建立存取層級後,即可將層級指派給應用程式。您可以根據使用者身分、裝置安全性狀態、IP 位址和地理位置來控管存取權,也可以透過應用程式設計介面 (API),控管嘗試存取 Google Workspace 應用程式/資料的應用程式。
指派存取層級時…
- 選取存取層級時,系統預設會將存取層級設為「監控」模式。以免在啟用存取層級時不小心封鎖使用者。
- 只要使用者符合所選任一存取層級的條件,系統就會授予他們應用程式存取權 (清單中的存取層級使用 OR 邏輯運算子)。如果您希望使用者一次符合多項存取層級條件 (使用「且」邏輯運算子的存取層級),請建立包含多個存取層級的存取層級。如要指派超過 10 個存取層級給應用程式,可以使用巢狀存取層級。
- 如果是行動應用程式,則可透過 Gmail 整合式介面,一次授予或拒絕 Gmail、Google Chat 和 Google Meet 的存取權。如果使用的是 Chat 和 Meet 的獨立應用程式 (而非 Gmail 整合式介面中的服務),則必須分別授予或拒絕這些應用程式的存取權。
- 部分應用程式需有其他應用程式的 API 存取權,才能正常運作。舉例來說,Gmail 需要存取 Calendar、Drive 和 Meet API。Google 日曆需要 Tasks API,Gemini 則需要 Gmail API。指派存取層級時,請將這些依附元件納入考量,確保應用程式能如常運作。
- 指派存取層級給應用程式時,系統不會自動封鎖其 API。如果您封鎖應用程式 (例如 Gmail),使用者就無法直接登入該應用程式。不過,其他應用程式或第三方用戶端仍可能透過 API,存取應用程式的資料,例如透過 Gmail API 存取電子郵件訊息。如要全面禁止透過 API 存取,您也必須明確將存取層級套用至應用程式的 API。
指派應用程式的存取層級
事前準備:如有需要,請參閱這篇文章,瞭解如何將設定套用至特定部門或群組。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「存取權與資料控管」「情境感知存取權」。須具備資料安全性存取層級和規則管理權限,以及 Admin API 的群組和使用者「讀取」權限。
- 如要「指派存取層級」,請按一下「指派應用程式的存取層級」。
-
(選用) 如果只要為部分使用者套用設定,請在側邊選取「機構單位」 (通常用於部門) 或「配置群組」 (進階)。
群組設定會覆寫機構單位。瞭解詳情
- 選擇下列其中一種做法:
- 將游標指向應用程式,然後依序點選「動作」「指派」。
- 勾選多個應用程式旁邊的方塊,然後按一下應用程式清單上方的「指派」。
- 將游標指向應用程式,然後依序點選「動作」
- 在「存取層級」部分,按一下「編輯」。
- 在「存取層級」部分,對每個存取層級採取下列任一做法:
- 如要測試選取存取層級對使用者有何影響,但不要實際封鎖存取權,請勾選「監控」方塊。
- 如要開始套用存取層級,請勾選「啟用」方塊。
- 按一下 [儲存]。
- 在「動作」部分按一下「編輯」。
- 選取「警告」或「封鎖」,指定支援的應用程式不符合有效存取層級政策時,系統應採取的動作。 如要進一步瞭解支援的應用程式,請參閱本頁的「支援情境感知存取權的應用程式」一節。
- 按一下 [儲存]。
- (選用) 如要更新所選存取層級範圍,請按照下列指示操作:
- 在「範圍」部分,按一下「編輯」。
- 變更問題,完成後按一下 [儲存]。
- (選用) 如要更新針對存取層級所選的應用程式,請按照下列指示操作:
- 在「應用程式」部分,按一下「編輯」。
- 變更問題,完成後按一下 [儲存]。
- 在「政策設定」部分,按一下「編輯」。
- (建議做法) 勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊,即可對原生桌面、Android 及 iOS 應用程式,還有網頁應用程式的使用者套用存取層級。如要進一步瞭解設定偏好存取層級後,應用程式的預期行為,請參閱本頁的「以存取層級設定為依據的應用程式行為」一節。
- (選用) 如要禁止應用程式嘗試透過公開的公用 API 存取 Workspace 資料,請勾選「如果存取層級不符合,禁止其他應用程式透過 API 存取所選應用程式」方塊。
