设置第三方合作伙伴集成

支持此功能的版本：一线员工标准版和一线员工 Plus 版；企业标准版和企业 Plus 版；教育标准版、教育 Plus 版和 Endpoint Education Upgrade；Cloud Identity 专业版。 比较您的版本

作为管理员，您可以将受支持的第三方合作伙伴（属于 BeyondCorp Alliance 的合作伙伴）与 Google 管理控制台中的 Google 端点管理服务集成。借助这些集成，您可以将统一端点管理 (UEM) 提供商和移动威胁防护服务，与 Google Workspace、Cloud Identity 以及受 Identity-Aware Proxy 保护的 Google Cloud 服务结合使用。与第三方服务建立关联并为组织部门启用该服务后，相应的第三方服务可以发送有关设备的详细信息，您可以在设备资产清单中查看这些信息并将其用于情境感知访问权限规则。

注意：Google 不对第三方合作伙伴生成的设备数据的准确性承担任何责任。第三方合作伙伴向 Google 提供的数据将按原样存储。任何由第三方合作伙伴提供的不准确信息或个人身份信息 (PII)，均由该合作伙伴自行负责。

建立与第三方服务的关联后，该服务将可供贵单位的所有单位部门使用。但是，只有在您为单位部门启用相应第三方服务后，该单位部门才能应用该服务。

BeyondCorp Alliance 合作伙伴

Check Point
CrowdStrike
Jamf
Lookout
Microsoft Intune（仅限桌面设备）
Omnissa

要求

对于移动设备，请设置基本移动设备管理服务或启用高级移动设备管理服务。如果您不确定使用哪种服务，请咨询第三方合作伙伴。
对于计算机，请启用端点验证。

第 1 步：关联 BeyondCorp Alliance 合作伙伴

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设置 第三方集成。

前往“第三方集成”

您必须以超级用户身份登录，才能执行此任务。
点击安全和 MDM 合作伙伴 管理。
在要关联的合作伙伴对应的行中，点击打开连接 。
在合作伙伴的网站打开后，完成关联流程：
- 如果您已订阅该合作伙伴的服务，则合作伙伴会确认关联。
- 如果您没有订阅，系统可能会引导您设置订阅。
在管理控制台中，关闭管理合作伙伴关联服务 对话框以返回设置页面。已关联的合作伙伴此时会显示在列表中。

第 2 步：为组织部门启用合作伙伴的服务

准备工作：如果您需要为此设置设定部门或团队，请参阅添加组织部门。

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设置 第三方集成。

前往“第三方集成”

您必须以超级用户身份登录，才能执行此任务。
点击安全和 MDM 合作伙伴 。
（可选）要将设置应用于某个部门或团队，请在侧边选择一个组织部门 。
勾选要启用其服务的合作伙伴对应的复选框。您可以选择多个合作伙伴。
点击保存。您也可以针对组织部门点击覆盖。
如需稍后恢复继承的值，请点击继承。

现在，合作伙伴的服务会应用于所选单位部门中的账号。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

第 3 步：在情境感知访问权限级别中使用服务状态数据

每项服务都会向 Google 发送有关设备的数据，您可以使用这些数据来定义情境感知访问权限级别。

注意：如需将基于第三方服务状态的情境感知访问权限级别应用于 iOS 设备用户，iOS 用户必须使用其工作或学校账号登录 Chrome 浏览器以外的 Google 应用（例如 YouTube 或 Gmail）。了解详情

如需了解第三方服务向 Google 发送哪些值，请查看该服务的文档。
在 Google Cloud 控制台中，根据合作伙伴值设置自定义访问权限级别。如需了解相关说明，请参阅创建自定义访问权限级别

。

在输入条件的步骤中，您需要输入与状态值对应的 device.vendors 属性。例如， device.vendors["some_vendor"].data["status_value"] == true，其中 some_vendor是合作伙伴名称（Checkpoint或Lookout）， status_value是合作伙伴定义的状态键。如需了解详情，请参阅此参考的供应商部分

表中的“供应商”部分。
为应用分配情境感知访问权限级别。

排查第三方服务集成问题

如果集成未按预期运行，请按照以下步骤排查问题。

第 1 步：验证来自 Google 和合作伙伴的连接

来自 Google

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设置 第三方集成。

前往“第三方集成”

