Nachdem Sie Zugriffsebenen erstellt haben, können Sie sie Apps zuweisen. Der Zugriff lässt sich nach Nutzeridentität, Sicherheitsstatus des Geräts, IP-Adresse und geografischem Standort steuern. Außerdem können Sie den Zugriff für Apps steuern, die versuchen, über APIs (Application Programming Interfaces) auf Google Workspace-Apps und Google Workspace-Daten zuzugreifen.
Wenn Sie Zugriffsebenen zuweisen…
- Wenn Sie eine Zugriffsebene auswählen, wird sie standardmäßig auf den Monitormodus festgelegt. Im Monitormodus können Sie die Auswirkungen der Erzwingung einer Zugriffsebene simulieren, ohne den Nutzerzugriff zu blockieren. Weitere Informationen zum Monitormodus finden Sie unter Kontextsensitiven Zugriff bereitstellen.
- Nutzer erhalten Zugriff darauf, wenn sie die festgelegten Bedingungen in einer der ausgewählten Zugriffsebenen erfüllen. Das ist eine logische OR-Verknüpfung der Zugriffsebenen in der Liste. Wenn Sie möchten, dass Nutzer die Bedingungen in mehreren Zugriffsebenen erfüllen, also eine logische AND-Verknüpfung der Zugriffsebenen, erstellen Sie eine Zugriffsebene mit mehreren Ebenen. Wenn Sie mehr als zehn Zugriffsebenen für eine App zuweisen möchten, können Sie dazu verschachtelte Zugriffsebenen verwenden.
- Bei mobilen Apps können Sie den Zugriff auf Gmail, Google Chat und Google Meet gleichzeitig gewähren oder verweigern, wenn Sie das integrierte Gmail verwenden. Wenn Google Chat und Google Meet als separate Apps implementiert werden und nicht als Teil des integrierten Gmail, müssen Sie den Zugriff auf diese Apps separat gewähren oder verweigern.
- Einige Apps benötigen API-Zugriff auf andere Apps, um richtig zu funktionieren. Gmail benötigt beispielsweise Zugriff auf die APIs von Google Kalender, Drive und Meet. Google Kalender benötigt die Tasks API und Gemini die Gmail API. Berücksichtigen Sie diese Abhängigkeiten beim Zuweisen von Zugriffsebenen, damit die Apps wie vorgesehen funktionieren.
- Wenn Sie einer App eine Zugriffsebene zuweisen, wird ihre API nicht automatisch blockiert. Wenn Sie eine App wie Gmail blockieren, können sich Nutzer nicht direkt in der App anmelden. Andere Apps oder Drittanbieter-Clients können jedoch weiterhin über die API der App auf die Daten der App zugreifen, z. B. auf E-Mails über die Gmail API. Wenn Sie den gesamten Zugriff über APIs verhindern möchten, müssen Sie die Zugriffsebenen auch explizit auf die API der App anwenden.
Einer App Zugriffsebenen zuweisen
Hinweis:Bei Bedarf können Sie die Einstellung auf eine Abteilung oder Gruppe anwenden.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Sicherheit Zugriffs- und Datenkontrolle Kontextsensitiver Zugriff.Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".
- Klicken Sie unter Zugriffsebenen zuweisen auf Apps Zugriffsebenen zuweisen.
-
Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.
Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen
- Wählen Sie eine Option aus:
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Aktionen Zuweisen.
- Klicken Sie auf die Kästchen neben mehreren Apps und dann über der Liste der Apps auf Zuweisen.
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Aktionen
- Klicken Sie unter Zugriffsebenen auf Bearbeiten.
- Wählen Sie unter Zugriffsebene(n) für jede Zugriffsebene eine Option aus:
- Wenn Sie testen möchten, wie sich die Auswahl der Zugriffsebene auf Nutzer auswirkt, ohne den Zugriff tatsächlich zu blockieren, klicken Sie auf das Kästchen Monitoring.
- Wenn Sie die Zugriffsebene anwenden möchten, klicken Sie auf das Kästchen Aktiv.
- Klicken Sie auf Speichern.
- Klicken Sie unter Aktionen auf Bearbeiten.
