कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल बनाएं

1. ऐक्सेस लेवल चुनें.
   आपको तय किए गए ऐक्सेस लेवल की सूची दिखेगी. ऐक्सेस लेवल, Google Workspace और Google Cloud के बीच शेयर किया जाने वाला संसाधन है. इसलिए, सूची में आपको ऐसे ऐक्सेस लेवल भी दिख सकते हैं जिन्हें आपने नहीं बनाया है. यह बताने के लिए कि किस टीम ने ऐक्सेस लेवल बनाया है, प्लैटफ़ॉर्म को ऐक्सेस लेवल के नाम का हिस्सा बनाएं.
2. सबसे ऊपर दाईं ओर, ऐक्सेस लेवल बनाएं को चुनें.
   डिफ़ॉल्ट रूप से, बुनियादी मोड चुना हुआ होता है. ऐक्सेस लेवल तय करने के लिए, उसमें एक या उससे ज़्यादा शर्तें जोड़ें. इसके बाद, एक या उससे ज़्यादा एट्रिब्यूट तय करके, हर शर्त को तय करें.

   ध्यान दें: अगर आप सिर्फ़ Workspace के ग्राहक हैं, तो हमारा सुझाव है कि कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल जोड़ने या उनमें बदलाव करने के लिए, Google Cloud Platform (GCP) इंटरफ़ेस का इस्तेमाल न करें. अगर कॉन्टेक्स्ट अवेयर ऐक्सेस इंटरफ़ेस के अलावा किसी अन्य तरीके से ऐक्सेस लेवल जोड़े या बदले जाते हैं, तो यह गड़बड़ी का मैसेज दिख सकता है: Google Workspace पर ऐसे एट्रिब्यूट इस्तेमाल किए जा रहे हैं जो काम नहीं करते. साथ ही, उपयोगकर्ताओं को ब्लॉक किया जा सकता है.

