إنشاء مستويات الوصول الواعي بالسياق

تجمع مستويات "الوصول الواعي بالسياق" بين الشروط والقيم التي تحدِّد سياق المستخدم أو الجهاز. تحدّد مستويات الوصول هذه السياق الذي يمكن للمستخدمين من خلاله الوصول إلى التطبيقات.

على سبيل المثال، يمكنك إنشاء مستوى وصول لتطبيق Gmail يتطلب اتصال المستخدمين من نطاق عناوين IP مُحدَّد وتشفير أجهزتهم.

ملاحظة: قبل إنشاء مستوى وصول، يجب نشر ميزة "التحقُّق من نقاط النهاية" وتفعيل ميزة "الوصول الواعي بالسياق". للاطّلاع على التفاصيل، يُرجى الانتقال إلى قسم "إعداد ميزة التحقّق من نقاط النهاية" وتفعيل ميزة "الوصول الواعي بالسياق" في مقالة نشر ميزة "الوصول الواعي بالسياق".

إنشاء مستوى وصول

تتكوّن مستويات الوصول من شرط واحد أو أكثر تحدّده. للوصول إلى التطبيقات، يجب أن يستوفي المستخدمون الشروط. تحتوي شروط مستوى الوصول على سمات يمكنك اختيارها، مثل سياسة الجهاز أو شبكة IP فرعية أو غيرها من مستويات الوصول.

يمكنك إنشاء مستويات الوصول في وضعين مختلفين، وهما "أساسي" و"متقدم". يوفّر لك الوضع "أساسي" قائمة بسمات محدّدة مسبقًا يمكنك اختيارها. إذا كنت بحاجة إلى استخدام سمات غير متوفرة في الواجهة، يمكنك إنشاء مستوى وصول مُخصَّص في "الوضع المتقدّم" بدلاً من ذلك.

ملاحظة: عند تعديل مستوى وصول، سيتم تنفيذ التغييرات فورًا. يُرجى العلم بأنّ حسابات المستخدمين ستتأثر بهذه التغييرات في مستويات الوصول فور إجرائها. تأكَّد من أنّ هذه هي التغييرات التي تريدها.

تحديد مستويات الوصول: الوضع الأساسي

  1. اختَر مستويات الوصول.
    ستظهر لك قائمة بجميع مستويات الوصول المُحدَّدة. مستويات الوصول هي مورد مشترك بين Google Workspace وGoogle Cloud، لذا قد تظهر لك مستويات الوصول التي لم تنشئها في القائمة. للإشارة إلى الفريق الذي أنشأ مستوى وصول، عليك وضع النظام الأساسي كجزء من اسم مستوى الوصول.
  2. في أعلى يسار الشاشة، انقر على إنشاء مستوى الوصول.
    يتم اختيار "الوضع أساسي" تلقائيًا. ستحدد مستوى الوصول من خلال إضافة شرط واحد أو أكثر إليه. ثم حدِّد كل شرط من خلال تحديد سمة واحدة أو أكثر.

    ملاحظة: ننصحك بعدم استخدام واجهة Google Cloud Platform لإضافة مستويات "الوصول الواعي بالسياق" أو تعديلها إذا كنت عميل Workspace فقط. في حال إضافة مستويات وصول أو تغييرها بطريقة أخرى بخلاف واجهة "الوصول الواعي بالسياق"، قد تظهر رسالة الخطأ: يتم استخدام سمات غير متوافقة مع Google Workspace، مما يؤدي إلى حظر المستخدمين.

