Dopo aver creato i livelli di accesso, puoi assegnarli in qualsiasi momento alle app. Puoi controllare l'accesso in base a identità dell'utente, stato della sicurezza del dispositivo, indirizzo IP e posizione geografica. Puoi anche controllare l'accesso per le app che tentano di accedere alle app Google Workspace e per le app che tentano di accedere ai dati di Google Workspace tramite API (Application Programming Interface).
Quando assegni i livelli di accesso…
- Al momento della selezione, il livello di accesso viene impostato sulla modalità Monitoraggio per impostazione predefinita. evitando di bloccare inavvertitamente gli utenti quando attivi un livello di accesso.
- L'accesso all'app viene concesso agli utenti quando soddisfano le condizioni specificate in uno solo dei livelli di accesso selezionati (ai livelli di accesso nell'elenco viene applicato l'operatore logico "OR"). Se vuoi che gli utenti soddisfino le condizioni in più di un livello di accesso (ai livelli di accesso viene applicato l'operatore logico AND), crea un livello di accesso che ne contenga altri. Se vuoi assegnare più di 10 livelli di accesso per un'app, puoi usare i livelli di accesso nidificati.
- Per le app mobile, se utilizzi la versione integrata di Gmail, puoi concedere o negare l'accesso a Gmail, Google Chat e Google Meet contemporaneamente. Se Chat e Meet sono implementate come app separate (che non fanno parte della versione integrata di Gmail), devi concedere o negare l'accesso a queste app separatamente.
- Alcune app hanno bisogno dell'accesso API ad altre app per funzionare correttamente. Ad esempio, Gmail ha bisogno dell'accesso alle API Calendar, Drive e Meet. Google Calendar ha bisogno dell'API Tasks e Gemini ha bisogno dell'API Gmail. Quando assegni i livelli di accesso, tieni conto di queste dipendenze per assicurarti che le app funzionino come previsto.
- L'assegnazione di un livello di accesso a un'app non blocca automaticamente la relativa API. Se blocchi un'app, ad esempio Gmail, gli utenti non possono accedere direttamente all'app. Tuttavia, altre app o client di terze parti potrebbero comunque accedere ai dati dell'app tramite la relativa API, ad esempio i messaggi email tramite l'API Gmail. Per impedire l'accesso tramite le API, devi applicare esplicitamente i livelli di accesso anche all'API dell'app.
Assegnare i livelli di accesso a un'app
Prima di iniziare:se necessario, scopri come applicare l'impostazione a un reparto o a un gruppo.
-
Nella Console di amministrazione Google, vai a Menu
SicurezzaAccesso e controllo dei datiAccesso sensibile al contesto.È necessario disporre del livello di accesso Sicurezza dei dati e dei privilegi Gestione regole nonché dei privilegi di lettura Utenti e Gruppi delle API amministrative.
- Per Assegna livelli di accesso, fai clic su Assegna livelli di accesso alle app.
-
(Facoltativo) Per applicare l'impostazione solo per alcuni utenti, seleziona a lato un'unità organizzativa (spesso utilizzata per i reparti) o un gruppo di configurazione (avanzata).
Le impostazioni dei gruppi hanno la precedenza su quelle delle unità organizzative. Scopri di più
- Scegli un'opzione:
- Posiziona il cursore del mouse su un'app e fai clic su AzioniAssegna.
- Seleziona le caselle accanto a più app e poi fai clic su Assegna sopra l'elenco delle app.
- Posiziona il cursore del mouse su un'app e fai clic su Azioni
- Per Livelli di accesso, fai clic su Modifica.
- Per Livelli di accesso, scegli un'opzione per ogni livello di accesso:
- Per verificare gli effetti sugli utenti del livello di accesso selezionato, senza bloccare effettivamente l'accesso, seleziona la casella Monitoraggio.
- Per iniziare ad applicare il livello di accesso, seleziona la casella Attiva.
