Utgåvor som stöds för den här funktionen: Frontline Standard; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity-premiumversion. Jämför utgåvor
Med hjälp av Kontextkänslig åtkomst kan du skapa detaljerade säkerhetsprinciper för åtkomstkontroll i appar baserat på attribut som användaridentitet, plats, enhetens säkerhetsstatus och IP-adress.
Du styr användaråtkomsten baserat på sammanhang, till exempel om enheten följer din IT-policy.
Exempel på användningsområden för kontextkänslig åtkomst
Du kan använda kontextkänslig åtkomst när du vill
- tillåta åtkomst till appar enbart från företagsutfärdade enheter
- tillåta åtkomst till Drive endast om en lagringsenhet för en användare är krypterad
- begränsa åtkomsten till appar utanför företagets nätverk.
Du kan också kombinera fler än ett användningsområde i en policy. Du kan till exempel skapa en åtkomstnivå som kräver appåtkomst från enheter som är företagsägda, krypterade och uppfyller en minimiversion för operativsystemet.
Stöd för utgåvor, appar, plattformar och administratörstyper
Öppna avsnitt | Komprimera alla och gå högst upp
Du kan tillämpa policyer för kontextkänslig åtkomst enbart på användare som har en av utgåvorna identifierad högst upp i artikeln.
Användare med någon annan typ av utgåva kan få åtkomst till appar som vanligt – även om du tillämpar en policy för kontextkänslig åtkomst för alla användare i samma organisationsenhet. Användare som inte har någon av de utgåvor som stöds omfattas inte av policyer för kontextkänslig åtkomst som tillämpas i deras organisationsenhet.
Google Workspace-appar (tjänster)
För appar som är tjänster sker policybedömningen kontinuerligt. Exempel: Om en användare loggar in på en tjänst på kontoret och går vidare till ett café kontrolleras en kontextkänslig åtkomstpolicy för tjänsten igen när användaren byter plats.
Den här tabellen visar appar som stöds för webbappar på datorn, mobilappar och inbyggda appar på datorn.
Tjänster |
Webbappar (dator eller mobil) |
Inbyggda appar på mobilen* |
Inbyggda appar på datorn |
Kalender |
✔ |
✔ |
|
Cloud Search |
✔ |
✔ |
|
Drive och Dokument (inkluderar Kalkylark, Presentationer och Formulär) |
✔ |
✔ |
✔ (Drive för datorn) |
Gmail |
✔ |
✔ |
|
Google Meet |
✔ |
✔ |
|
Google Arkiv |
✔ |
||
Groups for Business |
✔ |
||
Google Chat |
✔ |
✔ |
|
Tjänsten Jamboard |
✔ |
✔ |
|
Keep |
✔ |
✔ |
|
Sites |
✔ |
||
Tasks |
✔ |
✔ |
|
Administratörskonsol |
✔ | ✔ |
|
*Information om stöd för mobilappar:
- Du kan inte tillämpa policyer för kontextkänslig åtkomst för mobila enheter på inbyggda appar från tredje part (exempelvis Salesforce).
- Du kan tillämpa policyer för kontextkänslig åtkomst på SAML-appar som öppnas via webbläsaren Chrome.
- Mobila enheter hanteras med grundläggande eller avancerad ändpunktshantering från Google.
Ytterligare tjänster från Google
För tilläggstjänster från Google sker policybedömningen kontinuerligt. Dessa tjänster är endast webbappar.
- Looker Studio – förvandlar data till lättlästa diagram och interaktiva rapporter.
- Google Play Console – Android-appar som du utvecklar för den snabbt växande Android-användarbasen.
SAML-appar
För SAML-appar sker policybedömning vid inloggning på appen.
- SAML-appar från tredje part som använder Google som identitetsleverantör. En extern identitetsleverantör (IdP) kan också användas (extern IdP ansluter till Google Cloud Identity och Google Cloud Identity ansluter till SAML-appar). Mer information finns i Konfigurera enkel inloggning för hanterade Google-konton med externa identitetsleverantörer.
