设置第三方合作伙伴集成

支持此功能的版本：一线员工标准版和一线员工 Plus 版；企业标准版和企业 Plus 版；教育标准版、教育 Plus 版和教育端点升级版；Cloud Identity 专业版。 对比版本

作为管理员，您可以将受支持的第三方合作伙伴（属于 BeyondCorp Alliance 的合作伙伴）与 Google 管理控制台中的 Google 端点管理服务集成。借助这些集成，您可以将统一端点管理 (UEM) 提供商和移动威胁防护服务，与 Google Workspace、Cloud Identity 以及受 Identity-Aware Proxy 保护的 Google Cloud 服务结合使用。与第三方服务建立关联并为组织部门启用该服务后，相应的第三方服务可以发送有关设备的详细信息，您可以在设备资产清单中查看这些信息并将其用于情境感知访问权限规则。

注意：Google 对第三方合作伙伴生成的设备数据的准确性不承担任何责任。第三方合作伙伴向 Google 提供的数据将按原样存储。任何由第三方合作伙伴提供的不准确信息或个人身份信息 (PII)，均由该合作伙伴自行负责。

建立与第三方服务的关联后，该服务将可供贵组织的所有组织部门使用。不过，只有在您为某个组织部门启用该第三方服务后，该服务才会实际生效。

BeyondCorp Alliance 合作伙伴

Check Point
CrowdStrike
Jamf
Lookout
Microsoft Intune（仅限桌面设备）
Omnissa

要求

对于移动设备，请设置基本移动设备管理服务或启用高级移动设备管理服务。如果您不确定要使用哪种方式，请咨询您的第三方合作伙伴。
对于计算机，请启用端点验证。

第 1 步：关联 BeyondCorp Alliance 合作伙伴

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设置 第三方集成。

前往“第三方集成”

您必须以超级用户身份登录，才能执行此任务。
点击安全和 MDM 合作伙伴 管理。
在您要关联的合作伙伴所在的行中，点击打开连接。
在打开合作伙伴网站后，完成连接过程：
- 如果您已经订阅了该合作伙伴的服务，则该合作伙伴将确认连接。
- 如果您没有订阅，系统可能会引导您设置订阅。
在管理控制台中，关闭管理合作伙伴关联服务对话框以返回设置页面。已关联的合作伙伴此时会显示在列表中。

第 2 步：为组织部门启用合作伙伴的服务

准备工作：如果您需要为此设置设定部门或团队，请参阅添加组织部门。

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设置 第三方集成。

前往“第三方集成”

您必须以超级用户身份登录，才能执行此任务。
点击安全和 MDM 合作伙伴。
（可选）如要将设置应用于某个部门或团队，请在侧边选择一个组织部门。
勾选要启用其服务的合作伙伴对应的复选框。您可以选择多个。
点击保存。或者，您也可以针对组织部门点击覆盖。
如果之后要恢复继承的值，请点击继承。

现在，合作伙伴的服务会应用于所选组织部门中的账号。

更改最长可能需要 24 小时生效，但通常会更快完成。了解详情

第 3 步：使用服务状态数据指定情境感知访问权限级别

每项服务都会发送有关设备的 Google 数据，您可以使用这些数据来指定情境感知访问权限级别。

注意：如要将根据第三方服务状态指定的情境感知访问权限级别应用于 iOS 设备用户，iOS 用户必须通过工作或学校账号登录 Chrome 浏览器以外的 Google 应用（例如 YouTube 或 Gmail）。了解详情

查看第三方服务的说明文档，了解该服务会向 Google 发送哪些值。
在 Google Cloud 控制台中，根据合作伙伴值设置自定义访问权限级别。有关说明，请参阅创建自定义访问权限级别。

输入条件时，请输入与状态值对应的 device.vendors 属性。例如，device.vendors["some_vendor"].data["status_value"] == true，其中 some_vendor 是合作伙伴的名称（Checkpoint 或 Lookout），status_value 是由合作伙伴指定的状态密钥。有关详情，请参阅此参考表的供应商部分。
为应用分配情境感知访问权限级别。

第三方服务集成问题排查

如果集成无法按预期工作，请按照以下步骤确定问题。

第 1 步：验证与 Google 和合作伙伴的连接

来自 Google

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设置 第三方集成。

前往“第三方集成”