- Wählen Sie Warnen oder Blockieren aus, um festzulegen, was passieren soll, wenn eine aktive Richtlinie für Zugriffsebenen für eine unterstützte App nicht erfüllt wird. Weitere Informationen zu unterstützten Apps finden Sie auf dieser Seite unter App-Unterstützung für den kontextsensitiven Zugriff.
- Klicken Sie auf Speichern.
- Optional: So aktualisieren Sie den Bereich, den Sie für Ihre Zugriffsebenen ausgewählt haben:
- Klicken Sie unter Bereich auf Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern.
- Optional: So aktualisieren Sie die Apps, die Sie für Ihre Zugriffsebenen ausgewählt haben:
- Klicken Sie unter Apps auf Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern.
- Klicken Sie unter Richtlinieneinstellungen auf Bearbeiten.
- Empfohlen: Wählen Sie das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen aus, um die Zugriffsebenen auf Nutzer von systemeigenen Desktop-, Android- und iOS-Apps und Web-Apps anzuwenden. Weitere Informationen zu den erwarteten Verhaltensweisen nach der Konfiguration Ihrer bevorzugten Einstellungen für Zugriffsebenen finden Sie auf dieser Seite unter App-Verhalten basierend auf den Einstellungen der Zugriffsebene.
Optional: Wenn Sie verhindern möchten, dass Apps versuchen, über preisgegebene öffentliche APIs auf Workspace-Daten zuzugreifen, klicken Sie auf das Kästchen Andere Apps ohne entsprechende Zugriffsebene blockieren, sodass sie nicht über APIs auf die ausgewählten Apps zugreifen können.
Optional: Wenn Sie verhindern möchten, dass vertrauenswürdige Apps über preisgegebene APIs blockiert werden, klicken Sie auf das Kästchen Apps auf der Zulassungsliste ausnehmen, sodass sie unabhängig von der Zugriffsebene immer auf APIs für bestimmte Google-Dienste zugreifen können.
Diese Option ist für die Konfiguration nach Organisationseinheit und nicht für Konfigurationsgruppe verfügbar, obwohl Sie in der Admin-Konsole eine Gruppe auswählen können. Weitere Informationen finden Sie unter Anwendungsfälle: Verhindern, dass vertrauenswürdige Drittanbieter-Apps blockiert werden.
- Wenn keine Liste der Apps oder Apps angezeigt wird, für die Sie eine Ausnahme festlegen möchten, klicken Sie auf App-Zugriffssteuerung aufrufen und führen Sie die Schritte aus, um die App als vertrauenswürdig zu kennzeichnen. Alle Apps, die Sie auf der Seite „App-Zugriffssteuerung“ als Vertrauenswürdig markieren, werden in der Tabelle der vertrauenswürdigen Apps aufgeführt. Apps sind vorab ausgewählt, wenn Sie sie als vertrauenswürdig markiert und von der API-Erzwingung ausgenommen haben.
- Wählen Sie bei Bedarf die Apps aus, die Sie von der API-Erzwingung ausnehmen möchten, und klicken Sie auf Weiter.
Klicken Sie auf Speichern.
Unter Was bewirkt diese Richtlinie? sehen Sie die Auswirkungen der neuen Zugriff sebenen auf Ihre Organisation und ihre Apps. Wenn Sie die Auswahl aktualisieren möchten, klicken Sie neben Zugriffsebenen, Aktionen, Bereich, Apps oder Richtlinieneinstellungen auf Bearbeiten.
Klicken Sie auf Zuweisen.
Sie werden zur Seite mit der App-Liste zurückgeleitet. In der Spalte „Zugriffsebenen“ sehen Sie die Anzahl der Zugriffsebenen, die auf jede App im Modus „Monitoring“ oder „Aktiv“ angewendet werden.
