Tilldela kontextmedvetna åtkomstnivåer till appar

När du har skapat åtkomstnivåer är du redo att tilldela dem till appar. Du kan styra åtkomst efter användaridentitet, enhetens säkerhetsstatus, IP-adress och geografisk plats. Du kan också styra åtkomst för appar som försöker komma åt Google Workspace-appar och appar som försöker komma åt Google Workspace-data via API:er (Application Programming Interfaces).

När du tilldelar åtkomstnivåer…

  • Om du väljer en åtkomstnivå ställs den in på övervakningsläge som standard. I övervakningsläget kan du simulera effekterna av att tillämpa en åtkomstnivå utan att blockera användaråtkomst. Mer information om övervakningsläge finns i Distribuera kontextmedveten åtkomst .
  • Användare beviljas åtkomst till appen när de uppfyller villkoren som anges i en av de åtkomstnivåer du väljer (ett logiskt ELLER-tecken för åtkomstnivåerna i listan). Om du vill att användare ska uppfylla villkoren i mer än en åtkomstnivå (ett logiskt OCH-tecken för åtkomstnivåer) skapar du en åtkomstnivå som innehåller flera åtkomstnivåer. Om du vill tilldela mer än 10 åtkomstnivåer för en app kan du använda kapslade åtkomstnivåer.
  • För mobilappar, om du använder integrerad Gmail, kan du bevilja eller neka åtkomst till Gmail, Google Chat och Google Meet samtidigt. Om Chat och Meet implementeras som separata appar (inte som en del av integrerad Gmail) måste du bevilja eller neka åtkomst till dessa appar separat.
  • Vissa appar behöver API-åtkomst till andra appar för att fungera korrekt. Till exempel behöver Gmail åtkomst till Kalender-, Drive- och Meet-API:erna. Google Kalender behöver Tasks-API:et och Gemini behöver Gmail-API:et. Ta hänsyn till dessa beroenden när du tilldelar åtkomstnivåer för att säkerställa att appar fungerar som avsett.
  • Att tilldela en åtkomstnivå till en app blockerar inte automatiskt dess API. Om du blockerar en app, till exempel Gmail, hindras användare från att logga in direkt på appen. Andra appar eller tredjepartsklienter kan dock fortfarande komma åt appens data via dess API, till exempel e-postmeddelanden via Gmail API. För att förhindra all åtkomst via API:er måste du uttryckligen tillämpa åtkomstnivåer på appens API också.

Tilldela åtkomstnivåer till en app

Innan du börjar: Om det behövs, lär dig hur du tillämpar inställningen på en avdelning eller grupp .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. För Tilldela åtkomstnivåer klickar du på Tilldela åtkomstnivåer till appar .
  3. (Valfritt) Om du bara vill tillämpa inställningen på vissa användare väljer du en organisationsenhet (används ofta för avdelningar) eller konfigurationsgrupp (avancerad) på sidan.

    Gruppinställningar åsidosätter organisationsenheter. Läs mer

  4. Välj ett alternativ:
    • Peka på en app och klicka på Åtgärder och sedan Tilldela .
    • Markera rutorna bredvid flera appar och klicka sedan på Tilldela ovanför listan över appar.
  5. För åtkomstnivåer klickar du på Redigera .
  6. För Åtkomstnivå(er) , välj ett alternativ för varje åtkomstnivå:
    • För att testa hur valet av åtkomstnivå påverkar användarna utan att faktiskt blockera åtkomsten, markera rutan Övervaka .
    • För att börja tillämpa åtkomstnivån, markera rutan Aktiv .
  7. Klicka på Spara .
  8. För Åtgärder klickar du på Redigera .
  9. Välj Varna eller Blockera för att ange vilken åtgärd som ska vidtas när en aktiv åtkomstnivåpolicy inte uppfylls för en app som stöds. Mer information om appar som stöds finns i Appstöd för kontextmedveten åtkomst på den här sidan.
  10. Klicka på Spara .
  11. (Valfritt) Så här uppdaterar du det omfång du valt för dina åtkomstnivåer:
    1. För Omfattning klickar du på Redigera .
    2. Gör eventuella ändringar och klicka på Spara .
  12. (Valfritt) Så här uppdaterar du apparna som du valt för dina åtkomstnivåer:
    1. För appar klickar du på Redigera .
    2. Gör eventuella ändringar och klicka på Spara .
  13. För Policyinställningar klickar du på Redigera .
  14. (Rekommenderas) Markera rutan Blockera användare från att komma åt Googles skrivbords- och mobilappar om åtkomstnivåerna inte är uppfyllda för att tillämpa åtkomstnivåerna på användare av inbyggda skrivbords-, Android- och iOS-appar och webbappar. För mer information om de beteenden du kan förvänta dig efter att du konfigurerat dina önskade åtkomstnivåinställningar, gå till Appbeteende baserat på åtkomstnivåinställningar på den här sidan.

  15. (Valfritt) Om du vill blockera appar från att försöka komma åt Workspace-data via exponerade offentliga API:er markerar du rutan Blockera andra appar från att komma åt de valda apparna via API:er om åtkomstnivåerna inte är uppfyllda .

