Эта функция доступна в версиях Frontline Standard, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Сравнение версий
Используя контекстно-зависимый доступ, вы можете настроить правила безопасности для управления доступом на основе таких атрибутов, как идентификатор пользователя, местоположение, уровень безопасности устройства и IP-адрес.
Управление доступом пользователей осуществляется на основе контекста, т. е. таких критериев, как соответствие устройства корпоративным правилам.
Примеры использования функции контекстно-зависимого доступа
С помощью этой функции вы можете:
- разрешить доступ к приложениям только с устройств, предоставленных компанией;
- разрешить доступ к Диску, только если пользовательское устройство хранения имеет шифрование;
- запретить доступ к приложениям из сети за пределами компании.
Приведенные выше условия можно комбинировать в одном правиле. Например, можно создать уровень доступа, который разрешает использовать приложение только с принадлежащих компании устройств, на которых установлена определенная версия операционной системы и которые зашифрованы.
Поддержка версий, приложений, платформ и типов администраторов
Развернуть раздел | Свернуть все и перейти к началу
Правила контекстно-зависимого доступа можно применить только к пользователям одной из версий, указанных в начале статьи.
Пользователи с другими версиями смогут обращаться к приложениям обычным образом, даже если вы примените правило контекстно-зависимого доступа ко всем сотрудникам в организационном подразделении или группе. На пользователей, у которых нет необходимых версий, правила контекстно-зависимого доступа не распространяются.
Приложения Google Workspace (основные сервисы)
Система постоянно проверяет, соблюдаются ли условия правил контекстного доступа к основным сервисам. Например, если пользователь вошел в основной сервис в офисе, а затем отошел из офиса на обед, правило контекстно-зависимого доступа для такого сервиса повторно выполнит проверку при изменении местоположения пользователя.
В таблице ниже перечислены компьютерные веб-приложения, мобильные приложения и оригинальные компьютерные приложения (встроенные), которые поддерживают функцию контекстно-зависимого доступа.
|
Основные сервисы |
Веб-приложения (компьютерные или мобильные) |
Оригинальные мобильные приложения* |
Оригинальные компьютерные приложения |
|
Календарь |
✔ |
✔ |
|
|
Cloud Search |
✔ |
✔ |
|
|
Диск, Документы, Таблицы, Презентации и Формы |
✔ |
✔ |
✔ (Диск для компьютеров) |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Сейф |
✔ |
||
|
Группы для бизнеса |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Сервис Jamboard |
✔ |
✔ |
|
|
Google Keep |
✔ |
✔ |
|
|
Сайты |
✔ |
||
|
Задачи |
✔ |
✔ |
|
|
Консоль администратора |
✔ | ✔ |
|
*Примечание о мобильных приложениях
- Правила контекстно-зависимого доступа нельзя принудительно применить к оригинальным мобильным приложениям сторонних поставщиков (например, к Salesforce).
- Правила контекстно-зависимого доступа можно принудительно применить к SAML-приложениям, с которыми пользователи работают в браузере Chrome.
- Для мобильных устройств используются базовые или расширенные функции управления конечными точками Google.
Дополнительные сервисы Google
Система постоянно проверяет, соблюдаются ли условия правил контекстного доступа к дополнительным сервисам. Эти сервисы работают только как веб-приложения.
- Google Looker Studio – оформление данных в виде наглядных диаграмм и интерактивных отчетов.
- Google Play Console – публикация собственных приложений для Android.
SAML-приложения
Проверка на соответствие правилам доступа для SAML-приложений выполняется только при входе в приложение.
- Сторонние приложения SAML, которые используют Google в качестве поставщика идентификационной информации. Также может использоваться сторонний поставщик идентификационной информации (сторонний поставщик интегрируется с Google Cloud Identity, а Google Cloud Identity интегрируется с приложениями SAML). Подробная информация приведена в статье Как настроить систему единого входа с использованием сторонних поставщиков идентификационной информации.
- При входе пользователя в приложение SAML применяются правила контекстно-зависимого доступа.
