Controlar o acesso a apps com base no contexto do usuário e do dispositivo

Visão geral do Acesso baseado no contexto

Edições compatíveis com este recurso: Enterprise; Education Plus.  Comparar sua edição

Com o acesso baseado no contexto, você pode criar políticas detalhadas de controle de acesso para apps usando atributos como identidade do usuário, local, status de segurança do dispositivo e endereço IP.

Você controla quais apps um usuário pode acessar com base no contexto, utilizando critérios como a compliance do dispositivo com a política de TI.

Você ainda pode definir políticas de acesso, como a verificação em duas etapas, para todos os membros de uma unidade organizacional ou de um grupo. Com o acesso baseado no contexto, esses usuários têm mais controles granulares e contextuais.

Acesso para apps é avaliado de forma contínua após ser concedido. A exceção a essa regra são os apps SAML, que são avaliados no momento do login.

Exemplos de casos de uso do acesso baseado no contexto

Você pode usar o Acesso baseado no contexto para:

  • permitir o acesso a apps apenas nos dispositivos da empresa;
  • permitir o acesso ao Drive apenas se o armazenamento do dispositivo de um usuário for criptografado;
  • restringir o acesso a apps fora da rede corporativa.

Também é possível combinar mais de um caso de uso em uma política. Por exemplo, você pode criar um nível de acesso para exigir que os apps sejam acessados em dispositivos da empresa, criptografados e que usem determinadas versões do sistema operacional.

Compatibilidade com o acesso baseado no contexto

Sobre as edições

Só é possível aplicar as políticas de acesso baseado no contexto aos usuários que têm uma das edições identificadas no início deste artigo.

Os usuários de qualquer outra edição poderão acessar os apps normalmente, mesmo se você aplicar uma política de acesso baseado no contexto a todos os usuários na mesma unidade organizacional ou no mesmo grupo. Os usuários que não têm uma das edições compatíveis não são cobertos pelas políticas de acesso baseado no contexto aplicadas à unidade organizacional ou ao grupo.

Apps

Você pode aplicar políticas de acesso baseado no contexto a apps da Web em computadores, apps para dispositivos móveis e apps nativos em computadores.

Serviços principais

Nos apps que são serviços principais, a avaliação da política é feita de forma contínua. Por exemplo, se um usuário fizer login em um serviço principal no escritório e entrar em um restaurante, uma política de acesso baseado no contexto para o serviço será verificada novamente quando o usuário for para outro local.

Esta tabela mostra os apps da Web para computador, os apps para dispositivos míveis (incorporados) e os apps nativos para computador que são compatíveis.

Serviços principais

Apps da Web (computador ou dispositivo móvel)

Apps nativos em dispositivos móveis*
Os dispositivos móveis são gerenciados com o gerenciamento de endpoints do Google básico ou avançado.

Apps nativos em computador

Agenda

 

Cloud Search

 

Drive e Documentos (inclui o Planilhas, o Apresentações e o Formulários)

 

Gmail

 

Google Meet (é possível aplicar políticas de controle de acesso ao Google Meet usando o Hangouts Meet)

 

Hangouts Meet

 

Vault

   

Google Currents (antigo Google+)

 

Grupos para empresas

   

Google Chat (é possível aplicar políticas de controle de acesso ao Google Chat usando o Hangouts Chat)

 

Hangouts Chat

 

Serviço do Jamboard

 

Keep

 

Sites

   

Tarefas

 

Drive para computador

   

*Observações sobre o suporte dos apps para dispositivos móveis:

  • Não é possível aplicar políticas de acesso baseado no contexto para dispositivos móveis a apps nativos de terceiros, como o Salesforce.
  • É possível aplicar políticas de acesso baseado no contexto a apps SAML acessados por navegadores da Web para dispositivos móveis (Safari e Chrome).
  • Os dispositivos da Web são gerenciados com o gerenciamento de endpoints do Google básico ou avançado.

Apps SAML

Nos apps SAML, a avaliação da política ocorre no momento do login.

  • Apps SAML de terceiros que usam o Google como provedor de identidade. Também é possível usar um provedor de identidade (IdP, na sigla em inglês) terceirizado. Esse provedor deve ser federado ao Google Cloud Identity, que é federado a apps SAML. Veja mais detalhes em Configurar o Logon único nas Contas do Google gerenciadas que usam provedores de identidade de terceiros.
  • As políticas de acesso baseado no contexto são aplicadas quando um usuário faz login em um app SAML.

    Exemplo: se um usuário fizer login em um app SAML no escritório e depois for a um café, a política de acesso baseado no contexto do app não será verificada novamente quando o usuário mudar de local. A política de apps SAML é verificada novamente somente quando a sessão do usuário é encerrada e ele faz login novamente.

  • Se uma política do dispositivo for aplicada, o acesso ao navegador da Web nos dispositivos móveis (inclusive o de apps para dispositivos móveis que usam um navegador da Web para login) será bloqueado.