  3. أضِف اسم مستوى وصول ووصفًا اختياريًا.
  4. بالنسبة إلى شرط مستوى الوصول الذي تضيفه، حدِّد ما إذا كان الشرط ساريًا عند:
    • استيفاء السمات: يجب أن يحدِّد المستخدمين كل السمات في الشرط.
    • عدم استيفاء السمات: عدم استيفاء المستخدمين لأي سمات في الشرط. يحدِّد هذا الخيار كل ما هو مُخالف للشرط ويُستخدم غالبًا لسمات الشبكة الفرعية لعنوان IP. مثلاً، إذا اخترت شبكة فرعية لعنوان IP واخترت "عدم استيفاء"، لن يتطابق الشرط إلا مع المستخدمين الذين لديهم عناوين IP خارج النطاق المُحدَّد.
  5. انقر على إضافة سمة لإضافة سمة واحدة أو أكثر إلى شرط مستوى الوصول. تتضمن السمات التي يمكنك إضافتها ما يلي:
    • شبكة IP فرعية (علنية): عنوان IPv4 أو IPv6 أو بادئة التوجيه في تدوين حظر CIDR.
      • لا تتوافق هذه السمة مع عناوين IP الخاصة (بما في ذلك الشبكات المنزلية للمستخدم).
      • عناوين IP الثابتة متوافقة.
      • لاستخدام عنوان IP ديناميكي، يجب تحديد شبكة IP فرعية ثابتة لمستوى الوصول. إذا كنت تعلم نطاق عنوان IP الديناميكي وعنوان IP الثابت المُحدَّد في مستوى الوصول الذي يشمل هذا النطاق، يتم منح الإذن بالوصول. يتم رفض الإذن بالوصول عندما لا يكون عنوان IP الديناميكي ضمن الشبكة الفرعية المُحدَّدة لعنوان IP الثابت.
    • شبكة IP الفرعية (خاصة): تتيح لك تحديد سياسات "الوصول المستنِد إلى السياق" التي تتضمّن شبكات IP فرعية خاصة من بيئات السحابة الافتراضية الخاصة (VPC). بالنسبة إلى المؤسسات التي تستخدم شبكات VPC، تضمن هذه السمة الوصول الآمن إلى خدمات Workspace والامتثال لسياسات "الوصول المستنِد إلى السياق" التي حدّدتها. ويُعدّ ذلك مهمًا  بشكل خاص للمستخدمين الذين يصلون إلى الخدمات من خلال بنية أساسية لشبكة VPC، ولبرنامج "برمجة التطبيقات" الذي يعتمد على عناوين IP خاصة.
      • لاستخدام هذه السمة، يجب أن تكون لديك أذونات في "وحدة تحكّم Google Cloud" لإدراج موارد شبكة Google Cloud والاطّلاع عليها، ودور إدارة الهوية وإمكانية الوصول (IAM) المناسب (مثل compute.networks.list وcompute.subnetworks.list وما إلى ذلك).
      • هذه السمة مخصّصة حصريًا للشبكات الفرعية الخاصة لعناوين IP ضمن بيئات VPC المُدارة. ولا ينطبق ذلك على عناوين IP الخاصة العامة، مثل تلك التي يتم العثور عليها في الشبكات المنزلية للمستخدم أو النطاقات الخاصة الأخرى غير التابعة لشبكة VPC.
      • لضبط هذه السمة، يُرجى اختيار شبكة IP فرعية (خاصة) في أداة إنشاء مستوى الوصول. يمكنك إضافة مشاريع Google Cloud Console وشبكات VPC المرتبطة بها، ويمكنك أيضًا إضافة نطاقات معيّنة من الشبكات الفرعية لعناوين IP في شبكة VPC. ولست بحاجة إلى ضبط مستويات الوصول هذه في Google Cloud Console.
      • عند تقييم إذن وصول المستخدم، يتم استخدام شبكة VPC التي ترسل الزيارات إلى خوادم Google (وليس بالضرورة شبكة VPC التي نشأ منها الطلب).
      • تتيح "وحدة تحكّم المشرف" حاليًا تعديل أسماء "السحابة الافتراضية الخاصة" والشبكات الفرعية المقابلة لها باستخدام نصوص ذات تصميم مرن.
      • في حال استخدام عناصر التحكّم في خدمة السحابة الافتراضية الخاصة لإنشاء حدود آمنة لموارد Google Cloud، تسري قيود معيّنة عند استخدام سمة شبكة IP الفرعية (الخاصة)"=:
        • يمكنك تفعيل عناوين IP الداخلية فقط باستخدام مستويات الوصول الأساسية. لاستخدام عناوين IP الخاصة في مستويات الوصول المتقدّمة، يجب إنشاء مستوى وصول أساسي يتضمّن شروط عناوين IP الخاصة فقط، ثم إدراجه في مستوى الوصول المتقدّم.
        • تجنَّب ضبط مستويات الوصول لحظر عناوين IP الداخلية، لأنّ ذلك قد يؤدي إلى حدوث سلوك غير متوقّع.
        • لا يمكن لمستوى وصول واحد الجمع بين سمات عناوين IP العامة والخاصة. إذا كنت بحاجة إلى كليهما، يجب إنشاء مستويات وصول منفصلة لكل منهما وجمعهما في مستوى وصول ثالث.
    • الموقع الجغرافي: البلدان/المناطق التي يصل منها المستخدم إلى خدمات Google Workspace. الأجهزة ذات عناوين IP الداخلية غير متوافقة لأنّ عناوين IP هذه ليست فريدة على مستوى العالم.
    • سياسة الجهاز: اختَر فقط سياسات الأجهزة التي تحتاج إلى تنفيذها-
      • إذا كانت موافقة المشرف مطلوبة، يجب الموافقة على الجهاز.
      • الجهاز المملوك للشركة مطلوب
      • محمي بكلمة مرور لقفل الشاشة

