Après avoir créé des niveaux d'accès, vous pouvez les attribuer à des applications. Vous pouvez contrôler les accès selon l'identité de l'utilisateur, le niveau de sécurité de l'appareil, l'adresse IP et l'emplacement géographique. Vous pouvez également contrôler l'accès des applications qui tentent d'accéder aux applications et aux données Google Workspace via des interfaces de programmation d'applications (API).
Lorsque vous attribuez des niveaux d'accès…
- Lorsque vous sélectionnez un niveau d'accès, il est défini par défaut sur le mode Moniteur. Ainsi, vous ne bloquerez pas involontairement des utilisateurs lorsque vous activez un niveau d'accès.
- Les utilisateurs ont accès à l'application dès lors qu'ils remplissent les conditions spécifiées dans l'un des niveaux d'accès que vous sélectionnez (relation "OU" logique des niveaux d'accès de la liste). Pour que les utilisateurs remplissent les conditions de plusieurs niveaux d'accès à la fois (une relation "ET" logique des niveaux d'accès), vous devez créer un niveau d'accès contenant plusieurs niveaux d'accès. Si vous souhaitez attribuer plus de 10 niveaux d'accès à une application, vous pouvez utiliser des niveaux d'accès imbriqués.
- Pour les applications mobiles, si vous utilisez Gmail intégré, vous pouvez accorder ou refuser simultanément l'accès à Gmail, Google Chat et Google Meet. Si Chat et Meet sont implémentés en tant qu'applications distinctes (dissociées de Gmail intégré), vous devrez accorder ou refuser l'accès à ces applications séparément.
- Certaines applications ont besoin d'accéder aux API d'autres applications pour fonctionner correctement. Par exemple, Gmail a besoin d'accéder aux API Agenda, Drive et Meet. Google Agenda a besoin de l'API Tasks, et Gemini de l'API Gmail. Lorsque vous attribuez des niveaux d'accès, tenez compte de ces dépendances pour vous assurer que les applications fonctionnent comme prévu.
- L'attribution d'un niveau d'accès à une application ne bloque pas automatiquement l'API associée. Si vous bloquez une application, comme Gmail, les utilisateurs ne peuvent pas s'y connecter directement. Toutefois, d'autres applications ou clients tiers peuvent toujours accéder aux données de l'application via son API, comme les e-mails via l'API Gmail. Pour empêcher tout accès via les API, vous devez également appliquer explicitement des niveaux d'accès à l'API de l'application.
Attribuer des niveaux d'accès à une application
Avant de commencer : Si nécessaire, découvrez comment appliquer le paramètre à un service ou à un groupe.
-
Dans la console d'administration Google, accédez à Menu
SécuritéContrôle des accès et des donnéesAccès contextuel.Nécessite les droits d'accès et de gestion des règles de sécurité des données, ainsi que les droits de lecture des groupes et des utilisateurs de l'API Admin.
- Dans le champ Attribuer des niveaux d'accès, cliquez sur Attribuer des niveaux d'accès aux applications.
-
(Facultatif) Si vous souhaitez n'appliquer le paramètre qu'à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé).
Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus
- Sélectionnez une option :
- Pointez sur une application, puis cliquez sur ActionsAttribuer.
- Cochez les cases correspondant à plusieurs applications, puis cliquez sur Attribuer au-dessus de la liste des applications.
- Pointez sur une application, puis cliquez sur Actions
- Dans le champ Niveaux d'accès, cliquez sur Modifier.
- Dans le champ Niveaux d'accès, choisissez une option pour chaque niveau d'accès :
- Pour tester l'impact du niveau d'accès sélectionné sur les utilisateurs sans réellement bloquer l'accès, cochez la case Contrôler.
- Pour commencer à appliquer le niveau d'accès, cochez la case Actif.
- Cliquez sur Enregistrer.
- Dans le champ Actions, cliquez sur Modifier.