App-Unterstützung für den kontextsensitiven Zugriff
| Google App | Unterstützung für den Blockiermodus | Unterstützung für den Warnmodus |
|---|---|---|
| Gmail | ✔ | ✔ |
| Drive | ✔ | ✔ |
| Google Docs (einschließlich Google Sheets und Google Präsentationen) | ✔ | ✔ |
| Google Kalender | ✔ | ✔ |
| Google Meet | ✔ | Nur Web und Android |
| Chat | ✔ | ✔ |
| Google Notizen | ✔ | ✔ |
| Google Tasks | ✔ | ✔ |
| Gemini | ✔ | Nur im Web |
| Admin-Konsole | ✔ | Nur im Web |
| Google Vault | ✔ | |
| Google Sites | ✔ | Nur im Web |
| Google Cloud Search | ✔ | |
| Google für Unternehmen | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play Console | ✔ | |
| NotebookLM | ✔ | Nur im Web |
App-Verhalten basierend auf den Einstellungen der Zugriffsebene
In der folgenden Tabelle wird das Verhalten zusammengefasst. Es variiert je nachdem, ob Sie das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen anklicken und ob Sie eine Endpunktprüfung nutzen.
Wichtige Begriffe für diese Tabelle :
- Zugriffsebene angewendet: Zugriff wird auf Grundlage der Zugriffsebenen gewährt, die Sie in der Konfiguration des kontextsensitiven Zugriffs festgelegt haben.
- Zugriff gewährt: Der kontextsensitive Zugriff ist nicht konfiguriert und der gesamte Zugriff wird gewährt.
- Zugriff blockiert: Zugriff wird blockiert, weil der kontextsensitive Zugriff nicht konfiguriert oder die Endpunktprüfung nicht aktiviert ist.
|
Zugriffsebene |
Kontextsensitiver Zugriff aktiviert |
Gewährt/Blockiert (systemeigene und Web-Apps) |
||||
|
Mobil |
Computer |
|||||
|
Systemeigene mobile Apps |
Mobiles Web |
Website für Computer |
Systemeigene Desktop-Apps |
Endpunktprüfung implementiert? |
||
|
Zugriffsebene nur mit IP-/Geo-Attributen |
Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist angeklickt.* |
Zugriffsebene angewendet |
Zugriffsebene angewendet |
Nicht erforderlich |
||
|
Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist nicht angeklickt. |
Zugriff gewährt |
Zugriffsebene angewendet |
Zugriffsebene angewendet |
Zugriff gewährt |
Nicht erforderlich |
|
|
Zugriffsebene mit Geräteattributen |
Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist angeklickt.* |
Zugriffsebene angewendet |
Zugriffsebene angewendet |
Ja |
||
|
Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist angeklickt. |
Zugriffsebene angewendet |
Zugriff blockiert |
Nein |
|||
| Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist nicht angeklickt. |
Zugriff gewährt |
Zugriffsebene angewendet |
Zugriffsebene angewendet |
Zugriff gewährt |
Ja |
|
| Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist nicht angeklickt. | Zugriff gewährt | Zugriffsebene angewendet | Zugriff blockiert | Zugriff gewährt | Nein | |
* Empfohlene Einstellung
Hinweis: Die mobile Gemini App verarbeitet blockierte Inhalte anders. Wenn eine Anfrage gegen eine Zugriffsebene verstößt, wird in der App eine Antwortmeldung angezeigt, dass der Zugriff verweigert wurde, anstatt eines Standard-Pop-up-Fensters. Bei einfachen Anfragen wie Begrüßungen passiert das nicht.
Zugewiesene Zugriffsebenen überprüfen oder ändern
Mit dieser Einstellung werden Änderungen lokal angewendet und es werden keine geerbten Zuweisungen angezeigt.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Sicherheit Zugriffs- und Datenkontrolle Kontextsensitiver Zugriff.Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".
- Klicken Sie unter Zugriffsebenen zuweisen auf Apps Zugriffsebenen zuweisen.
-
Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.
Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen
- Wählen Sie eine Option aus:
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Aktionen Zuweisen.
- Klicken Sie auf die Kästchen neben mehreren Apps und dann über der Liste der Apps auf Zuweisen.
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Aktionen
- Klicken Sie unter Zugriffsebenen auf Bearbeiten.
- Wählen Sie unter Zugriffsebene(n) für jede Zugriffsebene eine Option aus:
- Wenn Sie testen möchten, wie sich die Auswahl der Zugriffsebene auf Nutzer auswirkt, ohne den Zugriff tatsächlich zu blockieren, klicken Sie auf das Kästchen Monitoring.
