创建访问权限级别后,就可以将它们分配给应用了。您可以按用户身份、设备安全状态、IP 地址和地理位置来控制访问权限。您还可以控制尝试访问 Google Workspace 应用的应用以及尝试通过应用编程接口 (API) 访问 Google Workspace 数据的应用的访问权限。
分配访问权限级别时…
- 选择访问权限级别后,系统会默认将其设置为监控模式。这样可以确保您不会在启用访问权限级别时无意中阻止用户访问。
- 只要用户符合您所选择的访问权限级别之一中指定的条件(列表中各访问权限级别之间的逻辑关系是“或”),系统就会授予用户访问该应用的权限。如果您希望用户满足多个访问权限级别中的条件(访问权限级别之间的逻辑关系是“与”),则需要创建包含多个访问权限级别的访问权限级别。如果您想为某个应用分配超过 10 个访问权限级别,则可以使用嵌套访问权限级别。
- 对于移动应用,如果您使用一体化 Gmail,则可以一次授予或拒绝对 Gmail、Google Chat 和 Google Meet 的访问权限。如果 Chat 和 Meet 是作为独立的应用(不作为一体化 Gmail 的一部分)使用,那么您就需要分别授予或拒绝对这些应用的访问权限。
- 某些应用需要访问其他应用的 API 才能正常运行。例如,Gmail 需要访问 Google 日历、云端硬盘和 Meet API。Google 日历需要 Tasks API,而 Gemini 需要 Gmail API。分配访问权限级别时,请考虑这些依赖项,以确保应用按预期运行。
- 为应用分配访问权限级别并不会自动阻止其 API。如果您屏蔽某个应用(例如 Gmail),用户将无法直接登录该应用。不过,其他应用或第三方客户端可能仍可通过该应用的 API 访问其数据,例如通过 Gmail API 访问电子邮件。如需阻止通过 API 进行的所有访问,您还必须明确将访问权限级别应用于应用的 API。
为应用分配访问权限级别
准备工作:如果需要,请了解如何将设置应用于部门或群组。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件情境感知访问权限。需要数据安全访问权限级别管理和规则管理权限以及 Admin API 群组和用户读取权限。
- 对于分配访问权限级别,请点击为应用分配访问权限级别。
-
(可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门(对于部门来说这是常用选项)或配置群组(高级)。
群组设置会覆盖组织部门的设置。了解详情
- 选择相应选项:
- 将光标指向某个应用,然后依次点击操作分配。
- 勾选多个应用旁边的复选框,然后点击应用列表上方的分配。
- 将光标指向某个应用,然后依次点击操作
- 对于访问权限级别,点击修改。
- 对于访问权限级别,每个访问权限级别选择一个选项:
- 如需在不实际阻止访问权限的情况下,测试选择访问权限级别会对用户有何影响,请勾选监控复选框。
- 如需开始应用访问权限级别,请勾选活跃框。
- 点击保存。
- 在操作中,点击修改。
- 选择警告或阻止,以指定当受支持的应用不符合活跃访问权限级别政策时会发生什么情况。 如需详细了解受支持的应用,请参阅本页面上的情境感知访问权限的应用支持。
- 点击保存。
- (可选)如需更新为访问权限级别选择的范围,请执行以下操作:
- 对于范围,点击修改。
- 进行更改,然后点击保存。
- (可选)如需更新您为访问权限级别选择的应用,请执行以下操作:
- 对于应用,点击修改。
- 进行更改,然后点击保存。
- 对于政策设置,点击修改。
- (推荐)勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框,为原生桌面应用、Android 应用、iOS 应用、Web 应用的用户应用访问权限级别。如需详细了解在配置首选访问权限级别设置后,应用可能会出现的行为,请参阅本页面上的基于访问权限级别设置的应用行为。
- (可选)如需阻止应用通过公开的公共 API 尝试访问 Workspace 数据,请勾选阻止其他应用通过 API 访问所选应用(如果不符合访问权限级别)复选框。
- (可选)如需使受信任的应用能够通过公开的 API 访问 Workspace 数据,请勾选豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何)复选框。
此选项适用于按组织部门进行配置,而不是按配置群组进行配置,即使您可以在管理控制台中选择群组也是如此。如需了解详情,请参阅用例:不阻止受信任的第三方应用。
- 如果您要豁免的应用或应用列表未显示,请点击前往应用访问权限控制,然后完成信任该应用的步骤。您在“应用访问权限控制”页面上标记为受信任的所有应用都会列在受信任的应用表格中。如果您已将某些应用标记为“受信任”并使其不受限于 API 强制执行,则这些应用会预先选中。
- 如果需要,请选择不受限于 API 强制执行的应用,然后点击继续。
- (可选)如需使受信任的应用能够通过公开的 API 访问 Workspace 数据,请勾选豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何)复选框。
此选项适用于按组织部门进行配置,而不是按配置群组进行配置,即使您可以在管理控制台中选择群组也是如此。如需了解详情,请参阅用例:不阻止受信任的第三方应用。
- 点击保存。
- 对于此政策的作用是什么?,请查看新的访问权限级别对组织及其应用的影响。如需更新选择,请点击访问权限级别、操作、范围、应用或政策设置旁边的修改。
- 点击分配。
系统会返回到应用列表页面。“访问权限级别”列显示了监控模式和活跃模式下应用于各个应用的访问权限级别的数量。
应用对情境感知访问权限的支持
| Google 应用 | 支持屏蔽模式 | 支持警告模式 |
|---|---|---|
| Gmail | ✔ | ✔ |
| 云端硬盘 | ✔ | ✔ |
| Google 文档(包括 Google 表格和 Google 幻灯片) | ✔ | ✔ |
| 日历 | ✔ | ✔ |
| Meet | ✔ | 仅限网页版和 Android 版 |
| 聊天 | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Google Tasks | ✔ | ✔ |
