Kontextsensitive Zugriffsebenen erstellen

Über kontextsensitive Zugriffsebenen können Sie Bedingungen und Werte kombinieren, die einen Nutzer- oder Gerätekontext definieren. Damit legen Sie mithilfe dieser Zugriffsebenen fest, in welchem Kontext Nutzer auf Apps zugreifen dürfen.

Sie können beispielsweise eine Zugriffsebene für Gmail erstellen, die erfordert, dass Nutzer ein verschlüsseltes Gerät verwenden und eine IP-Adresse haben, die aus einem bestimmten Adressbereich stammt.

Hinweis:Bevor Sie eine Zugriffsebene erstellen, sollten Sie die Endpunktprüfung bereitstellen und den kontextsensitiven Zugriff aktivieren. Eine Anleitung hierzu finden Sie im Hilfeartikel Kontextsensitiven Zugriff implementieren unter „Endpunktprüfung einrichten und kontextsensitiven Zugriff aktivieren“.

Zugriffsebene erstellen

Zugriffsebenen bestehen aus mindestens einer von Ihnen definierten Bedingung. Nutzer müssen die Bedingungen erfüllen, damit sie auf Apps zugreifen können. In diesen Bedingungen können verschiedene Attribute enthalten sein, z. B. „Geräterichtlinie“, „IP-Subnetz“ oder eine andere Zugriffsebene.

Sie können Zugriffsebenen in zwei verschiedenen Modi erstellen – im einfachen oder erweiterten Modus. Im einfachen Modus haben Sie Zugriff auf eine Liste vordefinierter Attribute, die Sie auswählen können. Wenn Sie Attribute verwenden möchten, die auf der Benutzeroberfläche nicht angezeigt werden, erstellen Sie stattdessen eine benutzerdefinierte Zugriffsebene im erweiterten Modus.

Hinweis:Wenn Sie eine Zugriffsebene ändern, werden die Änderungen sofort wirksam. Änderungen an den Zugriffsebenen wirken sich auf Ihre Nutzer aus, sobald Sie sie umsetzen. Sie sollten daher vor dem Speichern überprüfen, dass die Änderungen den gewünschten Effekt haben.

Zugriffsebenen definieren – einfacher Modus

  1. Klicken Sie auf Zugriffsebenen.
    Eine Liste der definierten Zugriffsebenen wird angezeigt. Zugriffsebenen werden übergreifend für Google Workspace und Google Cloud genutzt. Deswegen sehen Sie in der Liste möglicherweise auch Zugriffsebenen, die Sie nicht erstellt haben. Der Übersicht halber sollten Zugriffsebenen so benannt werden, dass sie sich den Teams zuordnen lassen, die sie erstellt haben.
  2. Wählen Sie rechts oben Zugriffsebene erstellen aus.
    Standardmäßig ist der einfache Modus ausgewählt. Definieren Sie die Zugriffsebene, indem Sie mindestens eine Bedingung angeben. Legen Sie anschließend mindestens ein Attribut für jede Bedingung fest.

    Hinweis: Wenn Sie ausschließlich Workspace nutzen, sollten Sie kontextsensitive Zugriffsebenen nicht über die Oberfläche der Google Cloud Platform (GCP) hinzufügen oder ändern. Wenn Sie Zugriffsebenen nicht mit der Oberfläche für den kontextsensitiven Zugriff hinzufügen oder ändern, kann dies zur Fehlermeldung In Google Workspace werden nicht unterstützte Attribute verwendet führen und Nutzer können blockiert werden.