    • (Valfritt) För att undanta betrodda appar från att blockeras via exponerade API:er markerar du rutan Undanta appar på godkända listan så att de alltid kan komma åt API:er för specifika Google-tjänster, oavsett åtkomstnivåer .

      Det här alternativet är tillgängligt för konfiguration efter organisationsenhet, inte konfigurationsgrupp, även om du kan välja en grupp i administratörskonsolen. Mer information finns i Användningsfall: Undanta betrodda tredjepartsappar från att blockeras .

      • Om en lista över appar eller den app du vill undanta inte visas klickar du på Gå till appåtkomstkontroll och slutför stegen för att lita på appen. Alla appar som du markerar som betrodda på sidan Appåtkomstkontroll listas i tabellen över betrodda appar. Appar är förvalda om du markerat dem som betrodda och undantagna från API-tillämpning.
      • Om det behövs, välj de appar som du vill undanta från API-tillämpning och klicka på Fortsätt .

  16. Klicka på Spara .

  17. För Vad kommer den här policyn att göra? granskar du effekterna som dina nya åtkomstnivåer kommer att ha på din organisation och dess appar. Om du vill uppdatera val klickar du på Redigera bredvid Åtkomstnivåer , Åtgärder , Omfattning , Appar eller Policyinställningar .

  18. Klicka på Tilldela .

Du kommer tillbaka till applistan. Kolumnen Åtkomstnivåer visar antalet åtkomstnivåer som tillämpats på varje app i både övervakningsläge och aktivt läge.

Appstöd för kontextmedveten åtkomst

Google-appen Stöd för blockläge Stöd för varningsläge
Gmail
Köra
Google Dokument (inkluderar Google Kalkylark och Google Presentationer)
Kalender
Möta Endast webb och Android
Chatt
Google Keep
Google Uppgifter
Tvillingarna Endast webben
Administratörskonsolen Endast webben
Google Arkiv
Google Webbplatser Endast webben
Google Cloud Search
Google för företag
Google Cloud
Google Data Studio
Google Play-konsolen
NotebookLM Endast webben

Appbeteende baserat på inställningar för åtkomstnivå

Följande tabell sammanfattar beteendet baserat på om du markerar alternativet Blockera användare från att komma åt Googles skrivbords- och mobilappar om åtkomstnivåerna inte är uppfyllda. rutan och om du distribuerar slutpunktsverifiering.

Nyckelord för den här tabellen:

  • Tillämpad åtkomstnivå — Åtkomst beviljas baserat på de åtkomstnivåer du konfigurerar i konfigurationen för kontextmedveten åtkomst.
  • Åtkomst tillåten — Kontextmedveten åtkomst tillämpas inte och all åtkomst är tillåten.
  • Åtkomst blockerad – Åtkomsten är blockerad eftersom kontextmedveten åtkomst inte är konfigurerad, eller så har du inte aktiverat slutpunktsverifiering.

Åtkomstnivå

Kontextmedveten åtkomst aktiverad

Tillåt/blockera (inbyggt och webb)

Mobil

Skrivbord

Mobil nativ

Mobil webb

Webb på datorn

Inbyggt på datorer

Är slutpunktsverifiering implementerad?

Åtkomstnivå med endast IP/Geo-attribut

Blockera användare från att komma åt Googles skrivbords- och mobilappar om åtkomstnivåerna inte är uppfyllda. Rutan är markerad*

Åtkomstnivå tillämpad

Åtkomstnivå tillämpad

Inte obligatoriskt

Rutan Blockera användare från att komma åt Googles skrivbords- och mobilappar om åtkomstnivåerna inte är uppfyllda är inte markerad

Åtkomst tillåten

Åtkomstnivå tillämpad

Åtkomstnivå tillämpad

Åtkomst tillåten

Inte obligatoriskt

Åtkomstnivå med enhetsattribut

 Blockera användare från att komma åt Googles skrivbords- och mobilappar om åtkomstnivåerna inte är uppfyllda. Rutan är markerad*

Åtkomstnivå tillämpad

Åtkomstnivå tillämpad

Ja

Blockera användare från att komma åt Googles skrivbords- och mobilappar om åtkomstnivåerna inte är uppfyllda. Rutan är markerad

Åtkomstnivå tillämpad

Åtkomst blockerad

Inga

Rutan Blockera användare från att komma åt Googles skrivbords- och mobilappar om åtkomstnivåerna inte är uppfyllda är inte markerad

Åtkomst tillåten

Åtkomstnivå tillämpad

Åtkomstnivå tillämpad

Åtkomst tillåten

Ja

Rutan Blockera användare från att komma åt Googles skrivbords- och mobilappar om åtkomstnivåerna inte är uppfyllda är inte markerad Åtkomst tillåten Åtkomstnivå tillämpad Åtkomst blockerad Åtkomst tillåten Inga

* Rekommenderad inställning

Anteckningar:

  • Gemini-mobilappen hanterar blockerat innehåll på olika sätt. När en fråga bryter mot en åtkomstnivå visar appen ett svarsmeddelande som anger att åtkomst nekades, snarare än ett vanligt popup-fönster. Detta händer inte för enkla frågor som hälsningar.
  • När Tillämpa när andra appar försöker komma åt via API:er är aktiverat för Google Kalender eller Drive blockeras även Gemini-appen. Detta beror på att Gemini-appen behöver åtkomst till Google Kalender- och Drive-omfång, inte data. För att aktivera den här inställningen, markera rutan Blockera andra appar från att komma åt de valda apparna via API:er om åtkomstnivåerna inte är uppfyllda i avsnittet Policyinställningar .