- Sélectionnez Avertir ou Bloquer pour spécifier l'action à effectuer lorsqu'une règle de niveau d'accès active n'est pas respectée pour une application compatible. Pour en savoir plus sur les applications compatibles, consultez Compatibilité des applications avec l'accès contextuel sur cette page.
- Cliquez sur Enregistrer.
- (Facultatif) Pour modifier le champ d'application que vous avez sélectionné pour vos niveaux d'accès :
- Dans le champ Champ d'application, cliquez sur Modifier.
- Apportez les modifications souhaitées, puis cliquez sur Enregistrer.
- (Facultatif) Pour modifier les applications que vous avez sélectionnées pour vos niveaux d'accès :
- Dans le champ Applications, cliquez sur Modifier.
- Apportez les modifications souhaitées, puis cliquez sur Enregistrer.
- Dans le champ Paramètres de la règle, cliquez sur Modifier.
- (Recommandé) Cochez la case Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés pour appliquer les niveaux d'accès aux utilisateurs d'applications natives de bureau, Android et iOS, et d'applications Web. Pour en savoir plus sur les comportements auxquels vous pouvez vous attendre après avoir configuré les paramètres de niveau d'accès de votre choix, consultez Comportement des applications en fonction des paramètres de niveau d'accès sur cette page.
- (Facultatif) Pour empêcher les applications d'accéder aux données Workspace via des API publiques, cochez la case Empêcher d'autres applications d'accéder aux applications sélectionnées via les API si les niveaux d'accès ne sont pas respectés.
- (Facultatif) Pour empêcher le blocage des applications approuvées via les API exposées, cochez la case Exempter des applications ajoutées à la liste d'autorisation pour qu'elles aient toujours accès via des API à des services Google spécifiques, quels que soient leurs niveaux d'accès.
Cette option est disponible pour la configuration par unité organisationnelle, et non par groupe de configuration, même si vous pouvez sélectionner un groupe dans la console d'administration. Pour en savoir plus, consultez Cas d'utilisation : Empêcher le blocage d'applications tierces approuvées.
- Si la liste des applications ou l'application que vous souhaitez exempter ne s'affiche pas, cliquez sur Accéder au contrôle d'accès des applications et suivez la procédure permettant d'approuver l'application. Toutes les applications que vous marquez comme Approuvées sur la page "Contrôle de l'accès des applications" sont listées dans le tableau des applications approuvées. Les applications sont présélectionnées si vous les avez marquées comme approuvées et exemptes de l'application des API.
- Si nécessaire, sélectionnez les applications pour lesquelles vous souhaitez exempter l'application des API, puis cliquez sur Continuer.
- (Facultatif) Pour empêcher le blocage des applications approuvées via les API exposées, cochez la case Exempter des applications ajoutées à la liste d'autorisation pour qu'elles aient toujours accès via des API à des services Google spécifiques, quels que soient leurs niveaux d'accès.
Cette option est disponible pour la configuration par unité organisationnelle, et non par groupe de configuration, même si vous pouvez sélectionner un groupe dans la console d'administration. Pour en savoir plus, consultez Cas d'utilisation : Empêcher le blocage d'applications tierces approuvées.
- Cliquez sur Enregistrer.
- Dans le champ Quel sera l'impact de cette règle ?, examinez les effets de vos nouveaux niveaux d'accès sur votre organisation et ses applications. Pour modifier les sélections, cliquez sur Modifier à côté de Niveaux d'accès, Actions, Champ d'application, Applications ou Paramètres de la règle.
- Cliquez sur Attribuer.
Vous êtes redirigé vers la page de la liste des applications. La colonne "Niveaux d'accès" indique le nombre de niveaux d'accès appliqués à chaque application en mode Moniteur et en mode Actif.
