Chỉ định cấp truy cập theo bối cảnh cho ứng dụng

Sau khi tạo cấp truy cập, bạn có thể chỉ định các cấp truy cập đó cho ứng dụng. Bạn có thể kiểm soát quyền truy cập theo danh tính người dùng, trạng thái bảo mật của thiết bị, địa chỉ IP và vị trí địa lý. Bạn cũng có thể kiểm soát quyền truy cập cho các ứng dụng cố gắng truy cập vào ứng dụng Google Workspace và các ứng dụng cố gắng truy cập vào dữ liệu Google Workspace thông qua Giao diện lập trình ứng dụng (API).

Khi bạn chỉ định cấp truy cập…

  • Theo mặc định, khi bạn chọn một cấp truy cập, cấp truy cập đó sẽ được đặt ở chế độ giám sát. Chế độ giám sát giúp bạn mô phỏng tác động của việc thực thi một cấp truy cập mà không chặn quyền truy cập của người dùng. Để biết thông tin chi tiết về chế độ giám sát, hãy chuyển đến phần Triển khai quyền truy cập dựa trên bối cảnh.
  • Người dùng được cấp quyền truy cập vào ứng dụng khi đáp ứng các điều kiện được chỉ định ở một trong những cấp truy cập mà bạn chọn (một phép toán OR logic của các cấp truy cập trong danh sách). Nếu bạn muốn người dùng đáp ứng các điều kiện ở nhiều cấp truy cập (một phép toán AND logic của các cấp truy cập), hãy tạo một cấp truy cập chứa nhiều cấp truy cập. Nếu muốn chỉ định nhiều hơn 10 cấp truy cập cho một ứng dụng, bạn có thể sử dụng các cấp truy cập lồng nhau.
  • Đối với các ứng dụng di động, nếu sử dụng Gmail tích hợp, bạn có thể cấp hoặc từ chối quyền truy cập vào Gmail, Google Chat và Google Meet cùng một lúc. Nếu Chat và Meet được triển khai dưới dạng các ứng dụng riêng biệt (không phải là một phần của Gmail tích hợp), bạn cần cấp hoặc từ chối quyền truy cập vào các ứng dụng đó riêng biệt.
  • Một số ứng dụng cần có quyền truy cập qua API vào các ứng dụng khác để hoạt động đúng cách. Ví dụ: Gmail cần có quyền truy cập vào các API của Lịch, Drive và Meet. Lịch Google cần có API Tasks và Gemini cần có API Gmail. Khi chỉ định cấp truy cập, hãy cân nhắc các mối quan hệ phụ thuộc này để đảm bảo các ứng dụng hoạt động như mong đợi.
  • Việc chỉ định một cấp truy cập cho một ứng dụng không tự động chặn API của ứng dụng đó. Nếu bạn chặn một ứng dụng (chẳng hạn như Gmail), người dùng sẽ không thể đăng nhập trực tiếp vào ứng dụng đó. Tuy nhiên, các ứng dụng khác hoặc ứng dụng của bên thứ ba vẫn có thể truy cập vào dữ liệu của ứng dụng đó thông qua API của ứng dụng, chẳng hạn như thư email thông qua API của Gmail. Để ngăn chặn mọi quyền truy cập thông qua API, bạn cũng phải áp dụng rõ ràng các cấp truy cập cho API của ứng dụng.

Chỉ định cấp truy cập cho ứng dụng

Trước khi bắt đầu: Nếu cần, hãy tìm hiểu cách áp dụng chế độ cài đặt cho một bộ phận hoặc nhóm.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Quyền truy cập theo bối cảnh.

    Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

  2. Đối với Chỉ định cấp truy cập, hãy nhấp vào Chỉ định cấp truy cập cho ứng dụng.
  3. (Không bắt buộc) Để chỉ áp dụng chế độ cài đặt này cho một số người dùng, trên trình đơn bên, hãy chọn một đơn vị tổ chức (thường dùng cho các bộ phận) hoặc nhóm cấu hình (cách nâng cao).