- Fai clic su Salva.
- Per Azioni, fai clic su Modifica.
- Seleziona Avviso o Blocca per specificare l'azione che verrà eseguita quando una policy di livello di accesso attivo non viene soddisfatta per un'app supportata. Per informazioni dettagliate sulle app supportate, vai a Supporto delle app per l'accesso sensibile al contesto in questa pagina.
- Fai clic su Salva.
- (Facoltativo) Per aggiornare l'ambito selezionato per i livelli di accesso:
- Per Ambito, fai clic su Modifica.
- Apporta le modifiche desiderate e fai clic su Salva.
- (Facoltativo) Per aggiornare le app selezionate per i livelli di accesso:
- Per App, fai clic su Modifica.
- Apporta le modifiche desiderate e fai clic su Salva.
- Per Impostazioni policy, fai clic su Modifica.
- (Consigliato) Seleziona la casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso per applicare i livelli di accesso agli utenti di app e app web e desktop native per Android e iOS. Per informazioni dettagliate sui comportamenti che puoi aspettarti dopo aver configurato le impostazioni del livello di accesso preferito, vai a Comportamento delle app in base alle impostazioni del livello di accesso in questa pagina.
- (Facoltativo) Per impedire alle app di tentare di accedere ai dati di Workspace tramite API pubbliche esposte, seleziona la casella Impedisci ad altre app di accedere alle app selezionate tramite le API, se non vengono soddisfatti i livelli di accesso.
- (Facoltativo) Per impedire che le app attendibili vengano bloccate tramite le API esposte, seleziona la casella Escludi le app incluse nella lista consentita in modo che possano sempre accedere alle API per servizi Google specifici, indipendentemente dai livelli di accesso.
Questa opzione è disponibile per la configurazione in base all'unità organizzativa, non al gruppo di configurazione, anche se puoi selezionare un gruppo nella Console di amministrazione. Per maggiori dettagli, vedi Casi d'uso: escludere il blocco delle app di terze parti attendibili.
- Se non viene visualizzato un elenco di app o l'app che vuoi escludere, fai clic su Vai al controllo accesso app e completa la procedura per impostare l'app come attendibile. Tutte le app che contrassegni come Attendibile nella pagina Controllo accesso app sono elencate nella tabella delle app attendibili. Le app sono preselezionate se le hai contrassegnate come attendibili ed esenti dall'applicazione delle API.
- Se necessario, seleziona le app che vuoi escludere dall'applicazione delle API e fai clic su Continua.
- (Facoltativo) Per impedire che le app attendibili vengano bloccate tramite le API esposte, seleziona la casella Escludi le app incluse nella lista consentita in modo che possano sempre accedere alle API per servizi Google specifici, indipendentemente dai livelli di accesso.
Questa opzione è disponibile per la configurazione in base all'unità organizzativa, non al gruppo di configurazione, anche se puoi selezionare un gruppo nella Console di amministrazione. Per maggiori dettagli, vedi Casi d'uso: escludere il blocco delle app di terze parti attendibili.
- Fai clic su Salva.
- Per Che cosa farà questa policy?, esamina gli effetti che i nuovi livelli di accesso avranno sulla tua organizzazione e sulle sue app. Per aggiornare le selezioni, fai clic su Modifica accanto a Livelli di accesso, Azioni, Ambito, App o Impostazioni delle policy.
- Fai clic su Assegna.
Tornerai alla pagina con l'elenco delle app. La colonna Livelli di accesso mostra il numero di livelli di accesso applicati a ogni app sia in modalità di monitoraggio che in modalità attiva.
