Настройте интеграцию с партнерами из сторонних организаций.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard, Education Plus и Endpoint Education Upgrade; Cloud Identity Premium. Сравните вашу версию.

В качестве администратора вы можете интегрировать поддерживаемых сторонних партнеров (входящих в альянс BeyondCorp ) с системой управления конечными точками Google в консоли администратора Google. Эти интеграции позволяют использовать поставщиков унифицированного управления конечными точками (UEM) и сервисы защиты от мобильных угроз совместно с вашими сервисами Google Workspace, Cloud Identity и защищенными с помощью Identity-Aware Proxy сервисами Google Cloud. После создания подключения и включения сервиса для организационного подразделения сторонний сервис сможет отправлять подробную информацию об устройствах, которую вы сможете просмотреть в инвентаризации устройств и использовать в правилах контекстно-зависимого доступа.

Примечание: Google не несет ответственности за точность данных об устройствах, генерируемых сторонними партнерами. Данные, предоставленные Google сторонним партнером, хранятся в неизмененном виде. Любые неточности или персональные данные, сообщенные сторонним партнером, являются исключительной ответственностью этого партнера.

При создании подключения к стороннему сервису, этот сервис становится доступен для всех организационных подразделений вашей организации. Однако сторонний сервис не будет применяться до тех пор, пока вы не включите его для конкретного организационного подразделения.

Партнеры альянса BeyondCorp

  • Контрольно-пропускной пункт
  • CrowStrike
  • Джамф
  • Высматривать
  • Microsoft Intune (только для настольных устройств)
  • Омнисса

Требования

Шаг 1: Свяжитесь с партнером альянса BeyondCorp.

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Интеграция со сторонними сервисами .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Партнеры Click Security и MDM а потом Управлять .
  3. В строке, соответствующей партнеру, с которым вы хотите подключиться, нажмите «Открыть соединение» .
  4. Завершите процесс подключения на веб-сайте партнера после его открытия:
    • Если у вас уже есть подписка у этого партнера, партнер подтвердит подключение.
    • Если у вас нет подписки, вас могут попросить её оформить.
  5. В консоли администратора закройте диалоговое окно «Управление подключениями партнеров» , чтобы вернуться на страницу настроек. Подключенный партнер теперь отображается в списке.

Шаг 2: Активируйте услуги партнера для организационного подразделения.

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Интеграция со сторонними сервисами .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Партнеры Click Security и MDM .
  3. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  4. Поставьте галочку напротив партнера, услугу которого вы хотите активировать. Можно выбрать несколько партнеров.
  5. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите кнопку «Наследовать» .

Теперь услуга партнера применяется к счетам в выбранном организационном подразделении.

Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Шаг 3. Используйте данные о состоянии сервиса на уровнях доступа, учитывающих контекст.

Каждая служба отправляет Google данные об устройствах, которые можно использовать для определения уровней доступа с учетом контекста.

Примечание: Для применения контекстно-зависимых уровней доступа, основанных на статусе сторонних сервисов, к пользователям устройств iOS необходимо войти в приложение Google, отличное от браузера Chrome (например, YouTube или Gmail), используя свою рабочую или учебную учетную запись. Подробнее

  1. Узнайте, какие данные сторонний сервис отправляет в Google, изучив документацию этого сервиса.

  2. В консоли Google Cloud настройте пользовательский уровень доступа на основе значений партнерских данных. Инструкции см. в разделе «Создание пользовательского уровня доступа» .

    На этапе ввода условий необходимо указать атрибут device.vendors , соответствующий значению статуса. Например, device.vendors["some_vendor"].data["status_value"] == true , где some_vendor — это имя партнера ( Checkpoint или Lookout ), а status_value — ключ статуса, определенный партнером. Более подробную информацию см. в разделе «Поставщики» этой справочной таблицы .

  3. Назначайте приложениям уровни доступа, учитывающие контекст .

Устранение неполадок при интеграции стороннего сервиса

Если интеграция работает не так, как ожидалось, выполните следующие шаги, чтобы выявить проблему.

Шаг 1: Проверьте соединение через Google и через партнера.

Из Google

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Интеграция со сторонними сервисами .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Партнеры Click Security и MDM .
  3. Рядом с пунктом «Партнёры» нажмите «Управление» .
  4. В строке, посвященной партнеру, убедитесь, что доступно действие «Закрыть соединение ». Если действие «Открыть соединение» , нажмите на него и следуйте инструкциям в Шаге 1: Подключение к партнеру BeyondCorp Alliance .

От партнера

Ознакомьтесь с документацией партнера и убедитесь, что партнерский сервис готов к интеграции.

Шаг 2: Убедитесь, что пользователь принадлежит к организационному подразделению, в котором включено подключение.

Убедитесь, что соединение установлено для пользователя. Соединения включаются для каждого организационного подразделения и работают только для пользователей в тех организационных подразделениях, где соединение включено.

