Po utworzeniu poziomów dostępu możesz przypisać je do aplikacji. Możesz kontrolować dostęp na podstawie tożsamości użytkownika, stanu zabezpieczeń urządzenia, adresu IP i lokalizacji geograficznej. Możesz też kontrolować aplikacje, które próbują uzyskać dostęp do aplikacji Google Workspace, oraz aplikacje próbujące uzyskać dostęp do danych Google Workspace przy użyciu interfejsów API.
Gdy przypisujesz poziomy dostępu…
- Po wybraniu poziomu dostępu zostanie dla niego automatycznie ustawiony tryb monitorowania. Dzięki temu nie zablokujesz nieumyślnie użytkowników, gdy włączysz poziom dostępu.
- Użytkownicy otrzymują dostęp do aplikacji, gdy spełniają warunki określone w tylko jednym z wybranych poziomów dostępu (jest sprawdzana suma logiczna „LUB” poziomów dostępu na liście). Jeśli chcesz, aby użytkownicy musieli spełnić warunki wielu poziomów dostępu (logiczne „I” poziomów dostępu), utwórz poziom dostępu zawierający wiele poziomów dostępu. Jeśli chcesz przypisać więcej niż 10 poziomów dostępu do aplikacji, możesz to zrobić za pomocą zagnieżdżonych poziomów dostępu.
- W przypadku aplikacji mobilnych, jeśli używasz zintegrowanego Gmaila, możesz przyznawać i odbierać dostęp do Gmaila, Google Chat oraz Google Meet jednocześnie. Jeśli usługi Google Chat i Meet są zaimplementowane jako osobne aplikacje (nie są częścią zintegrowanego Gmaila), musisz oddzielnie przyznać lub odrzucić dostęp do tych aplikacji.
- Niektóre aplikacje potrzebują dostępu do interfejsu API innych aplikacji, aby działać prawidłowo. Na przykład Gmail potrzebuje dostępu do interfejsów API Kalendarza, Dysku i Meet. Kalendarz Google potrzebuje interfejsu Tasks API, a Gemini – interfejsu Gmail API. Podczas przypisywania poziomów dostępu weź pod uwagę te zależności, aby zapewnić prawidłowe działanie aplikacji.
- Przypisanie poziomu dostępu do aplikacji nie powoduje automatycznego zablokowania jej interfejsu API. Jeśli zablokujesz aplikację, np. Gmaila, użytkownicy nie będą mogli się w niej bezpośrednio logować. Jednak inne aplikacje lub klienci innych firm mogą nadal uzyskiwać dostęp do danych aplikacji przez interfejs API, np. do wiadomości e-mail przez interfejs Gmail API. Aby zapobiec wszelkiemu dostępowi przez interfejsy API, musisz wyraźnie zastosować poziomy dostępu również do interfejsu API aplikacji.
Przypisywanie poziomów dostępu do aplikacji
Zanim zaczniesz: w razie potrzeby dowiedz się, jak zastosować ustawienie w dziale lub grupie.
-
W konsoli administracyjnej Google otwórz Menu
BezpieczeństwoDostęp do danych i kontrola nad nimiDostęp zależny od kontekstu.Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.
- W sekcji Przypisywanie poziomów dostępu kliknij Przypisywanie poziomów dostępu do aplikacji.
-
(Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).
Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji
- Wybierz opcję:
- Wskaż aplikację i kliknij DziałaniaPrzypisz.
- Zaznacz pola obok kilku aplikacji, a następnie kliknij Przypisz nad listą aplikacji.
- Wskaż aplikację i kliknij Działania
- W sekcji Poziomy dostępu kliknij Edytuj.
- W sekcji Poziomy dostępu wybierz opcję dla każdego poziomu dostępu:
- Aby bez blokowania dostępu sprawdzić, jak wybór poziomu dostępu wpłynie na użytkowników, zaznacz pole Monitor.
- Aby zacząć stosować poziom dostępu, zaznacz pole Aktywny.
- Kliknij Zapisz.
- W sekcji Działania kliknij Edytuj.