- Kontextkänsliga åtkomstpolicyer tillämpas när en användare loggar in på en SAML-app.
Exempel: Om en användare loggar in på en SAML-app på kontoret och går vidare till ett café, kontrolleras inte en policy för kontextkänslig åtkomst på nytt för SAML-appen när användaren byter plats. För SAML-appar kontrolleras policyn på nytt när användarsessionen avslutas och personen loggar in igen.
-
Om en enhetspolicy tillämpas blockeras webbläsaråtkomst på mobilen (inklusive mobilappar som använder en webbläsare för inloggning).
Du kan skapa olika typer av policyer för kontextkänslig åtkomst till appar: IP, enhet, geografiskt ursprung och attribut för anpassade åtkomstnivåer. Mer information om exempel på uttryck som stöds för att skapa attribut för anpassade åtkomstnivåer finns i specifikationen för anpassad åtkomstnivå.
Mer information om BeyondCorp Alliance-partner som stöds finns i Konfigurera tredjepartsintegrationer.
Stöd för plattformar, som enhetstyp, operativsystem och webbläsaråtkomst, varierar beroende på policytyp.
Policytyperna inkluderar:
- IP – anger ett IP-adressintervall från vilket en användare kan ansluta till en app
- Enhetspolicy och enhets-OS – anger egenskaper för den enhet som en användare får åtkomst till en app från, till exempel om enheten är krypterad eller kräver ett lösenord
- Geografiskt ursprung – anger länder där en användare kan få åtkomst till appar
Plattformsstöd för IP och geografiskt ursprung
Om en internetleverantör ändrar IP-adress för olika geografiska regioner sker en fördröjning medan ändringarna träder i kraft.Under fördröjningen kan kontextkänslig åtkomst blockera användare om deras åtkomst tillämpas av geolokaliseringsattribut.
- Enhetstyp – dator, laptop eller mobil enhet
- Operativsystem —
- Dator — Mac, Windows, Chrome OS, Linux OS
- Mobil — Android, iOS
- Åtkomst —
- Webbläsare för datorn och Drive för datorn
- Webbläsare och inbyggda appar på mobila enheter
- Programvara — ingen agent krävs (förutom safari med Apple Private Relay aktiverat). Om Apple Private Relay har konfigurerats i iCloud döljs enhetens IP-adress. Google Workspace får en anonym IP-adress. Om det finns en kontextkänslig åtkomstnivå som har tilldelats som IP-delnät nekas åtkomst till Safari. Åtgärda detta genom att inaktivera Private Relay eller genom att ta bort åtkomstnivån som innehåller IP-delnät.
Plattformsstöd för Device Policy
- Enhetstyp – dator, laptop eller mobil enhet
- Operativsystem —
- Dator — Mac, Windows, Chrome OS, Linux OS
- Mobil — Android, iOS För Android med versioner under 6.0 måste du använda Googles ändpunktshantering i grundläggande läge för ändpunktsverifiering.
- Företagsägd – stöds inte för enheter med Android 12 eller senare och en jobbprofil. Dessa enheter rapporteras alltid som användarägda, även om de finns i det företagsägda registret.Mer information finns under Visa mobila enheter. Läs om enhetsinformation och scrolla ned till raden Ägarskap i tabellen Enhetsinformation.
- Åtkomst —
- Webbläsaren Chrome för datorn och Drive för datorn
- Webbläsaren Chrome för inbyggda appar på mobila enheter
- Programvara —
- Dator – webbläsaren Chrome, Chrome-tillägg för verifiering av ändpunkt
- Mobil – mobila enheter måste hanteras med Googles ändpunktshantering (grundläggande eller avancerad).
- Avancerad administratör
- Delegerad administratör med var och en av dessa behörigheter:
- Datasäkerhet > Hantering av åtkomstnivå
- Datasäkerhet > Regelhantering
- Admin API-behörigheter > Grupper > Läs
- Admin API-behörigheter > Användare > Läs