הקצאת רמות גישה מבוססות-הקשר לאפליקציות

אחרי שיוצרים רמות גישה, אפשר להקצות אותן לאפליקציות. אתם יכולים לשלוט בגישה לפי זהות המשתמש, סטטוס האבטחה של המכשיר, כתובת ה-IP והמיקום הגיאוגרפי. אתם יכולים גם לשלוט בגישה של אפליקציות שמנסות לגשת לאפליקציות של Google Workspace ואפליקציות שמנסות לגשת לנתונים של Google Workspace דרך ממשקי תכנות יישומים (API).

כשמקצים רמות גישה…

  • כשבוחרים רמת גישה, היא מוגדרת כברירת מחדל למצב מעקב. כך תוכלו לוודא שלא תחסמו בטעות משתמשים כשתפעילו רמת גישה.
  • המשתמשים מקבלים גישה לאפליקציה כשהם עומדים בתנאים שצוינו באחת מרמות הגישה שאתם בוחרים (פעולת OR לוגית של רמות הגישה ברשימה). אם רוצים שהמשתמשים יעמדו בתנאים של יותר מרמת גישה אחת (לוגיקת AND של רמות גישה), צריך ליצור רמת גישה שמכילה כמה רמות גישה. אם רוצים להקצות יותר מ-10 רמות גישה לאפליקציה, אפשר להשתמש ברמות גישה מקוננות.
  • אם אתם משתמשים ב-Gmail מורחב באפליקציות לנייד, אתם יכולים להעניק או לחסום גישה ל-Gmail, ל-Google Chat ול-Google Meet בבת אחת. אם Chat ו-Meet מיושמות כאפליקציות נפרדות (ולא כחלק מ-Gmail המשולב), צריך לתת או לדחות את הגישה לאפליקציות האלה בנפרד.
  • חלק מהאפליקציות צריכות גישה ל-API של אפליקציות אחרות כדי לפעול בצורה תקינה. לדוגמה, ל-Gmail נדרשת גישה לממשקי ה-API של יומן Google,‏ Drive ו-Meet. יומן Google צריך את Tasks API, ו-Gemini צריך את Gmail API. כשמקצים רמות גישה, חשוב לקחת בחשבון את התלות הזו כדי לוודא שהאפליקציות יפעלו כמו שצריך.
  • הקצאת רמת גישה לאפליקציה לא חוסמת אוטומטית את ה-API שלה. אם חוסמים אפליקציה, כמו Gmail, המשתמשים לא יכולים להיכנס אליה ישירות. עם זאת, אפליקציות אחרות או לקוחות של צד שלישי עדיין יכולים לגשת לנתונים של האפליקציה דרך ה-API שלה, למשל הודעות אימייל דרך Gmail API. כדי למנוע גישה דרך ממשקי API, צריך להחיל במפורש רמות גישה גם על ממשק ה-API של האפליקציה.