- (選用) 為確保可信任的應用程式不會遭到公開的 API 封鎖,請勾選「讓許可清單內的應用程式不受限制,無論存取層級為何,都可以隨時存取特定 Google 服務的 API」方塊。
您可以使用機構單位設定此選項,而非透過配置群組 (即使您可以在管理控制台中選取群組也一樣)。詳情請參閱「應用實例:讓信任的第三方應用程式不會遭到封鎖」。
- 如果沒有看到應用程式清單或要豁免的應用程式,請按一下「前往應用程式存取權控制項」,並完成相關步驟以信任應用程式。任何您在「應用程式存取權控制項」頁面上標示為「可信任」的應用程式,都會列在可信任的應用程式表格中。如果您將應用程式標示為可信任且豁免 API 強制執行,系統會預先選取這些應用程式。
- 如有需要,請選取要豁免 API 強制執行的應用程式,然後按一下「繼續」。
- (選用) 為確保可信任的應用程式不會遭到公開的 API 封鎖,請勾選「讓許可清單內的應用程式不受限制,無論存取層級為何,都可以隨時存取特定 Google 服務的 API」方塊。
您可以使用機構單位設定此選項,而非透過配置群組 (即使您可以在管理控制台中選取群組也一樣)。詳情請參閱「應用實例:讓信任的第三方應用程式不會遭到封鎖」。
- 按一下 [儲存]。
- 在「這項政策有什麼作用?」部分,瞭解新存取層級對組織及其應用程式的影響。如要更新選取項目,請按一下「存取層級」、「動作」、「範圍」、「應用程式」或「政策設定」旁的「編輯」。
- 點按「指派」。
您會回到應用程式清單頁面。「存取層級」欄會顯示在監控模式和啟用模式中,套用至每個應用程式的存取層級數量。
支援情境感知存取權的應用程式
| Google app | 支援封鎖模式 | 支援警告模式 |
|---|---|---|
| Gmail | ✔ | ✔ |
| 雲端硬碟 | ✔ | ✔ |
| Google 文件 (包括 Google 試算表和 Google 簡報) | ✔ | ✔ |
| 日曆 | ✔ | ✔ |
| Meet | ✔ | 僅限網頁版和 Android 版 |
| 即時通訊 | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Google Tasks | ✔ | ✔ |
| Gemini | ✔ | 僅限網頁版 |
| 管理控制台 | ✔ | 僅限網頁版 |
| Google Vault | ✔ | |
| Google 協作平台 | ✔ | 僅限網頁版 |
| Google Cloud 搜尋 | ✔ | |
| Google for Business | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play 管理中心 | ✔ | |
| NotebookLM | ✔ | 僅限網頁版 |
以存取層級設定為依據的應用程式行為
下表針對是否勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊,以及是否部署端點驗證,列出了對應行為的匯總資訊。
該表的重要用語:
- 套用存取層級:系統會依據您在情境感知存取權設定中所設的存取層級,來授予存取權。
- 允許存取:未採用情境感知存取權,但允許所有存取行為。
- 封鎖存取權:由於尚未設定情境感知存取權,或未啟用端點驗證,系統會封鎖存取權。
|
存取層級 |
已啟用 CAA |
允許/封鎖 (原生及網頁應用程式) |
||||
|
行動裝置 |
電腦 |
|||||
|
行動版原生應用程式 |
行動版網站 |
電腦版網站 |
電腦版原生應用程式 |
是否已部署端點驗證? |
||
|
僅包含 IP/地理區域屬性的存取層級 |
勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊。 |
已套用存取層級 |
已套用存取層級 |
非必要 |
||
|
未勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊 |
允許存取 |
已套用存取層級 |
已套用存取層級 |
允許存取 |
非必要 |
|
|
包含裝置屬性的存取層級 |
勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊。 |