Compatibilité des applications avec l'accès contextuel
| Appli Google | Prise en charge du mode Bloquer | Prise en charge du mode Avertissement |
|---|---|---|
| Gmail | ✔ | ✔ |
| Drive | ✔ | ✔ |
| Google Docs (y compris Google Sheets et Google Slides) | ✔ | ✔ |
| Agenda | ✔ | ✔ |
| Meet | ✔ | Web et Android uniquement |
| Chat | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Google Tasks | ✔ | ✔ |
| Gemini | ✔ | Web uniquement |
| Console d'administration | ✔ | Web uniquement |
| Google Vault | ✔ | |
| Google Sites | ✔ | Web uniquement |
| Recherche dans Google Cloud | ✔ | |
| Google for Business | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play Console | ✔ | |
| NotebookLM | ✔ | Web uniquement |
Comportement des applications en fonction des paramètres de niveau d'accès
Le tableau ci-dessous résume ce qu'il se produit selon que vous sélectionnez l'option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés ou que vous déployez la validation des points de terminaison.
Termes clés contenus dans ce tableau :
- Niveau d'accès appliqué : l'accès est autorisé en fonction des niveaux d'accès que vous avez définis lors de la configuration de l'accès contextuel.
- Accès autorisé : l'accès contextuel n'est pas configuré et aucune restriction d'accès n'est appliquée.
- Accès bloqué : l'accès est bloqué, car l'accès contextuel n'est pas configuré ou vous n'avez pas activé la validation des points de terminaison.
|
Niveau d'accès |
Accès contextuel activé |
Autoriser/Bloquer (applications natives et Web) |
||||
|
Mobile |
Ordinateur |
|||||
|
Application native pour mobile |
Web mobile |
Web pour ordinateur |
Application native pour ordinateur |
Validation des points de terminaison déployée ? |
||
|
Niveau d'accès uniquement avec des attributs IP/de données géographiques |
Case Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés sélectionnée* |
Niveau d'accès appliqué |
Niveau d'accès appliqué |
Non requis |
||
|
Case Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés non sélectionnée |
Accès autorisé |
Niveau d'accès appliqué |
Niveau d'accès appliqué |
Accès autorisé |
Non requis |
|
|
Niveau d'accès avec attributs de l'appareil |
Case Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés sélectionnée* |
Niveau d'accès appliqué |
Niveau d'accès appliqué |
Oui |
||
|
Case Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés sélectionnée |
Niveau d'accès appliqué |
Accès bloqué |
Non |
|||
| Case Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés non sélectionnée |
Accès autorisé |
Niveau d'accès appliqué |
Niveau d'accès appliqué |
Accès autorisé |
Oui |
|
| Case Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés non sélectionnée | Accès autorisé | Niveau d'accès appliqué | Accès bloqué | Accès autorisé | Non | |
* Réglage recommandé
Remarque : L'application mobile Gemini gère le contenu bloqué différemment. Lorsqu'une requête enfreint un niveau d'accès, l'application affiche un message de réponse indiquant que l'accès a été refusé, au lieu d'une fenêtre pop-up standard. Cela ne se produit pas pour les requêtes simples, comme les salutations.
Consulter ou modifier les niveaux d'accès attribués
Ce paramètre permet d'appliquer les modifications localement et n'affiche pas les attributions héritées.
-
Dans la console d'administration Google, accédez à Menu
SécuritéContrôle des accès et des donnéesAccès contextuel.Nécessite les droits d'accès et de gestion des règles de sécurité des données, ainsi que les droits de lecture des groupes et des utilisateurs de l'API Admin.
- Dans le champ Attribuer des niveaux d'accès, cliquez sur Attribuer des niveaux d'accès aux applications.
-
(Facultatif) Si vous souhaitez n'appliquer le paramètre qu'à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé).
Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus
- Sélectionnez une option :
- Pointez sur une application, puis cliquez sur ActionsAttribuer.
- Cochez les cases correspondant à plusieurs applications, puis cliquez sur Attribuer au-dessus de la liste des applications.
