根據使用者和裝置情境來控管應用程式存取權

情境感知存取權總覽

支援這項功能的版本:Enterprise 和 Education Plus。  版本比較

透過情境感知存取權功能,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為應用程式建立精細的存取權控管政策。

情境感知存取權功能可讓您依據使用者所處的情境 (例如使用者的裝置是否符合您的 IT 政策),控管對方可存取哪些應用程式。

您仍然可以為特定機構單位或群組的所有成員設定存取政策 (例如兩步驟驗證),但情境感知存取權功能可針對這些使用者提供其他更為精細的情境控制項。

授予應用程式存取權後,系統會持續做出評估。但這項規則不適用於 SAML 應用程式,因為系統會在登入這類應用程式時進行評估。

情境感知存取權用途範例

您可以使用情境感知存取權功能達成以下目的:

  • 規定使用者僅能透過公司提供的裝置存取應用程式。
  • 只在使用者的儲存裝置經過加密後才授予雲端硬碟存取權。
  • 禁止透過公司外部的網路存取應用程式。

您也可以將多種用途合併為一項政策;舉例來說,您可以建立一個存取層級,規定唯有符合最低 OS 版本要求的已加密公司裝置才能存取應用程式。

情境感知存取權支援

版本簡介

您只能對本文開頭所列任一版本的使用者套用情境感知存取權政策。

擁有其他版本的使用者可以照常存取應用程式,即使您對同一機構單位或群組的所有使用者都套用情境感知存取權政策,也不會造成影響。如果使用者沒有上述任何一種支援的版本,就不適用您在其所屬機構單位或群組中強制執行的情境感知存取權政策。

應用程式

您可以將情境感知存取權政策套用至電腦版和行動版網頁應用程式及原生應用程式。

核心服務

如果應用程式屬於核心服務,系統會持續進行政策評估。舉例來說,如果使用者在辦公室登入核心服務,隨後前往咖啡廳,則系統會在使用者的位置變更時,重新檢查該服務的情境感知存取權政策。

下表列出了電腦版和行動版網頁應用程式及原生應用程式 (內建應用程式) 所支援的核心服務。

核心服務

網頁應用程式 (電腦版或行動版)

行動版原生應用程式*
(行動裝置透過基本或進階版 Google 端點管理服務進行管理)

電腦版原生應用程式

日曆

 

Cloud Search

 

Google 雲端硬碟和文件 (包括試算表、簡報和表單)

 

Gmail

 

Google Meet (您可以使用 Hangouts Meet 為 Google Meet 套用存取權控管政策)

 

Hangouts Meet

 

Google 保管箱

   

Google Currents (前稱 Google+)

 

網路論壇企業版

   

Google Chat (您可以使用 Hangouts Chat 為 Google Chat 套用存取權控管政策)

 

Hangouts Chat

 

Jamboard 服務

 

Keep

 

協作平台

   

Tasks

 

雲端硬碟電腦版

   

*行動應用程式支援注意事項:

  • 您無法對行動裝置上的第三方原生應用程式 (例如 Salesforce) 強制執行情境感知存取權政策。
  • 您可對使用行動網路瀏覽器 (Safari 和 Chrome) 存取的 SAML 應用程式強制執行情境感知存取權政策。
  • 行動裝置透過基本或進階版 Google 端點管理服務進行管理。

SAML 應用程式

對於 SAML 應用程式,系統會在登入這類應用程式時進行政策評估。

  • 這是使用 Google 做為識別資訊提供者 (IdP) 的第三方 SAML 應用程式。這類應用程式也可以使用第三方識別資訊提供者 (先由第三方 IdP 連結至 Google Cloud Identity,再由 Google Cloud Identity 連結至 SMAL 應用程式)。詳情請參閱透過第三方識別資訊提供者為受管理 Google 帳戶設定單一登入服務
  • 使用者登入 SAML 應用程式時,系統就會強制執行情境感知存取權政策。

    範例:如果使用者在辦公室登入 SAML 應用程式,隨後前往咖啡廳,系統並不會在使用者的位置變更時,重新檢查該 SAML 應用程式的情境感知存取權政策。對於 SAML 應用程式,系統只會在使用者工作階段結束及重新登入時重新檢查這項政策。

