根据用户和设备的相关情境控制对应用的访问权限

情境感知访问权限概览

支持此功能的版本:企业版;Education Plus。  比较您的版本

使用情境感知访问权限功能,您可以根据用户身份、位置、设备安全状态和 IP 地址等属性,针对应用创建精细的访问权限控制政策。

利用情境感知访问权限,您可以根据用户的具体情况(例如他们的设备是否符合单位的 IT 政策)控制他们可以访问哪些应用。

您仍然可以为单位部门或群组的所有成员设置访问权限政策(例如两步验证)。情境感知访问权限则可为这些用户额外提供精细的情境控制。

授予访问权限后,系统会持续评估对应用的访问权限。此规则不适用于 SAML 应用,系统会在登录这类应用时进行评估。

情境感知访问权限用例

您可以使用情境感知访问权限达成以下目的:

  • 规定用户只能通过公司分发的设备访问应用。
  • 规定用户只有在设备存储空间加密的情况下,才能访问云端硬盘。
  • 禁止从公司网络外访问应用。

您还可以将多个用例合并为一项政策。例如,您可以创建一个访问权限级别,规定只有在公司自有、已加密且已满足最低操作系统版本要求的设备上才能访问应用。

情境感知访问权限支持条件

版本简介

您只能将情境感知访问权限政策应用于本文开头所述的任一版本的用户。

即使您对同一单位部门或群组中的所有用户都应用了情境感知访问权限政策,使用任何其他版本的用户仍可照常访问应用。如果用户没有使用上述任一受支持的版本,则不受所在单位部门或群组强制执行的情境感知访问权限政策的制约。

应用

您可以将情境感知访问权限政策应用到移动应用和桌面设备上的 Web 应用和原生应用。

核心服务

对于核心服务包含的应用,系统会持续进行政策评估。例如:用户在办公室登录了核心服务,然后走到了咖啡店。当用户的位置信息发生更改时,系统会重新检查该服务的情境感知访问权限政策。

以下表格显示了桌面设备上受支持的 Web 应用和原生应用(内置应用),以及受支持的移动应用。

核心服务

Web 应用(桌面设备或移动设备)

移动设备上的原生应用*
(通过基本模式或高级模式下的 Google 端点管理进行管理的移动设备。)

桌面设备上的原生应用

日历

 

Cloud Search

 

云端硬盘和文档(包括表格、幻灯片和表单)

 

Gmail

 

Google Meet(您可以使用 Hangouts Meet 为 Google Meet 应用访问权限控制政策)

 

Hangouts Meet

 

Google 保险柜

   

Google Currents(旧称 Google+)

 

网上论坛企业版

   

Google Chat(您可以使用 Hangouts Chat 为 Google Chat 应用访问权限控制政策)

 

Hangouts Chat

 

Jamboard 服务

 

Keep

 

协作平台

   

Tasks

 

桌面版云端硬盘

   

*针对受支持的移动应用的注意事项:

  • 您无法对移动设备上的第三方原生应用(如 Salesforce)强制执行情境感知访问权限政策。
  • 您可以对通过移动网络浏览器(Safari 和 Chrome)访问的 SAML 应用强制执行情境感知访问权限政策。
  • 通过基本模式或高级模式下的 Google 端点管理进行管理的移动设备

SAML 应用

对于 SAML 应用,系统会在登录这类应用时进行政策评估。

  • 使用 Google 作为身份提供商的第三方 SAML 应用。这类应用还可使用第三方身份提供商 (IdP)(先通过第三方身份提供商访问 Google Cloud Identity,再通过 Google Cloud Identity 访问 SAML 应用)。有关详情,请参阅使用第三方身份提供商为受管理的 Google 帐号设置单点登录
  • 当用户登录 SAML 应用时,系统会强制执行情境感知访问权限政策。

    例如:如果用户在办公室登录了 SAML 应用,随后前往咖啡店,那么当用户的位置信息发生变更时,系统不会重新检查 SAML 应用的情境感知访问权限政策。对于 SAML 应用,系统仅在用户会话结束并再次登录时才会重新检查此政策。