- Pointez sur une application, puis cliquez sur Actions
- Dans le champ Niveaux d'accès, cliquez sur Modifier.
- Dans le champ Niveaux d'accès, choisissez une option pour chaque niveau d'accès :
- Pour tester l'impact du niveau d'accès sélectionné sur les utilisateurs sans réellement bloquer l'accès, cochez la case Contrôler.
- Pour commencer à appliquer le niveau d'accès, cochez la case Actif.
- Cliquez sur Enregistrer.
- Dans le champ Actions, cliquez sur Modifier.
- Vérifiez que les niveaux d'accès sélectionnés sont configurés pour déclencher l'action souhaitée lorsque les conditions du niveau d'accès ne sont pas remplies.
- Bloquer : bloque l'accès à l'application.
- Avertir : autorise l'accès à l'application avec un avertissement.
- Cliquez sur Enregistrer.
- (Facultatif) Pour examiner ou modifier le champ d'application que vous avez sélectionné pour vos niveaux d'accès :
- Dans le champ Champ d'application, cliquez sur Modifier.
- Apportez les modifications souhaitées, puis cliquez sur Enregistrer.
- (Facultatif) Pour examiner ou modifier les applications que vous avez sélectionnées pour vos niveaux d'accès :
- Dans le champ Applications, cliquez sur Modifier.
- Apportez les modifications souhaitées, puis cliquez sur Enregistrer.
- Dans le champ Paramètres de la règle, cliquez sur Modifier.
- Examinez la règle sélectionnée pour vérifier si elle est configurée pour bloquer les applications appropriées. La règle peut inclure le blocage de l'accès aux versions pour ordinateur et mobile des applications sélectionnées, le blocage de l'accès d'autres applications à vos applications sélectionnées à l'aide d'API et l'exemption des applications ajoutées à la liste d'autorisation.
- Cliquez sur Enregistrer.
- Dans le champ Quel sera l'impact de cette règle ?, examinez les effets de vos nouveaux niveaux d'accès contextuel sur votre organisation et ses applications. Pour modifier les sélections, cliquez sur Modifier à côté de Niveaux d'accès, Actions, Champ d'application, Applications ou Paramètres de la règle.
- Cliquez sur Attribuer.
Afficher les événements consignés pour un niveau d'accès
L'option "Afficher le rapport" vous permet de vérifier si les niveaux d'accès qui vous ont été attribués fonctionnent correctement pour contrôler l'accès des utilisateurs aux applications. Les niveaux d'accès définis en mode Moniteur ou Actif génèrent des événements qui sont consignés dans le journal d'accès contextuel.
-
Dans la console d'administration Google, accédez à Menu
SécuritéContrôle des accès et des donnéesAccès contextuel.Nécessite les droits d'accès et de gestion des règles de sécurité des données, ainsi que les droits de lecture des groupes et des utilisateurs de l'API Admin.
- Dans le champ Attribuer des niveaux d'accès, cliquez sur Attribuer des niveaux d'accès aux applications.
-
(Facultatif) Si vous souhaitez n'appliquer le paramètre qu'à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé).
Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus
- Pointez sur une application, puis cliquez sur ActionsAfficher le rapport.
- Sur le côté, cliquez sur le lien vers l'outil d'investigation sur la sécurité pour rechercher automatiquement les événements de journaux d'accès contextuel associés à l'application sélectionnée.
Les résultats de recherche incluent les informations suivantes :
- Les événements Accès refusé (mode Moniteur) indiquent les utilisateurs qui auraient été bloqués si ce niveau d'accès avait été appliqué.
- La colonne Acteur indique l'utilisateur bloqué.
- Niveaux d'accès appliqués, satisfaits (conditions d'accès remplies) et non satisfaits (conditions d'accès non remplies).
Pour en savoir plus, consultez Événements de journaux d'accès contextuel.