  • 如果套用了裝置政策,使用者將無法在行動裝置上透過網路瀏覽器存取這類應用程式 (包括需要經由網路瀏覽器登入的行動應用程式)。

平台需求條件

您可以建立不同類型的情境感知存取權政策 (例如 IP、裝置和地理位置來源),用以存取應用程式。

平台支援 (例如裝置類型、作業系統和瀏覽器存取權) 會因政策類型而異。

政策類型

  • IP:指定使用者可連線至應用程式的 IP 位址範圍
  • Device Policy 及裝置 OS:指定使用者用於存取應用程式的裝置必須具備哪些特性,例如是否需要加密,或者是否需要使用密碼
  • 地理位置來源:指定使用者可存取應用程式的國家/地區

IP 和地理位置來源平台支援

  • 裝置類型:電腦、筆電或行動裝置
  • 作業系統
    • 電腦:Mac、Windows、Chrome 作業系統、Linux OS
    • 行動裝置:Android、iOS
  • 存取權
    • 電腦版網路瀏覽器及雲端硬碟電腦版
    • 行動版網路瀏覽器及第一方原生應用程式
  • 軟體:無須使用代理程式

裝置政策平台支援

  • 裝置類型:電腦、筆電或行動裝置
  • 作業系統
    • 電腦:Mac、Windows、Chrome 作業系統、Linux OS
    • 行動裝置:Android、iOS
  • 存取權
    • 電腦版網路瀏覽器及雲端硬碟電腦版
    • 行動版網路瀏覽器及第一方原生應用程式
  • 軟體
    • 電腦:Chrome 網路瀏覽器、Chrome 端點驗證擴充功能
    • 行動裝置:無需安裝任何軟體即可支援大多數屬性,但對於少數屬性,您可能需要安裝裝置政策應用程式 (進階行動裝置管理 (MDM) 軟體)。
管理員資格條件
下列管理員可以設定情境感知存取權政策:
  • 超級管理員
  • 具備下列各項權限的委派管理員:
    • 資料安全性 > 存取層級管理
    • 資料安全性 > 規則管理
    • Admin API 權限 > 群組 > 讀取
    • 管理員 API 權限 > 使用者 > 讀取 

使用者體驗

如果使用者嘗試存取應用程式,但不符合存取層級條件,系統就會對他們顯示您自訂的錯誤訊息。
請在您自訂的訊息中說明該聯絡哪位對象才能取得存取權。這則訊息適用於特定機構單位使用者的所有應用程式;如果其他位置的管理員聯絡資訊不同,您可以為其他機構單位另外建立訊息。

推出情境感知存取權政策的最佳做法

遵循下列最佳做法,可協助您順利在貴公司推出情境感知存取權政策。這些最佳做法皆參考了客戶的意見回饋。

避免將員工、合作夥伴或外部協作者拒於門外

  • 請勿封鎖貴機構使用者和您用於互相溝通的 Google Workspace 服務,例如 Gmail。
  • 找出合作夥伴、外部協作者和客戶所需的 IP 範圍。
  • 提醒您,部分 Google Workspace 服務 (例如表單和協作平台) 沒有行動應用程式,因此在手機上會遭到封鎖。

分階段推出裝置政策

  • 探索:強制使用端點驗證功能,以便瞭解哪些裝置正在 (或即將) 存取 Google Workspace 資料。找出每部裝置的相關資訊,例如是否已加密、是否搭載最新作業系統,以及是屬於公司裝置還是個人裝置。

    請注意,如果您在使用者可登入進行端點驗證之前,就先強制執行情境感知裝置政策,那麼就算使用者的裝置符合強制執行的情境感知政策要求,系統仍可能會拒絕使用者的存取行為。這是因為透過端點驗證同步處理裝置屬性可能需要幾秒鐘時間。為避免這種情況發生,在您強制執行情境感知裝置政策之前,請務必要求使用者登入進行端點驗證。  
  • 修正:將裝置納入 IT 管理,並確保裝置符合公司標準,為強制執行裝置政策做好準備;這應該有助於減少服務中心收到的支援單和求援電話。
  • 強制執行:強制執行政策,根據裝置情境限制應用程式的存取權。找出要套用裝置政策的機構、子機構和群組,然後分階段推出政策;請根據每個機構或群組的裝置類型結構制定政策發布計畫,並視需要規劃充足的服務中心支援服務。

後續步驟:建立存取層級

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題