  • 如果您应用了设备政策,则用户将无法在移动设备上通过网络浏览器访问这类应用(包括需要使用网络浏览器进行登录的移动应用)。

平台要求

您可以创建不同类型的情境感知访问权限政策(如 IP、设备和地理位置)用于访问应用。

支持的平台(例如设备类型、操作系统和浏览器访问权限)取决于政策类型。

政策类型

  • IP - 指定用户连接应用时使用的 IP 地址范围
  • 设备政策和设备操作系统 - 指定用户用于访问应用的设备需具备的特征,例如设备是否已加密或是否要求使用密码
  • 地理位置来源 - 指定用户可以在哪些国家/地区访问应用

支持 IP 和地理位置政策的平台

  • 设备类型 - 桌面设备、笔记本电脑或移动设备
  • 操作系统 -
    • 桌面设备 - Mac、Windows、Chrome 操作系统和 Linux 操作系统
    • 移动设备 - Android、iOS
  • 访问
    • 在桌面设备上通过网络浏览器和桌面版云端硬盘访问
    • 在移动设备上通过网络浏览器和第一方原生应用访问
  • 软件 - 无需代理

支持设备政策的平台

  • 设备类型 - 桌面设备、笔记本电脑或移动设备
  • 操作系统 -
    • 桌面设备 - Mac、Windows、Chrome 操作系统和 Linux 操作系统
    • 移动设备 - Android、iOS
  • 访问
    • 在桌面设备上通过网络浏览器和桌面版云端硬盘访问
    • 在移动设备上通过网络浏览器和第一方原生应用访问
  • 软件
    • 桌面设备 - Chrome 网络浏览器、Chrome 端点验证扩展程序
    • 移动设备 - 大多数属性都受支持,且无需安装任何软件。对于少数属性,需要安装设备政策应用(高级移动设备管理)。
管理员要求
以下管理员可以设置情境感知访问权限:
  • 超级用户
  • 具备以下权限之一的受托管理员:
    • “数据安全”>“访问权限级别管理”
    • “数据安全”>“规则管理”
    • “Admin API 权限”>“群组”>“读取”
    • “Admin API 权限”>“用户”>“读取”

用户体验

如果用户尝试访问某个应用而该用户不符合访问权限级别条件,他们就会看到您自定义的错误消息。
您的错误消息中应包含有关应联系谁获取访问权限的信息。该消息会应用于单位部门中供用户使用的所有应用。如果其他位置的管理员联系信息不同,您可以为其他单位部门创建不同的消息。

部署情境感知访问权限政策的最佳做法

请遵循以下最佳做法,确保您顺利在公司内部署情境感知访问权限政策。这些最佳做法参考了客户的反馈。

避免将员工、合作伙伴或外部协作者拒之门外

  • 请勿阻止访问您与用户之间相互交流所使用的 Google Workspace 服务,例如 Gmail。
  • 确定合作伙伴、外部协作者和客户所需的 IP 范围。
  • 请注意,部分 Google Workspace 服务(例如表单和协作平台)没有移动应用,因此在手机上会遭到屏蔽。

分阶段部署设备政策

  • 探索 - 强制使用端点验证,以了解哪些设备正在访问或将要访问 Google Workspace 数据。了解每台设备的相关信息,例如设备是否已经加密、是否运行的是最新操作系统,以及是归公司所有还是员工自有。

    请注意,如果您在用户能够登录端点验证之前强制执行情境感知设备政策,那么即使他们的设备符合强制执行的情境感知政策,也可能遇到访问遭拒的情况。这是因为通过端点验证同步设备属性可能需要几秒钟的时间。为避免出现这种情况,请务必先让用户登录端点验证,然后再强制执行情境感知设备政策。  
  • 修正 - 将设备纳入 IT 管理,并确保设备遵守公司标准,为强制执行设备政策做好准备。这应该有助于减少帮助台收到的工单和求助电话。
  • 强制执行 - 强制执行政策,根据设备情境限制对应用的访问。确定单位、下级单位和群组,并分阶段应用设备政策。根据各个单位或群组的设备构成情况确定部署计划,并规划提供充足的帮助台支持服务。

下一步:创建访问权限级别

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题

搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
true
73010
false