Supporto delle app per l'accesso sensibile al contesto
| App Google | Supporto della modalità di blocco | Supporto della modalità Avviso |
|---|---|---|
| Gmail | ✔ | ✔ |
| Drive | ✔ | ✔ |
| Documenti Google (inclusi Fogli Google e Presentazioni Google) | ✔ | ✔ |
| Calendar | ✔ | ✔ |
| Meet | ✔ | Solo web e Android |
| Chat | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Google Tasks | ✔ | ✔ |
| Gemini | ✔ | Solo Web |
| Console di amministrazione | ✔ | Solo Web |
| Google Vault | ✔ | |
| Google Sites | ✔ | Solo Web |
| Google Cloud Search | ✔ | |
| Google for Business | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play Console | ✔ | |
| NotebookLM | ✔ | Solo Web |
Comportamento delle app in base alle impostazioni del livello di accesso
Nella tabella seguente è riportato in sintesi il comportamento derivante dalla selezione, o dalla mancata selezione, della casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso e dalla scelta di implementare o meno la verifica degli endpoint.
Parole chiave per questa tabella:
- Livello di accesso applicato: l'accesso è consentito sulla base dei livelli che hai impostato nella configurazione dell'accesso sensibile al contesto.
- Accesso consentito: l'accesso sensibile al contesto non è stato applicato e sono consentiti tutti gli accessi.
- Accesso bloccato: l'accesso sensibile al contesto non è stato configurato o la verifica degli endpoint non è attiva.
|
Livello di accesso |
Accesso sensibile al contesto (CAA) attivato |
Consenti/blocca (app native e web) |
||||
|
Dispositivo mobile |
Computer |
|||||
|
Nativa mobile |
Web mobile |
Web desktop |
Nativa desktop |
Verifica degli endpoint implementata? |
||
|
Livello di accesso con i soli attributi IP/Geo |
Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso selezionata* |
Livello di accesso applicato |
Livello di accesso applicato |
Non obbligatoria |
||
|
Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso non selezionata |
Accesso consentito |
Livello di accesso applicato |
Livello di accesso applicato |
Accesso consentito |
Non obbligatoria |
|
|
Livello di accesso con attributi dispositivo |
Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso selezionata* |
Livello di accesso applicato |
Livello di accesso applicato |
Sì |
||
|
Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso selezionata |
Livello di accesso applicato |
Accesso bloccato |
No |
|||
| Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso non selezionata |
Accesso consentito |
Livello di accesso applicato |
Livello di accesso applicato |
Accesso consentito |
Sì |
|
| Casella Impedisci agli utenti di accedere alle app mobile e per desktop Google se non vengono soddisfatti i livelli di accesso non selezionata | Accesso consentito | Livello di accesso applicato | Accesso bloccato | Accesso consentito | No | |
* Impostazione consigliata
Nota: l'app mobile Gemini gestisce i contenuti bloccati in modo diverso. Quando una query viola un livello di accesso, l'app mostra un messaggio di risposta che indica che l'accesso è stato negato, anziché una finestra popup standard. Ciò non accade per query semplici come i saluti.
Esaminare o modificare i livelli di accesso assegnati
Questa impostazione consente di applicare le modifiche localmente, ma non mostra le assegnazioni ereditate.
-
Nella Console di amministrazione Google, vai a Menu
SicurezzaAccesso e controllo dei datiAccesso sensibile al contesto.È necessario disporre del livello di accesso Sicurezza dei dati e dei privilegi Gestione regole nonché dei privilegi di lettura Utenti e Gruppi delle API amministrative.
- Per Assegna livelli di accesso, fai clic su Assegna livelli di accesso alle app.
-
(Facoltativo) Per applicare l'impostazione solo per alcuni utenti, seleziona a lato un'unità organizzativa (spesso utilizzata per i reparti) o un gruppo di configurazione (avanzata).
Le impostazioni dei gruppi hanno la precedenza su quelle delle unità organizzative. Scopri di più
- Scegli un'opzione:
- Posiziona il cursore del mouse su un'app e fai clic su AzioniAssegna.
- Seleziona le caselle accanto a più app e poi fai clic su Assegna sopra l'elenco delle app.