        ملاحظة: بالنسبة إلى نظام التشغيل Windows، تتحقّق هذه السمة مما إذا كانت شاشة تسجيل الدخول معروضة بعد انتهاء مهلة عدم النشاط، ويكون ذلك صحيحًا في حال تفعيل الإعداد "طلب تسجيل الدخول" (في خيارات تسجيل الدخول) أو الإعداد "عند الاستئناف، عرض شاشة تسجيل الدخول" (في إعدادات شاشة الاستراحة). وهي لا تتحقّق مما إذا تم ضبط كلمة المرور.

      • تشفير الجهاز (غير متوافق أو غير مُشفَّر أو مُشفَّر)
    • نظام تشغيل الجهاز: لا يمكن للمستخدمين الوصول إلى Google Workspace إلا من خلال أنظمة التشغيل التي تختارها. يمكنك تحديد الحد الأدنى لإصدار نظام التشغيل أو السماح بأي إصدار. استخدِم التنسيق major.minor.patch لإصدار نظام التشغيل.—
      • macOS
      • Windows
      • Linux
      • نظام التشغيل Chrome
      • iOS
      • Android
    • مستوى الوصول: يجب استيفاء متطلبات مستوى وصول حالي.
  6. لإضافة شرط آخر لمستوى الوصول، انقر على إضافة شرط وأضِف السمات إليه.
  7. للإشارة إلى ضرورة استيفاء المستخدمين للشروط:
    • And—على المستخدمين استيفاء الشرط الأول وغيره من الشروط المُضافة.
    • أو: على المستخدمين استيفاء أحد الشروط فقط.
  8. عند الانتهاء من إضافة شروط مستوى الوصول، احفَظ تعريف مستوى الوصول من خلال النقر على حفظ.
  9. اختَر الإجراء الذي تريد اتخاذه بمستوى الوصول:
    • يجب تخصيص مستوى الوصول هذا إلى التطبيقات.
    • يمكنك إنشاء قاعدة حماية بيانات باستخدام مستوى الوصول هذا. إذا حدّدت هذا الخيار، ستبدأ في معالج إنشاء القاعدة. مزيد من المعلومات عن الجمع بين قواعد حماية البيانات ومستويات "الوصول المستنِد إلى السياق"

نموذج مستوى الوصول: تم إنشاؤه في الوضع "أساسي"

يوضح هذا المثال مستوى وصول يسمى "corp_access". إذا تم تطبيق "corp_access" على Gmail، لن يتمكن المستخدمون من الوصول إلى Gmail إلا من جهاز مشفَّر ومملوك للشركة من داخل الولايات المتحدة أو كندا فقط.

