Kontrola nad dostępem do aplikacji na podstawie kontekstu użytkownika i urządzenia

Omówienie dostępu zależnego od kontekstu

Ta funkcja jest dostępna w tych wersjach: Enterprise; Education Plus.  Porównanie wersji

Za pomocą dostępu zależnego od kontekstu można utworzyć szczegółowe zasady kontroli dostępu do aplikacji oparte na takich atrybutach jak tożsamość użytkownika, lokalizacja, stan zabezpieczeń urządzenia oraz adres IP.

Dostęp zależny od kontekstu pozwala określić, do których aplikacji użytkownicy mają dostęp zależnie od ich kontekstu – na przykład zgodności urządzenia z zasadami IT obowiązującymi w firmie.

Nadal możesz ustawiać zasady dostępu, takie jak weryfikacja dwuetapowa, dla wszystkich członków jednostki organizacyjnej lub grupy. Dostęp zależny od kontekstu dodaje szczegółowe, kontekstowe mechanizmy kontroli dla tych użytkowników.

Przykładowe przypadki użycia dostępu zależnego od kontekstu

Za pomocą dostępu zależnego od kontekstu możesz:

  • zezwalać na dostęp do aplikacji tylko z urządzeń firmowych;
  • zezwalać na dostęp do Dysku tylko wtedy, gdy pamięć urządzenia użytkownika jest zaszyfrowana;
  • ograniczyć dostęp do aplikacji spoza sieci firmowej.

Możesz też połączyć w jednej zasadzie kilka przypadków użycia. Możesz na przykład utworzyć poziom dostępu pozwalający na dostęp do aplikacji z urządzeń, które są własnością firmy, są zaszyfrowane i mają minimalną wymaganą wersję systemu operacyjnego.

Obsługa dostępu zależnego od kontekstu

Wersje

Zasady dostępu zależnego od kontekstu możesz stosować tylko do użytkowników, którzy mają jedną z tych wersji usług:

  • Enterprise,
  • Cloud Identity Premium,
  • Enterprise for Education.

Użytkownicy, którzy mają inną wersję, uzyskują dostęp do aplikacji w zwykły sposób – nawet jeśli zastosujesz zasady dostępu zależnego od kontekstu do wszystkich użytkowników w tej samej jednostce lub grupie organizacyjnej.Użytkownicy, którzy nie mają jednej z obsługiwanych wersji, nie podlegają zasadom dostępu zależnego od kontekstu, które są wymuszane w ich jednostkach organizacyjnych lub grupach.

Aplikacje

Zasady dostępu zależnego od kontekstu można stosować do tych aplikacji:
  • Usługi podstawowe (ciągła ocena zgodności z zasadami)

    Przykład: jeśli użytkownik zaloguje się w usłudze podstawowej w biurze, a potem pójdzie do kawiarni, zasady dostępu zależnego od kontekstu zostaną ponownie sprawdzone, gdy użytkownik zmieni lokalizację.

    • Kalendarz
    • Cloud Search
    • Dysk i Dokumenty (w tym Arkusze, Prezentacje i Formularze)
    • Gmail
    • Google Meet (zasady kontroli dostępu do Google Meet możesz stosować za pomocą Hangouts Meet)
    • Hangouts Meet
    • Google Vault
    • Google+
    • Grupy dyskusyjne Google dla Firm
    • Google Chat (zasady kontroli dostępu do Google Chat możesz stosować za pomocą Hangouts Chat)
    • Hangouts Chat
    • Usługa Jamboard
    • Keep
    • Witryny
    • Lista zadań
  • Aplikacje SAML (ocena zasad podczas logowania)
    • Aplikacje SAML innych firm, które używają Google jako dostawcy tożsamości. Możesz też korzystać z usług zewnętrznego dostawcy tożsamości (zewnętrzny dostawca tożsamości jest sfederowany z Google Cloud Identity, a Google Cloud Identity – z aplikacjami SAML). Szczegółowe informacje znajdziesz w temacie Konfigurowanie logowania jednokrotnego na zarządzanych kontach Google przy użyciu zewnętrznych dostawców tożsamości.
    • Zasady dostępu zależnego od kontekstu są wymuszane podczas logowania się użytkownika w aplikacji SAML.

      Przykład: jeśli użytkownik zaloguje się w aplikacji SAML w biurze, a potem pójdzie do kawiarni, zasady dostępu zależnego od kontekstu dla tej aplikacji SAML nie zostaną ponownie sprawdzone, gdy użytkownik zmieni lokalizację. W przypadku aplikacji SAML zasady są ponownie sprawdzane tylko po zakończeniu sesji użytkownika i ponownym zalogowaniu.

    •  W przypadku zastosowania zasad dotyczących urządzeń dostęp przez przeglądarkę mobilną zostanie zablokowany (dotyczy to też aplikacji mobilnych używających przeglądarki do logowania).

Zasad dostępu zależnego od kontekstu nie można wymuszać dla:
  • aplikacji mobilnych, takich jak Gmail czy Apple Mail (dozwolony jest pełny dostęp);
  • aplikacji komputerowych, takich jak Transmisja plików z Dysku (dozwolony jest pełny dostęp).
Wymagania dotyczące platformy

Możesz tworzyć różne typy zasad dostępu zależnego od kontekstu. Kontekstem mogą być adresy IP, urządzenia czy lokalizacja geograficzna.

Obsługiwane platformy, czyli typ urządzenia, system operacyjny czy przeglądarka, zależą od typu zasady.

