Cómo crear niveles de acceso adaptado al contexto

Los niveles de acceso adaptado al contexto combinan condiciones y valores que definen el contexto de un usuario o dispositivo. Estos niveles de acceso definen el contexto en el que los usuarios pueden acceder a las apps.

Por ejemplo, puedes crear un nivel de acceso para acceder a Gmail que requiera que los usuarios se conecten desde un rango de direcciones IP específico y que sus dispositivos estén encriptados.

Nota: Antes de crear un nivel de acceso, debes implementar la verificación de extremos y activar el acceso adaptado al contexto. Para obtener más información, consulta Configura la verificación de extremos y Activa el acceso adaptado al contexto en Implementa el acceso adaptado al contexto.

Crea un nivel de acceso

Los niveles de acceso constan de una o más condiciones que defines. Para acceder a las apps, los usuarios deben cumplir con las condiciones. Las condiciones de nivel de acceso contienen atributos que puedes seleccionar, como la política de dispositivo, la subred de IP o cualquier otro nivel de acceso.

Puedes crear niveles de acceso en 2 modos diferentes: básico y avanzado. El modo básico te proporciona una lista de atributos predefinidos que puedes seleccionar. Si necesitas usar atributos que no están en la interfaz, crea un nivel de acceso personalizado en el modo avanzado.

Nota: Cuando modificas un nivel de acceso, los cambios se aplican de inmediato. Ten en cuenta que los cambios en los niveles de acceso afectarán a tus usuarios en cuanto los realices. Asegúrate de que los cambios sean los que deseas.

Define niveles de acceso: Modo básico

  1. Selecciona Niveles de acceso.
    Verás una lista de los niveles de acceso definidos. Los niveles de acceso son un recurso compartido entre Google Workspace y Google Cloud, por lo que es posible que veas niveles de acceso que no creaste en la lista. Para indicar qué equipo creó un nivel de acceso, considera incluir la plataforma en el nombre del nivel de acceso.
  2. En la esquina superior derecha, selecciona Crear nivel de acceso.
    El modo básico está seleccionado de forma predeterminada. Para definir el nivel de acceso, agrega una o más condiciones. Luego, define cada condición especificando uno o más atributos.

    Nota: Te recomendamos que no uses la interfaz de Google Cloud Platform (GCP) para agregar o modificar niveles de acceso adaptado al contexto si eres cliente exclusivo de Workspace. Si agregas o cambias niveles de acceso con un método que no sea la interfaz de acceso adaptado al contexto, es posible que se muestre el siguiente mensaje de error: Se están usando atributos no compatibles en Google Workspace, y los usuarios pueden quedar bloqueados.

