Utilizzando i messaggi di correzione e i messaggi personalizzati in Accesso sensibile al contesto, puoi aiutare gli utenti a sbloccarsi quando un criterio impedisce loro di accedere a un'app. Questi messaggi facoltativi (ma consigliati) possono aiutare gli utenti a tornare a essere produttivi e ridurre le chiamate di assistenza per gli amministratori.
Ad esempio, quando i messaggi di correzione sono attivati, se un utente di dispositivo mobile utilizza Gmail in ufficio correttamente durante il giorno, ma viene bloccato quando tenta di accedere a Gmail a casa la sera, vedrà indicazioni su come risolvere il motivo del blocco.
I messaggi di correzione e personalizzati sono supportati per i livelli di accesso creati sia in modalità di base che in modalità avanzata. Sono inoltre supportati sia per i servizi principali sia per le app SAML.
Utilizzare i messaggi di correzione e personalizzati per aiutare gli utenti a sbloccarsi autonomamente
Quando vengono bloccati, i tuoi utenti possono visualizzare:
- Messaggio predefinito. Viene visualizzato se non hai aggiunto messaggi di correzione o messaggi personalizzati. Un esempio di messaggio predefinito è: Il criterio della tua organizzazione blocca l'accesso a questa app.
- Messaggi di correzione. Sostituiscono il messaggio predefinito. I messaggi sono generati dal sistema e corrispondono alla specifica violazione dei criteri che ha bloccato l'utente.
I messaggi di correzione possono presentare all'utente diverse opzioni di correzione, che possono essere espanse facendo clic su Mostra altre opzioni. Nel caso di più opzioni di correzione, per sbloccarsi l'utente deve completare i passaggi per una qualsiasi delle opzioni disponibili. - Messaggio personalizzato. Aggiunge una guida specifica per l'utente, ad esempio ulteriori consigli su come sbloccarsi o un link utile su cui fare clic. Puoi aggiungere messaggi personalizzati in base alle esigenze. Un messaggio personalizzato può essere visualizzato in combinazione con il messaggio predefinito o con i messaggi di correzione.
Questa tabella mostra l'interattività di questi messaggi:
| Messaggi di correzione attivati? | Messaggio personalizzato aggiunto? | Messaggi visualizzati dall'utente |
|---|---|---|
| No | No | Solo messaggio predefinito |
| Sì | No | Solo messaggi di correzione. In alcuni casi, è possibile che sia visualizzato il messaggio predefinito se non possono essere generati i messaggi di correzione |
| No | Sì | Messaggio predefinito e messaggio personalizzato |
| Sì | Sì | Messaggi di correzione e messaggio personalizzato |
Quando imposti una policy di avviso per un attributo, vengono sempre mostrati (e solo) i messaggi di correzione per quell'attributo. Tu e gli altri amministratori non potete disattivarli. Quando gli utenti ricevono una notifica di avviso relativa a un'app a cui stanno tentando di accedere, possono esaminare ulteriori dettagli sulle opzioni di correzione.
Informazioni sui messaggi di correzione
Ogni azione di correzione corrisponde a un attributo che causa il rifiuto dell'accesso (blocco) o che mostra un avviso all'utente. Se hai un criterio di blocco associato a un attributo, i messaggi di correzione comunicano all'utente che non può eseguire l'azione e forniscono modi per rispettare le norme. Se a un attributo è associata una policy di avviso, l'utente può completare l'azione, ma riceve suggerimenti su come rispettare la policy.
Possono essere mostrati messaggi diversi per lo stesso attributo in base alle aspettative nel livello di accesso. Ad esempio, se il livello di accesso è device.screen_lock_enabled == true, il messaggio è Imposta una password di blocco dello schermo sul tuo dispositivo. Se il livello di accesso è device.screen_lock_enabled == false, il messaggio è Rimuovi la password di blocco dello schermo dal tuo dispositivo. La rimozione di una password di blocco dello schermo potrebbe ridurre la sicurezza, quindi l'utente deve confermare questa azione con l'amministratore.
