支持此功能的版本:Frontline Standard;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;Cloud Identity 专业版。 比较您的版本
作为管理员,您可以将受支持的第三方合作伙伴(属于 BeyondCorp Alliance 的合作伙伴)与 Google 管理控制台中的 Google 端点管理服务集成。借助这些集成,您可以将统一端点管理 (UEM) 提供程序和移动设备威胁防范服务与 Google Workspace、Cloud Identity 和受 Identity-Aware Proxy 保护的 Google Cloud 服务搭配使用。与第三方服务建立关联并为单位部门启用该服务后,相应的第三方服务可以发送有关设备的详细信息,您可以在设备资产清单中查看这些信息并将其用于情境感知访问权限规则。
注意:Google 对第三方合作伙伴生成的设备数据的准确性不承担任何责任。第三方合作伙伴提供给 Google 的数据会按原样存储。如果第三方合作伙伴报告了不准确或个人身份信息 (PII),则合作伙伴应承担全部责任。
建立与第三方服务的关联后,该服务将可供贵单位的所有单位部门使用。但是,只有在您为单位部门启用相应第三方服务后,该单位部门才能应用该服务。
BeyondCorp Alliance 合作伙伴
- Check Point
- CrowdStrike
- Jamf
- Lookout
- Microsoft Intune(仅限桌面设备)
- VMware(Beta 版)
要求
- 对于移动设备,请设置基本移动设备管理服务或启用高级移动设备管理服务。 如果您不确定要使用哪个版本,请咨询您的第三方合作伙伴。
- 对于计算机,请启用端点验证。
第 1 步:关联 BeyondCorp Alliance 合作伙伴
-
-
在管理控制台中,依次点击“菜单”图标
设备
移动设备和端点
- 点击安全和 MDM 合作伙伴
管理。
- 在您要关联的合作伙伴所在的行中,点击打开连接。
- 在打开合作伙伴网站后,完成连接过程:
- 如果您已经订阅了该合作伙伴的服务,则该合作伙伴将确认连接。
- 如果您没有订阅,系统可能会引导您设置订阅。
-
在管理控制台中,关闭管理合作伙伴关联服务对话框以返回设置页面。已关联的合作伙伴此时会显示在列表中。
管理。第 2 步:为单位部门启用合作伙伴的服务
准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击安全和 MDM 合作伙伴。
-
(可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- 勾选要启用其服务的合作伙伴对应的复选框。您可以选择多个密钥用途。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
现在,合作伙伴的服务会应用于所选单位部门中的账号。
第 3 步:使用服务状态数据指定情境感知访问权限级别
每项服务都会发送有关设备的 Google 数据,您可以使用这些数据来指定情境感知访问权限级别。
注意:如要将根据第三方服务状态指定的情境感知访问权限级别应用于 iOS 设备用户,iOS 用户必须通过单位或学校账号登录 Chrome 浏览器以外的 Google 应用(例如 YouTube 或 Gmail)。了解详情
- 查看第三方服务的说明文档,了解该服务会向 Google 发送哪些值。
- 在 Google Cloud 控制台中,根据合作伙伴值设置自定义访问权限级别。有关说明,请参阅创建自定义访问权限级别。
输入条件时,请输入与状态值对应的
device.vendors属性。例如,在device.vendors["some_vendor"].data["status_value"] == true中,some_vendor是合作伙伴的名称(Checkpoint或Lookout),status_value是由合作伙伴指定的状态密钥。有关详情,请参阅此参考表的供应商部分。 - 为应用分配情境感知访问权限级别。
第三方服务集成问题排查
如果集成无法按预期工作,请按照以下步骤确定问题。
1. 验证与 Google 和合作伙伴的连接来自 Google
-
-
在管理控制台中,依次点击“菜单”图标
- 点击安全和 MDM 合作伙伴。
- 点击合作伙伴旁边的管理。
- 在合作伙伴对应的行中,确认可执行的操作为关闭连接。如果可执行的操作为打开连接,请点击该操作,然后按照第 1 步:关联 BeyondCorp Alliance 合作伙伴中的说明操作。
与合作伙伴的连接
查看合作伙伴的说明文档并确认合作伙伴服务已准备好进行集成。
确保已为该用户设置连接。连接需按单位部门启用,且仅适用于已启用连接的单位部门中的用户。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击安全和 MDM 合作伙伴。
- 在左侧,点击用户所属的单位部门。
- 在安全和 MDM 合作伙伴旁边,查看已为该单位部门启用的应用集成。
- 如果集成未列出,请点击安全和 MDM 合作伙伴,然后勾选相应合作伙伴旁边的复选框。如果合作伙伴未列出,则您必须先打开连接。有关说明,请参阅第 1 步:关联 BeyondCorp Alliance 合作伙伴。
集成合作伙伴会向 Google 发送有关用户设备的数据。您可以在管理控制台中确认 Google 是否正在获取这些数据。
-
-
在管理控制台中,依次点击“菜单”图标
- 查找用户的设备。如要过滤列表,请在搜索栏中输入其电子邮件地址,然后按设备类型添加过滤条件。
- 点击相应设备以打开其详情页面。
- 找到第三方服务部分。如果您找不到该部分,则说明合作伙伴连接可能未正确配置。您可以查看前两个问题排查步骤。
- 找到合作伙伴服务对应的行,并确认运行状况得分、受管理状态和法规遵从状态的值不是未指定。如果值与您的期望不符,请联系合作伙伴以获取支持。
- 在 Google Cloud 控制台中,进入 Access Context Manager。
- 找到自定义访问权限级别,并确认以下内容:
- 条件使用的是正确的第三方名称。该名称会在第三方文档中指定。
- 条件使用的值与从第三方接收的值匹配。
如果上述设置不正确,请查看如何使用服务状态数据指定情境感知访问权限级别。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
- 点击分配,然后点击分配访问权限级别。
您会看到一个应用列表。 - 查看哪些应用和服务应用了自定义访问权限级别。
更改第三方服务集成设置
为单位部门停用合作伙伴服务准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击安全和 MDM 合作伙伴。
- (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
-
取消选中要停用的合作伙伴服务对应的复选框。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击安全和 MDM 合作伙伴
- 在合作伙伴对应的行中,点击关闭连接。该合作伙伴的服务将不再适用于贵单位的任何设备,同时该合作伙伴也不会显示为可启用的选项。
如果您关闭后又重新打开与合作伙伴的连接,则系统会自动为启用过该合作伙伴服务的单位部门重新启用相应合作伙伴的服务。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
相关主题
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。