Назначайте приложениям уровни доступа с учетом контекста.

После создания уровней доступа вы можете назначить их приложениям. Вы можете контролировать доступ по идентификатору пользователя, состоянию безопасности устройства, IP-адресу и географическому местоположению. Вы также можете контролировать доступ для приложений, пытающихся получить доступ к приложениям Google Workspace, и приложений, пытающихся получить доступ к данным Google Workspace через интерфейсы прикладного программирования (API).

При назначении уровней доступа…

  • Выбор уровня доступа по умолчанию переводит систему в режим мониторинга. Режим мониторинга позволяет имитировать эффект принудительного применения уровня доступа без блокировки доступа пользователей. Подробную информацию о режиме мониторинга см. в разделе «Развертывание контекстно-зависимого доступа» .
  • Пользователи получают доступ к приложению, когда соответствуют условиям, указанным в одном из выбранных вами уровней доступа (логическое ИЛИ уровней доступа в списке). Если вы хотите, чтобы пользователи соответствовали условиям более чем одного уровня доступа (логическое И уровней доступа), создайте уровень доступа, содержащий несколько уровней доступа. Если вы хотите назначить приложению более 10 уровней доступа, вы можете использовать вложенные уровни доступа.
  • В мобильных приложениях, если вы используете интегрированный Gmail, вы можете одновременно предоставлять или запрещать доступ к Gmail, Google Chat и Google Meet. Если Chat и Meet реализованы как отдельные приложения (а не как часть интегрированного Gmail), вам необходимо предоставлять или запрещать доступ к этим приложениям отдельно.
  • Некоторым приложениям для корректной работы необходим доступ к API других приложений. Например, Gmail требует доступа к API календаря, диска и Meet. Google Календалю нужен API задач, а Gemini — API Gmail. При назначении уровней доступа учитывайте эти зависимости, чтобы обеспечить корректную работу приложений.
  • Назначение уровня доступа приложению не блокирует автоматически его API. Если вы заблокируете приложение, например Gmail, пользователи не смогут напрямую войти в него. Однако другие приложения или сторонние клиенты по-прежнему могут получать доступ к данным приложения через его API, например, к электронным письмам через API Gmail. Чтобы полностью предотвратить доступ через API, необходимо явно назначить уровни доступа и для API приложения.

Назначьте уровни доступа к приложению.

Перед началом работы: При необходимости изучите, как применить данную методику к конкретному отделу или группе .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Для назначения уровней доступа нажмите «Назначить уровни доступа приложениям» .
  3. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  4. Выберите вариант:
    • Наведите указатель мыши на приложение и нажмите «Действия». а потом Назначать .
    • Отметьте галочками несколько приложений, а затем над списком приложений нажмите «Назначить» .
  5. Чтобы изменить уровни доступа , нажмите «Редактировать» .
  6. Для каждого уровня доступа выберите соответствующий вариант:
    • Чтобы проверить, как выбор уровня доступа повлияет на пользователей, не блокируя при этом доступ, установите флажок «Монитор» .
    • Чтобы начать применять уровень доступа, установите флажок «Активный» .
  7. Нажмите « Сохранить ».
  8. Для выбора действий нажмите «Редактировать» .
  9. Выберите «Предупреждение» или «Блокировка» , чтобы указать, какое действие будет выполнено, если для поддерживаемого приложения не будет соблюдена политика активного уровня доступа. Подробную информацию о поддерживаемых приложениях см. в разделе «Поддержка приложений для контекстно-зависимого доступа» на этой странице.
  10. Нажмите « Сохранить ».
  11. (Необязательно) Чтобы обновить область действия, выбранную для уровней доступа:
    1. Для выбора области действия нажмите «Редактировать» .
    2. Внесите необходимые изменения и нажмите «Сохранить» .
  12. (Необязательно) Чтобы обновить приложения, которые вы выбрали для своих уровней доступа:
    1. Для перехода к разделу «Приложения» нажмите «Редактировать» .
    2. Внесите необходимые изменения и нажмите «Сохранить» .
  13. Для просмотра настроек политики нажмите «Редактировать» .
  14. (Рекомендуется) Установите флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если уровни доступа не заданы », чтобы применить уровни доступа к пользователям нативных настольных приложений, приложений для Android и iOS, а также веб-приложений. Подробную информацию о поведении, которое вы можете ожидать после настройки предпочтительных параметров уровня доступа, см. в разделе «Поведение приложения в зависимости от настроек уровня доступа» на этой странице.

  15. (Необязательно) Чтобы заблокировать попытки приложений получить доступ к данным рабочей области через общедоступные API, установите флажок « Заблокировать доступ других приложений к выбранным приложениям через API, если уровни доступа не соблюдены» .

    • (Необязательно) Чтобы исключить доверенные приложения из блокировки через открытые API, установите флажок « Исключить приложения из списка разрешенных, чтобы они всегда могли получать доступ к API для определенных сервисов Google, независимо от уровня доступа» .

      Эта опция доступна для настройки на уровне организационного подразделения, а не группы конфигурации, даже если вы можете выбрать группу в консоли администратора. Подробности см. в разделе «Примеры использования: Исключение доверенных сторонних приложений из блокировки» .

      • Если список приложений или приложение, которое вы хотите исключить из списка, не отображается, нажмите « Перейти к управлению доступом к приложениям» и выполните шаги для подтверждения доверия к приложению. Все приложения, которые вы отметили как «Доверенные» на странице «Управление доступом к приложениям», будут перечислены в таблице доверенных приложений. Приложения будут предварительно выбраны, если вы отметили их как доверенные и исключили из проверки API.
      • При необходимости выберите приложения, которые вы хотите исключить из принудительного применения API, и нажмите «Продолжить» .

  16. Нажмите « Сохранить ».

  17. В разделе « Что даст эта политика?» ознакомьтесь с тем, как новые уровни доступа повлияют на вашу организацию и ее приложения. Чтобы изменить выбранные параметры, рядом с пунктами «Уровни доступа» , «Действия» , «Область действия» , «Приложения» или «Параметры политики» нажмите «Изменить» .

  18. Нажмите «Назначить» .

Вы возвращаетесь на страницу списка приложений. В столбце «Уровни доступа» отображается количество уровней доступа, примененных к каждому приложению как в режиме мониторинга, так и в активном режиме.

Поддержка приложения для контекстно-зависимого доступа

Приложение Google Поддержка блочного режима Поддержка режима предупреждения
Гмайл
Водить машину
Google Docs (включая Google Sheets и Google Slides)
Календарь
Встретиться Только для веб-версии и Android
Чат
Google Keep
Задачи Google
Близнецы Только для веб-сайта
Административная консоль Только для веб-сайта
Хранилище Google
Сайты Google Только для веб-сайта
Google Облачный Поиск
Google для бизнеса
Google Облако
Google Looker Studio
Консоль Google Play
NotebookLM Только для веб-сайта

Поведение приложения в зависимости от настроек уровня доступа.

В следующей таблице приведено краткое описание поведения в зависимости от того, установлен ли флажок «Блокировать пользователям доступ к настольным и мобильным приложениям Google, если не соблюдены уровни доступа». и указывается, используете ли вы проверку конечных точек.

Ключевые термины для этой таблицы:

  • Применен уровень доступа — Доступ предоставляется на основе уровней доступа, которые вы настроили в конфигурации контекстно-зависимого доступа.
  • Доступ разрешен — Контекстно-зависимый доступ не применяется, и разрешен любой доступ.
  • Доступ заблокирован — Доступ заблокирован, поскольку не настроен контекстно-зависимый доступ или отключена проверка конечных точек.

Уровень доступа

Доступ с учетом контекста включен.

Разрешить/заблокировать (нативное и веб-приложение)

Мобильный

Рабочий стол

Мобильная версия

Мобильный веб-сайт

Веб-версия для настольных компьютеров

Настольные приложения

Внедрена ли проверка конечных точек?

Уровень доступа, основанный только на IP-адресе и географических данных.

Если флажок «Заблокировать доступ пользователей к настольным и мобильным приложениям Google, если не соблюдены уровни доступа» установлен*, это означает, что доступ запрещен.

Применен уровень доступа

Применен уровень доступа

Не требуется

Если флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если уровни доступа не соблюдены» не установлен, значит, эта опция недоступна.

Доступ разрешен

Применен уровень доступа

Применен уровень доступа

Доступ разрешен

Не требуется

Уровень доступа с атрибутами устройства

 Если флажок «Заблокировать доступ пользователей к настольным и мобильным приложениям Google, если не соблюдены уровни доступа» установлен*, это означает, что доступ запрещен.

Применен уровень доступа

Применен уровень доступа

Да

Если установлен флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если не соблюдены необходимые уровни доступа», значит, эта опция недоступна.

Применен уровень доступа

Доступ заблокирован

Нет

Если флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если уровни доступа не соблюдены» не установлен, значит, эта опция недоступна.

Доступ разрешен

Применен уровень доступа

Применен уровень доступа

Доступ разрешен

Да

Если флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если уровни доступа не соблюдены» не установлен, значит, эта опция недоступна. Доступ разрешен Применен уровень доступа Доступ заблокирован Доступ разрешен Нет

* Рекомендуемые настройки

Примечание : Мобильное приложение Gemini обрабатывает заблокированный контент иначе. Когда запрос нарушает уровень доступа, приложение отображает ответное сообщение о том, что доступ запрещен, вместо стандартного всплывающего окна. Этого не происходит с простыми запросами, такими как приветствия.

Пересмотрите или измените назначенные уровни доступа.

Этот параметр используется для локального применения изменений и не отображает унаследованные назначения.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Для назначения уровней доступа нажмите «Назначить уровни доступа приложениям» .
  3. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  4. Выберите вариант:
    • Наведите указатель мыши на приложение и нажмите «Действия». а потом Назначать .
    • Отметьте галочками несколько приложений, а затем над списком приложений нажмите «Назначить» .
  5. Чтобы изменить уровни доступа , нажмите «Редактировать» .
  6. Для каждого уровня доступа выберите соответствующий вариант:
    • Чтобы проверить, как выбор уровня доступа повлияет на пользователей, не блокируя при этом доступ, установите флажок «Монитор» .
    • Чтобы начать применять уровень доступа, установите флажок «Активный» .
  7. Нажмите « Сохранить ».
  8. Для выбора действий нажмите «Редактировать» .
  9. Проверьте выбранные уровни доступа, чтобы убедиться, что они настроены на запуск нужного вам действия при несоблюдении условий уровня доступа.
    • Блокировка — блокирует доступ к приложению.
    • Предупреждение — Предоставляет доступ к приложению и отправляет пользователю предупреждающее уведомление в приложении во время его использования. Если пользователь продолжает активно использовать приложение, он получает новое уведомление каждые 48 часов. Если разные приложения защищены одинаковыми уровнями доступа, уведомление срабатывает только при первой попытке доступа, чтобы избежать чрезмерного количества уведомлений для пользователей.
  10. Нажмите « Сохранить ».
  11. (Необязательно) Чтобы просмотреть или обновить выбранные вами уровни доступа:
    1. Для выбора области действия нажмите «Редактировать» .
    2. Внесите необходимые изменения и нажмите «Сохранить» .
  12. (Необязательно) Чтобы просмотреть или обновить приложения, которые вы выбрали для своих уровней доступа:
    1. Для перехода к разделу «Приложения» нажмите «Редактировать» .
    2. Внесите необходимые изменения и нажмите «Сохранить» .
  13. Для просмотра настроек политики нажмите «Редактировать» .
  14. Проверьте выбранную вами политику, чтобы убедиться, что она настроена на блокировку нужных приложений. Политика может включать блокировку доступа к настольным и мобильным версиям выбранных вами приложений, блокировку доступа других приложений к выбранным вами приложениям через API, а также исключение приложений из списка разрешенных.
  15. Нажмите « Сохранить ».
  16. В разделе « Что даст эта политика?» ознакомьтесь с тем, как новые уровни доступа с учетом контекста повлияют на вашу организацию и ее приложения. Чтобы изменить выбранные параметры, рядом с пунктами «Уровни доступа» , «Действия» , «Область действия» , «Приложения» или «Параметры политики» нажмите «Изменить» .
  17. Нажмите «Назначить» .

Просмотрите зарегистрированные события для определения уровня доступа.

Используйте параметр «Просмотреть отчет», чтобы отслеживать, правильно ли функционируют назначенные уровни доступа для управления доступом пользователей к приложениям. Уровни доступа, установленные в режим мониторинга или активного режима, генерируют события, которые регистрируются в журнале контекстно-зависимого доступа.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Для назначения уровней доступа нажмите «Назначить уровни доступа приложениям» .
  3. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  4. Наведите указатель мыши на приложение и нажмите «Действия». а потом Просмотреть отчет .
  5. Сбоку щелкните ссылку на инструмент анализа безопасности, чтобы автоматически выполнить поиск событий журнала контекстно-зависимого доступа для выбранного приложения.

Результаты поиска содержат следующую информацию:

  • События «Доступ запрещен» (режим мониторинга) показывают пользователей, которые были бы заблокированы, если бы этот уровень доступа был введен в действие.
  • В столбце «Актер» отображается заблокированный пользователь.
  • Уровни доступа: примененный, удовлетворенный (условия доступа выполнены) и неудовлетворенный (условия доступа не выполнены).

Для получения дополнительной информации см. раздел «События журнала доступа с учетом контекста» .