- Posiziona il cursore del mouse su un'app e fai clic su Azioni
- Per Livelli di accesso, fai clic su Modifica.
- Per Livelli di accesso, scegli un'opzione per ogni livello di accesso:
- Per verificare gli effetti sugli utenti del livello di accesso selezionato, senza bloccare effettivamente l'accesso, seleziona la casella Monitoraggio.
- Per iniziare ad applicare il livello di accesso, seleziona la casella Attiva.
- Fai clic su Salva.
- Per Azioni, fai clic su Modifica.
- Rivedi i livelli di accesso selezionati per verificare se sono impostati per attivare l'azione che vuoi quando le condizioni del livello di accesso non vengono soddisfatte.
- Blocca: blocca l'accesso all'app
- Avviso: consente l'accesso all'app con un avviso
- Fai clic su Salva.
- (Facoltativo) Per rivedere o aggiornare l'ambito selezionato per i livelli di accesso:
- Per Ambito, fai clic su Modifica.
- Apporta le modifiche desiderate e fai clic su Salva.
- (Facoltativo) Per rivedere o aggiornare le app selezionate per i livelli di accesso:
- Per App, fai clic su Modifica.
- Apporta le modifiche desiderate e fai clic su Salva.
- Per Impostazioni policy, fai clic su Modifica.
- Rivedi la norma selezionata per verificare se è impostata per bloccare le app giuste. Le norme possono includere il blocco dell'accesso alle versioni desktop e mobile delle app selezionate, il blocco dell'accesso di altre app alle app selezionate tramite le API e l'esenzione delle app consentite.
- Fai clic su Salva.
- Per Che cosa farà questa policy?, esamina gli effetti che i nuovi livelli di accesso sensibile al contesto avranno sulla tua organizzazione e sulle sue app. Per aggiornare le selezioni, fai clic su Modifica accanto a Livelli di accesso, Azioni, Ambito, App o Impostazioni delle policy.
- Fai clic su Assegna.
Visualizzare gli eventi registrati per un livello di accesso
L'opzione Visualizza report consente di monitorare i livelli di accesso assegnati, per verificare se funzionano correttamente e controllare l'accesso alle app da parte degli utenti. I livelli di accesso impostati sulla modalità di monitoraggio o sulla modalità attiva generano eventi che vengono registrati nel log di accesso sensibile al contesto.
-
Nella Console di amministrazione Google, vai a Menu
SicurezzaAccesso e controllo dei datiAccesso sensibile al contesto.È necessario disporre del livello di accesso Sicurezza dei dati e dei privilegi Gestione regole nonché dei privilegi di lettura Utenti e Gruppi delle API amministrative.
- Per Assegna livelli di accesso, fai clic su Assegna livelli di accesso alle app.
-
(Facoltativo) Per applicare l'impostazione solo per alcuni utenti, seleziona a lato un'unità organizzativa (spesso utilizzata per i reparti) o un gruppo di configurazione (avanzata).
Le impostazioni dei gruppi hanno la precedenza su quelle delle unità organizzative. Scopri di più
- Posiziona il cursore del mouse su un'app e fai clic su AzioniVisualizza report.
- A lato, fai clic sul link allo strumento di indagine sulla sicurezza per eseguire automaticamente una ricerca di eventi del log di accesso sensibile al contesto per l'app selezionata.
I risultati della ricerca includono le seguenti informazioni:
- Gli eventi Accesso negato (modalità di monitoraggio) mostrano gli utenti che sarebbero stati bloccati se questo livello di accesso fosse applicato forzatamente.
- La colonna Attore, che mostra l'utente bloccato.
- I livelli di accesso applicati, rispettati (condizioni di accesso soddisfatte) e non rispettati (condizioni di accesso non soddisfatte)
Per ulteriori informazioni, vedi Eventi dei log di accesso sensibile al contesto.