Eventi dei log di accesso sensibile al contesto

Quando a un utente viene negato l'accesso a un'app

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

In qualità di amministratore della tua organizzazione, puoi eseguire ricerche e intervenire sugli eventi dei log di accesso sensibile al contesto e intervenire in base ai risultati. Ad esempio, puoi visualizzare un registro delle azioni per risolvere i problemi di negazione dell'accesso a un'app. Le voci vengono generalmente visualizzate entro un'ora dal momento in cui l'accesso viene negato.

Per saperne di più, vedi Panoramica dell'accesso sensibile al contesto.

Eseguire una ricerca di eventi dei log

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

Accedi a Console di amministrazione Google con un account amministratore.
Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.
Vai al Menu Sicurezza > Centro sicurezza > Strumento di indagine.
È necessario disporre del privilegio di amministratore Centro sicurezza.
Fai clic su Origine dati e seleziona Eventi dei log di Accesso sensibile al contesto.
Fai clic su Aggiungi condizione.
Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
Fai clic su Attributo seleziona un'opzione.
Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi di seguito.
Seleziona un operatore
Inserisci un valore o selezionane uno dall'elenco a discesa.
(Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi da 4 a 7.
Fai clic su Cerca.
Nello strumento di indagine, i risultati di ricerca sono visualizzati in una tabella nella parte inferiore della pagina.
(Facoltativo) Per salvare la tua indagine, fai clic su Salva inserisci un titolo e una descrizionefai clic su Salva.

Nota:

Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere semplici coppie di parametri e valori per filtrare i risultati della ricerca.
Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:

Attributo	Descrizione
Attore	Indirizzo email dell'utente che ha eseguito l'azione.
Nome del gruppo dell'attore	Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google. Per aggiungere un gruppo alla lista consentita dei gruppi filtro: Seleziona Nome del gruppo dell'attore. Fai clic su Gruppi filtro. Viene visualizzata la pagina Gruppi filtro. Fai clic su Aggiungi gruppi. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo. Quando hai selezionato tutti i gruppi che ti interessano, fai clic su Aggiungi. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo . Fai clic su Salva.
Unità organizzativa che ha eseguito l'azione	Unità organizzativa dell'attore
Applicazione	Può essere: L'applicazione per cui è stato negato l'accesso all'utente. (Per l'accesso API) L'applicazione chiamante che ha tentato di accedere a un'API bloccata.
Accesso API bloccato	L'API dell'applicazione per cui è stato negato l'accesso all'utente. Per l'accesso API, l'API a cui è stato bloccato l'accesso da parte dell'applicazione chiamante.
Data	Data e ora dell'evento, riportate nel fuso orario predefinito del browser
ID dispositivo	L'ID del dispositivo, indicato nella home page della Console di amministrazioneDispositivi. Nota: in alcuni casi l'ID dispositivo potrebbe essere vuoto, ad esempio se gli agenti di generazione di report non sono presenti sul dispositivo (estensione Verifica degli endpoint sui computer, app Device Policy sui dispositivi mobili).
Stato del dispositivo	Stato del dispositivo utilizzato per eseguire l'accesso, ad esempio Normale, Non sincronizzato (obsoleto o precedente) o Tra più organizzazioni (il dispositivo non appartiene alla tua organizzazione)
Rischi del dispositivo	I rischi per la sicurezza sul dispositivo che hanno causato l'avviso o il blocco dell'utente a causa di una policy Consigli di sicurezza per la protezione dell'accesso alle app.
Evento	L'azione registrata associata all'evento: Accesso negato: l'accesso è stato negato all'utente (attore) elencato per l'applicazione elencata. Accesso negato (modalità di monitoraggio): indica quando l'accesso verrà negato se il livello di accesso fosse in modalità attiva. Vedi Eseguire il deployment dell'accesso sensibile al contesto. Accesso negato/Avviso per l'utente (consigli di sicurezza): l'accesso è stato negato o un utente è stato avvisato a causa di un criterio Consigli di sicurezza per la protezione dell'accesso alle app. Errore interno: accesso negato: applicazione forzata del criterio non riuscita (accesso negato) a causa di un problema con il server di applicazione.
Indirizzo IP	Indirizzo IP dell'attore