Пример. Если пользователь вошел в приложение SAML в офисе, а затем отошел из офиса на обед, правило контекстно-зависимого доступа для такого приложения не выполнит проверку повторно при изменении местоположения пользователя. В приложениях SAML повторная проверка правила выполняется только после того, как сеанс пользователя завершился и он снова входит в приложение.
-
Если применяется политика устройства, доступ из мобильного браузера (включая мобильные приложения, вход в которые выполняется через браузер) блокируется.
Вы можете создавать для приложений правила контекстно-зависимого доступа на основе IP-адреса, устройства и географического местоположения, а также пользовательских атрибутов уровня доступа. Ознакомьтесь с рекомендациями и примерами атрибутов и выражений, используемых при создании уровней доступа.
Сведения о поддерживаемых партнерах можно найти в статье Как настроить интеграцию с внешними партнерами.
Требуемая платформа, например тип устройства, версия ОС и доступ к браузеру, зависит от типа правила.
Правила бывают следующих типов:
- IP-адрес – указывает диапазон адресов, с которых пользователь может подключиться к приложению.
- Правила для устройств и операционная система устройства – определяет характеристики устройства, на котором пользователь может получить доступ к приложению (например, зашифровано ли оно и требуется ли пароль).
- Географическое местоположение – указывает страны, из которых пользователь может получить доступ к приложению.
На каких устройствах поддерживаются параметры "IP-адрес" и "Географическое местоположение"
Обратите внимание, что когда интернет-провайдер меняет IP-адрес на адрес, относящийся к другому региону, такие изменения вступают в силу с задержкой. В течение этого времени функция контекстно-зависимого доступа может блокировать пользователей, доступ которых определяется местоположением.
- Тип устройства: компьютер, ноутбук или мобильное устройство.
- Операционная система:
- Компьютер: macOS, Windows, Chrome OS, Linux.
- Мобильное устройство: Android, iOS.
- Доступ:
- Браузер для компьютера или Диск для компьютеров.
- Браузер и собственные приложения Google для мобильных устройств.
- Программное обеспечение: агент не требуется (за исключением Safari с включенной функцией "Частный узел" от Apple). Если в Apple iCloud включена функция "Частный узел", IP-адрес устройства скрыт. Google Workspace получает анонимный IP-адрес. В таком случае, если уровень контекстно-зависимого доступа назначен как подсеть IP-адресов, доступ для Safari будет закрыт. Отключите функцию "Частный узел" или удалите уровень доступа, содержащий подсети IP-адресов.
На каких устройствах поддерживается параметр "Политика устройства"
- Тип устройства: компьютер, ноутбук или мобильное устройство.
- Операционная система:
- Компьютер: macOS, Windows, Chrome OS, Linux.
- Мобильное устройство: Android, iOS. Обратите внимание, что если вы используете Android более ранней версии, чем 6.0, то для проверки конечных точек необходимо применять базовое управление конечными точками Google.
- Корпоративные устройства: не поддерживается для устройств с ОС Android 12 и более поздних версий и рабочим профилем. Такие устройства всегда считаются принадлежащими пользователю, даже если являются ресурсами компании. Чтобы ознакомиться с подробной информацией, перейдите на страницу Как посмотреть сведения о мобильном устройстве, откройте раздел "Какие сведения об устройствах доступны" и в таблице "Сведения об устройстве" найдите строку "Владелец".
- Доступ:
- Браузер Chrome для компьютера или Диск для компьютеров.
- Браузер Chrome и собственные приложения Google для мобильных устройств.
- Программное обеспечение:
- Компьютер: веб-браузер Chrome и расширение Endpoint Verification для Chrome.
- Мобильное устройство: для мобильных устройств нужно использовать управление конечными точками Google (базовое или расширенное).
- Суперадминистратор
- Делегированный администратор с одним из следующих прав:
- Защита данных > Управление уровнями доступа
- Защита данных > Управление правилами
- Права доступа к Admin API > Группы > Чтение
- Права доступа к Admin API > Пользователи > Чтение