    Các chế độ cài đặt nhóm sẽ thay thế đơn vị tổ chức. Tìm hiểu thêm

  4. Chọn một lựa chọn:
    • Trỏ đến một ứng dụng rồi nhấp vào Thao tác sau đó Chỉ định.
    • Đánh dấu vào các hộp bên cạnh nhiều ứng dụng, sau đó, ở phía trên danh sách ứng dụng, hãy nhấp vào Chỉ định.
  5. Đối với Cấp truy cập, hãy nhấp vào Chỉnh sửa.
  6. Đối với (Các) cấp truy cập, hãy chọn một lựa chọn cho từng cấp truy cập:
    • Để kiểm tra xem việc chọn cấp truy cập sẽ ảnh hưởng đến người dùng như thế nào mà không thực sự chặn quyền truy cập, hãy đánh dấu vào hộp Giám sát.
    • Để bắt đầu áp dụng cấp truy cập, hãy đánh dấu vào hộp Đang hoạt động.
  7. Nhấp vào Lưu.
  8. Đối với Thao tác, hãy nhấp vào Chỉnh sửa.
  9. Chọn Cảnh báo hoặc Chặn để chỉ định thao tác sẽ xảy ra khi một chính sách cấp truy cập đang hoạt động không được đáp ứng đối với một ứng dụng được hỗ trợ. Để biết thông tin chi tiết về các ứng dụng được hỗ trợ, hãy chuyển đến phần Hỗ trợ ứng dụng cho quyền truy cập dựa trên bối cảnh trên trang này.
  10. Nhấp vào Lưu.
  11. (Không bắt buộc) Cách cập nhật phạm vi mà bạn đã chọn cho các cấp truy cập:
    1. Đối với Phạm vi, hãy nhấp vào Chỉnh sửa.
    2. Thực hiện mọi thay đổi rồi nhấp vào Lưu.
  12. (Không bắt buộc) Cách cập nhật các ứng dụng mà bạn đã chọn cho các cấp truy cập:
    1. Đối với Ứng dụng, hãy nhấp vào Chỉnh sửa.
    2. Thực hiện mọi thay đổi rồi nhấp vào Lưu.
  13. Đối với Chế độ cài đặt chính sách, hãy nhấp vào Chỉnh sửa.
  14. (Nên dùng) Đánh dấu vào hộp Chặn người dùng truy cập vào các ứng dụng của Google dành cho máy tính và thiết bị di động nếu không đáp ứng cấp truy cập để áp dụng các cấp truy cập cho người dùng ứng dụng gốc dành cho máy tính, Android và iOS cũng như ứng dụng web. Để biết thông tin chi tiết về các hành vi mà bạn có thể mong đợi sau khi định cấu hình các chế độ cài đặt cấp truy cập ưu tiên, hãy chuyển đến phần Hành vi của ứng dụng dựa trên chế độ cài đặt cấp truy cập trên trang này.

  15. (Không bắt buộc) Để chặn các ứng dụng cố gắng truy cập vào dữ liệu Workspace thông qua các API công khai được hiển thị, hãy đánh dấu vào hộp Chặn các ứng dụng khác truy cập vào các ứng dụng đã chọn thông qua API nếu không đáp ứng cấp truy cập.

    • (Không bắt buộc) Để miễn trừ các ứng dụng đáng tin cậy khỏi việc bị chặn thông qua các API được hiển thị, hãy đánh dấu vào hộp Miễn trừ các ứng dụng trong danh sách cho phép để các ứng dụng này luôn có thể truy cập qua API vào một số dịch vụ của Google, bất kể cấp truy cập.

      Bạn có thể định cấu hình lựa chọn này theo đơn vị tổ chức, chứ không phải nhóm cấu hình, mặc dù bạn có thể chọn một nhóm trong Bảng điều khiển dành cho quản trị viên. Để biết thông tin chi tiết, hãy chuyển đến phần Trường hợp sử dụng: Miễn trừ các ứng dụng đáng tin cậy của bên thứ ba khỏi việc bị chặn.