- Wybierz Ostrzegaj lub Zablokuj, aby określić, jakie działanie ma być wykonywane, gdy wymogi aktywnej zasady poziomu dostępu nie są spełnione w przypadku obsługiwanej aplikacji. Szczegółowe informacje o obsługiwanych aplikacjach znajdziesz w sekcji Obsługa dostępu zależnego od kontekstu w aplikacjach na tej stronie.
- Kliknij Zapisz.
- (Opcjonalnie) Aby zaktualizować zakres wybrany dla poziomów dostępu:
- W sekcji Zakres kliknij Edytuj.
- Wprowadź zmiany i kliknij Zapisz.
- (Opcjonalnie) Aby zaktualizować aplikacje wybrane dla poziomów dostępu:
- W sekcji Aplikacje kliknij Edytuj.
- Wprowadź zmiany i kliknij Zapisz.
- W sekcji Ustawienia zasad kliknij Edytuj.
- (Zalecane) Zaznacz pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu, aby poziomy dostępu były stosowane do użytkowników natywnych aplikacji komputerowych, aplikacji na Androida i iOS oraz aplikacji internetowych. Szczegółowe informacje o działaniach, których możesz się spodziewać po skonfigurowaniu preferowanych ustawień poziomu dostępu, znajdziesz na tej stronie w sekcji Działanie aplikacji na podstawie ustawień poziomu dostępu.
- (Opcjonalnie) Aby uniemożliwić aplikacjom uzyskiwanie dostępu do danych Workspace przez ujawnione publiczne interfejsy API, zaznacz pole Blokuj innym aplikacjom dostęp do wybranych aplikacji przez interfejsy API, jeśli poziomy dostępu nie są zgodne.
- (Opcjonalnie) Aby umożliwić zaufanym aplikacjom uzyskiwanie dostępu przez ujawnione interfejsy API, zaznacz pole Wyklucz z blokad aplikacje na liście dozwolonych, aby zawsze miały dostęp do interfejsów API określonych usług Google niezależnie od poziomów dostępu.
Tę opcję można skonfigurować na poziomie jednostki organizacyjnej, a nie grupy konfiguracji, mimo że można wybrać grupę w konsoli administracyjnej. Więcej informacji znajdziesz w artykule Przypadki użycia: usuwanie zaufanych aplikacji innych firm z listy blokowanych aplikacji.
- Jeśli nie widzisz listy aplikacji lub aplikacji, którą chcesz usunąć z listy, kliknij Otwórz kontrolę dostępu do aplikacji i wykonaj odpowiednie czynności, aby oznaczyć aplikację jako zaufaną. Wszystkie aplikacje oznaczone jako zaufane na stronie kontroli dostępu do aplikacji są wymienione w tabeli zaufanych aplikacji. Aplikacje są wstępnie wybrane, jeśli zostały przez Ciebie oznaczone jako zaufane i wykluczone z egzekwowania zasad interfejsu API.
- W razie potrzeby wybierz aplikacje, które nie mają być objęte ograniczeniami dotyczącymi interfejsu API, i kliknij Dalej.
- (Opcjonalnie) Aby umożliwić zaufanym aplikacjom uzyskiwanie dostępu przez ujawnione interfejsy API, zaznacz pole Wyklucz z blokad aplikacje na liście dozwolonych, aby zawsze miały dostęp do interfejsów API określonych usług Google niezależnie od poziomów dostępu.
Tę opcję można skonfigurować na poziomie jednostki organizacyjnej, a nie grupy konfiguracji, mimo że można wybrać grupę w konsoli administracyjnej. Więcej informacji znajdziesz w artykule Przypadki użycia: usuwanie zaufanych aplikacji innych firm z listy blokowanych aplikacji.
- Kliknij Zapisz.
- W sekcji Jaki wpływ będzie miała ta zasada? sprawdź, jaki wpływ będą miały nowe poziomy dostępu na Twoją organizację i jej aplikacje. Aby zaktualizować wybór, obok opcji Poziomy dostępu, Działania, Zakres, Aplikacje lub Ustawienia zasad kliknij Edytuj.
- Kliknij Przypisz.
Wrócisz do strony z listą aplikacji. Kolumna Poziomy dostępu pokazuje liczbę poziomów dostępu zastosowanych do każdej aplikacji w trybie monitorowania i trybie aktywnym.