您必须以超级用户身份登录，才能执行此任务。
点击安全和 MDM 合作伙伴 。
点击合作伙伴 旁边的管理。
在合作伙伴对应的行中，确认可执行的操作为关闭连接 。如果可执行的操作为打开连接，请点击该操作，然后按照第 1 步：关联 BeyondCorp Alliance 合作伙伴中的说明操作。

来自合作伙伴

查看合作伙伴的说明文档并确认合作伙伴服务已准备好进行集成。

第 2 步：确保用户属于已启用连接的组织部门

确保已为该用户设置连接。连接需按组织部门启用，且仅适用于已启用连接的组织部门中的用户。

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设置 第三方集成。

前往“第三方集成”

您必须以超级用户身份登录，才能执行此任务。
点击安全和 MDM 合作伙伴 。
在左侧，点击用户所属的单位部门。
在安全和移动设备管理(MDM)合作伙伴 旁边，查看已为该组织部门启用的应用集成。
如果集成未列出，请点击安全和 MDM 合作伙伴 ，然后勾选相应合作伙伴旁边的复选框。如果合作伙伴未列出，则您必须先打开连接。有关说明，请参阅第 1 步：关联 BeyondCorp Alliance 合作伙伴。

第 3 步：验证 Google 是否从第三方服务获取用户的设备数据

集成合作伙伴会向 Google 发送有关用户设备的数据。您可以在管理控制台中确认 Google 是否正在获取这些数据。

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设备。

前往“设备”页面

需要拥有移动设备管理管理员权限。
查找用户的设备。如要过滤列表，请在搜索栏中输入其电子邮件地址，然后按设备类型添加过滤条件。
点击相应设备以打开其详情页面。
找到第三方服务部分。如果您找不到该部分，则说明合作伙伴连接可能未正确配置。您可以查看前两个问题排查步骤。
找到合作伙伴服务对应的行，并确认运行状况得分、受管理状态和法规遵从状态的值不是未指定。如果值与您的期望不符，请联系合作伙伴以获取支持。

第 4 步：验证是否已正确指定自定义访问权限级别

在 Google Cloud 控制台中，进入 Access Context Manager。
找到自定义访问权限级别，并确认以下内容：
1. 条件使用的是正确的第三方名称。该名称会在第三方文档中指定。
2. 条件使用的值与从第三方接收的值匹配。

如果上述设置不正确，请查看如何使用服务状态数据指定情境感知访问权限级别。

第 5 步：验证自定义访问权限级别是否已应用于正确的 Google Workspace 服务或 Google Cloud 资源

在 Google 管理控制台中，依次点击“菜单”图标 安全性 访问权限和数据控制 情境感知访问权限。

转到“情境感知访问权限”

需要数据安全访问权限级别和规则管理权限以及 Admin API 群组和用户读取权限。
依次点击分配和分配访问权限级别 。
您会看到应用列表。
查看哪些应用和服务应用了自定义访问权限级别。

（仅限 iOS 设备）避免和移除因使用 BeyondCorp Alliance 进行第三方设备报告而导致的重复设备条目

在某些情况下，使用第三方服务合作伙伴注册设备可能会导致管理控制台中出现同一设备的重复条目。这反过来可能会导致情境感知访问权限规则错误地阻止受管设备访问 Google 服务。

如需避免重复的设备条目，您需要确保设备上已启用 Safari。

请按照以下步骤移除重复的设备条目：

在 Google 管理控制台中，依次点击“菜单”图标 **目录** **用户**。

前往“用户”页面

需要拥有适当的“用户管理”权限。如果您没有正确的权限，则无法看到完成这些步骤所需的所有控件。
找到重复设备的用户，然后点击用户名以打开“用户详情”页面。
在安全标签页上，点击已关联的应用 。
删除列出的所有应用。

在用户设备上：

退出并移除所有 Google 账号。
在 Safari 中，前往 Google 服务的网页（例如 gmail.com），并验证用户是否已登录。
重新安装并登录 Google 应用，例如 Gmail 或云端硬盘。（请勿通过 Safari 中的网页访问 Google 应用。）
情境感知访问权限规则会阻止访问 Google 应用，并显示用于解决应用屏蔽问题的链接。
点击补救链接，然后按照步骤将设备重新注册到服务合作伙伴。
关闭并重新打开 Google 服务。访问权限应该不再被屏蔽。

更改第三方服务集成设置

为组织部门停用合作伙伴服务