3. ऐक्सेस लेवल का नाम और जानकारी जोड़ें. जानकारी जोड़ना ज़रूरी नहीं है.
4. आपके जोड़े गए ऐक्सेस लेवल की शर्त के लिए, यह तय करें कि शर्त कब लागू होती है:
   • एट्रिब्यूट की शर्तें पूरी करता है—उपयोगकर्ताओं को शर्त में दिए गए सभी एट्रिब्यूट की शर्तें पूरी करनी होंगी.
   • एट्रिब्यूट की शर्तें पूरी नहीं करता—उपयोगकर्ता, शर्त में दिए गए किसी भी एट्रिब्यूट की शर्तें पूरी नहीं करते. इस विकल्प से शर्त के उलट स्थिति तय होती है. इसका इस्तेमाल, आईपी सबनेट एट्रिब्यूट के लिए सबसे ज़्यादा किया जाता है. उदाहरण के लिए, अगर आपने कोई आईपी सबनेट तय किया है और "एट्रिब्यूट की शर्तें पूरी नहीं करता" चुना है, तो शर्त सिर्फ़ उन उपयोगकर्ताओं के लिए लागू होगी जिनके आईपी पते, तय की गई रेंज से बाहर हैं.
5. ऐक्सेस लेवल की शर्त में एक या उससे ज़्यादा एट्रिब्यूट जोड़ने के लिए, एट्रिब्यूट जोड़ें पर क्लिक करें. ये एट्रिब्यूट जोड़े जा सकते हैं:
   • आईपी सबनेट (सार्वजनिक)—IPv4 या IPv6 पता या सीआईडीआर (CIDR) ब्लॉक नोटेशन में रूटिंग प्रीफ़िक्स.
     • इस एट्रिब्यूट के लिए, निजी आईपी पतों का इस्तेमाल नहीं किया जा सकता. इनमें उपयोगकर्ता के होम नेटवर्क भी शामिल हैं.
     • स्टैटिक आईपी पते इस्तेमाल किए जा सकते हैं.
     • डाइनैमिक आईपी पते का इस्तेमाल करने के लिए, आपको ऐक्सेस लेवल के लिए स्टैटिक आईपी सबनेट तय करना होगा. अगर आपको डाइनैमिक आईपी पते की रेंज पता है और ऐक्सेस लेवल में तय किया गया स्टैटिक आईपी पता उस रेंज को कवर करता है, तो ऐक्सेस की अनुमति दी जाती है. अगर डाइनैमिक आईपी पता, तय किए गए स्टैटिक आईपी सबनेट में नहीं है, तो ऐक्सेस की अनुमति नहीं दी जाती.
   • आईपी सबनेट (निजी)—इसकी मदद से, कॉन्टेक्स्ट अवेयर ऐक्सेस की ऐसी नीतियां तय की जा सकती हैं जिनमें वर्चुअल प्राइवेट क्लाउड (वीपीएसी) एनवायरमेंट से निजी आईपी सबनेट शामिल होते हैं. वीपीएसी का इस्तेमाल करने वाले संगठनों के लिए, इस एट्रिब्यूट से Workspace सेवाओं को सुरक्षित तरीके से ऐक्सेस किया जा सकता है. साथ ही, तय की गई कॉन्टेक्स्ट अवेयर ऐक्सेस की नीतियों का पालन किया जा सकता है. यह खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो वीपीएसी इन्फ़्रास्ट्रक्चर के ज़रिए सेवाओं को ऐक्सेस करते हैं. साथ ही, उन Apps Script के लिए भी ज़रूरी है जो निजी आईपी पर निर्भर करते हैं.
     • इस एट्रिब्यूट का इस्तेमाल करने के लिए, आपके पास Google Cloud Console की अनुमतियां होनी चाहिए. इनकी मदद से, Google Cloud के नेटवर्क संसाधनों की सूची देखी जा सकती है. साथ ही, आपके पास सही Identity and Access Management (IAM) भूमिका होनी चाहिए. उदाहरण के लिए, compute.networks.list, compute.subnetworks.list वगैरह.
     • यह एट्रिब्यूट, मैनेज किए जा रहे वीपीएसी एनवायरमेंट में मौजूद निजी आईपी सबनेट के लिए ही है. यह सामान्य निजी आईपी पतों पर लागू नहीं होता. जैसे, उपयोगकर्ता के होम नेटवर्क या वीपीएसी के अलावा अन्य निजी रेंज में मौजूद आईपी पते.
     • इस एट्रिब्यूट को कॉन्फ़िगर करने के लिए, ऐक्सेस लेवल बिल्डर में आईपी सबनेट (निजी) चुनें. इसमें Google Cloud Console के प्रोजेक्ट, उनसे जुड़े वीपीएसी नेटवर्क, और ज़रूरत पड़ने पर, वीपीएसी आईपी सबनेट की खास रेंज जोड़ी जा सकती हैं. आपको Google Cloud Console में इन ऐक्सेस लेवल को कॉन्फ़िगर करने की ज़रूरत नहीं है.
     • उपयोगकर्ता के ऐक्सेस का आकलन करते समय, उस वीपीएसी का इस्तेमाल किया जाता है जो Google के सर्वर पर ट्रैफ़िक भेजता है. यह ज़रूरी नहीं है कि अनुरोध उसी वीपीएसी से भेजा गया हो.
     • फ़िलहाल, Admin console में वीपीएसी के नामों और उनसे जुड़े सबनेट में, फ़्री-फ़ॉर्म टेक्स्ट के तौर पर बदलाव किया जा सकता है.
     • अगर Google Cloud के संसाधनों के लिए सुरक्षित दायरे बनाने के लिए, वीपीएसी सर्विस कंट्रोल का इस्तेमाल किया जाता है, तो आईपी सबनेट (निजी) एट्रिब्यूट का इस्तेमाल करते समय कुछ पाबंदियां लागू होती हैं:
       • बुनियादी ऐक्सेस लेवल के साथ, सिर्फ़ इंटरनल आईपी पतों को चालू किया जा सकता है. ऐडवांस ऐक्सेस लेवल में निजी आईपी का इस्तेमाल करने के लिए, सिर्फ़ निजी आईपी की शर्तों वाला बुनियादी ऐक्सेस लेवल बनाएं. इसके बाद, उसे अपने ऐडवांस ऐक्सेस लेवल में शामिल करें.
       • ऐक्सेस लेवल को इंटरनल आईपी पतों को ब्लॉक करने के लिए कॉन्फ़िगर न करें. ऐसा करने पर, अनचाही समस्याएं आ सकती हैं.
       • एक ऐक्सेस लेवल में, सार्वजनिक और निजी आईपी एट्रिब्यूट, दोनों को शामिल नहीं किया जा सकता. अगर आपको दोनों की ज़रूरत है, तो दोनों के लिए अलग-अलग ऐक्सेस लेवल बनाएं. इसके बाद, उन्हें तीसरे ऐक्सेस लेवल में जोड़ें.
   • जगह—वे देश/इलाके जहां उपयोगकर्ता, Google Workspace की सेवाओं को ऐक्सेस कर रहा है. इंटरनल आईपी पतों वाले डिवाइसों के लिए, यह सुविधा उपलब्ध नहीं है, क्योंकि ये आईपी पते दुनिया भर में यूनीक नहीं होते.
   • डिवाइस से जुड़ी नीति (सिर्फ़ उन डिवाइस से जुड़ी नीतियों को चुनें जिन्हें आपको लागू करना है)—
     • एडमिन की अनुमति ज़रूरी है (अगर ज़रूरी है, तो डिवाइस को अनुमति मिलनी चाहिए)
     • कंपनी के मालिकाना हक वाला डिवाइस होना ज़रूरी है
     • स्क्रीन पर पासवर्ड डालकर सुरक्षित रखा जाता है

