Nachdem Sie Zugriffsebenen erstellt haben, können Sie sie Apps zuweisen. Der Zugriff lässt sich nach Nutzeridentität, Sicherheitsstatus des Geräts, IP-Adresse und geografischem Standort steuern. Außerdem können Sie den Zugriff für Apps verwalten, die versuchen, über APIs (Application Programming Interfaces) auf Google Workspace-Apps und Google Workspace-Daten zuzugreifen.
Wenn Sie Zugriffsebenen zuweisen…
- Wenn Sie eine Zugriffsebene auswählen, wird sie standardmäßig auf den Modus Monitoring festgelegt. So wird sichergestellt, dass Sie beim Aktivieren einer Zugriffsebene nicht versehentlich Nutzer blockieren.
- Nutzer erhalten Zugriff auf die App, wenn sie die festgelegten Bedingungen in einer der ausgewählten Zugriffsebenen erfüllen. Dies ist eine logische OR-Verknüpfung der Zugriffsebenen in der Liste. Wenn Sie möchten, dass Nutzer die Bedingungen in mehreren Zugriffsebenen erfüllen, also eine logische AND-Verknüpfung der Zugriffsebenen, erstellen Sie eine Zugriffsebene mit mehreren Ebenen. Wenn Sie mehr als zehn Zugriffsebenen für eine App zuweisen möchten, können Sie dazu verschachtelte Zugriffsebenen verwenden.
- Wenn Sie integriertes Gmail verwenden, können Sie den Zugriff auf Gmail, Google Chat und Google Meet gleichzeitig gewähren oder verweigern. Wenn Google Chat und Google Meet als separate Apps implementiert werden und nicht als Teil des integrierten Gmail, müssen Sie den Zugriff auf diese Apps separat gewähren oder verweigern.
- Einige Apps benötigen API-Zugriff auf andere Apps, um richtig zu funktionieren. Gmail benötigt beispielsweise Zugriff auf die Calendar API, die Drive API und die Meet API. Für Google Kalender ist die Tasks API erforderlich und für Gemini die Gmail API. Berücksichtigen Sie diese Abhängigkeiten beim Zuweisen von Zugriffsebenen, damit Apps wie vorgesehen funktionieren.
- Wenn Sie einer App eine Zugriffsebene zuweisen, wird ihre API nicht automatisch blockiert. Wenn Sie eine App wie Gmail blockieren, können sich Nutzer nicht direkt in der App anmelden. Andere Apps oder Drittanbieter-Clients können jedoch weiterhin über die API der App auf die Daten zugreifen, z. B. auf E‑Mails über die Gmail API. Wenn Sie jeglichen Zugriff über APIs verhindern möchten, müssen Sie auch auf die API der App explizit Zugriffsebenen anwenden.
Einer App Zugriffsebenen zuweisen
Hinweis:Bei Bedarf können Sie die Einstellung auf eine Abteilung oder Gruppe anwenden.
-
Gehen Sie in der Admin-Konsole zu „Menü“
SicherheitZugriffs- und DatenkontrolleKontextsensitiver Zugriff.Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".
- Klicken Sie unter Zugriffsebenen zuweisen auf Apps Zugriffsebenen zuweisen.
-
Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.
Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen
- Wählen Sie eine Option aus:
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf AktionenZuweisen.
- Klicken Sie die Kästchen neben mehreren Apps an und dann über der Liste der Apps auf Zuweisen.
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Aktionen
- Klicken Sie unter Zugriffsebenen auf Bearbeiten.
- Wählen Sie unter Zugriffsebenen eine Option für jede Zugriffsebene aus:
- Wenn Sie testen möchten, wie sich die Auswahl der Zugriffsebene auf Nutzer auswirkt, ohne den Zugriff tatsächlich zu blockieren, klicken Sie das Kästchen Monitoring an.
- Klicken Sie das Kästchen Aktiv an, um die Zugriffsebene anzuwenden.
- Klicken Sie auf Speichern.
- Klicken Sie unter Aktionen auf Bearbeiten.
- Wählen Sie Warnen oder Blockieren aus, um festzulegen, welche Aktion ausgeführt werden soll, wenn eine aktive Richtlinie für kontextsensitiven Zugriff für eine unterstützte App nicht erfüllt wird. Weitere Informationen zu unterstützten Apps
- Klicken Sie auf Speichern.
- Optional: So aktualisieren Sie den Bereich, den Sie für Ihre Zugriffsebenen ausgewählt haben:
- Klicken Sie unter Umfang auf Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern.
- Optional: So aktualisieren Sie die Apps, die Sie für Ihre Zugriffsebenen ausgewählt haben:
- Klicken Sie bei Apps auf Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern.
- Klicken Sie unter Richtlinieneinstellungen auf Bearbeiten.
- Empfohlen: Wählen Sie das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen aus, um die Zugriffsebenen auf Nutzer von systemeigenen Desktop-, Android- und iOS-Apps und Web-Apps anzuwenden. Weitere Informationen zum Verhalten, das Sie nach der Konfiguration Ihrer bevorzugten Zugriffsebeneneinstellungen erwarten können, finden Sie auf dieser Seite unter App-Verhalten basierend auf den Einstellungen der Zugriffsebene.
- Optional: Wenn Sie verhindern möchten, dass Apps versuchen, über preisgegebene öffentliche APIs auf Workspace-Daten zuzugreifen, klicken Sie auf das Kästchen Andere Apps ohne entsprechende Zugriffsebene blockieren, sodass sie nicht über APIs auf die ausgewählten Apps zugreifen können.
- Optional: Wenn Sie vertrauenswürdige Apps davon ausnehmen möchten, dass sie über bereitgestellte APIs blockiert werden, klicken Sie auf das Kästchen Apps von der Zulassungsliste ausschließen, damit sie unabhängig von Zugriffsebenen immer für bestimmte Google-Dienste auf APIs zugreifen können.
Diese Option ist für die Konfiguration nach Organisationseinheit und nicht für Konfigurationsgruppe verfügbar, obwohl Sie in der Admin-Konsole eine Gruppe auswählen können. Weitere Informationen finden Sie unter Anwendungsfälle: Verhindern, dass vertrauenswürdige Drittanbieter-Apps blockiert werden.
- Wenn keine Liste der Apps oder Apps angezeigt wird, für die Sie eine Ausnahme festlegen möchten, klicken Sie auf App-Zugriffssteuerung aufrufen und führen Sie die Schritte aus, um die App als vertrauenswürdig zu kennzeichnen. Alle Apps, die Sie auf der Seite „App-Zugriffssteuerung“ als Vertrauenswürdig markieren, werden in der Tabelle „Vertrauenswürdige Apps“ aufgeführt. Apps sind vorab ausgewählt, wenn Sie sie als vertrauenswürdig markiert und von der API-Erzwingung ausgenommen haben.
- Wählen Sie bei Bedarf die Apps aus, die von der API-Durchsetzung ausgenommen werden sollen, und klicken Sie auf Weiter.
- Optional: Wenn Sie vertrauenswürdige Apps davon ausnehmen möchten, dass sie über bereitgestellte APIs blockiert werden, klicken Sie auf das Kästchen Apps von der Zulassungsliste ausschließen, damit sie unabhängig von Zugriffsebenen immer für bestimmte Google-Dienste auf APIs zugreifen können.
Diese Option ist für die Konfiguration nach Organisationseinheit und nicht für Konfigurationsgruppe verfügbar, obwohl Sie in der Admin-Konsole eine Gruppe auswählen können. Weitere Informationen finden Sie unter Anwendungsfälle: Verhindern, dass vertrauenswürdige Drittanbieter-Apps blockiert werden.
- Klicken Sie auf Speichern.
- Unter Was bewirkt diese Richtlinie? sehen Sie sich die Auswirkungen der neuen Zugriffsebenen auf Ihre Organisation und ihre Apps an. Wenn Sie die Auswahl aktualisieren möchten, klicken Sie neben Zugriffsebenen, Aktionen, Bereich, Apps oder Richtlinieneinstellungen auf Bearbeiten.
- Klicken Sie auf Zuweisen.
Sie werden zur Seite mit der Liste der Apps zurückgeleitet. In der Spalte „Zugriffsebenen“ sehen Sie die Anzahl der Zugriffsebenen, die auf jede App im Modus „Monitoring“ oder „Aktiv“ angewendet werden.
App-Unterstützung für den kontextsensitiven Zugriff
| Google App | Unterstützung des Blockierungsmodus | Unterstützung für Warnmodus |
|---|---|---|
| Gmail | ✔ | ✔ |
| Drive | ✔ | ✔ |
| Google Docs (einschließlich Google Sheets und Google Präsentationen) | ✔ | ✔ |
| Kalender | ✔ | ✔ |
| Meet | ✔ | Nur Web und Android |
| Chat | ✔ | ✔ |
| Google Notizen | ✔ | ✔ |
| Google Tasks | ✔ | ✔ |
| Gemini | ✔ | Nur Web |
| Admin-Konsole | ✔ | Nur Web |
| Google Vault | ✔ | |
| Google Sites | ✔ | Nur Web |
| Google Cloud Search | ✔ | |
| Google für Unternehmen | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play Console | ✔ | |
| NotebookLM | ✔ | Nur Web |
App-Verhalten basierend auf den Einstellungen der Zugriffsebene
In der folgenden Tabelle wird das Verhalten zusammengefasst. Es variiert je nachdem, ob Sie das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen anklicken und ob Sie eine Endpunktprüfung nutzen.
Wichtige Begriffe für diese Tabelle:
- Zugriffsebene angewendet: Zugriff wird auf Grundlage der Zugriffsebenen gewährt, die Sie in der Konfiguration des kontextsensitiven Zugriffs festgelegt haben.
- Zugriff gewährt: Der kontextsensitive Zugriff ist nicht konfiguriert und der gesamte Zugriff wird gewährt.
- Zugriff blockiert: Der Zugriff wird blockiert, weil der kontextsensitive Zugriff nicht konfiguriert oder die Endpunktprüfung nicht aktiviert ist.
|
Zugriffsebene |
Kontextsensitiver Zugriff aktiviert |
Gewährt/Blockiert (systemeigene und Web-Apps) |
||||
|
Mobilgeräte |
Computer |
|||||
|
Systemeigene mobile Apps |
Mobiles Web |
Websites für Computer |
Systemeigene Desktop-Apps |
Endpunktprüfung implementiert? |
||
|
Zugriffsebene nur mit IP-/Geo-Attributen |
Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist angeklickt* |
Angewendete Zugriffsebene |
Angewendete Zugriffsebene |
Nicht erforderlich |
||
|
Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist nicht angeklickt |
Zugriff erlaubt |
Angewendete Zugriffsebene |
Angewendete Zugriffsebene |
Zugriff erlaubt |
Nicht erforderlich |
|
|
Zugriffsebene mit Geräteattributen |
Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist angeklickt* |
Angewendete Zugriffsebene |
Angewendete Zugriffsebene |
Ja |
||
|
Das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist angeklickt. |
Angewendete Zugriffsebene |
Zugriff blockiert |
Nein |
|||
| Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist nicht angeklickt |
Zugriff erlaubt |
Angewendete Zugriffsebene |
Angewendete Zugriffsebene |
Zugriff erlaubt |
Ja |
|
| Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen ist nicht angeklickt | Zugriff erlaubt | Angewendete Zugriffsebene | Zugriff blockiert | Zugriff erlaubt | Nein | |
* Empfohlene Einstellung
Hinweis: In der mobilen Gemini App wird anders mit blockierten Inhalten umgegangen. Wenn eine Anfrage gegen eine Zugriffsebene verstößt, wird in der App eine Antwortmeldung angezeigt, in der mitgeteilt wird, dass der Zugriff verweigert wurde, anstatt eines Standard-Pop-up-Fensters. Bei einfachen Anfragen wie Begrüßungen passiert das nicht.
Zugriffsebenen prüfen oder ändern
Mit dieser Einstellung werden Änderungen lokal angewendet und übernommene Zuweisungen werden nicht angezeigt.
-
Gehen Sie in der Admin-Konsole zu „Menü“
SicherheitZugriffs- und DatenkontrolleKontextsensitiver Zugriff.Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".
- Klicken Sie unter Zugriffsebenen zuweisen auf Apps Zugriffsebenen zuweisen.
-
Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.
Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen
- Wählen Sie eine Option aus:
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf AktionenZuweisen.
- Klicken Sie die Kästchen neben mehreren Apps an und dann über der Liste der Apps auf Zuweisen.
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Aktionen
- Klicken Sie unter Zugriffsebenen auf Bearbeiten.
- Wählen Sie unter Zugriffsebenen eine Option für jede Zugriffsebene aus:
- Wenn Sie testen möchten, wie sich die Auswahl der Zugriffsebene auf Nutzer auswirkt, ohne den Zugriff tatsächlich zu blockieren, klicken Sie das Kästchen Monitoring an.
- Klicken Sie das Kästchen Aktiv an, um die Zugriffsebene anzuwenden.
- Klicken Sie auf Speichern.
- Klicken Sie unter Aktionen auf Bearbeiten.
- Überprüfen Sie die ausgewählten Zugriffsebenen, um festzustellen, ob sie so festgelegt sind, dass die gewünschte Aktion ausgelöst wird, wenn die Bedingungen für die Zugriffsebene nicht erfüllt sind.
- Blockieren: Der Zugriff auf die App wird blockiert.
- Warnen: Ermöglicht den Zugriff auf die App mit einer Warnung.
- Klicken Sie auf Speichern.
- Optional: So prüfen oder aktualisieren Sie den Bereich, den Sie für Ihre Zugriffsebenen ausgewählt haben:
- Klicken Sie unter Umfang auf Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern.
- Optional: So prüfen oder aktualisieren Sie die Apps, die Sie für Ihre Zugriffsebenen ausgewählt haben:
- Klicken Sie bei Apps auf Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern.
- Klicken Sie unter Richtlinieneinstellungen auf Bearbeiten.
- Prüfen Sie die ausgewählte Richtlinie, um festzustellen, ob die richtigen Apps blockiert werden. Die Richtlinie kann das Blockieren des Zugriffs auf die Desktop- und Mobilversionen Ihrer ausgewählten Apps, das Blockieren des Zugriffs anderer Apps auf Ihre ausgewählten Apps über APIs und das Ausnehmen von Apps auf der Zulassungsliste umfassen.
- Klicken Sie auf Speichern.
- Unter Was bewirkt diese Richtlinie? sehen Sie sich die Auswirkungen an, die Ihre neuen Zugriffsebenen für den kontextsensitiven Zugriff auf Ihre Organisation und ihre Apps haben. Wenn Sie die Auswahl aktualisieren möchten, klicken Sie neben Zugriffsebenen, Aktionen, Bereich, Apps oder Richtlinieneinstellungen auf Bearbeiten.
- Klicken Sie auf Zuweisen.
Protokollierte Ereignisse für eine Zugriffsebene ansehen
Mit der Option „Bericht ansehen“ können Sie nachvollziehen, ob die zugewiesenen Zugriffsebenen ordnungsgemäß funktionieren, um den Nutzerzugriff auf Apps zu steuern. Zugriffsebenen im Modus „Monitoring“ oder „Aktiv“ generieren Ereignisse, die im Log für den kontextsensitiven Zugriff protokolliert werden.
-
Gehen Sie in der Admin-Konsole zu „Menü“
SicherheitZugriffs- und DatenkontrolleKontextsensitiver Zugriff.Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".
- Klicken Sie unter Zugriffsebenen zuweisen auf Apps Zugriffsebenen zuweisen.
-
Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.
Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen
- Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf AktionenBericht ansehen.
- Klicken Sie in der Seitenleiste auf den Link zum Sicherheitsprüftool, um automatisch eine Suche nach Protokollereignissen für den kontextsensitiven Zugriff für die ausgewählte App auszuführen.
Die Suchergebnisse enthalten die folgenden Informationen:
- Die Ereignisse Zugriff verweigert (Monitormodus) zeigen Nutzer, die bei Erzwingen dieser Zugriffsebene blockiert worden wären.
- In der Spalte Akteur wird der blockierte Nutzer angezeigt.
- Angewendete, erfüllte (Zugriffsbedingungen erfüllt) und nicht erfüllte (Zugriffsbedingungen nicht erfüllt) Zugriffsebenen
Weitere Informationen finden Sie unter Protokollereignisse für den kontextsensitiven Zugriff.