  3. Geben Sie einen Namen an und fügen Sie bei Bedarf eine Beschreibung für die Zugriffsebene hinzu.
  4. Wählen Sie für jede Bedingung der Zugriffsebene eine der folgenden Einstellungen aus:
    • Attribute erfüllen: Nutzer müssen alle Attribute in der Bedingung erfüllen.
    • Attribute nicht erfüllen: Nutzer erfüllen keines der Attribute in der Bedingung. Über diese Option legen Sie das Gegenteil der Bedingung fest. Es wird häufig für das Attribut „IP-Subnetz“ verwendet. Wenn Sie beispielsweise ein IP-Subnetz angeben und „Attribute nicht erfüllen“ auswählen, entsprechen nur Nutzer mit IP-Adressen außerhalb des angegebenen Bereichs der Bedingung.
  5. Klicken Sie auf Attribut hinzufügen, um der Bedingung für die Zugriffsebene ein oder mehrere Attribute hinzuzufügen. Folgende Attribute können Sie hinzufügen:
    • IP-Subnetz: IPv4- oder IPv6-Adresse oder ein Routing-Präfix in CIDR-Blöcken.
      • Private IP-Adressen (einschließlich der Heimnetzwerke von Nutzern) werden für dieses Attribut nicht unterstützt.
      • Statische IP-Adressen werden unterstützt.
      • Wenn Sie eine dynamische IP-Adresse verwenden möchten, müssen Sie ein statisches IP-Subnetz für die Zugriffsebene definieren. Der Zugriff wird gewährt, wenn die definierte statische IP-Adresse der Zugriffsebene den Bereich der dynamischen IP-Adresse umfasst. Der Zugriff wird verweigert, wenn sich die dynamische IP-Adresse nicht im definierten statischen IP-Subnetz befindet.
    • IP-Subnetz (privat): Ermöglicht es Ihnen, Richtlinien für kontextbezogenen Zugriff zu definieren, die private IP-Subnetze aus VPC-Umgebungen (Virtual Private Cloud) enthalten. Für Organisationen, die VPCs verwenden, sorgt dieses Attribut für sicheren Zugriff auf Workspace-Dienste und die Einhaltung Ihrer definierten Richtlinien für den kontextsensitiven Zugriff. Dies ist besonders wichtig für Nutzer, die über die VPC-Infrastruktur auf Dienste zugreifen, und für Apps Script, die auf privaten IP-Adressen basieren.
      • Wenn Sie dieses Attribut verwenden möchten, benötigen Sie Google Cloud Console-Berechtigungen zum Auflisten und Aufrufen von Google Cloud-Netzwerkressourcen sowie die entsprechende IAM-Rolle (Identity and Access Management) (z. B. compute.networks.list, compute.subnetworks.list usw.).
      • Dieses Attribut ist ausschließlich für private IP-Subnetze in verwalteten VPC-Umgebungen vorgesehen. Es gilt nicht für allgemeine private IP-Adressen, z. B. in Heimnetzwerken von Nutzern oder anderen privaten Bereichen, die nicht zu VPC gehören.
      • Wenn Sie dieses Attribut konfigurieren möchten, wählen Sie im Tool zum Erstellen von Zugriffsebenen IP-Subnetz (privat) aus. Sie können Google Cloud Console-Projekte, die zugehörigen VPC-Netzwerke und optional bestimmte VPC-IP-Subnetzbereiche hinzufügen. Sie müssen diese Zugriffsebenen nicht in der Google Cloud Console konfigurieren.
      • Bei der Bewertung des Nutzerzugriffs wird die VPC verwendet, über die Traffic an Google-Server gesendet wird (nicht unbedingt die VPC, aus der die Anfrage stammt).
      • In der Admin-Konsole wird derzeit die Bearbeitung von VPC-Namen und den entsprechenden Subnetzen in Freiform unterstützt.
      • Wenn Sie VPC Service Controls verwenden, um sichere Perimeter für Ihre Google Cloud-Ressourcen zu erstellen, gelten bei Verwendung des Attributs „IP-Subnetz (privat)“ bestimmte Einschränkungen:
        • Sie können interne IP-Adressen nur mit grundlegenden Zugriffsebenen aktivieren. Wenn Sie private IPs in erweiterten Zugriffsebenen verwenden möchten, erstellen Sie eine einfache Zugriffsebene mit nur Bedingungen für private IPs und fügen Sie sie dann in Ihre erweiterte Zugriffsebene ein.
        • Konfigurieren Sie keine Zugriffsebenen, um interne IP-Adressen zu blockieren, da dies zu unerwartetem Verhalten führen kann.
        • In einer einzelnen Zugriffsebene können keine öffentlichen und privaten IP-Attribute kombiniert werden. Wenn Sie beides benötigen, erstellen Sie separate Zugriffsebenen für jede und kombinieren Sie sie in einer dritten Zugriffsebene.
    • Standort: Länder/Regionen, aus denen Nutzer auf Google Workspace-Dienste zugreifen. Geräte mit internen IP-Adressen werden nicht unterstützt, da sie nicht global eindeutig sind.
    • Geräterichtlinien: Wählen Sie nur die Geräterichtlinien aus, die Sie implementieren müssen:
      • „Administratorgenehmigung ist erforderlich“ (wenn erforderlich, muss das Gerät genehmigt werden)
      • Unternehmenseigenes Gerät ist erforderlich
      • Bildschirm durch Passwort geschützt