  3. Agrega un nombre de nivel de acceso y una descripción opcional.
  4. Para la condición de nivel de acceso que agregues, especifica si la condición se aplica cuando los usuarios:
    • Cumplen con los atributos: Los usuarios deben satisfacer todos los atributos de la condición.
    • No cumplen con los atributos : Los usuarios no cumplen con ninguno de los atributos de la condición. Esta opción especifica lo contrario de la condición y se usa con mayor frecuencia para los atributos de subred de IP. Por ejemplo, si especificas una subred de IP y "no cumplen", solo los usuarios con direcciones IP fuera del rango especificado coincidirán con la condición.
  5. Haz clic en Agregar atributo para agregar uno o más atributos a la condición de nivel de acceso. Los atributos que puedes agregar son los siguientes:
    • Subred de IP (pública): Dirección IPv4 o IPv6, o prefijo de enrutamiento en notación de bloque CIDR.
      • Este atributo no admite direcciones IP privadas (incluidas las redes domésticas de un usuario).
      • Se admiten direcciones IP estáticas.
      • Para usar una dirección IP dinámica, debes definir una subred de IP estática para el nivel de acceso. Si conoces el rango de la dirección IP dinámica y la dirección IP estática definida en el nivel de acceso abarca ese rango, se otorga el acceso. El acceso se deniega cuando la dirección IP dinámica no está en la subred de IP estática definida.
    • Subred de IP (privada): Te permite definir políticas de acceso adaptado al contexto que incluyen subredes de IP privadas de entornos de nube privada virtual (VPC). Para las organizaciones que usan VPC, este atributo garantiza el acceso seguro a los servicios de Workspace y el cumplimiento de las políticas de acceso adaptado al contexto definidas. Esto es especialmente importante para los usuarios que acceden a los servicios a través de la infraestructura de VPC y para Apps Script que dependen de IPs privadas.
      • Para usar este atributo, necesitas permisos de la consola de Google Cloud para enumerar y ver los recursos de red de Google Cloud y el rol adecuado de Identity and Access Management (IAM) (por ejemplo, compute.networks.list, compute.subnetworks.list, etcétera).
      • Este atributo es exclusivo para las subredes de IP privadas dentro de los entornos de VPC administrados. No se aplica a las direcciones IP privadas generales, como las que se encuentran en las redes domésticas de un usuario o en otros rangos privados que no son de VPC.
      • Para configurar este atributo, selecciona Subred de IP (privada) en el generador de niveles de acceso. Puedes agregar proyectos de la consola de Google Cloud, sus redes de VPC asociadas y, de manera opcional, rangos de subred de IP de VPC específicos. No es necesario configurar estos niveles de acceso en la consola de Google Cloud.
      • Cuando se evalúa el acceso del usuario, se usa la VPC que envía tráfico a los servidores de Google (no necesariamente la VPC desde la que se originó la solicitud).
      • Actualmente, la Consola del administrador admite la edición de texto libre de los nombres de VPC y las subredes correspondientes.
      • Si usas los Controles del servicio de VPC para crear perímetros seguros para tus recursos de Google Cloud, se aplican limitaciones específicas cuando usas el atributo de subred de IP (privada):
        • Solo puedes habilitar direcciones IP internas con niveles de acceso básicos. Para usar IPs privadas en niveles de acceso avanzados, crea un nivel de acceso básico solo con condiciones de IP privada y, luego, inclúyelo en tu nivel de acceso avanzado.
        • Evita configurar niveles de acceso para bloquear direcciones IP internas, ya que esto puede causar un comportamiento inesperado.
        • Un solo nivel de acceso no puede combinar atributos de IP públicas y privadas. Si necesitas ambos, crea niveles de acceso separados para cada uno y combínalos en un tercer nivel de acceso.
    • Ubicación : Países o regiones desde donde el usuario accede a los servicios de Google Workspace. No se admiten dispositivos con direcciones IP internas porque esas direcciones IP no son únicas a nivel global.
    • Política de dispositivo (solo elige las políticas de dispositivos que necesitas implementar):
      • Se requiere aprobación del administrador (si es necesario, se debe aprobar el dispositivo).
      • Se requiere un dispositivo de la empresa.
      • Pantalla protegida por contraseña.

        Nota: Para el SO Windows, este atributo verifica si se muestra la pantalla de acceso después de un tiempo de espera por inactividad, lo que es verdadero si está activado el parámetro de configuración "Requerir acceso" (en Opciones de acceso) o "Al reanudar, mostrar la pantalla de inicio de sesión" (en Configuración del protector de pantalla). No verifica si se configuró la contraseña.

      • Encriptación del dispositivo (no compatible, no encriptado, encriptado)
    • SO del dispositivo (los usuarios solo pueden acceder a Google Workspace con los sistemas operativos que selecciones. Establece una versión mínima del sistema operativo o permite cualquier versión. Usa el formato major.minor.patch para la versión del sistema operativo):
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Nivel de acceso: Debe cumplir con los requisitos de un nivel de acceso existente.
  6. Para agregar otra condición al nivel de acceso, haz clic en Agregar condición y agrega atributos.
  7. Indica las condiciones que deben cumplir los usuarios:
    • Y : Los usuarios deben cumplir con la primera condición y la condición agregada.
    • O : Los usuarios deben cumplir con solo una de las condiciones.
  8. Cuando termines de agregar las condiciones de nivel de acceso, guarda la definición del nivel de acceso haciendo clic en Guardar.
  9. Elige qué hacer con el nivel de acceso:
    • Asigna este nivel de acceso a las apps.
    • Crea una regla de protección de datos con este nivel de acceso. Si eliges esta opción, se iniciará el asistente para crear reglas. Obtén más información para combinar reglas de protección de datos con niveles de acceso adaptado al contexto.