      • Nếu bạn không thấy danh sách ứng dụng hoặc ứng dụng mà bạn muốn miễn trừ, hãy nhấp vào Chuyển đến phần kiểm soát quyền truy cập vào ứng dụng rồi hoàn tất các bước để tin cậy ứng dụng đó. Mọi ứng dụng mà bạn đánh dấu là Đáng tin cậy trên trang Kiểm soát quyền truy cập vào ứng dụng đều được liệt kê trong bảng ứng dụng đáng tin cậy. Các ứng dụng được chọn sẵn nếu bạn đánh dấu là đáng tin cậy và được miễn thực thi API.
      • Nếu cần, hãy chọn các ứng dụng mà bạn muốn miễn thực thi API rồi nhấp vào Tiếp tục.

  16. Nhấp vào Lưu.

  17. Đối với Chính sách này sẽ làm gì?, hãy xem xét tác động mà các cấp truy cập mới sẽ gây ra cho tổ chức và các ứng dụng của tổ chức. Để cập nhật các lựa chọn, bên cạnh Cấp truy cập, Thao tác, Phạm vi, Ứng dụng hoặc Chế độ cài đặt chính sách, hãy nhấp vào Chỉnh sửa.

  18. Nhấp vào Giao bài.

Bạn sẽ được chuyển về trang danh sách ứng dụng. Cột Cấp truy cập cho biết số lượng cấp truy cập được áp dụng cho từng ứng dụng ở cả chế độ giám sát và chế độ đang hoạt động.

Hỗ trợ ứng dụng cho quyền truy cập dựa trên bối cảnh

Ứng dụng Google Hỗ trợ chế độ chặn Hỗ trợ chế độ cảnh báo
Gmail
Drive
Google Tài liệu (bao gồm Google Trang tính và Google Trang trình bày)
Lịch
Meet Chỉ dành cho web và Android
Trò chuyện
Google Keep
Google Tasks
Gemini Chỉ dữ liệu trên web
Bảng điều khiển dành cho quản trị viên Chỉ dữ liệu trên web
Google Vault
Google Sites Chỉ dữ liệu trên web
Google Cloud Search
Google for Business
Google Cloud
Google Looker Studio
Google Play Console
NotebookLM Chỉ dữ liệu trên web

Hành vi của ứng dụng dựa trên chế độ cài đặt cấp truy cập

Bảng sau đây tóm tắt hành vi dựa trên việc bạn đánh dấu vào hộp Chặn người dùng truy cập vào các ứng dụng của Google dành cho máy tính và thiết bị di động nếu không đáp ứng cấp truy cập và việc bạn triển khai tính năng Xác minh điểm cuối.

Các thuật ngữ chính trong bảng này:

  • Cấp truy cập đã áp dụng – Quyền truy cập được cấp dựa trên các cấp truy cập mà bạn thiết lập trong cấu hình quyền truy cập dựa trên bối cảnh.
  • Được phép truy cập – Quyền truy cập dựa trên bối cảnh không được áp dụng và tất cả quyền truy cập đều được cho phép.
  • Đã chặn truy cập – Quyền truy cập bị chặn vì quyền truy cập dựa trên bối cảnh không được định cấu hình hoặc bạn không bật tính năng xác minh điểm cuối.

Cấp truy cập

Đã bật quyền truy cập dựa trên bối cảnh

Cho phép/chặn (ứng dụng gốc và ứng dụng web)

Thiết bị di động

Máy tính

Ứng dụng gốc dành cho thiết bị di động

Web trên thiết bị di động

Web dành cho máy tính

Ứng dụng gốc dành cho máy tính

Đã triển khai tính năng xác minh điểm cuối?

