Zugriff auf Aktionen in Apps steuern

Wenn Sie Apps Zugriffsebenen zuweisen, gewähren Sie in der Regel Zugriff auf alle Inhalte in der App oder gar keinen Zugriff. Manchmal sind bestimmte Aktionen in einer App jedoch sensibler als andere. In Google Drive kann das Herunterladen eines Dokuments sensibler sein als das bloße Ansehen.

Als Administrator können Sie die Sicherheit für bestimmte Aktionen erhöhen, indem Sie Bedingungen für den kontextsensitiven Zugriff mit Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) kombinieren. Sie können beispielsweise das Herunterladen von Dateien in Drive auf privaten Geräten oder Geräten einschränken, die im Rahmen von Bring Your Own Device (BYOD) verwendet werden. Sie können den Zugriff auf die Daten Ihrer Organisation basierend auf dem Nutzer und seinem Gerät steuern.

Beispiel: Herunterladen von Drive-Dateien auf privaten Geräten blockieren

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Gehen Sie in der Admin-Konsole zu „Menü“  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  3. Klicken Sie auf Zugriffsebene erstellen. Möglicherweise müssen Sie zuerst auf Zugriffsebenen klicken.
  4. Geben Sie einen Namen, z. B. „BYOD-Geräte“, und eine Beschreibung für die neue Zugriffsebene ein.
  5. Klicken Sie unter Kontextbedingungen auf Bedingung hinzufügen.
  6. Wählen Sie Mindestens ein Attribut nicht erfüllt (ODER) aus.
  7. Wählen Sie für Attribut auswählen die Option Gerät aus.
  8. Wählen Sie unter Bedingung auswählen die Option Gehört dem Unternehmen aus.
  9. Klicken Sie auf Erstellen. Sie können nun eine DLP-Regel mit dieser Zugriffsebene erstellen.
  10. Klicken Sie auf Regel erstellen.
  11. Klicken Sie auf Name und geben Sie einen Namen für die Regel und optional eine Beschreibung ein.
  12. Wählen Sie unter Bereich eine Option aus:
    • Wenn Sie die Regel auf alle Nutzer in Ihrer Organisation anwenden möchten, wählen Sie Alle in Ihrer Organisation aus.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und fügen Sie sie nach Bedarf hinzu oder schließen Sie sie aus.
  13. Klicken Sie auf Weiter.
  14. Wählen Sie unter Apps für Google Drive das Kästchen Drive-Dateien aus und klicken Sie auf Weiter.
  15. Wählen Sie unter Zu scannender Inhaltstyp die Option Alle Inhalte aus.
  16. Wählen Sie unter Wonach soll gesucht werden? einen DLP-Scantyp und Attribute aus. Weitere Informationen zu den verfügbaren Attributen finden Sie unter DLP-Regel erstellen.
  17. Wählen Sie im Bereich Kontextbedingungen die Option Zugriffsebene auswählen und dann die zuvor erstellte Zugriffsebene aus, z. B. „BYOD-Geräte“. Die Regel wird angewendet, wenn die Bedingungen in der Zugriffsebene erfüllt sind. In diesem Beispiel muss die Zugriffsebene für BYOD-Geräte also True sein.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie für Google Drive auf Aktion und wählen Sie Herunterladen, Drucken und Kopieren deaktivieren und dann Nur für Kommentatoren und Betrachter aus.
  20. Optional: Wenn Sie einen Schweregrad für die Benachrichtigung festlegen und Benachrichtigungen senden möchten, wählen Sie die entsprechenden Optionen aus.
  21. Klicken Sie auf Weiter.
  22. Prüfen Sie die Regeldetails und wählen Sie für Regelstatus die Option Aktiv aus, um die Regel sofort auszuführen, oder Inaktiv, um sie später zu aktivieren.
  23. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Regeln zum Schutz vor Datenverlust mit Bedingungen für kontextsensitiven Zugriff kombinieren