Granska eller ändra tilldelade åtkomstnivåer

Den här inställningen används för att tillämpa ändringar lokalt och visar inte ärvda tilldelningar.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. För Tilldela åtkomstnivåer klickar du på Tilldela åtkomstnivåer till appar .
  3. (Valfritt) Om du bara vill tillämpa inställningen på vissa användare väljer du en organisationsenhet (används ofta för avdelningar) eller konfigurationsgrupp (avancerad) på sidan.

    Gruppinställningar åsidosätter organisationsenheter. Läs mer

  4. Välj ett alternativ:
    • Peka på en app och klicka på Åtgärder och sedan Tilldela .
    • Markera rutorna bredvid flera appar och klicka sedan på Tilldela ovanför listan över appar.
  5. För åtkomstnivåer klickar du på Redigera .
  6. För Åtkomstnivå(er) , välj ett alternativ för varje åtkomstnivå:
    • För att testa hur valet av åtkomstnivå påverkar användarna utan att faktiskt blockera åtkomsten, markera rutan Övervaka .
    • För att börja tillämpa åtkomstnivån, markera rutan Aktiv .
  7. Klicka på Spara .
  8. För Åtgärder klickar du på Redigera .
  9. Granska dina valda åtkomstnivåer för att kontrollera om de är inställda på att utlösa önskad åtgärd när villkoren för åtkomstnivån inte är uppfyllda.
    • Blockera — Blockerar åtkomst till appen.
    • Varna – Ger åtkomst till appen och skickar en varningsnotis till användaren i appen medan de använder den. Om användaren fortsätter att aktivt använda appen får de en ny avisering var 48:e timme. Om olika appar är skyddade med samma åtkomstnivåer utlöser endast det första åtkomstförsöket en avisering för att undvika att användare får för många aviseringar.
  10. Klicka på Spara .
  11. (Valfritt) Så här granskar eller uppdaterar du det omfång du valt för dina åtkomstnivåer:
    1. För Omfattning klickar du på Redigera .
    2. Gör eventuella ändringar och klicka på Spara .
  12. (Valfritt) Så här granskar eller uppdaterar du apparna som du valt för dina åtkomstnivåer:
    1. För appar klickar du på Redigera .
    2. Gör eventuella ändringar och klicka på Spara .
  13. För Policyinställningar klickar du på Redigera .
  14. Granska din valda policy för att kontrollera om den är inställd på att blockera rätt appar. Policyn kan inkludera att blockera åtkomst till skrivbords- och mobilversionerna av dina valda appar, blockera andra appar från att komma åt dina valda appar med hjälp av API:er och undanta appar på godkända listade enheter.
  15. Klicka på Spara .
  16. För Vad kommer den här policyn att göra? granskar du effekterna som dina nya kontextmedvetna åtkomstnivåer kommer att ha på din organisation och dess appar. Om du vill uppdatera val klickar du på Redigera bredvid Åtkomstnivåer , Åtgärder , Omfattning , Appar eller Policyinställningar .
  17. Klicka på Tilldela .

Visa loggade händelser för en åtkomstnivå

Använd alternativet Visa rapport för att spåra om dina tilldelade åtkomstnivåer fungerar korrekt för att kontrollera användaråtkomst till appar. Åtkomstnivåer som är inställda på antingen övervaknings- eller aktivt läge genererar händelser som loggas i loggen för kontextmedveten åtkomst.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. För Tilldela åtkomstnivåer klickar du på Tilldela åtkomstnivåer till appar .
  3. (Valfritt) Om du bara vill tillämpa inställningen på vissa användare väljer du en organisationsenhet (används ofta för avdelningar) eller konfigurationsgrupp (avancerad) på sidan.

    Gruppinställningar åsidosätter organisationsenheter. Läs mer

  4. Peka på en app och klicka på Åtgärder och sedan Visa rapport .
  5. Klicka på länken till säkerhetsundersökningsverktyget på sidan för att automatiskt köra en sökning efter händelser i kontextmedveten åtkomstlogg för den valda appen.

Sökresultaten innehåller följande information:

  • Händelser av typen Åtkomst nekad (övervakningsläge) visar användare som skulle ha blockerats om denna åtkomstnivå hade tillämpats.
  • Kolumnen Aktör visar den blockerade användaren.
  • Åtkomstnivåer som är tillämpade, uppfyllda (åtkomstvillkor uppfyllda) och ouppfyllda (åtkomstvillkor inte uppfyllda)

Mer information finns i Logghändelser för kontextkänslig åtkomst .