Typy zasad

  • IP – określa zakres adresów IP, z których użytkownik może łączyć się z aplikacją.
  • Urządzenie – określa właściwości urządzenia, z którego użytkownik uzyskuje dostęp do aplikacji (np. czy urządzenie jest zaszyfrowane lub wymaga podania hasła).
  • Lokalizacja geograficzna – określa kraje, z których użytkownik może uzyskiwać dostęp do aplikacji.

Obsługiwane platformy: adresy IP i lokalizacja geograficzna

  • Typ urządzenia – komputer stacjonarny, laptop lub urządzenie mobilne
  • System operacyjny – Mac OS, Windows, Chrome OS
  • Dostęp – tylko przeglądarka internetowa
  • Oprogramowanie – dowolna przeglądarka

Obsługiwane platformy: zasady dotyczące urządzeń

  • Typ urządzenia – komputer stacjonarny i laptop
  • System operacyjny – Mac OS, Windows, Chrome OS
  • Dostęp – tylko przeglądarka internetowa
  • Oprogramowanie – przeglądarka Chrome, rozszerzenie „Endpoint Verification” do Chrome
Wymagania dotyczące administratora
Następujący administratorzy mogą ustawiać zasady dostępu zależnego od kontekstu:
  • Superadministrator
  • Delegowany administrator z każdym z tych uprawnień:
    • Bezpieczeństwo danych > Zarządzanie poziomem dostępu
    • Bezpieczeństwo danych > Zarządzanie regułami
    • Uprawnienia w interfejsie Admin API > Grupy > Odczyt
    • Uprawnienia w interfejsie Admin API > Użytkownicy > Odczyt 

Interfejs użytkownika

Gdy użytkownik próbuje uzyskać dostęp do aplikacji, a nie spełnia warunków poziomu dostępu, zobaczy dostosowany przez Ciebie komunikat o błędzie.
Komunikat powinien zawierać informację o tym, z kim użytkownik ma się skontaktować, by uzyskać dostęp. Komunikat jest stosowany we wszystkich aplikacjach dla użytkowników w jednostce organizacyjnej. Jeśli dane kontaktowe administratora są inne w innej lokalizacji, możesz utworzyć różne komunikaty dla różnych jednostek organizacyjnych.
Na przykład: jeśli zdefiniowano zasadę dotyczącą urządzeń dla dostępu do Gmaila, a użytkownik próbuje uzyskać dostęp do Gmaila z przeglądarki Safari na Macu lub iPhonie, zobaczy ten komunikat.  Dzieje się tak, ponieważ zasady dotyczące urządzeń zezwalają użytkownikom na dostęp do aplikacji tylko z przeglądarki Chrome i tylko z komputerów stacjonarnych lub laptopów (a nie z urządzeń mobilnych). Zobacz wymagania dotyczące platformy.

Sprawdzone metody wdrażania zasad dostępu zależnego od kontekstu

Zastosuj te sprawdzone metody, by uniknąć problemów podczas wdrażania zasad dostępu zależnego od kontekstu w swojej firmie. Te sprawdzone metody opracowano na podstawie opinii klientów.

Postaraj się nie zablokować dostępu pracownikom, partnerom i współpracownikom zewnętrznym

  • Nie blokuj dostępu do usług Google Workspace, takich jak Gmail, za pomocą których komunikujesz się z użytkownikami (a oni z Tobą).
  • Ustal zakresy adresów IP, których używają partnerzy, współpracownicy zewnętrzni i klienci.
  • Pamiętaj, że niektóre usługi Google Workspace, takie jak Formularze i Witryny, nie mają aplikacji mobilnej i będą blokowane na telefonach.

Wdrażaj zasady dotyczące urządzeń etapami

  • Identyfikowanie urządzeń – wymuś używanie weryfikacji punktów końcowych, by dowiedzieć się, które urządzenia korzystają z dostępu do danych w Google Workspace. Uzyskaj informacje o każdym urządzeniu: czy jest zaszyfrowane, czy ma aktualny system operacyjny, czy jest urządzeniem firmowym czy prywatnym.

    Jeśli wymusisz stosowanie zależnych od kontekstu zasad dotyczących urządzeń, zanim użytkownik będzie mógł się zalogować w systemie weryfikacji punktów końcowych, może nastąpić odmowa dostępu, nawet jeśli urządzenie jest zgodne z wymuszonymi zasadami. Dzieje się tak dlatego, że zsynchronizowanie atrybutów urządzeń przez weryfikację punktów końcowych może potrwać kilka sekund. Aby uniknąć tego problemu, poproś użytkowników o zalogowanie się w systemie weryfikacji punktów końcowych, zanim wymusisz stosowanie zależnych od kontekstu zasad dotyczących urządzeń.  
  • Środki zaradcze – podczas przygotowania do wdrożenia zasad dotyczących urządzeń obejmij urządzenia procesami zarządzania IT i zadbaj o ich zgodność ze standardami firmowymi. Pomoże to zmniejszyć liczbę zgłoszeń i telefonów do działu pomocy.
  • Wymuszanie – wymuś stosowanie zasad, by ograniczyć dostęp do aplikacji na podstawie kontekstu urządzenia. Określ organizacje, organizacje podrzędne i grupy, a następnie etapami wdrażaj zasady dotyczące urządzeń. Planując wdrożenie, uwzględnij różnorodność urządzeń w poszczególnych organizacjach i grupach, aby zapewnić odpowiednie zasoby pomocy.

Co dalej: tworzenie poziomów dostępu

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem