Edições compatíveis com este recurso: Frontline Standard; Enterprise Standard e Enterprise Plus; Education Standard e Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Comparar sua edição
Com o acesso baseado no contexto, é possível criar políticas de controle detalhadas para apps com base em atributos como identidade do usuário, local, status de segurança do dispositivo e endereço IP.
Esse controle pode ser usado para verificar se um dispositivo está em conformidade com sua política de TI.
Casos de uso do acesso baseado no contexto
Você pode usar o acesso baseado no contexto para realizar as seguintes ações:
- Permitir o acesso a apps apenas nos dispositivos da empresa
- Permitir o acesso ao Drive apenas se o armazenamento do dispositivo de um usuário for criptografado
- Restringir o acesso a apps fora da rede corporativa
Também é possível combinar mais de um caso de uso em uma política. Por exemplo, você pode criar um nível de acesso para exigir que os apps sejam acessados em dispositivos criptografados da empresa que usem determinadas versões do sistema operacional.
Suporte para edições, apps, plataformas e tipos de administrador
Abrir seção | Recolher tudo e voltar ao início
Só é possível aplicar as políticas de acesso baseado no contexto aos usuários que têm uma das edições identificadas no início deste artigo.
Os usuários de qualquer outra versão poderão acessar os apps normalmente, mesmo se você aplicar uma política de acesso baseado no contexto a todas as pessoas na mesma unidade organizacional ou no mesmo grupo. Os usuários que não têm uma das edições aceitas não são cobertos pelas políticas de acesso baseado no contexto aplicadas à unidade organizacional ou ao grupo.
Apps do Google Workspace (serviços principais)
Nos apps que são serviços principais, a avaliação da política é feita de forma contínua. Por exemplo, se um usuário fizer login em um serviço principal no escritório e entrar em um restaurante, uma política de acesso baseado no contexto para o serviço será verificada novamente quando o usuário for para outro local.
Esta tabela mostra os apps da Web para computador, para dispositivos móveis e nativos (incorporados) para desktop que são compatíveis.
|
Serviços principais |
Apps da Web (computador ou dispositivo móvel) |
Apps nativos em dispositivos móveis* |
Apps nativos em computador |
|
Agenda |
✔ |
✔ |
|
|
Cloud Search |
✔ |
✔ |
|
|
Drive e Documentos (inclui os apps Planilhas, Apresentações e Formulários) |
✔ |
✔ |
✔ (Drive para computador) |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Vault |
✔ |
||
|
Grupos para empresas |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Serviço do Jamboard |
✔ |
✔ |
|
|
Keep |
✔ |
✔ |
|
|
Sites |
✔ |
||
|
Tarefas |
✔ |
✔ |
|
|
Admin Console |
✔ | ✔ |
|
*Observações sobre o suporte a apps para dispositivos móveis:
- Não é possível aplicar políticas de acesso baseado no contexto para dispositivos móveis a apps nativos de terceiros, como o Salesforce.
- É possível aplicar políticas de acesso baseado no contexto a apps SAML acessados usando o navegador da Web Chrome.
- Os dispositivos da Web são administrados com o gerenciamento de endpoints básico ou avançado do Google.
Serviços adicionais do Google
Nos serviços adicionais do Google, a avaliação da política é feita de forma contínua. Eles são apenas apps da Web.
- Looker Studio: transforme dados em relatórios interativos e gráficos fáceis de ler.
- Google Play Console: ofereça apps Android desenvolvidos por você para a base de usuários desse sistema operacional, que cresce rapidamente.
Apps SAML
Nos apps SAML, a avaliação da política ocorre no momento do login.
- Apps SAML de terceiros que usam o Google como provedor de identidade. Também é possível usar um provedor de identidade (IdP) terceirizado. Ele deve ser federado ao Google Cloud Identity, que é federado a apps SAML. Veja mais detalhes em Configurar o logon único nas Contas do Google gerenciadas que usam provedores de identidade de terceiros.