        Hinweis: Bei Windows wird mit diesem Attribut geprüft, ob der Anmeldebildschirm nach einem Inaktivitäts-Zeitlimit angezeigt wird. Das ist der Fall, wenn entweder die Einstellung „Anmeldung erforderlich“ (in den Anmeldeoptionen) oder die Einstellung „Bei Fortsetzung Anmeldebildschirm anzeigen“ (in den Bildschirmschoner-Einstellungen) aktiviert ist. Es wird nicht geprüft, ob das Passwort festgelegt ist.

      • Geräteverschlüsselung („Nicht unterstützt“, „Nicht verschlüsselt“, „Verschlüsselt“)
    • Betriebssystem des Geräts: Nutzer können nur über die von Ihnen ausgewählten Betriebssysteme auf Google Workspace zugreifen. Legen Sie als Bedingung eine mindestens erforderliche Betriebssystemversion fest oder lassen Sie alle Versionen zu. Verwenden Sie das Format „major.minor.patch“ für die Betriebssystemversion:
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Zugriffsebene: Muss die Anforderungen einer vorhandenen Zugriffsebene erfüllen.
  6. Optional: Geben Sie für die Zugriffsebene eine weitere Bedingung an, indem Sie auf Bedingung hinzufügen klicken und Attribute festlegen.
  7. Geben Sie die Bedingungen an, die Nutzer erfüllen müssen:
    • Und: Nutzer müssen die erste Bedingung und die zusätzlich hinzugefügte erfüllen.
    • Oder: Nutzer müssen nur eine der Bedingungen erfüllen.
  8. Wenn Sie die gewünschten Bedingungen für die Zugriffsebene hinzugefügt haben, speichern Sie die Definition. Klicken Sie dazu auf Speichern.
  9. Wählen Sie aus, was mit der Zugriffsebene geschehen soll:
    • Weisen Sie Apps diese Zugriffsebene zu.
    • Erstellen Sie eine Datenschutzregel mit dieser Zugriffsebene. Wenn Sie diese Option auswählen, wird der Assistent zum Erstellen von Regeln gestartet. Weitere Informationen zum Kombinieren von Datenschutzregeln mit Zugriffsebenen für den kontextsensitiven Zugriff

Beispiel für eine Zugriffsebene, die im einfachen Modus erstellt wurde

In diesem Beispiel wird die Zugriffsebene „Zugriff_Unternehmen“ verwendet. Wenn „Zugriff_Unternehmen“ auf Gmail angewendet wird, können Nutzer nur aus den USA und Kanada und über ein verschlüsseltes unternehmenseigenes Gerät auf Gmail zugreifen.

Name der Zugriffsebene corp_access
Nutzer erhalten Zugriff, wenn sie: Alle Attribute in der Bedingung erfüllen
Attribut der Bedingung 1

Geräterichtlinie
Geräteverschlüsselung = verschlüsselt
Unternehmenseigenes Gerät = erforderlich
Logische Verknüpfung der Bedingungen 1 und 2 mit: UND
Nutzer erhalten Zugriff, wenn sie: Alle Attribute in der Bedingung erfüllen
Attribut der Bedingung 2

Standort
Länder = USA, Kanada

Weitere Beispiele finden Sie in diesem Hilfeartikel zum kontextsensitiven Zugriff im einfachen Modus.

