הקצאת רמות גישה מבוססות-הקשר לאפליקציות

אחרי שיוצרים רמות גישה, אפשר להקצות אותן לאפליקציות. אתם יכולים לשלוט בגישה לפי זהות המשתמש, סטטוס האבטחה של המכשיר, כתובת ה-IP והמיקום הגיאוגרפי. אפשר גם לשלוט בגישה של אפליקציות שמנסות לגשת לאפליקציות של Google Workspace ולאפליקציות שמנסות לגשת לנתונים של Google Workspace דרך ממשקי תכנות יישומים (API).

כשמקצים רמות גישה…

  • כשבוחרים רמת גישה, היא מוגדרת כברירת מחדל למצב מעקב. מצב המעקב מאפשר לכם לדמות את ההשפעות של אכיפת רמת גישה בלי לחסום את הגישה של המשתמשים. פרטים נוספים על מצב מעקב זמינים במאמר פריסה של בקרת גישה מבוססת-הקשר.
  • המשתמשים מקבלים גישה לאפליקציה כשהם עומדים בתנאים שצוינו באחת מרמות הגישה שבוחרים (פעולת OR לוגית של רמות הגישה ברשימה). אם רוצים שהמשתמשים יעמדו בתנאים של יותר מרמת גישה אחת (לוגיקת AND של רמות גישה), צריך ליצור רמת גישה שמכילה כמה רמות גישה. אם רוצים להקצות יותר מ-10 רמות גישה לאפליקציה, אפשר להשתמש ברמות גישה מקוננות.
  • באפליקציות לנייד, אם אתם משתמשים ב-Gmail מורחב, אתם יכולים להעניק או לשלול גישה ל-Gmail, ל-Google Chat ול-Google Meet בבת אחת. אם Chat ו-Meet מיושמות כאפליקציות נפרדות (ולא כחלק מ-Gmail המשולב), צריך לתת או לדחות את הגישה לאפליקציות האלה בנפרד.
  • חלק מהאפליקציות צריכות גישה ל-API של אפליקציות אחרות כדי לפעול בצורה תקינה. לדוגמה, ל-Gmail נדרשת גישה לממשקי ה-API של יומן Google,‏ Drive ו-Meet. יומן Google צריך את Tasks API, ו-Gemini צריך את Gmail API. כשמקצים רמות גישה, חשוב לקחת בחשבון את התלות הזו כדי לוודא שהאפליקציות יפעלו כמו שצריך.
  • הקצאת רמת גישה לאפליקציה לא חוסמת אוטומטית את ה-API שלה. אם חוסמים אפליקציה, כמו Gmail, המשתמשים לא יכולים להיכנס אליה ישירות. עם זאת, אפליקציות אחרות או לקוחות צד שלישי עדיין יכולים לגשת לנתונים של האפליקציה דרך ה-API שלה, למשל הודעות אימייל דרך Gmail API. כדי למנוע גישה דרך ממשקי API, צריך להחיל רמות גישה גם על ממשק ה-API של האפליקציה.

