После создания уровней доступа вы можете назначить их приложениям. Вы можете контролировать доступ по идентификатору пользователя, состоянию безопасности устройства, IP-адресу и географическому местоположению. Вы также можете контролировать доступ для приложений, пытающихся получить доступ к приложениям Google Workspace, и приложений, пытающихся получить доступ к данным Google Workspace через интерфейсы прикладного программирования (API).
При назначении уровней доступа…
- Выбор уровня доступа по умолчанию устанавливает режим мониторинга . Это гарантирует, что вы случайно не заблокируете пользователей при включении уровня доступа.
- Пользователи получают доступ к приложению, когда соответствуют условиям, указанным в одном из выбранных вами уровней доступа (логическое ИЛИ уровней доступа в списке). Если вы хотите, чтобы пользователи соответствовали условиям более чем одного уровня доступа (логическое И уровней доступа), создайте уровень доступа, содержащий несколько уровней доступа. Если вы хотите назначить приложению более 10 уровней доступа, вы можете использовать вложенные уровни доступа.
- В мобильных приложениях, если вы используете интегрированный Gmail, вы можете одновременно предоставлять или запрещать доступ к Gmail, Google Chat и Google Meet. Если Chat и Meet реализованы как отдельные приложения (а не как часть интегрированного Gmail), вам необходимо предоставлять или запрещать доступ к этим приложениям отдельно.
- Некоторым приложениям для корректной работы необходим доступ к API других приложений. Например, Gmail требует доступа к API календаря, диска и Meet. Google Календалю нужен API задач, а Gemini — API Gmail. При назначении уровней доступа учитывайте эти зависимости, чтобы обеспечить корректную работу приложений.
- Назначение уровня доступа приложению не блокирует автоматически его API. Если вы заблокируете приложение, например Gmail, пользователи не смогут напрямую войти в него. Однако другие приложения или сторонние клиенты по-прежнему могут получать доступ к данным приложения через его API, например, к электронным письмам через API Gmail. Чтобы полностью предотвратить доступ через API, необходимо явно назначить уровни доступа и для API приложения.
Назначьте уровни доступа к приложению.
Перед началом работы: При необходимости изучите, как применить данную методику к конкретному отделу или группе .
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Доступ с учетом контекста .Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .
- Для назначения уровней доступа нажмите «Назначить уровни доступа приложениям» .
- (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).
Настройки группы имеют приоритет над организационными подразделениями. Подробнее.
- Выберите вариант:
- Наведите указатель мыши на приложение и нажмите «Действия». Назначать .
- Отметьте галочками несколько приложений, а затем над списком приложений нажмите «Назначить» .
- Наведите указатель мыши на приложение и нажмите «Действия».
- Чтобы изменить уровни доступа , нажмите «Редактировать» .
- Для каждого уровня доступа выберите соответствующий вариант:
- Чтобы проверить, как выбор уровня доступа повлияет на пользователей, не блокируя при этом доступ, установите флажок «Монитор» .
- Чтобы начать применять уровень доступа, установите флажок «Активный» .
- Нажмите « Сохранить ».
- Для выбора действий нажмите «Редактировать» .
- Выберите «Предупреждение» или «Блокировка» , чтобы указать, какое действие будет выполнено, если для поддерживаемого приложения не будет соблюдена политика активного уровня доступа. Подробную информацию о поддерживаемых приложениях см. в разделе «Поддержка приложений для контекстно-зависимого доступа» на этой странице.
- Нажмите « Сохранить ».
- (Необязательно) Чтобы обновить область действия, выбранную для уровней доступа:
- Для выбора области действия нажмите «Редактировать» .
- Внесите необходимые изменения и нажмите «Сохранить» .
- (Необязательно) Чтобы обновить приложения, которые вы выбрали для своих уровней доступа:
- Для перехода к разделу «Приложения» нажмите «Редактировать» .
- Внесите необходимые изменения и нажмите «Сохранить» .
- Для просмотра настроек политики нажмите «Редактировать» .
- (Рекомендуется) Установите флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если уровни доступа не заданы », чтобы применить уровни доступа к пользователям нативных настольных приложений, приложений для Android и iOS, а также веб-приложений. Подробную информацию о поведении, которое вы можете ожидать после настройки предпочтительных параметров уровня доступа, см. в разделе «Поведение приложения в зависимости от настроек уровня доступа» на этой странице.
- (Необязательно) Чтобы заблокировать попытки приложений получить доступ к данным рабочей области через общедоступные API, установите флажок « Заблокировать доступ других приложений к выбранным приложениям через API, если уровни доступа не соблюдены» .