- As políticas de acesso baseado no contexto são aplicadas quando um usuário faz login em um app SAML.
Exemplo: se um usuário fizer login em um app SAML no escritório e depois for a um café, a política de acesso baseado no contexto do app não será verificada novamente quando essa pessoa for para o outro local. A política de apps SAML é verificada novamente somente quando a sessão do usuário é encerrada e ele faz login novamente.
-
Se uma política do dispositivo for aplicada, o acesso ao navegador da Web nos dispositivos móveis (incluindo o de apps para aparelhos desse tipo que usam um navegador para login) será bloqueado.
Você pode criar diferentes tipos de política de acesso baseado no contexto para apps: IP, dispositivo, origem geográfica e atributos de nível de acesso personalizados. Veja orientações e exemplos de expressões e atributos aceitos para criar níveis de acesso personalizados em Especificação do nível de acesso personalizado.
Para ver detalhes sobre os parceiros a quem a BeyondCorp Alliance oferece suporte, acesse Configurar integrações de terceiros.
O suporte à plataforma, como o tipo de dispositivo, o sistema operacional e o acesso do navegador, varia de acordo com a política.
Os tipos de política incluem:
- IP: especifica um intervalo de endereços IP que um usuário pode usar para se conectar a um app.
- Política e sistema operacional do dispositivo: especifica as características do dispositivo que uma pessoa usa para acessar um app, por exemplo, se ele está criptografado ou exige uma senha.
- Origem geográfica: especifica os países onde um usuário pode acessar apps.
Suporte à plataforma relacionado à origem geográfica e ao IP
Se um provedor de acesso à Internet mudar os endereços IP entre diferentes regiões geográficas, haverá um atraso enquanto essas mudanças entram em vigor. Durante esse atraso, o acesso baseado no contexto poderá bloquear usuários se o acesso deles for aplicado por atributos de geolocalização.
- Tipo de dispositivo: computador, laptop ou dispositivo móvel
- Sistema operacional:
- Computador: Mac, Windows, Chrome OS, Linux OS
- Dispositivo móvel: Android, iOS
- Acesso:
- Navegador da Web para computador e Drive para computador
- Navegador da Web e apps próprios nativos em dispositivos móveis
- Software: nenhum agente exigido (exceto o Safari com a Retransmissão Privada da Apple ativada). Se esse recurso estiver configurado no iCloud, o endereço IP do dispositivo ficará oculto. O Google Workspace vai receber um endereço IP anônimo. Nesse caso, se houver um nível de acesso baseado no contexto atribuído como a sub-rede IP, o acesso será negado ao Safari. Para corrigir isso, desative a Retransmissão Privada ou remova o nível de acesso que contém as sub-redes IP.
Suporte à plataforma da política de dispositivos
- Tipo de dispositivo: computador, laptop ou dispositivo móvel
- Sistema operacional:
- Computador: Mac, Windows, Chrome OS, Linux OS
- Dispositivo móvel: Android, iOS No Android anterior à versão 6.0, você precisa usar o gerenciamento de endpoints do Google no modo básico para a verificação de endpoints.
- Pertence à empresa: não oferece suporte a dispositivos com Android 12 ou versões mais recentes e um perfil de trabalho. Esses dispositivos são sempre registrados como propriedade do usuário, mesmo que estejam no inventário da empresa. Para mais informações, acesse Ver detalhes sobre dispositivos móveis > "Saber mais detalhes do dispositivo" > na tabela "Informações do dispositivo", role para baixo até a linha "Propriedade".
- Acesso:
- Navegador Chrome e Drive para computador
- Navegador Chrome para apps próprios nativos em dispositivos móveis
- Software:
- Superadministrador
- Administrador delegado com cada um destes privilégios:
- Segurança dos dados > Gerenciamento do nível de acesso
- Segurança dos dados > Gerenciamento de regras
- Privilégios da API Admin > Grupos > Leitura
- Privilégios da API Admin > Usuários > Leitura