| Gemini | ✔ | 仅限网页 |
| 管理控制台中) | ✔ | 仅限网页 |
| Google Vault | ✔ | |
| Google 协作平台 | ✔ | 仅限网页 |
| Google Cloud Search | ✔ | |
| Google 企业 | ✔ | |
| Google Cloud | ✔ | |
| Google Looker 数据洞察 | ✔ | |
| Google Play 管理中心 | ✔ | |
| NotebookLM | ✔ | 仅限网页 |
基于访问权限级别设置的应用行为
以下表格总结了是否勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别) 复选框和是否部署端点验证所对应的行为。
此表格中的重要术语:
- 应用访问权限级别 - 根据您在情境感知访问权限配置中设置的访问权限级别来授予访问权限。
- 允许访问 - 未采用情境感知访问权限,允许任意访问。
- 禁止访问 - 由于未配置情境感知访问权限或者您尚未启用端点验证,导致访问被禁止。
|
访问权限级别 |
已启用 CAA |
允许/禁止(原生应用和 Web 应用) |
||||
|
移动设备 |
桌面设备 |
|||||
|
移动原生广告 |
移动网站 |
桌面版网站 |
桌面原生广告 |
部署了端点验证? |
||
|
仅包含 IP/地理属性的访问权限级别 |
已勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框* |
已应用访问权限级别 |
已应用访问权限级别 |
不需要 |
||
|
未勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框 |
允许访问 |
已应用访问权限级别 |
已应用访问权限级别 |
允许访问 |
不需要 |
|
|
包含设备属性的访问权限级别 |
已勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框* |
已应用访问权限级别 |
已应用访问权限级别 |
是 |
||
|
已勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框 |
已应用访问权限级别 |
已阻止访问权限 |
否 |
|||
| 未勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框 |
允许访问 |
已应用访问权限级别 |
已应用访问权限级别 |
允许访问 |
是 |
|
| 未勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框 | 允许访问 | 已应用访问权限级别 | 已阻止访问权限 | 允许访问 | 否 | |
* 推荐设置
注意:Gemini 移动应用会以不同方式处理被屏蔽的内容。当查询违反访问权限级别时,应用会显示一条回复消息(而非标准弹出式窗口),提示访问已被拒绝。简单查询(例如问候)不会发生这种情况。
查看或修改已分配的访问权限级别
此设置用于在本地应用更改,不会显示继承的分配。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件情境感知访问权限。 - 对于分配访问权限级别,请点击为应用分配访问权限级别。
-
(可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门(对于部门来说这是常用选项)或配置群组(高级)。
群组设置会覆盖组织部门的设置。了解详情
- 选择相应选项:
- 将光标指向某个应用,然后依次点击操作分配。
- 勾选多个应用旁边的复选框,然后点击应用列表上方的分配。
- 将光标指向某个应用,然后依次点击操作
- 对于访问权限级别,点击修改。
- 对于访问权限级别,每个访问权限级别选择一个选项:
- 如需在不实际阻止访问权限的情况下,测试选择访问权限级别会对用户有何影响,请勾选监控复选框。
- 如需开始应用访问权限级别,请勾选活跃框。
- 点击保存。
- 在操作中,点击修改。
- 查看您选择的访问权限级别,验证它们是否设置为在未满足访问权限级别条件时触发您所需的操作。
- 阻止 - 阻止对应用的访问权限
- 警告 - 允许访问应用,但会显示警告
- 点击保存。
- (可选)如需查看或更新您为访问权限级别选择的范围,请执行以下操作:
- 对于范围,点击修改。
- 进行更改,然后点击保存。
- (可选)如需查看或更新您为访问权限级别选择的应用,请执行以下操作:
- 对于应用,点击修改。
- 进行更改,然后点击保存。
- 对于政策设置,点击修改。
- 查看您选择的政策,验证其是否设置为阻止正确的应用。该政策可以包括:阻止访问所选应用的桌面版和移动版、阻止其他应用使用 API 访问所选应用,以及豁免已列入许可名单的应用。
- 点击保存。
- 对于此政策的作用是什么?,请查看新的情境感知访问权限对组织及其应用的影响。如需更新选择,请点击访问权限级别、操作、范围、应用或政策设置旁边的修改。
- 点击分配。
查看针对访问权限级别的记录事件
使用“查看报告”选项可跟踪您分配的访问权限级别是否正常运作,以控制用户对应用的访问权限。如果访问权限级别设置为监控模式或活跃模式,则系统会生成记录在情境感知访问权限日志中的事件。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件情境感知访问权限。 - 对于分配访问权限级别,请点击为应用分配访问权限级别。
-
(可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门(对于部门来说这是常用选项)或配置群组(高级)。
群组设置会覆盖组织部门的设置。了解详情
- 将光标指向某个应用,然后依次点击操作查看报告。
- 在侧边栏中,点击安全调查工具的链接,以自动搜索所选应用的情境感知访问权限日志事件。
搜索结果包含以下信息:
- 访问遭拒(监控模式)事件会显示如果强制执行此访问权限级别,哪些用户会被阻止。
- 操作者列会显示被阻止的用户。
- 已应用、已满足(符合访问条件)和不满足(不符合访问条件)的访问权限级别
如需了解详情,请参阅情境感知访问权限日志事件。