已套用存取層級 |
已套用存取層級 |
是 |
||
|
勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊 |
已套用存取層級 |
已封鎖存取權 |
否 |
|||
| 未勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊 |
允許存取 |
已套用存取層級 |
已套用存取層級 |
允許存取 |
是 |
|
| 未勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊 | 允許存取 | 已套用存取層級 | 已封鎖存取權 | 允許存取 | 否 | |
* 建議設定
注意:Gemini 行動應用程式處理遭封鎖內容的方式有所不同。如果查詢違反存取層級,應用程式會顯示回覆訊息,說明存取權遭拒,而不是標準彈出式視窗。問候等簡單查詢則不會發生這種情況。
查看或修改指派的存取層級
這項設定可用於在本機套用變更,而不顯示繼承的指派層級。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「存取權與資料控管」「情境感知存取權」。 - 如要「指派存取層級」,請按一下「指派應用程式的存取層級」。
-
(選用) 如果只要為部分使用者套用設定,請在側邊選取「機構單位」 (通常用於部門) 或「配置群組」 (進階)。
群組設定會覆寫機構單位。瞭解詳情
- 選擇下列其中一種做法:
- 將游標指向應用程式,然後依序點選「動作」「指派」。
- 勾選多個應用程式旁邊的方塊,然後按一下應用程式清單上方的「指派」。
- 將游標指向應用程式,然後依序點選「動作」
- 在「存取層級」部分,按一下「編輯」。
- 在「存取層級」部分,對每個存取層級採取下列任一做法:
- 如要測試選取存取層級對使用者有何影響,但不要實際封鎖存取權,請勾選「監控」方塊。
- 如要開始套用存取層級,請勾選「啟用」方塊。
- 按一下 [儲存]。
- 在「動作」部分按一下「編輯」。
- 檢查所選存取層級,確認在不符合存取層級條件時,是否會觸發您想要的動作。
- 封鎖:禁止存取應用程式
- 警告:允許存取應用程式,但會顯示警告訊息
- 按一下 [儲存]。
- (選用) 如要查看或更新所選存取層級範圍,請按照下列指示操作:
- 在「範圍」部分,按一下「編輯」。
- 變更問題,完成後按一下 [儲存]。
- (選用) 如要查看或更新針對存取層級所選的應用程式,請按照下列指示操作:
- 在「應用程式」部分,按一下「編輯」。
- 變更問題,完成後按一下 [儲存]。
- 在「政策設定」部分,按一下「編輯」。
- 檢查所選政策的封鎖應用程式設定是否正確。這項政策可禁止存取所選應用程式的電腦版和行動版、禁止其他應用程式透過 API 存取所選應用程式,以及豁免允許清單中的應用程式。
- 按一下 [儲存]。
- 在「這項政策有什麼作用?」部分,瞭解新情境感知存取權層級對組織及其應用程式的影響。如要更新選取項目,請按一下「存取層級」、「動作」、「範圍」、「應用程式」或「政策設定」旁的「編輯」。
- 點按「指派」。
查看存取層級的記錄事件
使用「查看報表」選項,即可追蹤指派的存取層級是否正常運作,控管使用者對應用程式的存取權。如果將存取層級設為監控或啟用模式,系統會產生事件,記錄到情境感知存取權記錄中。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「存取權與資料控管」「情境感知存取權」。 - 如要「指派存取層級」,請按一下「指派應用程式的存取層級」。
-
(選用) 如果只要為部分使用者套用設定,請在側邊選取「機構單位」 (通常用於部門) 或「配置群組」 (進階)。
群組設定會覆寫機構單位。瞭解詳情
- 將游標指向應用程式,然後依序點選「動作」「查看報告」。
- 按一下側邊的安全調查工具連結,自動搜尋所選應用程式的情境感知存取權記錄事件。
搜尋結果包含下列資訊:
- 「存取遭拒 (監控模式)」事件會顯示系統在強制執行這個存取層級時,遭到封鎖的使用者。
- 「執行者」欄會顯示遭封鎖的使用者。
- 已套用、符合要求 (符合存取條件) 和不符合要求 (不符合存取條件) 的存取層級
詳情請參閱「情境感知存取權記錄事件」。