اسم مستوى الوصول corp_access
يحصل المستخدم على إذن الوصول في حال: استيفاء جميع سمات الشرط
سمة الشرط 1

سياسة الجهاز
تشفير الجهاز = مشفَّر
استخدام جهاز مملوك للشركة = مطلوب
اربط الشرط 1 بالشرط 2 بالمُعامل المنطقي و
يحصل المستخدم على إذن الوصول في حال: استيفاء جميع سمات الشرط
سمة الشرط 2

الأصل الجغرافي
البلدان = الولايات المتحدة، كندا

لمزيد من الأمثلة، يُرجى الاطلاع على أمثلة على "الوصول المستنِد إلى السياق" في الوضع "الأساسي".

تحديد مستويات الوصول: الوضع "متقدّم"

يسمح لك هذا الوضع بإنشاء مستويات الوصول التي لا يمكن إنشاؤها في أداة إنشاء الشروط لواجهة "الوصول المستنِد إلى السياق". على سبيل المثال:

  • قد يحتاج المشرف إلى إنشاء مستويات وصول تتضمّن شروط المورِّدين لعمليات الدمج مع منتجات خارجية.
  • لا يمكن الوصول إلى بعض السمات المتقدِّمة من واجهة شرط "الوضع الأساسي"، مثل إمكانية استخدام المصادقة المُستنِدة إلى الشهادة.

في هذا الوضع، يمكنك إنشاء مستوى الوصول المُخصَّص في نافذة تعديل باستخدام لغة التعبير العادي (CEL).

لتحديد مستويات الوصول باستخدام الوضع "متقدّم":

  1. اختَر مستويات الوصول.
    ستظهر لك قائمة بجميع مستويات الوصول المُحدَّدة. مستويات الوصول هي مورد مشترك بين Google Workspace وCloud Identity وGoogle Cloud، لذا قد تظهر لك مستويات الوصول التي لم تنشئها في القائمة. للإشارة إلى الفريق الذي أنشأ مستوى وصول، عليك وضع النظام الأساسي كجزء من اسم مستوى الوصول.
  2. اختَر إنشاء مستوى وصول.
  3. انقر على الوضع المتقدّم.
  4. أضِف اسم مستوى الوصول والوصف الاختياري.
    يمكنك تحديد مستوى الوصول من خلال كتابة تعبير CEL.
  5. يمكنك إنشاء مستوى الوصول المخصَّص في محرِّر التعبير CEL.
    لإجراء ذلك، تحتاج إلى بعض الخبرة في التعامل مع CEL. للحصول على إرشادات وأمثلة على التعبيرات المتوافقة لإنشاء مستويات وصول مخصّصة، يُرجى الانتقال إلى مواصفات مستوى الوصول المخصّص .
  6. انقر على حفظ.
    يُجمع التعبير ويتم الإبلاغ عن أي أخطاء في البنية.
    • إذا لم تكن هناك أخطاء في البنية، يتم حفظ مستوى الوصول المخصَّص، ويمكنك تخصيصه للتطبيقات.
    • إذا كانت هناك أخطاء في البنية، فستظهر الرسالة إصلاح الأخطاء للمتابعة مع حدوث أخطاء في برنامج التجميع (باللغة الإنجليزية فقط) خاصة بالتعبير الذي أنشأته للتو. يمكنك تصحيح الخطأ والحفظ مرة أخرى. عندما لا يحتوي مستوى الوصول المخصّص على أخطاء ويتم حفظه، يمكنك تخصيص مستوى الوصول هذا للتطبيقات.

نموذج مستوى الوصول: تم إنشاؤه في الوضع "متقدّم"

يوضح هذا المثال مستوى وصول يتطلب استيفاء الشروط التالية من أجل السماح بأحد الطلبات:

  • الجهاز المصدر مُشفَّر.
  • ينطبق واحد أو أكثر من الحالات التالية:
    • كان الطلب صادرًا من الولايات المتحدة.
    • تتم الموافقة على الجهاز الذي صدر منه الطلب من قِبل مشرف النطاق.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

لمزيد من الأمثلة، راجع أمثلة على الوصول الواعي بالسياق للوضع "متقدّم".

الخطوات التالية: تحديد مستويات الوصول إلى التطبيقات


إنّ Google وGoogle Workspace والعلامات والشعارات المرتبطة بهما هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.