根據使用者和裝置情境來控管應用程式存取權

情境感知存取權總覽

這項功能適用於 G Suite Enterprise、G Suite Enterprise 教育版、雲端硬碟企業版,以及 Cloud Identity 進階版。


透過情境感知存取權功能,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為應用程式建立精細的存取控制政策。

情境感知存取權功能可讓您依據使用者所處的情境 (例如使用者的裝置是否符合您的 IT 政策),控管對方可存取哪些應用程式。

您仍然可以為特定機構單位的所有成員設定存取政策,例如兩步驟驗證;但情境感知存取權功能可針對這些使用者提供其他更為精細的情境控制項。

情境感知存取權用途範例

您可以使用情境感知存取權功能達成以下目的:

  • 規定使用者僅能透過公司提供的裝置存取應用程式。
  • 只在使用者的儲存裝置經過加密後才授予雲端硬碟存取權。
  • 禁止透過公司外部的網路存取應用程式。

您也可以將多種用途合併為一項政策;舉例來說,您可以建立一個存取層級,規定唯有符合最低 OS 版本要求的已加密公司裝置才能存取應用程式。

情境感知存取權支援

版本

您只能將情境感知存取權政策套用至擁有下列其中一種版本的使用者:

  • G Suite Enterprise

  • Cloud Identity 進階版

  • G Suite Enterprise 教育版

  • 雲端硬碟企業版 (僅限已驗證網域)

擁有其他版本 (例如 G Suite Basic 或 G Suite Business) 的使用者可以照常存取應用程式,即使您對同一機構單位或群組的所有使用者都套用情境感知存取權政策,也不會造成影響。如果使用者沒有上述任何一種支援的版本,就不適用您在其所屬機構單位或群組中強制執行的情境感知存取權政策。

應用程式

您可以將情境感知存取權政策套用至下列項目:
  • Google 日曆
  • Cloud Search
  • 雲端硬碟和 Google 文件 (包括試算表、簡報和表單)
  • Gmail
  • Google Hangouts
  • Google 保管箱
  • Google+
  • 網路論壇企業版
  • Hangouts Chat
  • Jamboard 服務
  • Keep
  • 協作平台
  • Tasks
「無法」對下列項目強制執行情境感知存取權政策:
  • 行動應用程式,例如 Gmail 應用程式或 Apple 郵件應用程式
  • 電腦版應用程式,例如雲端硬碟檔案串流
平台需求條件

您可以建立不同類型的情境感知存取權政策 (例如 IP、裝置和地理位置來源),用以存取應用程式。

平台支援 (例如裝置類型、作業系統和瀏覽器存取權) 會因政策類型而異。

政策類型

  • IP:指定使用者可連線至應用程式的 IP 位址範圍
  • 裝置:指定使用者用於存取應用程式的裝置必須具備哪些特性,例如是否需要加密,或者是否需要使用密碼
  • 地理位置來源:指定使用者可存取應用程式的國家/地區

IP 和地理位置來源平台支援

  • 裝置類型:桌上型電腦、筆記型電腦或行動裝置
  • 作業系統:Mac、Windows、Chrome
  • 存取權:僅限網路瀏覽器
  • 軟體:任何瀏覽器

裝置政策平台支援

  • 裝置類型:桌上型電腦和筆記型電腦
  • 作業系統:Mac、Windows、Chrome
  • 存取權:僅限網路瀏覽器
  • 軟體:Chrome 網路瀏覽器、Chrome Endpoint Verification 擴充功能
管理員資格條件
下列管理員可以設定情境感知存取權政策:
  • 超級管理員
  • 具備下列各項權限的委派管理員:
    • 資料安全性 > 存取層級管理
    • 資料安全性 > 規則管理
    • 管理員 API 權限 > 群組 > 讀取
    • 管理員 API 權限 > 使用者 > 讀取 

使用者體驗

如果使用者嘗試存取應用程式,但不符合存取層級條件,系統就會對他們顯示您自訂的錯誤訊息。

請在您自訂的訊息中說明該聯絡哪位對象才能取得存取權。這則訊息適用於特定機構單位的使用者及所有應用程式;如果其他位置的管理員聯絡資訊不同,您可以為其他機構單位另外建立訊息。

舉例來說,如果您已為 Gmail 的存取權定義了裝置政策,而某位使用者試圖在 Mac 電腦或 iPhone 上透過 Safari 瀏覽器存取 Gmail,對方就會看到這則訊息,因為裝置政策僅允許使用者在電腦或筆電 (而非行動裝置) 上透過 Chrome 瀏覽器存取應用程式。詳情請參閱平台需求條件

推出情境感知存取權政策的最佳做法

遵循下列最佳做法,可協助您順利在貴公司推出情境感知存取權政策。這些最佳做法皆參考了客戶的意見回饋。

避免將員工、合作夥伴或外部協作者拒於門外

  • 請勿封鎖貴機構使用者和您用於互相溝通的 G Suite 服務,例如 Gmail。
  • 找出合作夥伴、外部協作者和客戶所需的 IP 範圍。
  • 提醒您,部分 G Suite 服務 (例如 Google 表單和協作平台) 沒有行動應用程式,因此在手機上會遭到封鎖。

分階段推出裝置政策

  • 探索:強制使用端點驗證功能,以便瞭解哪些裝置正在存取 G Suite 資料。找出每部裝置的相關資訊,例如是否已加密、是否搭載最新作業系統,以及是屬於公司裝置還是個人裝置。
     
  • 修正:將裝置納入 IT 管理,並確保裝置符合公司標準,為強制執行裝置政策做好準備;這應該有助於減少服務中心收到的支援票證和求援電話。
     
  • 強制執行:強制執行政策,根據裝置情境限制應用程式的存取權。找出要套用裝置政策的機構、子機構和群組,然後分階段發布政策;請根據每個機構或群組的裝置類型結構制定政策發布計畫,並視需要規劃充足的服務中心支援服務。

後續步驟:建立存取層級

 

這對您有幫助嗎?
我們應如何改進呢?