Zugriffsebenen definieren – erweiterter Modus

In diesem Modus können Sie Zugriffsebenen erstellen, die nicht im Tool zur Bedingungserstellung in der Oberfläche für den kontextsensitiven Zugriff erstellt werden können. Beispiel:

  • Möglicherweise muss der Administrator Zugriffsebenen erstellen, die Anbieterbedingungen für Integrationen von Drittanbietern enthalten.
  • Auf einige erweiterte Attribute kann nicht über die Oberfläche für die Bedingungen im einfachen Modus zugegriffen werden, z. B. auf die Verwendung der zertifikatsbasierten Authentifizierung.

In diesem Modus erstellen Sie Ihre benutzerdefinierte Zugriffsebene in einem Bearbeitungsfenster mit Common Expression Language (CEL).

So definieren Sie Zugriffsebenen im erweiterten Modus:

  1. Klicken Sie auf Zugriffsebenen.
    Eine Liste der definierten Zugriffsebenen wird angezeigt. Zugriffsebenen werden übergreifend für Google Workspace, Cloud Identity und Google Cloud genutzt. Deswegen sehen Sie in der Liste möglicherweise auch Zugriffsebenen, die Sie nicht erstellt haben. Der Übersicht halber sollten Zugriffsebenen so benannt werden, dass sie sich den Teams zuordnen lassen, die sie erstellt haben.
  2. Wählen Sie Zugriffsebene erstellen aus.
  3. Wählen Sie Erweiterter Modus aus.
  4. Geben Sie einen Namen an und fügen Sie bei Bedarf eine Beschreibung für die Zugriffsebene hinzu.
    Definieren Sie die Zugriffsebene, indem Sie einen CEL-Ausdruck schreiben.
  5. Erstellen Sie Ihre benutzerdefinierte Zugriffsebene im CEL-Ausdruckseditor.
    Dazu benötigen Sie Erfahrung mit CEL. Eine Anleitung und Beispiele für unterstützte Ausdrücke für die Erstellung benutzerdefinierter Zugriffsebenen finden Sie auf der Seite Benutzerdefinierte Spezifikation der Zugriffsebene .
  6. Klicken Sie auf Speichern.
    Der Ausdruck wird kompiliert und alle Syntaxfehler werden gemeldet.
    • Wenn keine Syntaxfehler auftreten, wird Ihre benutzerdefinierte Zugriffsebene gespeichert und Sie können sie Apps zuweisen.
    • Wenn Syntaxfehler vorliegen, sehen Sie die Meldung Fehler beheben, um fortzufahren. Sie enthält Compiler-Fehler (nur in englischer Sprache) für den gerade erstellten Ausdruck. Sie können den Fehler beheben und die Ebene noch einmal speichern. Wenn die benutzerdefinierte Zugriffsebene keine Fehler enthält und gespeichert wird, können Sie diese Zugriffsebene Apps zuweisen.

Beispiel für eine Zugriffsebene, die im erweiterten Modus erstellt wurde

Dieses Beispiel zeigt eine Zugriffsebene, bei der die folgenden Bedingungen erfüllt sein müssen, damit eine Anfrage zugelassen wird:

  • Das Gerät, von dem die Anfrage stammt, ist verschlüsselt.
  • Mindestens eine der folgenden Bedingungen trifft zu:
    • Die Anfrage stammt aus den USA.
    • Das Gerät, von dem die Anfrage stammt, wurde vom Domainadministrator genehmigt.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Weitere Beispiele finden Sie in diesem Hilfeartikel zum kontextsensitiven Zugriff im erweiterten Modus.

Nächster Schritt: Apps Zugriffsebenen zuweisen


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.