Possibili messaggi di correzione per attributo e tipo
I messaggi effettivi potrebbero essere diversi da quelli visualizzati di seguito.
| Attributo | Tipo di policy | Messaggio |
|---|---|---|
| Approvazione amministratore | Blocca e avvisa | Passa a un dispositivo approvato dalla tua organizzazione. Contatta il tuo amministratore se non hai accesso a uno di questi dispositivi. |
| Blocca e avvisa | Passa a un dispositivo non associato alla tua organizzazione. Si tratta di una procedura meno sicura, quindi consulta prima l'amministratore. | |
| Dispositivo di proprietà dell'azienda | Blocca e avvisa | Passa a un dispositivo di proprietà della tua organizzazione. Contatta il tuo amministratore se non hai accesso a uno di questi dispositivi. |
| Blocca e avvisa | Passa a un dispositivo di cui la tua organizzazione non è proprietaria. | |
| Corrispondenza profilo CTS | Blocca e avvisa | Ripristina le impostazioni di fabbrica del dispositivo. |
| Blocca | Il tuo dispositivo non può accedere a questa app con un'installazione Android OEM. Per ulteriori informazioni, contatta l'amministratore. | |
| Avviso | L'accesso a questa app con un'installazione Android OEM non è sicuro. Contatta l'amministratore per saperne di più. | |
| Crittografia | Blocca e avvisa | Passa a un dispositivo avente uno dei seguenti stati di crittografia: [status1, status2]. |
| Blocca e avvisa | Passa a un dispositivo con uno stato di crittografia diverso dal seguente: [status] | |
| Contiene app potenzialmente dannose | Blocca e avvisa | Disinstalla le app elencate da Google Play Protect come potenzialmente dannose. |
| Blocca | Il tuo dispositivo non può accedere a questa app con le app attualmente installate. Per ulteriori informazioni, contatta l'amministratore. | |
| Avviso | L'accesso a questa app con le app attualmente installate non è sicuro. Contatta l'amministratore per saperne di più. | |
| Indirizzo IP | Blocca | Non puoi accedere a questa app dalla tua subnet IP attuale. Contatta l'amministratore per saperne di più. |
| Avviso | L'accesso a questa app dalla tua subnet IP attuale non è sicuro. Contatta l'amministratore per saperne di più. | |
| Tipo di sistema operativo | Blocca e avvisa | Passa a un dispositivo che utilizza uno dei seguenti sistemi operativi: [os1, os2]. |
| Blocca e avvisa | Passa a un dispositivo che non utilizza: os1. | |
| Versione sistema operativo | Blocca e avvisa | Aggiorna il dispositivo a [OS versione X] o versioni successive. |
| Blocca e avvisa | Aggiorna il dispositivo a una versione del sistema operativo precedente a [OS version X]. | |
| Attributi partner | Blocca e avvisa | Installa [PARTNER NAME] sul tuo dispositivo.1 |
| Blocca e avvisa | Il tuo dispositivo non soddisfa alcuni requisiti in base alle informazioni fornite da [PARTNER NAME].2 | |
| Codice regione | Blocca | Non puoi accedere a questa app dalla tua posizione attuale. Contatta l'amministratore per saperne di più. |
| Avviso | L'accesso a questa app dalla tua posizione attuale non è sicuro. Contatta l'amministratore per saperne di più. | |
| Blocco schermo | Blocca e avvisa | Imposta una password di blocco dello schermo sul tuo dispositivo. |
| Blocca e avvisa | Rimuovi la password di blocco dello schermo dal tuo dispositivo. Si tratta di una procedura meno sicura, quindi consulta prima l'amministratore. | |
| Verifica app | Blocca e avvisa | Attiva Google Play Protect sul tuo dispositivo. |
| Blocca e avvisa | Disattiva Google Play Protect sul tuo dispositivo. | |
| Avvio verificato | Blocca e avvisa | Segui le istruzioni del produttore del dispositivo per bloccare il bootloader. |
| Blocca e avvisa | Segui le istruzioni del produttore del dispositivo per sbloccare il bootloader. | |
| ChromeOS verificato | Blocca e avvisa | Installa una versione di ChromeOS verificata sul tuo dispositivo. |
| Blocca e avvisa | Non puoi accedere a questa app con ChromeOS verificato. | |
| Dispositivo jailbroken | Blocca e avvisa | Segui le istruzioni del produttore del dispositivo per ripristinare i dati di fabbrica. |
| Blocca | Il tuo dispositivo non può accedere a questa app a causa del suo stato attuale. Per saperne di più, contatta l'amministratore. | |
| Avviso | L'accesso a questa app con lo stato attuale del dispositivo non è sicuro. Contatta l'amministratore per saperne di più. |
1 Assicurati che sul dispositivo sia installata l'app di sicurezza partner (ad esempio Lookout). Se l'app è installata, ma l'utente continua a visualizzare questo messaggio, è possibile che il dispositivo non sia registrato correttamente per l'MDM partner. Controlla la dashboard dei partner per verificare se è così. Se necessario, contatta il partner per risolvere il problema.
