รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
เมื่อใช้การเข้าถึงแบบ Context-Aware คุณจะสร้างนโยบายความปลอดภัยเพื่อควบคุมการเข้าถึงแบบละเอียดสำหรับแอปโดยอ้างอิงจากแอตทริบิวต์ต่างๆ เช่น ข้อมูลระบุตัวตนของผู้ใช้ สถานที่ตั้ง สถานะความปลอดภัยของอุปกรณ์ และที่อยู่ IP ได้
คุณควบคุมสิทธิ์เข้าถึงของผู้ใช้โดยอ้างอิงจากบริบทได้ เช่น อุปกรณ์ของผู้ใช้นั้นสอดคล้องตามนโยบายด้านไอทีหรือไม่
กรณีการใช้งานตัวอย่างของการเข้าถึงแบบ Context-Aware
คุณจะใช้การเข้าถึงแบบ Context-Aware ได้เมื่อต้องการทำสิ่งต่อไปนี้
- อนุญาตให้เข้าถึงแอปจากอุปกรณ์ที่บริษัทมอบให้เท่านั้น
- อนุญาตให้เข้าถึงไดรฟ์ต่อเมื่ออุปกรณ์จัดเก็บข้อมูลของผู้ใช้เข้ารหัสไว้เท่านั้น
- จำกัดการเข้าถึงแอปจากนอกเครือข่ายของบริษัท
นอกจากนี้คุณยังรวมกรณีการใช้งานมากกว่า 1 รายการให้เป็นนโยบายเดียวกันได้อีกด้วย ตัวอย่างเช่น คุณอาจสร้างระดับการเข้าถึงที่ต้องใช้การเข้าถึงแอปจากอุปกรณ์ที่เป็นของบริษัท มีการเข้ารหัส และมีเวอร์ชันระบบปฏิบัติการขั้นต่ำตรงตามที่กำหนด
การรองรับรุ่น แอป แพลตฟอร์ม และประเภทผู้ดูแลระบบ
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
คุณสามารถนำนโยบายการเข้าถึงแบบ Context-Aware ไปใช้ได้เฉพาะกับผู้ที่ใช้งานรุ่นใดรุ่นหนึ่งที่ระบุไว้ข้างต้นของบทความนี้
ผู้ที่ใช้รุ่นอื่นจะเข้าถึงแอปได้ตามปกติ แม้ว่าคุณจะใช้นโยบายการเข้าถึงแบบ Context-Aware กับผู้ใช้ทุกรายในหน่วยขององค์กรหรือกลุ่มเดียวกันก็ตาม ส่วนผู้ที่ไม่ได้ใช้รุ่นที่รองรับก็จะไม่ได้รับผลจากนโยบายการเข้าถึงแบบ Context-Aware ที่บังคับใช้ในหน่วยขององค์กรหรือกลุ่ม
แอป Google Workspace (บริการหลัก)
สำหรับแอปที่เป็นบริการหลัก การประเมินนโยบายจะดำเนินไปอย่างต่อเนื่อง ตัวอย่าง: หากผู้ใช้ลงชื่อเข้าใช้บริการหลักที่สำนักงานและเดินไปยังร้านกาแฟ ระบบจะตรวจสอบนโยบายการเข้าถึงแบบ Context-Aware สำหรับบริการดังกล่าวอีกครั้งเมื่อผู้ใช้เปลี่ยนสถานที่
ตารางนี้จะแสดงแอปที่รองรับสำหรับเว็บแอปในเดสก์ท็อป แอปบนอุปกรณ์เคลื่อนที่ และแอปที่มาพร้อมเครื่อง (แอปในตัว) ในเดสก์ท็อป
|
บริการหลัก |
เว็บแอป (เดสก์ท็อปหรืออุปกรณ์เคลื่อนที่) |
แอปที่มาพร้อมเครื่องในอุปกรณ์เคลื่อนที่* |
แอปที่มาพร้อมเครื่องในเดสก์ท็อป |
|
ปฏิทิน |
✔ |
✔ |
|
|
Cloud Search |
✔ |
✔ |
|
|
ไดรฟ์และเอกสาร (รวมถึงชีต สไลด์ และฟอร์ม) |
✔ |
✔ |
✔ (ไดรฟ์สำหรับเดสก์ท็อป) |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google ห้องนิรภัย |
✔ |
||
|
Groups for Business |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
บริการ Jamboard |
✔ |
✔ |
|
|
Keep |
✔ |
✔ |
|
|
Sites |
✔ |
||
|
Tasks |
✔ |
✔ |
|
|
คอนโซลผู้ดูแลระบบ |
✔ | ✔ |
|
*หมายเหตุการรองรัปแอปบนอุปกรณ์เคลื่อนที่