Cấp truy cập chỉ có thuộc tính IP/Vị trí địa lý

Đã đánh dấu vào hộp Chặn người dùng truy cập vào các ứng dụng của Google dành cho máy tính và thiết bị di động nếu không đáp ứng cấp truy cập*

Cấp truy cập đã áp dụng

Cấp truy cập đã áp dụng

Không bắt buộc

Không đánh dấu vào hộp Chặn người dùng truy cập vào các ứng dụng của Google dành cho máy tính và thiết bị di động nếu không đáp ứng cấp truy cập

Được phép truy cập

Cấp truy cập đã áp dụng

Cấp truy cập đã áp dụng

Được phép truy cập

Không bắt buộc

Cấp truy cập có thuộc tính thiết bị

 Đã đánh dấu vào hộp Chặn người dùng truy cập vào các ứng dụng của Google dành cho máy tính và thiết bị di động nếu không đáp ứng cấp truy cập*

Cấp truy cập đã áp dụng

Cấp truy cập đã áp dụng

Đã đánh dấu vào hộp Chặn người dùng truy cập vào các ứng dụng của Google dành cho máy tính và thiết bị di động nếu không đáp ứng cấp truy cập

Cấp truy cập đã áp dụng

Đã chặn truy cập

Không
Không đánh dấu vào hộp Chặn người dùng truy cập vào các ứng dụng của Google dành cho máy tính và thiết bị di động nếu không đáp ứng cấp truy cập

Được phép truy cập

Cấp truy cập đã áp dụng

Cấp truy cập đã áp dụng

Được phép truy cập

Không đánh dấu vào hộp Chặn người dùng truy cập vào các ứng dụng của Google dành cho máy tính và thiết bị di động nếu không đáp ứng cấp truy cập Được phép truy cập Cấp truy cập đã áp dụng Đã chặn truy cập Được phép truy cập Không

* Chế độ cài đặt nên dùng

Lưu ý: Ứng dụng di động Gemini xử lý nội dung bị chặn theo cách khác. Khi một truy vấn vi phạm cấp truy cập, ứng dụng sẽ hiển thị một thông báo phản hồi cho biết quyền truy cập bị từ chối thay vì một cửa sổ bật lên tiêu chuẩn. Điều này không xảy ra đối với các truy vấn đơn giản như lời chào.

Xem xét hoặc sửa đổi các cấp truy cập đã chỉ định

Chế độ cài đặt này được dùng để áp dụng các thay đổi cục bộ và không hiển thị các chỉ định được kế thừa.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Quyền truy cập theo bối cảnh.

    Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

  2. Đối với Chỉ định cấp truy cập, hãy nhấp vào Chỉ định cấp truy cập cho ứng dụng.
  3. (Không bắt buộc) Để chỉ áp dụng chế độ cài đặt này cho một số người dùng, trên trình đơn bên, hãy chọn một đơn vị tổ chức (thường dùng cho các bộ phận) hoặc nhóm cấu hình (cách nâng cao).