       ध्यान दें: Windows OS के लिए, यह एट्रिब्यूट यह जांच करता है कि इनऐक्टिविटी के बाद, साइन-इन स्क्रीन दिखती है या नहीं. अगर "साइन-इन ज़रूरी है" सेटिंग (साइन-इन के विकल्पों में) या "फिर से शुरू करने पर, लॉग इन स्क्रीन दिखाएं" सेटिंग (स्क्रीन सेवर की सेटिंग में) चालू है, तो साइन-इन स्क्रीन दिखती है. यह एट्रिब्यूट यह जांच नहीं करता कि पासवर्ड सेट है या नहीं.

     • डिवाइस एन्क्रिप्शन (यह सुविधा उपलब्ध नहीं है, एन्क्रिप्ट नहीं किया गया, एन्क्रिप्ट किया गया)
   • डिवाइस ओएस (उपयोगकर्ता, सिर्फ़ उन ऑपरेटिंग सिस्टम के साथ Google Workspace ऐक्सेस कर सकते हैं जिन्हें आपने चुना है. ऑपरेटिंग सिस्टम का सबसे पुराना वर्शन सेट करें या किसी भी वर्शन की अनुमति दें. ऑपरेटिंग सिस्टम के वर्शन के लिए, major.minor.patch फ़ॉर्मैट का इस्तेमाल करें)—
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • ऐक्सेस लेवल—मौजूदा ऐक्सेस लेवल की ज़रूरी शर्तें पूरी करनी होंगी.
6. ऐक्सेस लेवल में कोई अन्य शर्त जोड़ने के लिए, शर्त जोड़ें पर क्लिक करें और उसमें एट्रिब्यूट जोड़ें.
7. यह तय करें कि उपयोगकर्ताओं को कौनसी शर्तें पूरी करनी होंगी:
   • और—उपयोगकर्ताओं को पहली शर्त और जोड़ी गई शर्त, दोनों पूरी करनी होंगी.
   • या—उपयोगकर्ताओं को सिर्फ़ एक शर्त पूरी करनी होगी.
8. ऐक्सेस लेवल की शर्तें जोड़ने के बाद, सेव करें पर क्लिक करके ऐक्सेस लेवल की परिभाषा सेव करें.
9. चुनें कि ऐक्सेस लेवल के साथ क्या करना है:
   • यह ऐक्सेस लेवल, ऐप्लिकेशन को असाइन करें.
   • इस ऐक्सेस लेवल के साथ, डेटा की सुरक्षा का नियम बनाएं. यह विकल्प चुनने पर, नियम बनाने का विज़र्ड शुरू होगा. कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल के साथ, डेटा की सुरक्षा के नियमों को जोड़ने के बारे में ज़्यादा जानें.

ऐक्सेस लेवल का उदाहरण—बुनियादी मोड में बनाया गया

इस उदाहरण में, "corp_access" नाम का ऐक्सेस लेवल दिखाया गया है. अगर "corp_access" को Gmail पर लागू किया जाता है, तो उपयोगकर्ता सिर्फ़ एन्क्रिप्ट किए गए और कंपनी के मालिकाना हक वाले डिवाइस से Gmail ऐक्सेस कर सकते हैं. साथ ही, वे सिर्फ़ अमेरिका या कनाडा से Gmail ऐक्सेस कर सकते हैं.

ज़्यादा उदाहरणों के लिए, बुनियादी मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण देखें.