- คุณไม่สามารถบังคับใช้นโยบายการเข้าถึงแบบ Context-Aware สำหรับอุปกรณ์เคลื่อนที่กับแอปที่มาพร้อมเครื่องของบุคคลที่สาม (เช่น Salesforce)
- คุณสามารถบังคับใช้นโยบายการเข้าถึงแบบ Context-Aware กับแอป SAML ที่เข้าถึงโดยใช้เว็บเบราว์เซอร์ Chrome
- อุปกรณ์เคลื่อนที่จะได้รับการจัดการโดยใช้การจัดการปลายทางของ Google ขั้นพื้นฐานหรือขั้นสูง
บริการเพิ่มเติมของ Google
สำหรับบริการเพิ่มเติมของ Google การประเมินนโยบายจะดำเนินไปอย่างต่อเนื่อง โดยบริการเหล่านี้จะเป็นเว็บแอปเท่านั้น
- Looker Studio - เปลี่ยนข้อมูลเป็นแผนภูมิที่อ่านง่ายและรายงานแบบอินเทอร์แอกทีฟ
- Google Play Console - มีแอปพลิเคชัน Android ที่คุณพัฒนาเพื่อรองรับฐานผู้ใช้ Android ที่เพิ่มขึ้นอย่างรวดเร็วได้
แอป SAML
สำหรับแอป SAML การประเมินนโยบายจะเกิดขึ้นเมื่อลงชื่อเข้าใช้ในแอป
- แอป SAML ของบุคคลที่สามที่ใช้ Google เป็นผู้ให้บริการข้อมูลประจําตัว นอกจากนี้ยังใช้ผู้ให้บริการข้อมูลประจําตัว (IdP) บุคคลที่สามได้ด้วย (ผู้ให้บริการข้อมูลประจำตัวบุคคลที่สามจะรวมเข้ากับ Google Cloud Identity และ Google Cloud Identity จะรวมเข้ากับแอป SAML) โปรดดูรายละเอียดที่หัวข้อตั้งค่าการลงชื่อเพียงครั้งเดียวสําหรับบัญชี Google ที่มีการจัดการโดยใช้ผู้ให้บริการข้อมูลประจําตัวบุคคลที่สาม
- ระบบจะบังคับใช้นโยบายการเข้าถึงแบบ Context-Aware เมื่อผู้ใช้ลงชื่อเข้าใช้แอป SAML
ตัวอย่าง: หากผู้ใช้ลงชื่อเข้าใช้แอป SAML ที่สำนักงานและเดินไปที่ร้านกาแฟ ระบบจะไม่ตรวจสอบนโยบายการเข้าถึงแบบ Context-Aware สำหรับแอป SAML นั้นอีกครั้งเมื่อผู้ใช้เปลี่ยนสถานที่ แต่จะตรวจสอบนโยบายอีกครั้งก็ต่อเมื่อเซสชันของผู้ใช้หมดเวลาและลงชื่อเข้าใช้อีกครั้ง
-
หากใช้นโยบายด้านอุปกรณ์ ระบบจะบล็อกการเข้าถึงเว็บเบราว์เซอร์ในอุปกรณ์เคลื่อนที่ (รวมถึงแอปบนอุปกรณ์เคลื่อนที่ที่ใช้เว็บเบราว์เซอร์สําหรับการลงชื่อเข้าใช้)
คุณสร้างนโยบายการเข้าถึงแบบ Context-Aware ประเภทต่างๆ สำหรับการเข้าถึงแอปได้ เช่น IP, อุปกรณ์, ที่มาทางภูมิศาสตร์ และแอตทริบิวต์ระดับการเข้าถึงที่กำหนดเอง โปรดดูคำแนะนำและตัวอย่างของแอตทริบิวต์และนิพจน์ที่รองรับสำหรับการสร้างระดับการเข้าถึงที่กำหนดเองที่หัวข้อข้อกำหนดระดับการเข้าถึงที่กำหนดเอง
นอกจากนี้ คุณสามารถดูรายละเอียดเกี่ยวกับพาร์ทเนอร์ BeyondCorp Alliance ที่รองรับที่หัวข้อตั้งค่าการผสานรวมกับบุคคลที่สาม
การรองรับแพลตฟอร์ม เช่น ประเภทอุปกรณ์ ระบบปฏิบัติการ และการเข้าถึงเบราว์เซอร์จะแตกต่างกันไปตามประเภทนโยบาย
ประเภทของนโยบายมีดังนี้
- IP - ระบุช่วงที่อยู่ IP ที่ผู้ใช้เชื่อมต่อกับแอปได้
- นโยบายด้านอุปกรณ์และระบบปฏิบัติการของอุปกรณ์ - ระบุลักษณะเฉพาะของอุปกรณ์ที่ผู้ใช้เข้าถึงแอป เช่น อุปกรณ์มีการเข้ารหัสหรือต้องใช้รหัสผ่านหรือไม่
