Zugriff auf Aktionen in Apps steuern

Wenn Sie Apps Zugriffsebenen zuweisen, gewähren Sie in der Regel Zugriff auf alle Inhalte in der App oder auf gar nichts. Manchmal sind jedoch bestimmte Aktionen in einer App sensibler als andere. In Google Drive kann das Herunterladen eines Dokuments sensibler sein als das bloße Ansehen.

Als Administrator können Sie die Sicherheit für bestimmte Aktionen erhöhen, indem Sie Bedingungen für den kontextsensitiven Zugriff mit Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) kombinieren. Sie können beispielsweise das Herunterladen von Dateien in Drive auf privaten Geräten oder Geräten einschränken, die im Rahmen von Bring Your Own Device (BYOD) verwendet werden. Sie können festlegen, wie auf die Daten Ihrer Organisation zugegriffen wird, basierend auf dem Nutzer und seinem Gerät.

Beispiel: Herunterladen von Drive-Dateien auf privaten Geräten blockieren

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  3. Klicken Sie auf Zugriffsebene erstellen. Möglicherweise müssen Sie zuerst auf Zugriffsebenen klicken.
  4. Geben Sie einen Namen ein, z. B. „BYOD-Geräte“, und eine Beschreibung für die neue Zugriffsebene.
  5. Klicken Sie unter Kontextbedingungen auf Bedingung hinzufügen.
  6. Wählen Sie Mindestens ein Attribut nicht erfüllt (ODER) aus.
  7. Wählen Sie unter Attribut auswählen die Option Gerät aus.
  8. Wählen Sie unter Bedingung auswählen die Option Unternehmenseigen aus.
  9. Klicken Sie auf Erstellen. Jetzt können Sie eine DLP-Regel mit dieser Zugriffsebene erstellen.
  10. Klicken Sie auf Regel erstellen.
  11. Klicken Sie auf Name und geben Sie einen Namen für die Regel und optional eine Beschreibung ein.
  12. Wählen Sie unter Bereich eine Option aus:
    • Wenn die Regel für alle Nutzer in Ihrer Organisation gelten soll, wählen Sie Alle in Ihrer Organisation aus.
    • Wenn die Regel für bestimmte Organisationseinheiten oder Gruppen gelten soll, wählen Sie Organisationseinheiten und/oder Gruppen aus und fügen Sie sie nach Bedarf hinzu oder schließen Sie sie aus.
  13. Klicken Sie auf Weiter.
  14. Wählen Sie unter Apps für Google Drive das Kästchen Drive-Dateien aus und klicken Sie auf Weiter.
  15. Wählen Sie unter Zu scannender Inhaltstyp die Option Alle Inhalte aus.
  16. Wählen Sie unter Wonach soll gesucht werden? einen DLP-Scantyp und Attribute aus. Weitere Informationen zu den verfügbaren Attributen finden Sie unter DLP Regel erstellen.
  17. Wählen Sie im Bereich Kontextbedingungen die Option Zugriffsebene auswählen und dann die zuvor erstellte Zugriffsebene aus, z. B. „BYOD-Geräte“. Die Regel wird angewendet, wenn die Bedingungen in der Zugriffsebene erfüllt sind. In diesem Beispiel muss die Zugriffsebene für BYOD-Geräte also Wahr sein.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie unter Google Drive auf Aktion und wählen Sie Herunterladen, Drucken und Kopieren deaktivieren und dann Nur für Kommentatoren und Betrachter aus.
  20. Optional: Wenn Sie einen Schweregrad für die Benachrichtigung festlegen und Benachrichtigungen senden möchten, wählen Sie die entsprechenden Optionen aus.
  21. Klicken Sie auf Weiter.
  22. Prüfen Sie die Regeldetails und wählen Sie unter Regelstatus die Option Aktiv aus, um die Regel sofort auszuführen, oder Inaktiv , um sie später zu aktivieren.
  23. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, meistens geht es jedoch schneller. Weitere Informationen

Regeln zum Schutz vor Datenverlust mit Bedingungen für kontextsensitiven Zugriff kombinieren