הקצאת רמות גישה לאפליקציה

לפני שמתחילים: לפי הצורך, קוראים את המאמר בנושא החלה של הגדרה על מחלקה או על קבוצה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בקטע הקצאת רמות גישה, לוחצים על הקצאת רמות גישה לאפליקציות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  4. בוחרים אפשרות:
    • מעבירים את העכבר מעל האפליקציה ולוחצים על פעולות ואז הקצאה.
    • מסמנים את התיבות שליד כמה אפליקציות ואז, מעל רשימת האפליקציות, לוחצים על הקצאה.
  5. בקטע רמות גישה, לוחצים על עריכה.
  6. בקטע רמות גישה, בוחרים אפשרות לכל רמת גישה:
    • כדי לבדוק איך בחירת רמת הגישה תשפיע על המשתמשים בלי לחסום את הגישה בפועל, מסמנים את התיבה מעקב.
    • כדי להתחיל להחיל את רמת הגישה, מסמנים את התיבה פעיל.
  7. לוחצים על שמירה.
  8. בקטע פעולות, לוחצים על עריכה.
  9. בוחרים באפשרות אזהרה או חסימה כדי לציין איזו פעולה תתבצע אם לא יעמדו בדרישות של מדיניות פעילה של רמת גישה באפליקציה נתמכת. פרטים על אפליקציות נתמכות מופיעים בקטע תמיכה באפליקציות לצורך בקרת גישה מבוססת-הקשר בדף הזה.
  10. לוחצים על שמירה.
  11. (אופציונלי) כדי לעדכן את ההיקף שבחרתם לרמות הגישה:
    1. בקטע היקף, לוחצים על עריכה.
    2. מבצעים את השינויים הרצויים ולוחצים על שמירה.
  12. (אופציונלי) כדי לעדכן את האפליקציות שבחרתם לרמות הגישה:
    1. בקטע Apps (אפליקציות), לוחצים על Edit (עריכה).
    2. מבצעים את השינויים הרצויים ולוחצים על שמירה.
  13. בקטע הגדרות המדיניות, לוחצים על עריכה.
  14. (מומלץ) מסמנים את התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד כדי להחיל את רמות הגישה על משתמשים באפליקציות מקוריות למחשב, ל-Android ול-iOS ובאפליקציות אינטרנט. פרטים על ההתנהגויות שאפשר לצפות להן אחרי שמגדירים את רמת הגישה המועדפת זמינים בקטע התנהגות האפליקציה בהתאם להגדרות רמת הגישה בדף הזה.

  15. (אופציונלי) כדי לחסום אפליקציות מניסיון לגשת לנתוני Workspace דרך ממשקי API ציבוריים חשופים, מסמנים את התיבה חסימת הגישה דרך ממשקי API של אפליקציות אחרות שלא עומדות ברמות הגישה לאפליקציות הנבחרות.

    • (אופציונלי) כדי לתת פטור לאפליקציות מהימנות מחסימה דרך ממשקי API חשופים, מסמנים את התיבה מתן פטור לאפליקציות שמופיעות ברשימת ההיתרים כך שתמיד להן גישה לממשקי API של שירותי Google מסוימים, ללא קשר לרמות הגישה.

      אפשר להגדיר את האפשרות הזו לפי יחידה ארגונית, ולא לפי קבוצת הגדרות, למרות שאפשר לבחור קבוצה במסוף הניהול. פרטים נוספים מופיעים במאמר תרחישי שימוש: החרגת אפליקציות מהימנות של צד שלישי מחסימה.

      • אם רשימת האפליקציות או האפליקציה שרוצים לתת לה פטור לא מוצגות, לוחצים על מעבר לבקרת הגישה לאפליקציות ומשלימים את השלבים לסימון האפליקציה כ'מהימנה'. כל האפליקציות שמסומנות כמהימנות בדף בקרת הגישה לאפליקציות מופיעות בטבלת האפליקציות המהימנות. אפליקציות נבחרות מראש אם סימנתם אותן כמהימנות וכפטורות מאכיפת API.
      • אם צריך, בוחרים את האפליקציות שרוצים להחריג מאכיפת ה-API ולוחצים על המשך.

  16. לוחצים על שמירה.

  17. בקטע מה המשמעות של המדיניות הזו?, בודקים את ההשפעות של רמות הגישה החדשות על הארגון ועל האפליקציות שלו. כדי לעדכן את הבחירות, לוחצים על עריכה לצד רמות גישה, פעולות, היקף, אפליקציות או הגדרות מדיניות.

  18. לוחצים על הקצאה.

אתם חוזרים לדף רשימת האפליקציות. בעמודה 'רמות גישה' מוצג מספר רמות הגישה שחלות על כל אפליקציה במצב מעקב ובמצב פעיל.

