Kontrollera åtkomst till appar baserat på användar- och enhetssammanhang

Översikt över kontextkänslig åtkomst

Den här funktionen är tillgänglig med G Suite Enterprise, G Suite Enterprise for Education, Drive Enterprise och Cloud Identity Premium.


Med hjälp av kontextkänslig åtkomst kan du skapa detaljerade policyer för åtkomstkontroll i webbappar baserat på attribut som användaridentitet, plats, enhetens säkerhetsstatus och IP-adress.

Kontextkänslig åtkomst ger dig kontroll över vilka appar en användare kan komma åt baserat på kontext, till exempel om enheten följer din IT-policy.

Du kan fortfarande ange åtkomstpolicyer, till exempel tvåstegsverifiering, för alla medlemmar i en organisationsenhet. Kontextkänslig åtkomst ger ytterligare detaljerade och kontextbaserade kontroller för dessa användare.

Exempel på användningsområden för kontextkänslig åtkomst

Du kan använda kontextkänslig åtkomst när du vill

  • tillåta åtkomst till appar enbart från företagsutfärdade enheter
  • tillåta åtkomst till Drive endast om en lagringsenhet för en användare är krypterad
  • begränsa åtkomsten till appar utanför företagets nätverk.

Du kan också kombinera fler än ett användningsområde i en policy. Du kan till exempel skapa en åtkomstnivå som kräver appåtkomst från enheter som är företagsägda, krypterade och uppfyller en minimiversion för OS.

Stöd för kontextkänslig åtkomst

Utgåvor

Du kan enbart tillämpa policyer för kontextkänslig åtkomst för användare som har en av dessa utgåvor:

  • G Suite Enterprise

  • Cloud Identity Premium

  • G Suite Enterprise for Education

  • Drive Enterprise (endast domänverifierad)

Användare med någon annan typ av utgåva (som G Suite Basic eller G Suite Business) kan få åtkomst till appar som vanligt – även om du tillämpar en policy för kontextkänslig åtkomst för alla användare i samma organisationsenhet. Användare som inte har någon av de utgåvor som stöds omfattas inte av policyer för kontextkänslig åtkomst som tillämpas i deras organisationsenhet. 

Appar

Du kan tillämpa policyer för kontextkänslig åtkomst på
  • Kalender
  • Cloud Search
  • Drive och Dokument (inkluderar Kalkylark, Presentationer och Formulär)
  • Gmail
  • Google Hangouts
  • Google Arkiv
  • Google+
  • Groups for Business
  • Hangouts Chat
  • Tjänsten Jamboard
  • Keep
  • Sites
  • Tasks
Du kan inte tillämpa kontextkänsliga policyer för på
  • mobilappar, till exempel Gmail-appen eller Apple Mail-appen
  • skrivbordsappar, till exempel Drive Direktsynk.
Plattformskrav

Du kan skapa olika typer av policyer för kontextkänslig åtkomst till appar: IP, enhet och geografiskt ursprung.

Stöd för plattformar, som enhetstyp, operativsystem och webbläsaråtkomst, varierar beroende på policytyp.

Policytyper

  • IP – anger ett IP-adressintervall som en användare kan ansluta till en app från
  • Enhet – anger egenskaper för den enhet som en användare får åtkomst till en app från, till exempel om enheten är krypterad eller kräver ett lösenord
  • Geografiskt ursprung – anger länder där en användare kan få åtkomst till appar

Plattformsstöd för IP och geografiskt ursprung

  • Enhetstyp – dator, laptop eller mobil enhet
  • Operativsystem – Mac, Windows, Chrome
  • Åtkomst – endast webbläsare
  • Programvara – valfri webbläsare

Plattformsstöd för Device Policy

  • Enhetstyp — stationär dator och laptop
  • Operativsystem – Mac, Windows, Chrome
  • Åtkomst – endast webbläsare
  • Programvara –webbläsaren Chrome, Chrome-tillägg för verifiering av slutpunkt
Administratörskrav
Dessa administratörer kan ställa in policyer för kontextkänslig åtkomst:
  • Avancerad administratör
  • Delegerad administratör med var och en av dessa behörigheter:
    • Datasäkerhet > Hantering av åtkomstnivå
    • Datasäkerhet > Regelhantering
    • Admin API-behörigheter > Grupper > Läs
    • Admin API-behörigheter > Användare > Läs 

Användarupplevelse

När en användare försöker få åtkomst till en app och användaren inte uppfyller åtkomstnivåvillkoren visas ett felmeddelande som du har anpassat.

Ditt meddelande ska innehålla information om vem som ska kontaktas för åtkomst. Det gäller alla appar för användare i en organisationsenhet. Om administratörens kontaktuppgifter skiljer sig åt för en annan plats kan du skapa olika meddelanden för andra organisationsenheter.

Om du till exempel har definierat en enhetspolicy för Gmail-åtkomst och en användare försöker komma åt Gmail från webbläsaren Safari på en Mac eller iPhone visas det här meddelandet.  Det beror på att enhetspolicyer enbart ger användare åtkomst till appar från webbläsaren Chrome och enbart stationära datorer eller laptops (inte mobila enheter). Se plattformskrav.

Metodtips för distribution av kontextkänsliga åtkomstpolicyer

Följ dessa bästa metoder för att säkerställa en smidig lansering av policyer för kontextkänslig åtkomst i företaget. De bästa metoderna baseras på feedback från kunderna.

Undvik att låsa ute anställda, partner eller externa medarbetare

  • Blockera inte åtkomst till G Suite-tjänster, till exempel Gmail, som du använder för att dela kommunikation med dina användare (och som de också behöver för att kommunicera med dig).
  • Identifiera IP-intervall som partner, externa användare med skrivbehörighet och klienter behöver.
  • Tänk på att vissa G Suite-tjänster, som Formulär och Sites, inte har en mobilapp och kommer att blockeras på telefoner.

Lansera enhetspolicyer i faser

  • Upptäck – tvinga användning av slutpunktsverifiering så att du vet vilka enheter som får åtkomst till G Suite-data. Ta reda på information om varje enhet, till exempel om den är krypterad, kör ett uppdaterat operativsystem och om det är en företagsenhet eller personlig enhet.
     
  • Åtgärd – registrera dina enheter för IT-hantering och i enlighet med företagets standarder för att förbereda Device Polity-tillämpning. Detta bidrar till att minska antalet supportärenden och supportsamtal.
     
  • Tvinga – tvinga policyer för att begränsa åtkomst till appar baserat på enhetskontext. Identifiera organisationer, underorganisationer och grupper och tillämpa sedan enhetspolicyer i en lansering i etapper. Basera din lanseringsplan på enhetens sammansättning i varje organisation eller grupp och planera för tillräckligt support.

Nästa steg: skapa åtkomstnivåer

 

Var det här till hjälp?
Hur kan vi förbättra den?