根据用户和设备的相关情境控制对应用的访问权限

情境感知访问权限概览

此功能适用于 G Suite 企业版、Cloud Identity 专业版、G Suite 教育专用企业版和云端硬盘企业版(须通过域名验证)。

使用情境感知访问权限功能,您可以根据用户身份、位置、设备安全状态和 IP 地址等属性,针对应用创建精细的访问权限控制政策。

有了这一功能,您就可以根据用户的具体情况(例如他们的设备是否符合单位的 IT 政策)控制他们可以访问哪些应用。

您仍然可以为单位部门的所有成员设置访问权限政策(例如两步验证)。情境感知访问权限则可为这些用户额外提供精细的情境控制。

情境感知访问权限用例

您可以使用情境感知访问权限达成以下目的:

  • 规定用户只能通过公司分发的设备访问应用。
  • 规定用户只有在设备存储空间加密的情况下,才能访问云端硬盘。
  • 禁止从公司网络外访问应用。

您还可以将多个用例合并为一项政策。例如,您可以创建一个访问权限级别,规定只有在公司自有、已加密且已满足最低操作系统版本要求的设备上才能访问应用。

情境感知访问权限支持条件

许可

您只能将情境感知访问权限政策应用于拥有以下许可的用户:

  • G Suite 企业版

  • Cloud Identity 专业版

  • G Suite 教育专用企业版

  • 云端硬盘企业版(须通过域名验证)

即使您对单位部门中的所有用户应用了情境感知访问权限政策,其中任何拥有其他许可类型(例如 G Suite 基本版或 G Suite 商务版)的用户仍可照常访问应用。如果用户没有上述任一受支持的许可,则不受所在单位部门强制执行的情境感知访问权限政策的制约。

应用

您可以将情境感知访问权限政策应用于以下应用:
  • 日历
  • Cloud Search
  • 云端硬盘和文档(包括表格、幻灯片和表单)
  • Gmail
  • Google Hangouts
  • Google 保险柜
  • Google+
  • 网上论坛企业版
  • Hangouts Chat
  • Jamboard 服务
  • Keep
  • 协作平台
  • Tasks
您无法对以下应用强制执行情境感知访问权限政策:
  • 移动应用,例如 Gmail 应用或 Apple“邮件”应用
  • 桌面应用,例如虚拟云端硬盘

平台要求

您可以创建不同类型的情境感知访问权限政策(如 IP、设备和地理位置)用于访问应用。

支持的平台(例如设备类型、操作系统和浏览器访问权限)取决于政策类型。

政策类型

  • IP - 指定用户连接应用时使用的 IP 地址范围
  • 设备 - 指定用户用于访问应用的设备需具备的特征,例如设备是否已加密或是否要求使用密码
  • 地理位置来源 - 指定用户可以在哪些国家/地区访问应用

支持 IP 和地理位置政策的平台

  • 设备类型 - 桌面设备、笔记本电脑或移动设备
  • 操作系统 - Mac、Windows、Chrome
  • 访问方式 - 仅限网络浏览器
  • 软件 - 任何浏览器

支持设备政策的平台

  • 设备类型 - 桌面设备和笔记本电脑
  • 操作系统 - Mac、Windows、Chrome
  • 访问方式 - 仅限网络浏览器
  • 软件 - Chrome 网络浏览器、Chrome 端点验证扩展程序

管理员要求

以下管理员可以设置情境感知访问权限:
  • 超级用户
  • 具备以下权限之一的受托管理员:
    • 数据安全 > 访问权限级别管理
    • 数据安全 > 规则管理

用户体验

如果用户尝试访问某个应用而该用户不符合访问权限级别条件,他们就会看到您自定义的错误消息。

您的错误消息中应包含有关应联系谁获取访问权限的信息。该消息会应用于供单位部门中用户使用的所有应用。如果其他位置的管理员联系信息不同,您可以为其他单位部门创建不同的消息。

例如,如果您为 Gmail 访问权限定义了设备政策,而用户尝试通过 Mac 或 iPhone 上的 Safari 浏览器访问 Gmail,则他们就会看到此消息。这是因为设备政策仅允许用户通过桌面设备或笔记本电脑(而非移动设备)上的 Chrome 浏览器访问应用。

部署情境感知访问权限政策的最佳做法

遵循以下最佳做法,可协助您顺利在公司内部署情境感知访问权限政策。这些最佳做法参考了客户的反馈。

避免导致员工、合作伙伴或外部协作者无法访问

  • 请勿阻止访问您与用户之间相互交流所使用的 G Suite 服务,例如 Gmail。
  • 确定合作伙伴、外部协作者和客户所需的 IP 范围。
  • 请注意,某些 G Suite 服务(例如表单和协作平台)没有移动应用,因此在手机上会遭到屏蔽。

分阶段部署设备政策

  • 探索 - 强制使用端点验证,以便了解哪些设备正在访问 G Suite 数据。了解每台设备的相关信息,例如设备是否已经加密、是否运行的是最新操作系统,以及是归公司所有还是员工自有。
     
  • 修正 - 将设备纳入 IT 管理,并确保设备遵守公司标准,为强制执行设备政策做好准备。这应该有助于减少帮助台收到的工单和求助电话。
     
  • 强制执行 - 强制执行政策,根据设备情境限制对应用的访问。确定单位和下级单位,并分阶段应用设备政策。根据各个单位的设备构成情况确定部署计划,并规划提供充足的帮助台支持服务。

下一步:创建访问权限级别

 

该内容对您有帮助吗?
您有什么改进建议?