Requisitos de plataforma

Você pode criar diferentes tipos de política de acesso baseado no contexto para apps: IP, dispositivo e origem geográfica.

A compatibilidade com a plataforma, como o tipo de dispositivo, o sistema operacional e o acesso do navegador, varia de acordo com a política.

Tipos de política

  • IP: especifica um intervalo de endereços IP que um usuário pode usar para se conectar a um app.
  • Política e sistema operacional do dispositivo: especifica as características de um dispositivo pelo qual um usuário acessa um app, como se o dispositivo está criptografado ou exige uma senha.
  • Origem geográfica: especifica os países onde um usuário pode acessar apps.

Compatibilidade com a plataforma de origem geográfica e IP

  • Tipo de dispositivo: computador, laptop ou dispositivo móvel
  • Sistema operacional:
    • Computador: Mac, Windows, Chrome OS, Linux OS
    • Dispositivo móvel: Android, iOS
  • Acesso:
    • Navegador da Web para computador e Drive para computador
    • Navegador da Web e apps próprios nativos em dispositivos móveis
  • Software: nenhum agente exigido

Compatibilidade com a plataforma da política de dispositivos

  • Tipo de dispositivo: computador, laptop ou dispositivo móvel
  • Sistema operacional:
    • Computador: Mac, Windows, Chrome OS, Linux OS
    • Dispositivo móvel: Android, iOS
  • Acesso:
    • Navegador da Web para computador e Drive para computador
    • Navegador da Web e apps próprios nativos em dispositivos móveis
  • Software:
    • Computador: navegador Chrome, extensão de verificação de endpoints do Chrome
    • Dispositivo móvel: compatibilidade com a maioria dos atributos sem necessidade de instalação de software Para alguns atributos, um app de política do dispositivo (MDM avançado) é necessário.
Requisitos de administrador
Estes administradores podem definir políticas de Acesso baseado no contexto:
  • Superadministrador
  • Administrador delegado com cada um destes privilégios:
    • Segurança dos dados > Gerenciamento do nível de acesso
    • Segurança dos dados > Gerenciamento de regras
    • Privilégios da API administrativa > Grupos > Leitura
    • Privilégios da API administrativa > Usuários > Leitura  

Experiência do usuário

Quando um usuário tenta acessar um app e não atende às condições do nível de acesso, uma mensagem de erro personalizada é exibida.
Sua mensagem precisa informar com quem o usuário deve entrar em contato para ter acesso. Ela é usada em todos os apps para usuários em uma unidade organizacional. Se as informações de contato do administrador forem diferentes dependendo do local, crie mensagens para outras unidades organizacionais.

Práticas recomendadas para implantar políticas de acesso baseado no contexto

Siga estas práticas recomendadas para facilitar a implantação das políticas de Acesso baseado no contexto na sua empresa. Elas foram criadas com base no feedback dos clientes.

Evite bloquear funcionários, parceiros ou colaboradores externos

  • Não bloqueie o acesso aos serviços do Google Workspace, como o Gmail, utilizados para enviar mensagens aos seus usuários (e que eles também utilizam para se comunicar com você).
  • Identifique os intervalos de IP que parceiros, colaboradores externos e clientes precisam usar.
  • Alguns serviços do Google Workspace, como o Formulários e o Sites, não têm um app para dispositivos móveis e serão bloqueados em smartphones.

Implemente políticas de dispositivos gradativamente

  • Identificação: exija o uso da verificação de endpoints para saber quais dispositivos acessam (ou acessarão) os dados do Google Workspace. Identifique informações sobre cada dispositivo, por exemplo, se ele é criptografado, usa uma versão atualizada do sistema operacional e pertence à empresa ou a um usuário.

    Se você aplicar uma política de dispositivo baseada no contexto antes do usuário fazer login na verificação de endpoints, ele poderá ter o acesso negado, mesmo que o dispositivo atenda a essa política. Isso acontece porque a sincronização dos atributos do dispositivo pela verificação de endpoints pode levar alguns segundos. Para evitar que isso ocorra, peça para os usuários fazerem login na verificação de endpoints antes de aplicar uma política de dispositivo baseado no contexto.  
  • Correção: inclua seus dispositivos no gerenciamento de TI e confirme que eles estão em compliance com os padrões da empresa antes da aplicação da política de dispositivos. Isso diminui o número de tíquetes de atendimento ao usuário e de chamadas para o suporte.
  • Aplicação: aplique políticas para restringir o acesso a apps com base no contexto do dispositivo. Identifique as organizações, as suborganizações e os grupos e aplique políticas de dispositivo gradativamente. Crie seu plano de implantação com base na composição dos dispositivos de cada organização e planeje o atendimento aos usuários.

Próximas etapas: criar níveis de acesso

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
73010
false