הקצאת רמות גישה לאפליקציה

לפני שמתחילים: לפי הצורך, קוראים את המאמר בנושא החלה של הגדרה על מחלקה או על קבוצה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בקטע הקצאת רמות גישה, לוחצים על הקצאת רמות גישה לאפליקציות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  4. בוחרים אפשרות:
    • מעבירים את העכבר מעל אפליקציה ולוחצים על פעולותואזהקצאה.
    • מסמנים את התיבות שליד כמה אפליקציות ואז, מעל רשימת האפליקציות, לוחצים על הקצאה.
  5. בקטע רמות גישה, לוחצים על עריכה.
  6. בקטע רמות גישה, בוחרים אפשרות לכל רמת גישה:
    • כדי לבדוק איך בחירת רמת הגישה תשפיע על המשתמשים בלי לחסום את הגישה בפועל, מסמנים את התיבה מעקב.
    • כדי להתחיל להחיל את רמת הגישה, מסמנים את התיבה פעיל.
  7. לוחצים על שמירה.
  8. בקטע פעולות, לוחצים על עריכה.
  9. בוחרים באפשרות אזהרה או חסימה כדי לציין איזו פעולה תתבצע כשמדיניות פעילה של רמת גישה לא מתקיימת באפליקציה נתמכת. פרטים על אפליקציות נתמכות זמינים במאמר תמיכה באפליקציות לצורך בקרת גישה מבוססת-הקשר בדף הזה.
  10. לוחצים על שמירה.
  11. (אופציונלי) כדי לעדכן את ההיקף שבחרתם לרמות הגישה:
    1. בקטע היקף, לוחצים על עריכה.
    2. מבצעים את השינויים הרצויים ולוחצים על שמירה.
  12. (אופציונלי) כדי לעדכן את האפליקציות שבחרתם לרמות הגישה:
    1. בקטע Apps (אפליקציות), לוחצים על Edit (עריכה).
    2. מבצעים את השינויים הרצויים ולוחצים על שמירה.
  13. בקטע הגדרות המדיניות, לוחצים על עריכה.
  14. (מומלץ) מסמנים את התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד כדי להחיל את רמות הגישה על משתמשים באפליקציות מקוריות למחשב, ל-Android ול-iOS ובאפליקציות אינטרנט. פרטים על ההתנהגויות שאפשר לצפות להן אחרי שמגדירים את ההגדרות המועדפות של רמת הגישה זמינים בקטע התנהגות האפליקציה בהתאם להגדרות רמת הגישה בדף הזה.
  15. (אופציונלי) כדי לחסום אפליקציות מניסיון לגשת לנתוני Workspace דרך ממשקי API ציבוריים חשופים, מסמנים את התיבה חסימת הגישה דרך ממשקי API של אפליקציות אחרות שלא עומדות ברמות הגישה לאפליקציות הנבחרות.
    • (אופציונלי) כדי לתת פטור לאפליקציות מהימנות מחסימה דרך ממשקי API חשופים, מסמנים את התיבה מתן פטור לאפליקציות שמופיעות ברשימת ההיתרים כך שתמיד להן גישה לממשקי API של שירותי Google מסוימים, ללא קשר לרמות הגישה. אפשר להגדיר את האפשרות הזו לפי יחידה ארגונית, ולא לפי קבוצת הגדרות, למרות שאפשר לבחור קבוצה במסוף Admin. פרטים נוספים מופיעים במאמר תרחישי שימוש: החרגת אפליקציות מהימנות של צד שלישי מחסימה.
      • אם רשימת האפליקציות או האפליקציה שרוצים להחריג לא מוצגות, לוחצים על מעבר לבקרת הגישה לאפליקציות ומשלימים את השלבים לסימון האפליקציה כמהימנה. כל האפליקציות שמסומנות כמהימנות בדף 'בקרת הגישה לאפליקציות' מופיעות בטבלת האפליקציות המהימנות. אפליקציות נבחרות מראש אם סימנתם אותן כמהימנות וכפטורות מאכיפת API.
      • אם צריך, בוחרים את האפליקציות שרוצים להחריג מאכיפת ה-API ולוחצים על המשך.
  16. לוחצים על שמירה.
  17. בקטע מה המשמעות של המדיניות הזו?, בודקים את ההשפעות של רמות הגישה החדשות על הארגון ועל האפליקציות שלו. כדי לעדכן את הבחירות, לצד רמות גישה, פעולות, היקף, אפליקציות או הגדרות מדיניות, לוחצים על עריכה.
  18. לוחצים על הקצאה.

אתם חוזרים לדף רשימת האפליקציות. בעמודה 'רמות גישה' מוצג מספר רמות הגישה שחלות על כל אפליקציה במצב הדגמה ובמצב פעיל.

אילו אפליקציות תומכות בבקרת גישה מבוססת-הקשר

אפליקציית Google תמיכה במצב חסימה תמיכה במצב אזהרה
Gmail
Drive
‫Google Docs (כולל Google Sheets ו-Google Slides)
יומן
Meet רק באינטרנט וב-Android
צ'אט
Google Keep
Google Tasks
Gemini אינטרנט בלבד
מסוף הניהול אינטרנט בלבד
Google Vault
Google Sites אינטרנט בלבד
Google Cloud Search
Google for Business
Google Cloud
Google Looker Studio
Google Play Console
NotebookLM אינטרנט בלבד

התנהגות האפליקציה בהתאם להגדרות רמת הגישה

בטבלה הבאה מופיע סיכום של ההתנהגות בהתאם לסימון התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד ולפריסת Endpoint Verification.

מונחי מפתח לטבלה הזו:

  • רמת הגישה שהוחלה – הגישה ניתנת על סמך רמות הגישה שהגדרתם בהגדרות של בקרת הגישה מבוססת-ההקשר.
  • הגישה מותרת – בקרת הגישה מבוססת-הקשר לא מופעלת, וכל הגישה מותרת.
  • הגישה חסומה – הגישה חסומה כי לא הוגדרה בקרת גישה מבוססת-הקשר או כי לא הפעלתם אימות של נקודות קצה.

רמת הגישה

CAA enabled

אישור/חסימה (אפליקציות מקוריות ואתרים)

בנייד

במחשב

נייטיב לנייד

אינטרנט לנייד

בדפדפני אינטרנט במחשבים

מודעות מותאמות למחשב

האם פרסתם אימות של נקודות קצה?

רמת גישה עם מאפייני IP/גיאוגרפיים בלבד

התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד מסומנת*

רמת הגישה הנדרשת

רמת הגישה הנדרשת

לא נדרש

התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד לא מסומנת

הגישה מותרת

רמת הגישה הנדרשת

רמת הגישה הנדרשת

הגישה מותרת

לא נדרש

רמת גישה עם מאפייני מכשיר

 התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד מסומנת*

רמת הגישה הנדרשת

רמת הגישה הנדרשת

כן

התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד מסומנת

רמת הגישה הנדרשת

הגישה חסומה

לא
התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד לא מסומנת

הגישה מותרת

רמת הגישה הנדרשת

רמת הגישה הנדרשת

הגישה מותרת

כן
התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד לא מסומנת הגישה מותרת רמת הגישה הנדרשת הגישה חסומה הגישה מותרת לא

‫* הגדרה מומלצת

הערה: באפליקציית Gemini לנייד, חסימת תוכן מתבצעת בצורה שונה. כששאילתה מפרה רמת גישה, האפליקציה מציגה הודעת תשובה שבה מצוין שהגישה נדחתה, במקום חלון קופץ רגיל. זה לא קורה בשאילתות פשוטות כמו ברכות.