इस मोड में, ऐसे ऐक्सेस लेवल बनाए जा सकते हैं जिन्हें कॉन्टेक्स्ट अवेयर ऐक्सेस इंटरफ़ेस के शर्त बिल्डर में नहीं बनाया जा सकता. उदाहरण के लिए:

• एडमिन को तीसरे पक्ष के इंटिग्रेशन के लिए, वेंडर की शर्तों वाले ऐक्सेस लेवल बनाने पड़ सकते हैं.
• कुछ ऐडवांस एट्रिब्यूट, बुनियादी मोड के शर्त इंटरफ़ेस से ऐक्सेस नहीं किए जा सकते. जैसे, सर्टिफ़िकेट के आधार पर पुष्टि करने की सुविधा का इस्तेमाल करना.

इस मोड में, कॉमन एक्सप्रेशन लैंग्वेज (सीईएल) का इस्तेमाल करके, एडिटिंग विंडो में कस्टम ऐक्सेस लेवल बनाया जाता है.

ऐडवांस मोड का इस्तेमाल करके ऐक्सेस लेवल तय करने के लिए:

1. ऐक्सेस लेवल चुनें.
   आपको तय किए गए ऐक्सेस लेवल की सूची दिखेगी. ऐक्सेस लेवल, Google Workspace, Cloud Identity, और Google Cloud के बीच शेयर किया जाने वाला संसाधन है. इसलिए, सूची में आपको ऐसे ऐक्सेस लेवल भी दिख सकते हैं जिन्हें आपने नहीं बनाया है. यह बताने के लिए कि किस टीम ने ऐक्सेस लेवल बनाया है, प्लैटफ़ॉर्म को ऐक्सेस लेवल के नाम का हिस्सा बनाएं.
2. ऐक्सेस लेवल बनाएं को चुनें.
3. ऐडवांस मोड को चुनें.
4. ऐक्सेस लेवल का नाम और जानकारी जोड़ें. जानकारी जोड़ना ज़रूरी नहीं है.
   ऐक्सेस लेवल तय करने के लिए, सीईएल एक्सप्रेशन लिखें.
5. सीईएल एक्सप्रेशन एडिटर में, अपना कस्टम ऐक्सेस लेवल बनाएं.
   इसके लिए, आपको सीईएल का कुछ अनुभव होना चाहिए. कस्टम ऐक्सेस लेवल बनाने के लिए, इस्तेमाल किए जा सकने वाले एक्सप्रेशन के बारे में जानकारी और उदाहरण पाने के लिए, कस्टम ऐक्सेस लेवल की खास जानकारी पर जाएं .
6. सेव करें पर क्लिक करें.
   एक्सप्रेशन कंपाइल किया जाता है और सिंटैक्स से जुड़ी गड़बड़ियों की रिपोर्ट की जाती है.
   • अगर सिंटैक्स से जुड़ी कोई गड़बड़ी नहीं है, तो आपका कस्टम ऐक्सेस लेवल सेव हो जाता है. इसके बाद, इसे ऐप्लिकेशन के लिए असाइन किया जा सकता है.
   • अगर सिंटैक्स से जुड़ी गड़बड़ियां हैं, तो आपको जारी रखने के लिए गड़बड़ियां ठीक करें मैसेज दिखेगा. इसके साथ, कंपाइलर की गड़बड़ियां (सिर्फ़ अंग्रेज़ी में) दिखेंगी. ये गड़बड़ियां, आपके बनाए गए एक्सप्रेशन से जुड़ी होंगी. गड़बड़ी को ठीक करके, फिर से सेव किया जा सकता है. कस्टम ऐक्सेस लेवल में कोई गड़बड़ी न होने और उसे सेव करने के बाद, इस ऐक्सेस लेवल को ऐप्लिकेशन के लिए असाइन किया जा सकता है.

ऐक्सेस लेवल का उदाहरण—ऐडवांस मोड में बनाया गया

इस उदाहरण में, एक ऐसा ऐक्सेस लेवल दिखाया गया है जिसके लिए, अनुरोध की अनुमति देने से पहले ये शर्तें पूरी करनी होंगी:

• अनुरोध भेजने वाला डिवाइस एन्क्रिप्ट किया गया हो.
• इनमें से एक या उससे ज़्यादा शर्तें पूरी होती हों:
  • अनुरोध अमेरिका से भेजा गया हो.
  • अनुरोध भेजने वाले डिवाइस को डोमेन एडमिन ने अनुमति दी हो.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

ज़्यादा उदाहरणों के लिए, ऐडवांस मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण देखें.