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Интеграция со сторонними сервисами .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Партнеры Click Security и MDM .
  3. Слева щелкните по организационному подразделению, к которому принадлежит пользователь.
  4. Рядом с партнерами по безопасности и MDM проверьте включенные интеграции приложений для данного организационного подразделения.
  5. Если интеграция не указана в списке, щелкните «Партнеры по безопасности и MDM» и установите флажок рядом с партнером. Если партнер не указан в списке, необходимо сначала установить соединение. Инструкции см. в Шаге 1: Подключение к партнеру BeyondCorp Alliance .

Шаг 3: Убедитесь, что Google получает данные об устройстве пользователя от стороннего сервиса.

Партнеры по интеграции отправляют данные об устройстве пользователя в Google. Вы можете убедиться, что Google получает эти данные, в своей консоли администратора.

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Устройства .

    Для этого требуются права администратора системы управления мобильными устройствами .

  2. Найдите устройство пользователя. Чтобы отфильтровать список, введите его адрес электронной почты в строку поиска и добавьте фильтр по типу устройства.
  3. Нажмите на устройство, чтобы открыть страницу с его подробными характеристиками.
  4. Найдите раздел «Сторонние сервисы» . Если вы его не можете найти, возможно, подключение к партнеру настроено неправильно. Просмотрите первые два шага по устранению неполадок.
  5. Найдите строку, относящуюся к партнерской службе, и убедитесь, что значения параметров «Показатель работоспособности» , «Управляемое состояние» и «Соответствие требованиям» не равны «Не указано» . Если значения не соответствуют вашим ожиданиям, обратитесь к партнеру за поддержкой.

Шаг 4: Убедитесь, что пользовательский уровень доступа определен правильно.

  1. В консоли Google Cloud перейдите в раздел «Менеджер контекста доступа» .
  2. Найдите пользовательский уровень доступа и подтвердите следующее:
    1. В условиях используется правильное название третьей стороны. Это название указано в документации третьей стороны.
    2. В условиях используется значение, соответствующее значению, полученному от третьей стороны.

Если эти данные неверны, ознакомьтесь с тем, как использовать данные о состоянии службы в контекстно-зависимых уровнях доступа .

Шаг 5: Убедитесь, что пользовательский уровень доступа применен к правильной службе Google Workspace или ресурсу Google Cloud.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Нажмите «Назначить» , затем «Назначить уровни доступа» .
    Вы видите список приложений.
  3. Проверьте, к каким приложениям и сервисам применяется заданный уровень доступа.

(Только для устройств iOS) Удалите повторяющиеся записи об устройствах, возникшие в результате использования BeyondCorp Alliance для формирования отчетов о устройствах от сторонних организаций.

В некоторых случаях регистрация устройств у стороннего сервисного партнера может привести к появлению дублирующихся записей для одного и того же устройства в консоли администратора. Это, в свою очередь, может привести к тому, что правила доступа с учетом контекста некорректно блокируют доступ управляемого устройства к сервисам Google.

Выполните следующие действия, чтобы удалить дубликаты устройств:

  1. В консоли администратора Google перейдите в меню. а потом Каталог а потом Пользователи .

    Для выполнения этой операции необходимы соответствующие права на управление пользователями . Без необходимых прав вы не увидите все элементы управления, необходимые для выполнения этих шагов.

  2. Найдите пользователя дублирующего устройства, затем щелкните имя пользователя, чтобы открыть страницу с подробными сведениями о пользователе.
  3. На вкладке «Безопасность» нажмите «Подключенные приложения» .
  4. Удалите все перечисленные приложения.

На устройстве пользователя:

  1. Выйдите из всех учетных записей Google и удалите их.
  2. В браузере Safari перейдите на веб-страницу сервиса Google (например, gmail.com) и убедитесь, что пользователь не авторизован.
  3. Переустановите и войдите в любое приложение Google, например Gmail или Drive. (Не заходите в приложения Google через их веб-страницу в Safari.)

    Правила доступа, учитывающие контекст, заблокируют доступ к приложению Google и отобразят ссылку для устранения блокировки.

  4. Нажмите на ссылку для устранения проблемы, затем выполните действия по повторной регистрации устройства у сервисного партнера.
  5. Закройте и снова откройте сервис Google. Доступ больше не должен быть заблокирован.

Изменение настроек интеграции со сторонними сервисами

Отключить партнера для организационного подразделения

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Интеграция со сторонними сервисами .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Партнеры Click Security и MDM .
  3. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  4. Снимите флажок с партнера, которого хотите отключить.
  5. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите кнопку «Наследовать» .

Разъединить партнера

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Интеграция со сторонними сервисами .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Партнеры Click Security и MDM а потом Управлять .
  3. В строке, посвященной партнеру, нажмите «Закрыть соединение» . Услуги партнера больше не будут применяться ни к одному устройству в вашей организации, и партнер не будет отображаться в списке вариантов для включения.

Если вы закроете и снова откроете соединение с партнером, сервис партнера автоматически будет повторно включен для всех организационных подразделений, в которых этот партнер был включен.

Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.