- (Необязательно) Чтобы исключить доверенные приложения из блокировки через открытые API, установите флажок « Исключить приложения из списка разрешенных, чтобы они всегда могли получать доступ к API для определенных сервисов Google, независимо от уровней доступа» . Эта опция доступна для настройки на уровне подразделения организации, а не группы конфигурации, даже если вы можете выбрать группу в консоли администратора. Подробнее см. раздел «Примеры использования: Исключение доверенных сторонних приложений из блокировки» .
- Если список приложений или приложение, которое вы хотите исключить из списка, не отображается, нажмите « Перейти к управлению доступом к приложениям» и выполните шаги для подтверждения доверия к приложению. Все приложения, которые вы отметили как «Доверенные» на странице «Управление доступом к приложениям», будут перечислены в таблице доверенных приложений. Приложения будут предварительно выбраны, если вы отметили их как доверенные и исключили из проверки API.
- При необходимости выберите приложения, которые вы хотите исключить из принудительного применения API, и нажмите «Продолжить» .
- (Необязательно) Чтобы исключить доверенные приложения из блокировки через открытые API, установите флажок « Исключить приложения из списка разрешенных, чтобы они всегда могли получать доступ к API для определенных сервисов Google, независимо от уровней доступа» . Эта опция доступна для настройки на уровне подразделения организации, а не группы конфигурации, даже если вы можете выбрать группу в консоли администратора. Подробнее см. раздел «Примеры использования: Исключение доверенных сторонних приложений из блокировки» .
- Нажмите « Сохранить ».
- В разделе « Что даст эта политика?» ознакомьтесь с тем, как новые уровни доступа повлияют на вашу организацию и ее приложения. Чтобы изменить выбранные параметры, рядом с пунктами «Уровни доступа» , «Действия» , «Область действия» , «Приложения» или «Параметры политики» нажмите «Изменить» .
- Нажмите «Назначить» .
Вы возвращаетесь на страницу списка приложений. В столбце «Уровни доступа» отображается количество уровней доступа, примененных к каждому приложению как в режиме мониторинга, так и в активном режиме.
Поддержка приложения для контекстно-зависимого доступа
| Приложение Google | Поддержка блочного режима | Поддержка режима предупреждения |
|---|---|---|
| Гмайл | ✔ | ✔ |
| Водить машину | ✔ | ✔ |
| Google Docs (включая Google Sheets и Google Slides) | ✔ | ✔ |
| Календарь | ✔ | ✔ |
| Встретиться | ✔ | Только для веб-версии и Android |
| Чат | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Задачи Google | ✔ | ✔ |
| Близнецы | ✔ | Только для веб-сайта |
| Административная консоль | ✔ | Только для веб-сайта |
| Хранилище Google | ✔ | |
| Сайты Google | ✔ | Только для веб-сайта |
| Google Облачный Поиск | ✔ | |
| Google для бизнеса | ✔ | |
| Google Облако | ✔ | |
| Google Looker Studio | ✔ | |
| Консоль Google Play | ✔ | |
| NotebookLM | ✔ | Только для веб-сайта |
Поведение приложения в зависимости от настроек уровня доступа.
В следующей таблице приведено краткое описание поведения в зависимости от того, установлен ли флажок «Блокировать пользователям доступ к настольным и мобильным приложениям Google, если не соблюдены уровни доступа». и указывается, используете ли вы проверку конечных точек.
Ключевые термины для этой таблицы:
- Применен уровень доступа — Доступ предоставляется на основе уровней доступа, которые вы настроили в конфигурации контекстно-зависимого доступа.
- Доступ разрешен — Контекстно-зависимый доступ не применяется, и разрешен любой доступ.
- Доступ заблокирован — Доступ заблокирован, поскольку не настроен контекстно-зависимый доступ или отключена проверка конечных точек.
Уровень доступа | CAA включен | Разрешить/заблокировать (нативное и веб-приложение) | ||||
Мобильный | Рабочий стол | |||||
Мобильная версия | Мобильный веб-сайт | Веб-версия для настольных компьютеров | Настольные приложения | Внедрена ли проверка конечных точек? | ||
Уровень доступа, основанный только на IP-адресе и географических данных. | Если флажок «Заблокировать доступ пользователей к настольным и мобильным приложениям Google, если не соблюдены уровни доступа» установлен*, это означает, что доступ запрещен. | Применен уровень доступа | Применен уровень доступа | Не требуется | ||
Если флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если уровни доступа не соблюдены» не установлен, значит, эта опция недоступна. | Доступ разрешен | Применен уровень доступа | Применен уровень доступа | Доступ разрешен | Не требуется | |
Уровень доступа с атрибутами устройства | Если флажок «Заблокировать доступ пользователей к настольным и мобильным приложениям Google, если не соблюдены уровни доступа» установлен*, это означает, что доступ запрещен. | Применен уровень доступа | Применен уровень доступа | Да | ||
Если установлен флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если не соблюдены необходимые уровни доступа», значит, эта опция недоступна. | Применен уровень доступа | Доступ заблокирован | Нет | |||
| Если флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если уровни доступа не соблюдены» не установлен, значит, эта опция недоступна. | Доступ разрешен | Применен уровень доступа | Применен уровень доступа | Доступ разрешен | Да | |
| Если флажок «Запретить пользователям доступ к настольным и мобильным приложениям Google, если уровни доступа не соблюдены» не установлен, значит, эта опция недоступна. | Доступ разрешен | Применен уровень доступа | Доступ заблокирован | Доступ разрешен | Нет | |
* Рекомендуемые настройки
Примечание : Мобильное приложение Gemini обрабатывает заблокированный контент иначе. Когда запрос нарушает уровень доступа, приложение отображает ответное сообщение о том, что доступ запрещен, вместо стандартного всплывающего окна. Этого не происходит с простыми запросами, такими как приветствия.