אפליקציות שתומכות בבקרת גישה מבוססת-הקשר

אפליקציית Google תמיכה במצב חסימה תמיכה במצב אזהרה
Gmail
Drive
‫Google Docs (כולל Google Sheets ו-Google Slides)
יומן
Meet רק באינטרנט וב-Android
צ'אט
Google Keep
Google Tasks
Gemini אינטרנט בלבד
מסוף הניהול אינטרנט בלבד
Google Vault
Google Sites אינטרנט בלבד
Google Cloud Search
Google for Business
Google Cloud
Google Looker Studio
Google Play Console
NotebookLM אינטרנט בלבד

התנהגות האפליקציה בהתאם להגדרות רמת הגישה

בטבלה הבאה מפורט סיכום של ההתנהגות בהתאם לסימון התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד ולפריסת Endpoint Verification.

מונחי מפתח לטבלה הזו:

  • רמת הגישה שהוחלה – הגישה ניתנת על סמך רמות הגישה שהגדרתם בהגדרות של בקרת הגישה מבוססת-ההקשר.
  • הגישה מותרת – בקרת הגישה מבוססת-הקשר לא מופעלת, וכל הגישה מותרת.
  • הגישה נחסמה – הגישה נחסמה כי לא הוגדרה בקרת גישה מבוססת-הקשר, או כי לא הפעלתם את בדיקה של נקודת קצה (endpoint).

רמת הגישה

בקרת גישה מבוססת-הקשר הופעלה

אישור/חסימה (אפליקציות מקוריות ואתרים)

בנייד

במחשב

נייטיב לנייד

אינטרנט לנייד

בדפדפני אינטרנט במחשבים

מודעות מותאמות למחשב

האם פרסתם בדיקה של נקודת קצה (endpoint)?

רמת גישה עם מאפייני IP/גיאוגרפיים בלבד

התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד מסומנת בסימן ביקורת*

רמת הגישה הנדרשת

רמת הגישה הנדרשת

לא נדרש

התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד לא מסומנת

הגישה מותרת

רמת הגישה הנדרשת

רמת הגישה הנדרשת

הגישה מותרת

לא נדרש

רמת גישה עם מאפייני מכשיר

 התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד מסומנת בסימן ביקורת*

רמת הגישה הנדרשת

רמת הגישה הנדרשת

כן

התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד מסומנת

רמת הגישה הנדרשת

הגישה חסומה

לא
התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד לא מסומנת

הגישה מותרת

רמת הגישה הנדרשת

רמת הגישה הנדרשת

הגישה מותרת

כן
התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד לא מסומנת הגישה מותרת רמת הגישה הנדרשת הגישה חסומה הגישה מותרת לא

‫* הגדרה מומלצת

הערה: באפליקציית Gemini לנייד, חסימת תוכן מתבצעת בצורה שונה. כששאילתה מפרה רמת גישה, האפליקציה מציגה הודעת תשובה שבה מצוין שהגישה נדחתה, במקום חלון קופץ רגיל. זה לא קורה בשאילתות פשוטות כמו ברכות.