Aplikacje obsługujące dostęp zależny od kontekstu
| Aplikacja Google | Obsługa trybu blokowania | Obsługa trybu ostrzegania |
|---|---|---|
| Gmail | ✔ | ✔ |
| Dysk | ✔ | ✔ |
| Dokumenty Google (w tym Arkusze i Prezentacje Google) | ✔ | ✔ |
| Kalendarz | ✔ | ✔ |
| Meet | ✔ | Tylko w wersji internetowej i na Androida |
| Czat | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Lista zadań Google | ✔ | ✔ |
| Gemini | ✔ | Tylko online |
| Konsola administracyjna | ✔ | Tylko online |
| Google Vault | ✔ | |
| Witryny Google | ✔ | Tylko online |
| Google Cloud Search | ✔ | |
| Google dla firm | ✔ | |
| Google Cloud | ✔ | |
| Looker Studio od Google | ✔ | |
| Konsola Google Play | ✔ | |
| NotebookLM | ✔ | Tylko online |
Działanie aplikacji na podstawie ustawień poziomu dostępu
Tabela poniżej pokazuje efekty zaznaczenia pola wyboru Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu oraz wdrożenia weryfikacji punktów końcowych.
Najważniejsze terminy użyte w tej tabeli:
- Poziom dostępu zastosowany – dostęp przyznawany jest na podstawie poziomów dostępu ustawionych w ramach konfiguracji dostępu zależnego od kontekstu.
- Dostęp przyznany – nie skonfigurowano dostępu zależnego od kontekstu i każdy rodzaj dostępu jest dozwolony.
- Dostęp zablokowany – dostęp jest zablokowany, ponieważ nie skonfigurowano dostępu zależnego od kontekstu lub nie wdrożono weryfikacji punktów końcowych.
|
Poziom dostępu |
Dostęp zależny od kontekstu włączony |
Dostęp przyznany/zablokowany (aplikacje natywne i internetowe) |
||||
|
Urządzenia mobilne |
Komputer |
|||||
|
Aplikacje natywne (na urządzenia mobilne) |
Internet mobilny |
Strona na komputer |
Aplikacje natywne (na komputer) |
Czy wdrożono weryfikację punktów końcowych? |
||
|
Poziom dostępu tylko na podstawie adresu IP/danych geograficznych |
Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu jest zaznaczone* |
Zastosowany poziom dostępu |
Zastosowany poziom dostępu |
Niewymagane |
||
|
Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu nie jest zaznaczone |
Dostęp przyznany |
Zastosowany poziom dostępu |
Zastosowany poziom dostępu |
Dostęp przyznany |
Niewymagane |
|
|
Poziom dostępu na podstawie atrybutów urządzenia |
Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu jest zaznaczone* |
Zastosowany poziom dostępu |
Zastosowany poziom dostępu |
Tak |
||
|
Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu jest zaznaczone |
Zastosowany poziom dostępu |
Dostęp zablokowany |
Nie |
|||
| Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu nie jest zaznaczone |
Dostęp przyznany |
Zastosowany poziom dostępu |
Zastosowany poziom dostępu |
Dostęp przyznany |
Tak |
|
| Pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu nie jest zaznaczone | Dostęp przyznany | Zastosowany poziom dostępu | Dostęp zablokowany | Dostęp przyznany | Nie | |
* Zalecane ustawienie
Uwaga: aplikacja mobilna Gemini obsługuje zablokowane treści w inny sposób. Gdy zapytanie narusza poziom dostępu, aplikacja wyświetla odpowiedź z informacją o odmowie dostępu, a nie standardowe wyskakujące okienko. Nie dotyczy to prostych zapytań, takich jak powitania.
Przeglądanie lub modyfikowanie przypisanych poziomów dostępu
To ustawienie służy do stosowania zmian lokalnie i nie wyświetla dziedziczonych przypisań.
-
W konsoli administracyjnej Google otwórz Menu
BezpieczeństwoDostęp do danych i kontrola nad nimiDostęp zależny od kontekstu.Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.