Пересмотрите или измените назначенные уровни доступа.
Этот параметр используется для локального применения изменений и не отображает унаследованные назначения.
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Доступ с учетом контекста .Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .
- Для назначения уровней доступа нажмите «Назначить уровни доступа приложениям» .
- (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).
Настройки группы имеют приоритет над организационными подразделениями. Подробнее.
- Выберите вариант:
- Наведите указатель мыши на приложение и нажмите «Действия». Назначать .
- Отметьте галочками несколько приложений, а затем над списком приложений нажмите «Назначить» .
- Наведите указатель мыши на приложение и нажмите «Действия».
- Чтобы изменить уровни доступа , нажмите «Редактировать» .
- Для каждого уровня доступа выберите соответствующий вариант:
- Чтобы проверить, как выбор уровня доступа повлияет на пользователей, не блокируя при этом доступ, установите флажок «Монитор» .
- Чтобы начать применять уровень доступа, установите флажок «Активный» .
- Нажмите « Сохранить ».
- Для выбора действий нажмите «Редактировать» .
- Проверьте выбранные уровни доступа, чтобы убедиться, что они настроены на запуск нужного вам действия при несоблюдении условий уровня доступа.
- Блокировка — блокирует доступ к приложению.
- Предупреждение — Разрешает доступ к приложению с предупреждением.
- Нажмите « Сохранить ».
- (Необязательно) Чтобы просмотреть или обновить выбранные вами уровни доступа:
- Для выбора области действия нажмите «Редактировать» .
- Внесите необходимые изменения и нажмите «Сохранить» .
- (Необязательно) Чтобы просмотреть или обновить приложения, которые вы выбрали для своих уровней доступа:
- Для перехода к разделу «Приложения» нажмите «Редактировать» .
- Внесите необходимые изменения и нажмите «Сохранить» .
- Для просмотра настроек политики нажмите «Редактировать» .
- Проверьте выбранную вами политику, чтобы убедиться, что она настроена на блокировку нужных приложений. Политика может включать блокировку доступа к настольным и мобильным версиям выбранных вами приложений, блокировку доступа других приложений к выбранным вами приложениям через API, а также исключение приложений из списка разрешенных.
- Нажмите « Сохранить ».
- В разделе « Что даст эта политика?» ознакомьтесь с тем, как новые уровни доступа с учетом контекста повлияют на вашу организацию и ее приложения. Чтобы изменить выбранные параметры, рядом с пунктами «Уровни доступа» , «Действия» , «Область действия» , «Приложения» или «Параметры политики» нажмите «Изменить» .
- Нажмите «Назначить» .
Просмотрите зарегистрированные события для определения уровня доступа.
Используйте параметр «Просмотреть отчет», чтобы отслеживать, правильно ли функционируют назначенные уровни доступа для управления доступом пользователей к приложениям. Уровни доступа, установленные в режим мониторинга или активного режима, генерируют события, которые регистрируются в журнале контекстно-зависимого доступа.
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Доступ с учетом контекста .Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .
- Для назначения уровней доступа нажмите «Назначить уровни доступа приложениям» .
- (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).
Настройки группы имеют приоритет над организационными подразделениями. Подробнее.
- Наведите указатель мыши на приложение и нажмите «Действия». Просмотреть отчет .
- Сбоку щелкните ссылку на инструмент анализа безопасности, чтобы автоматически выполнить поиск событий журнала контекстно-зависимого доступа для выбранного приложения.
Результаты поиска содержат следующую информацию:
- События «Доступ запрещен» (режим мониторинга) показывают пользователей, которые были бы заблокированы, если бы этот уровень доступа был введен в действие.
- В столбце «Актер» отображается заблокированный пользователь.
- Уровни доступа: примененный, удовлетворенный (условия доступа выполнены) и неудовлетворенный (условия доступа не выполнены).
Для получения дополнительной информации см. раздел «События журнала доступа с учетом контекста» .