בדיקה או שינוי של רמות הגישה שהוקצו

ההגדרה הזו משמשת להחלת שינויים באופן מקומי, ולא מוצגות בה הקצאות שעברו בירושה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בקטע הקצאת רמות גישה, לוחצים על הקצאת רמות גישה לאפליקציות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  4. בוחרים אפשרות:
    • מעבירים את העכבר מעל האפליקציה ולוחצים על פעולות ואז הקצאה.
    • מסמנים את התיבות שליד כמה אפליקציות ואז, מעל רשימת האפליקציות, לוחצים על הקצאה.
  5. בקטע רמות גישה, לוחצים על עריכה.
  6. בקטע רמות גישה, בוחרים אפשרות לכל רמת גישה:
    • כדי לבדוק איך בחירת רמת הגישה תשפיע על המשתמשים בלי לחסום את הגישה בפועל, מסמנים את התיבה מעקב.
    • כדי להתחיל להחיל את רמת הגישה, מסמנים את התיבה פעיל.
  7. לוחצים על שמירה.
  8. בקטע פעולות, לוחצים על עריכה.
  9. בודקים את רמות הגישה שנבחרו כדי לוודא שהן מוגדרות להפעלת הפעולה הרצויה כשלא מתקיימים התנאים של רמת הגישה.
    • חסימה – חסימת הגישה לאפליקציה.
    • אזהרה – מאפשרת גישה לאפליקציה ושולחת למשתמש התראה באפליקציה בזמן השימוש בה. אם המשתמש ימשיך להשתמש באפליקציה באופן פעיל, הוא יקבל התראה חדשה כל 48 שעות. אם אפליקציות שונות מוגנות באותן רמות גישה, רק ניסיון הגישה הראשון יפעיל התראה, כדי למנוע הצפה של המשתמשים בהתראות.
  10. לוחצים על שמירה.
  11. (אופציונלי) כדי לבדוק או לעדכן את ההיקף שבחרתם לרמות הגישה:
    1. בקטע היקף, לוחצים על עריכה.
    2. מבצעים את השינויים הרצויים ולוחצים על שמירה.
  12. (אופציונלי) כדי לבדוק או לעדכן את האפליקציות שבחרתם לרמות הגישה:
    1. בקטע Apps (אפליקציות), לוחצים על Edit (עריכה).
    2. מבצעים את השינויים הרצויים ולוחצים על שמירה.
  13. בקטע הגדרות המדיניות, לוחצים על עריכה.
  14. בודקים את המדיניות שבחרתם כדי לוודא שהיא מוגדרת לחסימת האפליקציות הנכונות. המדיניות יכולה לכלול חסימת גישה לגרסאות למחשב ולנייד של האפליקציות שנבחרו, חסימת גישה של אפליקציות אחרות לאפליקציות שנבחרו באמצעות ממשקי API ומתן פטור לאפליקציות שמופיעות ברשימת ההיתרים.
  15. לוחצים על שמירה.
  16. בקטע מה המשמעות של המדיניות הזו?, בודקים את ההשפעות של רמות הגישה החדשות לפי הקשר על הארגון והאפליקציות שלו. כדי לעדכן את הבחירות, לצד רמות גישה, פעולות, היקף, אפליקציות או הגדרות מדיניות, לוחצים על עריכה.
  17. לוחצים על הקצאה.

הצגת אירועים שנרשמו ביומן עבור רמת גישה

כדי לעקוב אחרי רמות הגישה שהקציתם ולוודא שהן פועלות בצורה תקינה ושולטות בגישת המשתמשים לאפליקציות, אתם יכולים להשתמש באפשרות 'צפייה בדוח'. רמות גישה שמוגדרות במצב מעקב או במצב פעיל יוצרות אירועים שנרשמים ביומן של בקרת גישה מבוססת-הקשר.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בקטע הקצאת רמות גישה, לוחצים על הקצאת רמות גישה לאפליקציות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  4. מעבירים את העכבר מעל האפליקציה ולוחצים על פעולות ואז הצגת הדוח.
  5. בצד, לוחצים על הקישור לכלי לחקירת אבטחה כדי להריץ באופן אוטומטי חיפוש של אירועים ביומן של גישה מודעת-הקשר לאפליקציה שנבחרה.

תוצאות החיפוש כוללות את הפרטים הבאים:

  • באירועים מסוג הגישה נדחתה (מצב הדגמה) מוצגים משתמשים שהיו נחסמים אם רמת הגישה הזו הייתה נאכפת.
  • בעמודה המשתמש/ת מוצג המשתמש החסום.
  • רמות הגישה שחלות, שהתקיימו (התנאים לגישה מתקיימים) ושלא התקיימו (התנאים לגישה לא מתקיימים)

מידע נוסף זמין במאמר בנושא אירועים ביומן של בקרת גישה מבוססת-הקשר.