בדיקה או שינוי של רמות הגישה שהוקצו

ההגדרה הזו משמשת להחלת שינויים באופן מקומי, ולא מוצגות בה הקצאות שעברו בירושה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בקטע הקצאת רמות גישה, לוחצים על הקצאת רמות גישה לאפליקציות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  4. בוחרים אפשרות:
    • מעבירים את העכבר מעל אפליקציה ולוחצים על פעולותואזהקצאה.
    • מסמנים את התיבות שליד כמה אפליקציות ואז, מעל רשימת האפליקציות, לוחצים על הקצאה.
  5. בקטע רמות גישה, לוחצים על עריכה.
  6. בקטע רמות גישה, בוחרים אפשרות לכל רמת גישה:
    • כדי לבדוק איך בחירת רמת הגישה תשפיע על המשתמשים בלי לחסום את הגישה בפועל, מסמנים את התיבה מעקב.
    • כדי להתחיל להחיל את רמת הגישה, מסמנים את התיבה פעיל.
  7. לוחצים על שמירה.
  8. בקטע פעולות, לוחצים על עריכה.
  9. בודקים את רמות הגישה שנבחרו כדי לוודא שהן מוגדרות להפעלת הפעולה הרצויה כשלא מתקיימים התנאים של רמת הגישה.
    • חסימה – חסימת הגישה לאפליקציה
    • אזהרה – מאפשר גישה לאפליקציה עם אזהרה
  10. לוחצים על שמירה.
  11. (אופציונלי) כדי לבדוק או לעדכן את ההיקף שבחרתם לרמות הגישה:
    1. בקטע היקף, לוחצים על עריכה.
    2. מבצעים את השינויים הרצויים ולוחצים על שמירה.
  12. (אופציונלי) כדי לבדוק או לעדכן את האפליקציות שבחרתם לרמות הגישה:
    1. בקטע Apps (אפליקציות), לוחצים על Edit (עריכה).
    2. מבצעים את השינויים הרצויים ולוחצים על שמירה.
  13. בקטע הגדרות המדיניות, לוחצים על עריכה.
  14. בודקים את המדיניות שנבחרה כדי לוודא שהיא מוגדרת לחסימת האפליקציות הנכונות. המדיניות יכולה לכלול חסימת גישה לגרסאות למחשב ולנייד של האפליקציות שנבחרו, חסימת גישה של אפליקציות אחרות לאפליקציות שנבחרו באמצעות ממשקי API ופטור של אפליקציות שברשימת ההיתרים.
  15. לוחצים על שמירה.
  16. בקטע מה המדיניות הזו תעשה?, בודקים את ההשפעות של רמות הגישה החדשות מבוססות-ההקשר על הארגון ועל האפליקציות שלו. כדי לעדכן את הבחירות, לצד רמות גישה, פעולות, היקף, אפליקציות או הגדרות מדיניות, לוחצים על עריכה.
  17. לוחצים על הקצאה.

הצגת אירועים שנרשמו ביומן עבור רמת גישה

אפשר להשתמש באפשרות 'צפייה בדוח' כדי לעקוב אחרי רמות הגישה שהוקצו ולוודא שהן פועלות בצורה תקינה ושולטות בגישת המשתמשים לאפליקציות. רמות גישה שמוגדרות במצב מעקב או במצב פעיל יוצרות אירועים שנרשמים ביומן של בקרת גישה מבוססת-הקשר.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בקטע הקצאת רמות גישה, לוחצים על הקצאת רמות גישה לאפליקציות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  4. מעבירים את העכבר מעל אפליקציה ולוחצים על פעולותואזהצגת הדוח.
  5. בצד המסך, לוחצים על הקישור לכלי לחקירת אבטחה כדי להריץ אוטומטית חיפוש של אירועים ביומן של בקרת גישה מבוססת-הקשר עבור האפליקציה שנבחרה.

תוצאות החיפוש כוללות את הפרטים הבאים:

  • באירועים מסוג הגישה נדחתה (מצב הדגמה) מוצגים משתמשים שהגישה שלהם הייתה נחסמת אם רמת הגישה הזו הייתה נאכפת.
  • בעמודה המשתמש/ת מוצג המשתמש החסום.
  • רמות גישה שחלות, מתקיימות (התנאים לגישה מתקיימים) ולא מתקיימות (התנאים לגישה לא מתקיימים)

מידע נוסף זמין במאמר בנושא אירועים ביומן של בקרת גישה מבוססת-הקשר.