本文說明情境感知存取權的常見用途,並提供在基本模式中開發的設定範例。
如需在進階模式 (使用 CEL 編輯器) 中開發存取層級的範例,請參閱「進階模式的情境感知存取權範例」。
僅允許承包商透過公司網路存取資源
許多公司都希望能限制承包商對公司資源的存取權。舉例來說,如果某公司僱用承包商接聽一般支援服務來電,或任職於說明中心和客服中心,可能就會希望設定相關限制。如要為承包商套用情境感知存取權政策,對方必須擁有支援的授權 (類似於為全職員工套用的情況)。
這個範例說明承包商必須位於特定範圍的公司 IP 位址,才能存取公司資源。
| 存取層級名稱 | contractor_access |
| 承包商獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 | IP 子網路 74.125.192.0/18 |
| 存取層級指派對象 | 承包商所屬機構單位 承包商使用的所有應用程式 |
封鎖來自已知駭客 IP 位址的存取權限
為了防止公司資源遭駭客入侵,許多公司都會針對已知的高風險來源封鎖存取權限。
在這個範例中,我們封鎖了 74.125.195.105 這個 IP 位址。如果使用者透過任何其他 IP 位址執行工作階段,則可存取公司資源。您可以指定多個 IP 位址和範圍。
| 存取層級名稱 | block_highrisk |
| 使用者獲得存取權的條件 | 不符合部分屬性 |
| 條件 1 屬性 | IP 子網路 74.125.195.105 |
| 存取層級指派對象 | 頂層機構單位 所有應用程式 |
允許或禁止特定位置的存取權限
如果您的員工經常到較遠的公司或合作夥伴辦公室出差,您可以指定讓他們在特定地理位置存取公司資源。
舉例來說,如果某個銷售人員群組會定期拜訪澳洲和印度的客戶,您可以將該群組限制為可從主要辦公地點,以及澳洲和印度存取公司資源。如果他們在出差行程中另外安排了個人旅遊,當他們前往其他國家/地區度假時,就無法從該地點存取公司資源。
這個範例說明銷售群組只能從美國 (主要辦公地點)、澳洲和印度存取公司資源。
| 存取層級名稱 | sales_access |
| 銷售人員獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 | 地理位置來源 美國、澳洲、印度 |
| 存取權層級指派對象 | 銷售人員群組 銷售人員使用的所有應用程式 |
如要拒絕來自特定國家/地區的存取要求,您可以建立政策,指定將存取權授予「不符合」條件的使用者,然後在條件中列出要禁止存取公司資料的國家/地區。
在指派時使用巢狀存取層級 (而非選取多個存取層級)
在某些情況下,當您嘗試將存取層級指派給特定機構單位/群組和應用程式 (或是一組應用程式) 時,可能會看到要求減少應用程式或存取層級數量的錯誤訊息。
為了避免這個情況,您可以在指派時利用巢狀結構將多個存取層級整合為單一存取層級,藉此減少存取層級數量。所謂的巢狀存取層級,就是利用「或」運算子結合多個條件,並在每個條件中納入單一存取層級。
在這個範例中,USWest、USEast 和 USCentral 就分別屬於 3 個存取層級。如果想讓使用者在符合 USWest、USEast 或 USCentral 中任一存取層級的條件時獲得應用程式存取權,可以使用「或」運算子建立名為 USRegions 的單一巢狀存取層級。接著在指派存取層級時,只要針對相應的機構單位或群組,將 USRegions 存取層級指派給應用程式即可。
|
存取層級名稱 |
USRegions |
|
使用者獲得存取權的條件 |
符合所有屬性 |
|
條件 1 屬性 (每個條件只能有 1 個存取層級) |
存取層級 USWest |
|
將條件 1 和條件 2 統整在一起 |
或 |
|
使用者獲得存取權的條件 |
符合所有屬性 |
|
條件 2 屬性 |
存取層級 USEast |
|
將條件 2 和條件 3 統整在一起 |
或 |
|
使用者獲得存取權的條件 |
符合所有屬性 |
|
條件 3 屬性 |
存取層級 USCentral |
規定要使用公司擁有的電腦,但未必要使用公司擁有的行動裝置
公司可能會要求使用公司擁有的電腦,但不一定會要求使用公司擁有的行動裝置。
首先,請建立電腦的存取權層級:
|
存取權層級名稱 |
aldesktop_access |
|
使用者獲得存取權的條件 |
符合所有屬性 |
|
條件 1 屬性 |
裝置政策