您必须以超级用户身份登录，才能执行此任务。
点击安全和 MDM 合作伙伴。
点击合作伙伴旁边的管理。
在合作伙伴对应的行中，确认可执行的操作为关闭连接。如果可执行的操作为打开连接，请点击该操作，然后按照第 1 步：关联 BeyondCorp Alliance 合作伙伴中的说明操作。

来自合作伙伴

查看合作伙伴的说明文档并确认合作伙伴服务已准备好进行集成。

第 2 步：确保用户属于已启用连接的组织部门

确保已为该用户设置连接。连接需按组织部门启用，且仅适用于已启用连接的组织部门中的用户。

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设置 第三方集成。

前往“第三方集成”

您必须以超级用户身份登录，才能执行此任务。
点击安全和 MDM 合作伙伴。
在左侧，点击用户所属的组织部门。
在安全和 MDM 合作伙伴旁边，查看已为该组织部门启用的应用集成。
如果集成未列出，请点击安全和 MDM 合作伙伴，然后勾选相应合作伙伴旁边的复选框。如果合作伙伴未列出，则您必须先打开连接。有关说明，请参阅第 1 步：关联 BeyondCorp Alliance 合作伙伴。

第 3 步：验证 Google 是否正从第三方服务获取用户的设备数据

集成合作伙伴会向 Google 发送有关用户设备的数据。您可以在管理控制台中确认 Google 是否正在获取这些数据。

在 Google 管理控制台中，依次点击“菜单”图标设备 移动设备和端点 设备。

转到“设备”

需要拥有移动设备管理管理员权限。
查找用户的设备。如要过滤列表，请在搜索栏中输入其电子邮件地址，然后按设备类型添加过滤条件。
点击相应设备以打开其详情页面。
找到第三方服务部分。如果您找不到该部分，则说明合作伙伴连接可能未正确配置。您可以查看前两个问题排查步骤。
找到合作伙伴服务对应的行，并确认运行状况得分、受管理状态和法规遵从状态的值不是未指定。如果值与您的预期不符，请联系合作伙伴以获取支持。

第 4 步：验证是否已正确指定自定义访问权限级别

在 Google Cloud 控制台中，前往 Access Context Manager。
找到自定义访问权限级别，并确认以下内容：
1. 条件使用的是正确的第三方名称。该名称会在第三方文档中指定。
2. 条件使用的值与从第三方接收的值匹配。

如果上述设置不正确，请查看如何使用服务状态数据指定情境感知访问权限级别。

第 5 步：验证自定义访问权限级别是否已应用于正确的 Google Workspace 服务或 Google Cloud 资源

在 Google 管理控制台中，依次点击“菜单”图标 安全性 访问权限和数据控件 情境感知访问权限。

转到“情境感知访问权限”

需要数据安全访问权限级别管理和规则管理权限以及 Admin API 群组和用户读取权限。
依次点击分配和分配访问权限级别。
您会看到一个应用列表。
查看哪些应用和服务应用了自定义访问权限级别。

（仅限 iOS 设备）移除因使用 BeyondCorp Alliance 进行第三方设备报告而导致的重复设备条目

在某些情况下，通过第三方服务合作伙伴注册设备可能会导致管理控制台中出现同一设备的重复条目。这反过来可能会导致情境感知访问权限规则错误地阻止受管理的设备访问 Google 服务。

如需移除重复的设备，请按以下步骤操作：

在 Google 管理控制台中，依次点击“菜单”图标 目录用户。

前往“用户”页面

需要拥有相应的用户管理权限。如果您没有正确的权限，则无法看到完成这些步骤所需的所有控件。
找到重复设备的相应用户，然后点击该用户名以打开“用户详情”页面。
在安全标签页上，点击关联的应用。
删除列出的所有应用。

在用户设备上：

退出并移除所有 Google 账号。
在 Safari 中，前往 Google 服务的网页（例如 gmail.com），并验证用户是否未登录。
重新安装并登录 Google 应用，例如 Gmail 或云端硬盘。（请勿通过 Safari 中的网页访问 Google 应用。）
情境感知访问权限规则会阻止对 Google 应用的访问，并显示一个用于解决应用屏蔽问题的链接。
点击补救措施链接，然后按照步骤重新向服务合作伙伴注册设备。
关闭并重新打开 Google 服务。访问权限应该不再被禁止。

更改第三方服务集成设置

为组织部门停用合作伙伴服务