2 Per maggiori dettagli, controlla l'app del partner sul dispositivo. Se necessario, contatta il partner per risolvere il problema.
Informazioni sui messaggi di correzione e sulle integrazioni dei partner terzi
In qualità di amministratore, puoi integrare partner terzi supportati, ossia quelli che fanno parte di BeyondCorp Alliance, con la Gestione degli endpoint Google nella Console di amministrazione Google. Questo testo informativo viene visualizzato nell'interfaccia dei messaggi di correzione per spiegare che i messaggi dei partner possono essere disponibili per gli utenti:
Ad esempio, da Lookout:
Per maggiori dettagli, vedi Configurare le integrazioni dei partner terzi.
Errori comuni da risolvere prima che i messaggi personalizzati o di correzione possano essere visualizzati dall'utente
Questi errori devono essere risolti prima che gli utenti possano visualizzare i messaggi di correzione:
Impossibile riconoscere il dispositivo. Potrebbe essere necessario seguire una procedura diversa a seconda del tipo di dispositivo.
Google non riconosce il dispositivo di accesso. Il passaggio di correzione dipende dalla piattaforma.
- Computer: gli utenti devono utilizzare un profilo Chrome con l'estensione Verifica degli endpoint installata. Gli utenti non possono accedere alle app Google Workspace tramite profili in incognito, ospite o personali. Tieni presente che questo messaggio di errore può essere visualizzato quando un utente tenta di accedere per la prima volta a un nuovo dispositivo. In questo caso, l'utente deve sincronizzarsi con l'estensione Verifica degli endpoint e aggiornare il browser.
- Dispositivi mobili: per poter essere riconosciuti dall'autorità di certificazione, i dispositivi devono essere soggetti alla gestione degli endpoint Google (di base o avanzata). Per maggiori dettagli, vedi Gestire i dispositivi con la gestione degli endpoint Google. Inoltre, potrebbe essere necessario sincronizzare i dispositivi prima che Google possa riconoscere dove si è verificato l'accesso. Per maggiori dettagli, vedi Sincronizzare il dispositivo.
Sincronizzare il dispositivo
- Computer: gli utenti devono sincronizzarsi con l'estensione Verifica degli endpoint.
Dispositivi mobili: i dispositivi soggetti alla gestione avanzata possono sincronizzarsi con l'app Device Policy. I dispositivi soggetti alla gestione di base possono attendere la sincronizzazione automatica oppure l'utente può accedere di nuovo a qualsiasi app Google. Comunica all'utente che la sincronizzazione del dispositivo può richiedere del tempo.
Dispositivi iOS: le sessioni Google su diverse applicazioni vengono monitorate con sessioni o token in Safari. Se i token di Safari vengono eliminati (manualmente dall'utente o da Apple ITP), gli accessi successivi non possono essere abbinati al dispositivo su cui è stato eseguito l'accesso originale. Di conseguenza, i nuovi accessi potrebbero essere bloccati con il messaggio "Impossibile riconoscere il dispositivo. Potrebbe essere necessario seguire una procedura diversa a seconda del tipo di dispositivo" se la correzione è attiva. Questo problema può verificarsi sui dispositivi soggetti alla gestione sia di base sia avanzata.
Per sbloccarsi autonomamente, l'utente deve completare questi passaggi:
- Rimuovere l'account Google Enterprise da tutte le applicazioni Google. Uscire dall'Account Google da Safari e rimuoverlo da tutte le applicazioni non Google che potrebbero utilizzarlo.
- Svuotare la cache ed eliminare i cookie di Safari.
- Accedere a qualsiasi applicazione proprietaria di Google, come Drive o Gmail.
- Accedere a tutte le altre applicazioni proprietarie di Google per verificare di poter accedere.
