje dostęp do aplikacji (na przykład czy urządzenie jest zaszyfrowane lub wymaga podania hasła).
  • Pochodzenie geograficzne – określa kraje, z których użytkownik może uzyskiwać dostęp do aplikacji.

Obsługiwane platformy: adres IP i pochodzenie geograficzne

Pamiętaj, że jeśli dostawca usług internetowych zmieni adresy IP między regionami geograficznymi, zmiany te zostaną wprowadzone z opóźnieniem. W międzyczasie dostęp zależny od kontekstu może blokować użytkowników, jeśli dostęp jest przyznawany na podstawie atrybutów geolokalizacji.

  • Typ urządzenia – komputer stacjonarny, laptop lub urządzenie mobilne.
  • System operacyjny:
    • na komputer – macOS, Windows, Chrome OS, Linux;
    • na urządzenia mobilne – Android, iOS.
  • Dostęp:
    • przeglądarka internetowa na komputer i Dysk na komputer,
    • przeglądarka internetowa i wewnętrzne aplikacje natywne na urządzenia mobilne.
  • Oprogramowanie – nie jest wymagany żaden agent (z wyjątkiem Safari z włączoną usługą Apple Private Relay). Jeśli usługa Apple Private Relay jest skonfigurowana w iCloud, adres IP urządzenia jest ukryty. Google Workspace otrzymuje anonimowy adres IP. Dlatego jeśli dostęp zależny od kontekstu zostanie przypisany na poziomie podsieci IP, nastąpi odmowa dostępu do Safari. Aby rozwiązać ten problem, wyłącz usługę Private Relay lub usuń poziom dostępu obejmujący podsieci IP.

Obsługiwane platformy: zasady dotyczące urządzeń

  • Typ urządzenia – komputer stacjonarny, laptop lub urządzenie mobilne.
  • System operacyjny:
    • na komputer – macOS, Windows, Chrome OS, Linux;
    • na urządzenia mobilne – Android, iOS. Pamiętaj, że w przypadku urządzeń z Androidem w wersjach starszych niż 6.0 do weryfikacji punktów końcowych musisz używać funkcji zarządzania punktami końcowymi Google w trybie podstawowym.
  • Należące do firmy – brak obsługi na urządzeniach z Androidem 12 lub nowszym i profilem służbowym. Takie urządzenia są zawsze zgłaszane jako należące do użytkowników, nawet jeśli znajdują się w spisie urządzeń należących do firmy.Więcej informacji znajdziesz w artykule Wyświetlanie informacji o urządzeniu mobilnym: w sekcji Informacje o urządzeniach mobilnych rozwiń tabelę Informacje o urządzeniu i znajdź wiersz Własność.
  • Dostęp:
    • przeglądarka Chrome na komputer i Dysk na komputer,
    • przeglądarka Chrome dla wewnętrznych aplikacji natywnych na urządzenia mobilne.
  • Oprogramowanie:
    • na komputer – przeglądarka Chrome, rozszerzenie Endpoint Verification (Weryfikacja punktów końcowych) do Chrome;
    • na urządzenia mobilne – urządzenia mobilne muszą być zarządzane za pomocą funkcji (podstawowego lub zaawansowanego) zarządzania punktami końcowymi Google.
Wymagania dotyczące administratora
Poniżej znajdziesz listę administratorów, którzy mogą ustawiać zasady dostępu zależnego od kontekstu.
  • Superadministrator
  • Administrator delegowany z każdym z tych uprawnień:
    • Bezpieczeństwo danych > Zarządzanie poziomem dostępu,
    • Bezpieczeństwo danych > Zarządzanie regułami,
    • Uprawnienia w interfejsie Admin API > Grupy > Odczyt,
    • Uprawnienia w interfejsie Admin API > Użytkownicy > Odczyt.

Co dalej: dowiedz się, na czym polega wdrożenie

Czy to było pomocne?

Jak możemy ją poprawić?
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
12044707366987885911
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false