    Các chế độ cài đặt nhóm sẽ thay thế đơn vị tổ chức. Tìm hiểu thêm

  4. Chọn một lựa chọn:
    • Trỏ đến một ứng dụng rồi nhấp vào Thao tác sau đó Chỉ định.
    • Đánh dấu vào các hộp bên cạnh nhiều ứng dụng, sau đó, ở phía trên danh sách ứng dụng, hãy nhấp vào Chỉ định.
  5. Đối với Cấp truy cập, hãy nhấp vào Chỉnh sửa.
  6. Đối với (Các) cấp truy cập, hãy chọn một lựa chọn cho từng cấp truy cập:
    • Để kiểm tra xem việc chọn cấp truy cập sẽ ảnh hưởng đến người dùng như thế nào mà không thực sự chặn quyền truy cập, hãy đánh dấu vào hộp Giám sát.
    • Để bắt đầu áp dụng cấp truy cập, hãy đánh dấu vào hộp Đang hoạt động.
  7. Nhấp vào Lưu.
  8. Đối với Thao tác, hãy nhấp vào Chỉnh sửa.
  9. Xem xét các cấp truy cập bạn đã chọn để xác minh xem các cấp truy cập đó có được đặt để kích hoạt thao tác bạn muốn khi không đáp ứng các điều kiện về cấp truy cập hay không.
    • Chặn – Chặn quyền truy cập vào ứng dụng.
    • Cảnh báo—Cho phép truy cập vào ứng dụng và gửi cho người dùng một thông báo cảnh báo trong ứng dụng khi họ đang sử dụng ứng dụng đó. Nếu người dùng tiếp tục sử dụng ứng dụng một cách tích cực, họ sẽ nhận được một thông báo mới sau mỗi 48 giờ. Nếu các ứng dụng khác nhau được bảo vệ bằng cùng một cấp truy cập, thì chỉ lần truy cập đầu tiên mới kích hoạt thông báo để tránh thông báo quá nhiều cho người dùng.
  10. Nhấp vào Lưu.
  11. (Không bắt buộc) Cách xem xét hoặc cập nhật phạm vi mà bạn đã chọn cho các cấp truy cập:
    1. Đối với Phạm vi, hãy nhấp vào Chỉnh sửa.
    2. Thực hiện mọi thay đổi rồi nhấp vào Lưu.
  12. (Không bắt buộc) Cách xem xét hoặc cập nhật các ứng dụng mà bạn đã chọn cho các cấp truy cập:
    1. Đối với Ứng dụng, hãy nhấp vào Chỉnh sửa.
    2. Thực hiện mọi thay đổi rồi nhấp vào Lưu.
  13. Đối với Chế độ cài đặt chính sách, hãy nhấp vào Chỉnh sửa.
  14. Xem xét chính sách bạn đã chọn để xác minh xem chính sách đó có được đặt để chặn đúng ứng dụng hay không. Chính sách này có thể bao gồm việc chặn quyền truy cập vào phiên bản dành cho máy tính và thiết bị di động của các ứng dụng bạn đã chọn, chặn các ứng dụng khác truy cập vào các ứng dụng bạn đã chọn bằng API và miễn trừ các ứng dụng trong danh sách cho phép.
  15. Nhấp vào Lưu.
  16. Đối với Chính sách này sẽ làm gì?, hãy xem xét tác động mà các cấp quyền truy cập dựa trên bối cảnh mới sẽ gây ra cho tổ chức và các ứng dụng của tổ chức. Để cập nhật các lựa chọn, bên cạnh Cấp truy cập, Thao tác, Phạm vi, Ứng dụng hoặc Chế độ cài đặt chính sách, hãy nhấp vào Chỉnh sửa.
  17. Nhấp vào Giao bài.

Xem các sự kiện đã ghi nhật ký cho một cấp truy cập

Sử dụng lựa chọn Xem báo cáo để theo dõi xem các cấp truy cập bạn đã chỉ định có hoạt động đúng cách để kiểm soát quyền truy cập của người dùng vào ứng dụng hay không. Các cấp truy cập được đặt ở chế độ giám sát hoặc chế độ đang hoạt động sẽ tạo ra các sự kiện được ghi nhật ký trong nhật ký Quyền truy cập dựa trên bối cảnh.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Quyền truy cập theo bối cảnh.

    Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

  2. Đối với Chỉ định cấp truy cập, hãy nhấp vào Chỉ định cấp truy cập cho ứng dụng.
  3. (Không bắt buộc) Để chỉ áp dụng chế độ cài đặt này cho một số người dùng, trên trình đơn bên, hãy chọn một đơn vị tổ chức (thường dùng cho các bộ phận) hoặc nhóm cấu hình (cách nâng cao).

    Các chế độ cài đặt nhóm sẽ thay thế đơn vị tổ chức. Tìm hiểu thêm

  4. Trỏ đến một ứng dụng rồi nhấp vào Thao tác sau đó Xem báo cáo.
  5. Ở bên cạnh, hãy nhấp vào đường liên kết đến công cụ điều tra bảo mật để tự động chạy tìm kiếm các sự kiện trong nhật ký quyền truy cập dựa trên bối cảnh cho ứng dụng đã chọn.

Kết quả tìm kiếm bao gồm thông tin sau:

  • Các sự kiện Quyền truy cập bị từ chối (Chế độ giám sát) cho biết những người dùng sẽ bị chặn nếu thực thi cấp truy cập này.
  • Cột Tác nhân cho biết người dùng bị chặn.
  • Các cấp truy cập được áp dụng, đáp ứng (đã đáp ứng các điều kiện truy cập) và không đáp ứng (không đáp ứng các điều kiện truy cập)

Để biết thêm thông tin, hãy xem Sự kiện trong nhật ký quyền truy cập dựa trên bối cảnh.