- Wenn Sie die Zugriffsebene anwenden möchten, klicken Sie auf das Kästchen Aktiv.
- Klicken Sie auf Speichern.
- Klicken Sie unter Aktionen auf Bearbeiten.
- Überprüfen Sie die ausgewählten Zugriffsebenen, um festzustellen, ob sie so konfiguriert sind, dass die gewünschte Aktion ausgelöst wird, wenn die Bedingungen für die Zugriffsebene nicht erfüllt sind.
- Blockieren : Der Zugriff auf die App wird blockiert.
- Warnen : Der Zugriff auf die App wird gewährt und der Nutzer erhält eine Warnmeldung in der App, während er sie verwendet. Wenn der Nutzer die App weiterhin aktiv verwendet, erhält er alle 48 Stunden eine neue Benachrichtigung. Wenn verschiedene Apps mit denselben Zugriffsebenen geschützt sind, wird nur beim ersten Zugriffsversuch eine Benachrichtigung ausgelöst, um zu viele Benachrichtigungen zu vermeiden.
- Klicken Sie auf Speichern.
- Optional: So überprüfen oder aktualisieren Sie den Bereich, den Sie für Ihre Zugriffsebenen ausgewählt haben:
- Klicken Sie unter Bereich auf Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern.
- Optional: So überprüfen oder aktualisieren Sie die Apps, die Sie für Ihre Zugriffsebenen ausgewählt haben:
- Klicken Sie unter Apps auf Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern.
- Klicken Sie unter Richtlinieneinstellungen auf Bearbeiten.
- Überprüfen Sie die ausgewählte Richtlinie, um festzustellen, ob sie so konfiguriert ist, dass die richtigen Apps blockiert werden. Die Richtlinie kann das Blockieren des Zugriffs auf die Desktop- und mobile Version der ausgewählten Apps, das Blockieren anderer Apps, sodass sie nicht über APIs auf die ausgewählten Apps zugreifen können, und das Ausnehmen von Apps auf der Zulassungsliste umfassen.
- Klicken Sie auf Speichern.
- Unter Was bewirkt diese Richtlinie? sehen Sie die Auswirkungen der neuen Zugriffsebenen für den kontextsensitiven Zugriff auf Ihre Organisation und ihre Apps. Wenn Sie die Auswahl aktualisieren möchten, klicken Sie neben Zugriffsebenen, Aktionen, Bereich, Apps oder Richtlinieneinstellungen auf Bearbeiten.
- Klicken Sie auf Zuweisen.
Protokollierte Ereignisse für eine Zugriffsebene ansehen
Mit der Option „Bericht ansehen“ können Sie nachverfolgen, ob die zugewiesenen Zugriffsebenen richtig funktionieren, um den Nutzerzugriff auf Apps zu steuern. Zugriffsebenen im Modus „Monitoring“ oder „Aktiv“ generieren Ereignisse, die im Log für den kontextsensitiven Zugriff protokolliert werden.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Sicherheit Zugriffs- und Datenkontrolle Kontextsensitiver Zugriff.Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".
- Klicken Sie unter Zugriffsebenen zuweisen auf Apps Zugriffsebenen zuweisen.
-
Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.
Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Aktionen Bericht ansehen.
- Klicken Sie an der Seite auf den Link zum Sicherheitsprüftool, um automatisch eine Suche nach Protokollereignissen für den kontextsensitiven Zugriff für die ausgewählte App auszuführen.
Die Suchergebnisse enthalten die folgenden Informationen:
- Die Ereignisse Zugriff verweigert (Monitormodus) zeigen Nutzer, die bei Erzwingen dieser Zugriffsebene blockiert worden wären.
- In der Spalte Akteur wird der blockierte Nutzer angezeigt.
- Angewendete, erfüllte (Zugriffsbedingungen erfüllt) und nicht erfüllte (Zugriffsbedingungen nicht erfüllt) Zugriffsebenen
Weitere Informationen finden Sie unter Protokollereignisse für den kontextsensitiven Zugriff.