Nivel de acceso de muestra creado en el modo básico

En este ejemplo, se muestra un nivel de acceso llamado "corp_access". Si se aplica "corp_access" a Gmail, los usuarios solo podrán acceder a Gmail desde un dispositivo encriptado y propiedad de la empresa, y solo desde EE.UU. o Canadá.

Nombre del nivel de acceso corp_access
Un usuario obtiene acceso si Satisface todos los atributos de la condición.
Atributo de la condición 1

Política de dispositivo
Encriptación del dispositivo = encriptado
Dispositivo de la empresa = obligatorio
Une la condición 1 y la condición 2 con Y
Un usuario obtiene acceso si Satisface todos los atributos de la condición.
Atributo de la condición 2

Origen geográfico
Países = EE.UU. y Canadá

Para obtener más ejemplos, consulta Ejemplos de acceso adaptado al contexto para el modo básico.

Define niveles de acceso: Modo avanzado

Este modo te permite crear niveles de acceso que no se pueden crear en el generador de condiciones de la interfaz de acceso adaptado al contexto. Por ejemplo:

  • Es posible que el administrador deba crear niveles de acceso que incluyan condiciones de proveedores para integraciones de terceros.
  • No se puede acceder a algunos atributos avanzados desde la interfaz de condiciones del modo básico, como la capacidad de usar la autenticación basada en certificados.

En este modo, creas tu nivel de acceso personalizado en una ventana de edición con Common Expression Language (CEL).

Para definir niveles de acceso con el modo avanzado, haz lo siguiente:

  1. Selecciona Niveles de acceso.
    Verás una lista de los niveles de acceso definidos. Los niveles de acceso son un recurso compartido entre Google Workspace, Cloud Identity y Google Cloud, por lo que es posible que veas niveles de acceso que no creaste en la lista. Para indicar qué equipo creó un nivel de acceso, considera incluir la plataforma en el nombre del nivel de acceso.
  2. Selecciona Crear nivel de acceso.
  3. Selecciona Modo avanzado.
  4. Agrega un nombre de nivel de acceso y una descripción opcional.
    Para definir el nivel de acceso, escribe una expresión CEL.
  5. Crea tu nivel de acceso personalizado en el editor de expresiones CEL.
    Para ello, necesitas experiencia con CEL. Para obtener orientación y ejemplos de expresiones compatibles para crear niveles de acceso personalizados, consulta la especificación del nivel de acceso personalizado .
  6. Haz clic en Guardar.
    Se compila la expresión y se informan los errores de sintaxis.
    • Si no hay errores de sintaxis, se guarda tu nivel de acceso personalizado y puedes asignarlo a las apps.
    • Si hay errores de sintaxis, verás el mensaje Corrige los errores para continuar con los errores del compilador (solo en inglés) específicos de la expresión que acabas de crear. Puedes corregir el error y volver a guardar. Cuando el nivel de acceso personalizado no contenga errores y se guarde, podrás asignarlo a las apps.

Nivel de acceso de muestra creado en el modo avanzado

En este ejemplo, se muestra un nivel de acceso que requiere que se cumplan las siguientes condiciones para permitir una solicitud:

  • El dispositivo de origen está encriptado.
  • Una o más de las siguientes afirmaciones es verdadera:
    • La solicitud se originó en los Estados Unidos.
    • El administrador del dominio aprueba el dispositivo desde el que se originó la solicitud.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Para obtener más ejemplos, consulta Ejemplos de acceso adaptado al contexto para el modo avanzado.

Próximo paso: Asigna niveles de acceso a las apps


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.