支援這項功能的版本:Frontline Standard、Enterprise Standard 和 Enterprise Plus、Education Standard 和 Education Plus、Enterprise Essentials Plus、Cloud Identity 進階版。 版本比較
透過情境感知存取權功能,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為應用程式建立精細的存取權控管安全性政策。
您可以根據使用者情境 (例如使用者裝置是否符合您的 IT 政策) 控管對方的存取權。
情境感知存取權用途範例
您可以使用情境感知存取權功能達成以下目的:
- 規定使用者僅能透過公司提供的裝置存取應用程式
- 只在使用者的儲存裝置經過加密後才授予雲端硬碟存取權
- 禁止透過公司外部的網路存取應用程式
您也可以將多種用途合併為一項政策;舉例來說,您可以建立一個存取層級,規定必須使用已加密的公司裝置,並符合最低作業系統版本要求,才能存取應用程式。
支援此功能的版本、應用程式、平台和管理員類型
只有本文開頭列出的 Google Workspace 版本,才能套用情境感知存取權政策。
採用其他版本的使用者可以照常存取應用程式,即使您對同一機構單位或群組的所有使用者都套用情境感知存取權政策,也不會造成影響。如果使用者沒有上述任何一種支援的版本,就不適用您在其所屬機構單位或群組中強制執行的情境感知存取權政策。
Google Workspace 應用程式 (核心服務)
如果應用程式屬於核心服務,系統會持續進行政策評估。舉例來說,如果使用者在辦公室登入核心服務,隨後前往咖啡廳,則系統會在使用者的位置變更時,重新檢查服務的情境感知存取權政策。
下表列出了電腦版和行動版網頁應用程式及原生應用程式 (內建應用程式) 所支援的核心服務。
|
核心服務 |
網頁應用程式 (電腦版或行動版) |
行動版原生應用程式* |
電腦版原生應用程式 |
|
日曆 |
✔ |
✔ |
|
|
Cloud Search |
✔ |
✔ |
|
|
Google 雲端硬碟和文件 (包括試算表、簡報和表單) |
✔ |
✔ |
✔ (雲端硬碟電腦版) |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google 保管箱 |
✔ |
||
|
Google Currents (前稱 Google+) |
✔ |
✔ |
|
|
網路論壇企業版 |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Jamboard 服務 |
✔ |
✔ |
|
|
Keep |
✔ |
✔ |
|
|
協作平台 |
✔ |
||
|
Tasks |
✔ |
✔ |
|
|
管理控制台 |
✔ | ✔ |
|
*行動應用程式支援注意事項:
- 您無法對行動裝置上的第三方原生應用程式 (例如 Salesforce) 強制執行情境感知存取權政策。
- 您可對使用 Chrome 網路瀏覽器存取的 SAML 應用程式強制執行情境感知存取權政策。
- 行動裝置透過基本或進階版 Google 端點管理服務進行管理。
額外的 Google 服務
如果應用程式屬於額外的 Google 服務,系統會持續進行政策評估。這些服務僅限網頁應用程式。
- Looker Studio:將資料轉換為易於閱讀的圖表和互動式報表。
- Google Play 管理中心:將您開發的 Android 應用程式提供給快速成長的 Android 使用者群。
SAML 應用程式
對於 SAML 應用程式,系統是在使用者登入這類應用程式時進行政策評估。
- 這是使用 Google 做為識別資訊提供者 (IdP) 的第三方 SAML 應用程式。這類應用程式也可以使用第三方識別資訊提供者 (先由第三方 IdP 連結至 Google Cloud Identity,再由 Google Cloud Identity 連結至 SMAL 應用程式)。詳情請參閱透過第三方識別資訊提供者為受管理 Google 帳戶設定單一登入服務。
- 使用者登入 SAML 應用程式時,系統就會強制執行情境感知存取權政策。
範例:如果使用者在辦公室登入 SAML 應用程式,隨後前往咖啡廳,系統並不會在使用者的位置變更時,重新檢查 SAML 應用程式的情境感知存取權政策。對於 SAML 應用程式,系統只會在使用者工作階段結束及重新登入時重新檢查這項政策。
-
如果套用了裝置政策,使用者將無法在行動裝置上透過網路瀏覽器存取這類應用程式 (包括需要經由網路瀏覽器登入的行動應用程式)。
您可以建立不同類型的情境感知存取權政策 (例如 IP、裝置、地理位置來源和自訂存取層級屬性),用以存取應用程式。針對用於建立自訂存取層級的支援屬性和運算式,如果您需要相關指引和範例,可以參閱「自訂存取層級詳細說明」。
此外,如要進一步瞭解支援的 BeyondCorp Alliance 合作夥伴,請參閱「設定第三方整合服務」。
平台支援 (例如裝置類型、作業系統和瀏覽器存取權) 會因政策類型而異。
政策類型包括:
- IP:指定使用者可連線至應用程式的 IP 位址範圍
- Device Policy 及裝置 OS:指定使用者用於存取應用程式的裝置必須具備哪些特性,例如是否需要加密,或者是否需要使用密碼
- 地理位置來源:指定使用者可存取應用程式的國家/地區
IP 和地理位置來源平台支援
請注意,如果網際網路服務供應商在不同地理區域間變更了 IP 位址,這些變更需要一段時間才會生效。在這段延遲時間內,如果透過地理位置屬性強制執行使用者存取權,情境感知存取權可能會封鎖使用者。
- 裝置類型:電腦、筆電或行動裝置
- 作業系統:
- 電腦:Mac、Windows、Chrome OS、Linux OS
- 行動裝置:Android、iOS
- 存取權:
- 電腦版網路瀏覽器及雲端硬碟電腦版
- 行動版網路瀏覽器及第一方原生應用程式
- 軟體:無須使用代理程式 (除非使用已啟用 Apple Private Relay 功能的 Safari)。如果您已在 iCloud 中設定 Apple Private Relay,系統會隱藏裝置的 IP 位址,使得 Google Workspace 收到匿名的 IP 位址。在這種情況下,如果已將情境感知存取層級指派為 IP 子網路,系統就會拒絕使用者存取 Safari。如要修正這個問題,請關閉 Private Relay,或是移除包含 IP 子網路的存取層級。
裝置政策平台支援
- 裝置類型:電腦、筆電或行動裝置
- 作業系統:
- 電腦:Mac、Windows、Chrome OS、Linux OS
- 行動裝置:Android、iOS請注意,如果是 Android 6.0 之前的版本,則必須使用基本模式的 Google 端點管理服務進行端點驗證。
- 公司擁有的裝置:不支援搭載 Android 12 以上版本並設有工作資料夾的裝置。即使裝置已加入公司擁有的裝置清單,系統一律會將其視為使用者擁有的裝置。如需瞭解詳情,請參閱「查看行動裝置」,瞭解裝置詳細資料,然後在「裝置資訊」表格中向下捲動至「擁有權」列。
- 存取權:
- 電腦版 Chrome 瀏覽器及雲端硬碟電腦版
- 行動版 Chrome 瀏覽器及第一方原生應用程式
- 軟體:
- 超級管理員
- 具備下列各項權限的委派管理員:
- 資料安全性 > 存取層級管理
- 資料安全性 > 規則管理
- Admin API 權限 > 群組 > 讀取
- 管理員 API 權限 > 使用者 > 讀取