- W sekcji Przypisywanie poziomów dostępu kliknij Przypisywanie poziomów dostępu do aplikacji.
-
(Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).
Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji
- Wybierz opcję:
- Wskaż aplikację i kliknij DziałaniaPrzypisz.
- Zaznacz pola obok kilku aplikacji, a następnie kliknij Przypisz nad listą aplikacji.
- Wskaż aplikację i kliknij Działania
- W sekcji Poziomy dostępu kliknij Edytuj.
- W sekcji Poziomy dostępu wybierz opcję dla każdego poziomu dostępu:
- Aby bez blokowania dostępu sprawdzić, jak wybór poziomu dostępu wpłynie na użytkowników, zaznacz pole Monitor.
- Aby zacząć stosować poziom dostępu, zaznacz pole Aktywny.
- Kliknij Zapisz.
- W sekcji Działania kliknij Edytuj.
- Sprawdź, czy wybrane poziomy dostępu są skonfigurowane tak, aby wywoływać odpowiednie działanie, gdy ich warunki nie są spełnione.
- Zablokuj – blokuje dostęp do aplikacji.
- Ostrzegaj – wyświetla ostrzeżenie, ale zezwala na dostęp do aplikacji.
- Kliknij Zapisz.
- (Opcjonalnie) Aby sprawdzić lub zaktualizować zakres wybrany dla poziomów dostępu:
- W sekcji Zakres kliknij Edytuj.
- Wprowadź zmiany i kliknij Zapisz.
- (Opcjonalnie) Aby sprawdzić lub zaktualizować aplikacje wybrane dla poziomów dostępu:
- W sekcji Aplikacje kliknij Edytuj.
- Wprowadź zmiany i kliknij Zapisz.
- W sekcji Ustawienia zasad kliknij Edytuj.
- Sprawdź, czy wybrane zasady blokują odpowiednie aplikacje. Zasady mogą obejmować blokowanie dostępu do wersji komputerowych i mobilnych wybranych aplikacji, blokowanie dostępu innych aplikacji do wybranych aplikacji za pomocą interfejsów API oraz wykluczanie z blokowania aplikacji na liście dozwolonych.
- Kliknij Zapisz.
- W sekcji Jaki wpływ będzie miała ta zasada? sprawdź, jaki wpływ będą miały nowe poziomy dostępu zależnego od kontekstu na Twoją organizację i jej aplikacje. Aby zaktualizować wybór, obok opcji Poziomy dostępu, Działania, Zakres, Aplikacje lub Ustawienia zasad kliknij Edytuj.
- Kliknij Przypisz.
Wyświetlanie zarejestrowanych zdarzeń dotyczących poziomu dostępu
Korzystając z opcji Wyświetl raport, możesz sprawdzić, czy przypisane poziomy dostępu działają prawidłowo, i kontrolować dostęp użytkowników do aplikacji. Poziomy dostępu ustawione na tryb monitorowania lub tryb aktywny generują zdarzenia rejestrowane w dzienniku dostępu zależnego od kontekstu.
-
W konsoli administracyjnej Google otwórz Menu
BezpieczeństwoDostęp do danych i kontrola nad nimiDostęp zależny od kontekstu.Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.
- W sekcji Przypisywanie poziomów dostępu kliknij Przypisywanie poziomów dostępu do aplikacji.
-
(Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).
Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji
- Wskaż aplikację i kliknij DziałaniaWyświetl raport.
- Z boku kliknij link do narzędzia do analizy zagrożeń, aby automatycznie wyszukać zdarzenia z dziennika dostępu zależnego od kontekstu dotyczące wybranej aplikacji.
Wyniki wyszukiwania będą zawierać te informacje:
- Zdarzenia odmowy dostępu (tryb monitorowania) pokazują użytkowników, którzy zostaliby zablokowani, gdyby dany poziom dostępu był wymuszony.
- Kolumna Użytkownik, który wykonał czynność zawiera informacje o zablokowanym użytkowniku.
- Zastosowane poziomy dostępu, spełnione (spełnione warunki dostępu) i niespełnione (niespełnione warunki dostępu).
Więcej informacji znajdziesz w artykule Zdarzenia z dziennika dostępu zależnego od kontekstu.