- ที่มาทางภูมิศาสตร์ - ระบุประเทศที่ผู้ใช้เข้าถึงแอปได้
การรองรับแพลตฟอร์มตาม IP และที่มาทางภูมิศาสตร์
โปรดทราบว่าหากผู้ให้บริการอินเทอร์เน็ตเปลี่ยนที่อยู่ IP ระหว่างพื้นที่ทางภูมิศาสตร์ที่แตกต่างกัน จะเกิดความล่าช้าในขณะที่การเปลี่ยนแปลงเหล่านี้มีผล ในช่วงล่าช้านี้ การเข้าถึงแบบ Context-Aware อาจบล็อกผู้ใช้หากมีการบังคับใช้การเข้าถึงจากแอตทริบิวต์ตําแหน่งทางภูมิศาสตร์
- ประเภทอุปกรณ์ - เดสก์ท็อป แล็ปท็อป หรืออุปกรณ์เคลื่อนที่
- ระบบปฏิบัติการ—
- เดสก์ท็อป - Mac, Windows, Chrome OS, Linux OS
- อุปกรณ์เคลื่อนที่ - Android, iOS
- การเข้าใช้งาน—
- เว็บเบราว์เซอร์สำหรับเดสก์ท็อปและไดรฟ์สำหรับเดสก์ท็อป
- เว็บเบราว์เซอร์และแอปบุคคลที่หนึ่งที่มาพร้อมเครื่องในอุปกรณ์เคลื่อนที่
- ซอฟต์แวร์ - ไม่ต้องมีตัวแทน (ยกเว้น Safari ที่เปิดใช้ Apple Private Relay ไว้) หากมีการกำหนดค่า Apple Private Relay ใน iCloud ระบบจะซ่อนที่อยู่ IP ของอุปกรณ์ โดย Google Workspace จะได้รับที่อยู่ IP ที่ไม่ระบุตัวตน ในกรณีนี้ หากมีการกําหนดระดับการเข้าถึงแบบ Context-Aware เป็นซับเน็ตของ IP ระบบก็จะปฏิเสธการเข้าถึง Safari คุณสามารถแก้ปัญหานี้โดยปิด Private Relay หรือนำระดับการเข้าถึงที่มีซับเน็ตของ IP ออก
การรองรับแพลตฟอร์มตามนโยบายด้านอุปกรณ์
- ประเภทอุปกรณ์ - เดสก์ท็อป แล็ปท็อป หรืออุปกรณ์เคลื่อนที่
- ระบบปฏิบัติการ—
- เดสก์ท็อป - Mac, Windows, Chrome OS, Linux OS
- อุปกรณ์เคลื่อนที่ - Android, iOS โปรดทราบว่าสำหรับ Android ก่อนเวอร์ชัน 6.0 คุณต้องใช้การจัดการปลายทางของ Google ในโหมดพื้นฐานสำหรับการยืนยันปลายทาง
- เป็นอุปกรณ์ของบริษัท - ไม่รองรับอุปกรณ์ที่ใช้ Android 12 ขึ้นไปและโปรไฟล์งาน โดยระบบจะรายงานอุปกรณ์เหล่านี้ว่าเป็นของผู้ใช้เสมอ แม้ว่าอุปกรณ์ดังกล่าวจะอยู่ในคลังอุปกรณ์ของบริษัทก็ตาม โปรดดูข้อมูลเพิ่มเติมที่หัวข้อดูอุปกรณ์เคลื่อนที่ โดยไปที่ดูข้อมูลเกี่ยวกับรายละเอียดอุปกรณ์ และเลื่อนลงไปที่แถวความเป็นเจ้าของในตารางข้อมูลอุปกรณ์
- การเข้าใช้งาน—
- เบราว์เซอร์ Chrome สำหรับเดสก์ท็อปและไดรฟ์สำหรับเดสก์ท็อป
- เบราว์เซอร์ Chrome สำหรับแอปบุคคลที่หนึ่งที่มาพร้อมเครื่องในอุปกรณ์เคลื่อนที่
- ซอฟต์แวร์—
- เดสก์ท็อป - เว็บเบราว์เซอร์ Chrome, ส่วนขยายการยืนยันปลายทางของ Chrome
- อุปกรณ์เคลื่อนที่ - อุปกรณ์เคลื่อนที่ต้องได้รับการจัดการด้วยการจัดการปลายทางของ Google (ขั้นพื้นฐานหรือขั้นสูงก็ได้)
- ผู้ดูแลระบบขั้นสูง
- ผู้ดูแลระบบที่ได้รับมอบสิทธิ์ซึ่งมีสิทธิ์ต่อไปนี้
- การรักษาความปลอดภัยข้อมูล > การจัดการระดับการเข้าถึง
- การรักษาความปลอดภัยข้อมูล > การจัดการกฎ
- สิทธิ์ API ของผู้ดูแลระบบ > กลุ่ม > อ่าน
- สิทธิ์ API ของผู้ดูแลระบบ > ผู้ใช้ > อ่าน