裝置加密 = 不支援 裝置 OS macOS = 0.0.0 Windows = 0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
接著,請建立行動裝置的存取權層級:
|
存取權層級名稱 |
almobile_access |
|
使用者獲得存取權的條件 |
符合所有屬性 |
|
條件 1 屬性 |
裝置 OS iOS = 0.0.0 Android = 0.0.0 |
規定基本的裝置安全性需求
現今的企業和公司大多都會要求員工在存取公司資源時,必須使用已加密且符合最低作業系統版本要求的裝置。部分公司也會要求員工使用公司擁有的裝置。
您可以為所有機構單位設定這些政策,也可以只為需要處理機密資料的機構單位 (例如公司高層、財務或人力資源部門) 設定這些政策。
以下列舉幾個設定政策的方式,您可以設定裝置加密、最低作業系統版本,以及公司擁有的裝置等政策,這些方式各有優缺點。
1 個存取層級,其中包含所有安全性需求
舉例來說,如果使用者的裝置經過加密且屬於公司所有,但並未搭載符合規定的作業系統版本,就無法透過這些裝置存取資源。
優點:設定方便。當您將這個存取層級指派給應用程式後,使用者就必須符合所有需求條件。
缺點:如果您要為不同的機構單位分別指派安全性需求,必需針對各個安全性需求分別建立存取層級。
| 存取層級名稱 | device_security |
| 使用者獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 (您可以將所有屬性新增至同一個條件中, 也可以建立 3 個條件,然後使用「AND」集合所有條件。) |
裝置 OS |
3 個各自獨立的存取權層級
舉例來說,搭載較舊作業系統版本的個人裝置,若已加密,仍可取得存取權。
優點:這種定義存取層級的方式較為精細,您可以分別為不同的機構單位指派存取層級。
缺點使用者僅須符合其中一個存取層級的條件。
| 存取層級名稱 | device_encryption |
| 使用者獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 |
裝置政策 |
| 存取層級名稱 | corp_device |
| 使用者獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 |
裝置政策 |
| 存取層級名稱 | min_os |
| 使用者獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 |
裝置政策 |
1 個存取層級,其中包含巢狀存取層級
當您為應用程式指派第 4 個存取層級時,使用者必須分別符合這 3 個巢狀存取層級中的條件,才能取得存取權。這是使用「且」邏輯運算子的存取層級。
舉例來說,即便使用加密的裝置,但如果該裝置是個人裝置,且搭載的作業系統版本較舊,即無法得存取權。
優點:您可以透過第 1、2 和 3 這 3 個獨立的存取層級,靈活區分安全性需求。此外,您還可以使用第 4 個存取層級,強制實行兼具所有安全性需求的政策。
缺點:稽核記錄只會擷取第 4 個存取層級所拒絕的存取權;如果是第 1、2 和 3 個存取層級拒絕的存取權,稽核記錄便不會擷取,因為這 3 個存取層級並未直接指派給應用程式。
按照上方「3 個各自獨立的存取層級」一節的說明,建立以下 3 個存取層級:「device_encryption」、「corp_device」和「min_os」。接著再建立第 4 個名為「device_security」的存取層級,其中具備 3 個條件,各條件中另有一個存取層級做為屬性 (每個條件只能新增 1 個存取層級屬性)。
| 存取層級名稱 | device_security |
| 使用者獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 (每個條件只能具備 1 個存取權層級) |
存取層級 device_encryption |
| 將條件 1 和條件 2 統整在一起 | 且 |
| 使用者獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 | 存取層級 corp_device |
| 將條件 2 和條件 3 統整在一起 | 且 |
| 使用者獲得存取權的條件 | 符合所有屬性 |
| 條件 1 屬性 | 存取層級 min_os |