- Se ha bisogno di accedere ad applicazioni non Google, deve accedere entro pochi giorni dopo aver eseguito l'accesso alle applicazioni Google. Se l'accesso non viene eseguito entro 30 giorni dopo le operazioni nel passaggio 3 e l'applicazione è bloccata, occorre ricominciare dal passaggio 1.
Implementare i messaggi di correzione o personalizzati
Attivare i messaggi di correzione
-
Nella Console di amministrazione Google, vai a Menu
SicurezzaAccesso e controllo dei datiAccesso sensibile al contesto.È necessario disporre del livello di accesso Sicurezza dei dati e dei privilegi Gestione regole nonché dei privilegi di lettura Utenti e Gruppi delle API amministrative.
- Fai clic su Messaggio per gli utenti.
- Per Messaggi di correzione, fai clic su OFF e attiva Messaggi di correzione.
- Fai clic su Salva.
A questo punto, puoi anche aggiungere un messaggio personalizzato.
Aggiungere un messaggio personalizzato
-
Nella Console di amministrazione Google, vai a Menu
SicurezzaAccesso e controllo dei datiAccesso sensibile al contesto.È necessario disporre del livello di accesso Sicurezza dei dati e dei privilegi Gestione regole nonché dei privilegi di lettura Utenti e Gruppi delle API amministrative.
- Fai clic su Messaggio per gli utenti.
- In Messaggio personalizzato aggiuntivo, fai clic su Messaggio aggiuntivo e inserisci il messaggio.
- (Facoltativo) Per vedere cosa vedrà l'utente, fai clic su Anteprima messaggio.
- Fai clic su Salva.
Esperienza utente per i messaggi di correzione e personalizzati
Solo messaggio predefinito
Questo è un esempio di messaggio che viene visualizzato dall'utente se non sono stati configurati messaggi di correzione o un messaggio personalizzato.
Messaggio predefinito e messaggio personalizzato
Questo è un esempio di messaggio che l'utente visualizza se non è stato configurato alcun messaggio di correzione, ma viene fornito il messaggio personalizzato.
Solo messaggio di correzione
Questo è un esempio di messaggio che l'utente visualizza se i messaggi di correzione sono configurati senza un messaggio personalizzato. L'utente fa clic su Mostra altre opzioni per espandere la procedura di correzione.
Messaggio di correzione e messaggio personalizzato
Questo è un esempio di messaggio che l'utente vede se sono configurati sia i messaggi di correzione sia il messaggio personalizzato. L'utente fa clic su Mostra altre opzioni per espandere la procedura di correzione.
Domande frequenti sui messaggi di correzione e personalizzati dell'accesso sensibile al contesto
L'impiego della correzione può causare ulteriori casi di accesso negato?
Perché i messaggi di correzione non riflettono i criteri attuali?
Quanto tempo impiega l'utente per ottenere l'accesso dopo aver completato le azioni di correzione?
L'utente non ha accesso finché il dispositivo non si sincronizza con i server di Google. Può provare a forzare la sincronizzazione in alcuni casi:
- Computer: sincronizzazione dall'estensione Endpoint Verification su Chrome
- Dispositivi mobili (gestione avanzata). Esegui la sincronizzazione dall'app Device Policy
- Dispositivi mobili (gestione di base): nuovo accesso per i dispositivi con gestione di base
Inoltre, se il dispositivo non è conforme al partner BeyondCorp Alliance, prova a eseguire la sincronizzazione dall'applicazione partner. Tieni presente che, in certi casi, la sincronizzazione manuale potrebbe non funzionare, pertanto l'utente deve attendere che venga eseguita la sincronizzazione.
Perché gli utenti visualizzano ancora le stesse opzioni di correzione dopo aver completato l'azione di correzione?
Perché le opzioni del messaggio di correzione cambiano in assenza di un'azione sul dispositivo?
Perché i messaggi di correzione non vengono visualizzati anche se sono attivi?
Gli utenti vedono il messaggio utente personalizzato se la correzione è attivata?
Come faccio ad attivare le correzioni per i criteri relativi ai dispositivi?
Perché viene visualizzato il messaggio di correzione Impossibile riconoscere il dispositivo se l'estensione Verifica degli endpoint è in fase di sincronizzazione?
Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.