कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल बनाएं

1. ऐक्सेस लेवल चुनें.
   आपको तय किए गए ऐक्सेस लेवल की सूची दिखती है. ऐक्सेस लेवल, Google Workspace और Google Cloud के बीच शेयर किया गया संसाधन है. इसलिए, आपको सूची में ऐसे ऐक्सेस लेवल दिख सकते हैं जिन्हें आपने नहीं बनाया है. यह बताने के लिए कि किस टीम ने ऐक्सेस लेवल बनाया है, ऐक्सेस लेवल के नाम में प्लैटफ़ॉर्म का नाम शामिल करें.
2. सबसे ऊपर दाईं ओर, ऐक्सेस लेवल बनाएं को चुनें.
   बेसिक मोड डिफ़ॉल्ट रूप से चुना हुआ होता है. इसमें एक या उससे ज़्यादा शर्तें जोड़कर, ऐक्सेस लेवल तय किया जाता है. इसके बाद, एक या उससे ज़्यादा एट्रिब्यूट तय करके हर शर्त को तय करें.

   ध्यान दें: अगर आप सिर्फ़ Workspace के ग्राहक हैं, तो हमारा सुझाव है कि कॉन्टेक्स्ट के हिसाब से ऐक्सेस के लेवल जोड़ने या उनमें बदलाव करने के लिए, Google Cloud Platform (GCP) इंटरफ़ेस का इस्तेमाल न करें. अगर कॉन्टेक्स्ट अवेयर ऐक्सेस इंटरफ़ेस के अलावा किसी अन्य तरीके का इस्तेमाल करके ऐक्सेस लेवल जोड़े या बदले जाते हैं, तो आपको यह गड़बड़ी का मैसेज दिख सकता है: Google Workspace पर ऐसे एट्रिब्यूट इस्तेमाल किए जा रहे हैं जो काम नहीं करते. साथ ही, उपयोगकर्ताओं को ब्लॉक किया जा सकता है.

3. ऐक्सेस लेवल का नाम और जानकारी (ज़रूरी नहीं) जोड़ें.
4. ऐक्सेस लेवल की जिस शर्त को जोड़ा गया है उसके लिए यह तय करें कि वह शर्त कब लागू होगी. जैसे, जब उपयोगकर्ता:
   • एट्रिब्यूट से जुड़ी शर्त—उपयोगकर्ताओं को शर्त में दिए गए सभी एट्रिब्यूट की वैल्यू पूरी करनी होंगी.
   • एट्रिब्यूट की शर्तें पूरी नहीं करता—उपयोगकर्ता, शर्त में शामिल किसी भी एट्रिब्यूट की शर्तें पूरी नहीं करते. यह विकल्प, शर्त के उलट होता है. इसका इस्तेमाल अक्सर आईपी सबनेट एट्रिब्यूट के लिए किया जाता है. उदाहरण के लिए, अगर आपने कोई आईपी सबनेट और "पूरी नहीं करता" चुना है, तो सिर्फ़ उस रेंज से बाहर के आईपी पते वाले उपयोगकर्ता ही शर्त को पूरा करेंगे.
5. ऐक्सेस लेवल की शर्त में एक या उससे ज़्यादा एट्रिब्यूट जोड़ने के लिए, एट्रिब्यूट जोड़ें पर क्लिक करें. ये एट्रिब्यूट जोड़े जा सकते हैं:
   • आईपी सबनेट (सार्वजनिक)—IPv4 या IPv6 पता या सीआईडीआर ब्लॉक नोटेशन में रूटिंग प्रीफ़िक्स.
     • इस एट्रिब्यूट के लिए, निजी आईपी पतों का इस्तेमाल नहीं किया जा सकता. इनमें उपयोगकर्ता के होम नेटवर्क भी शामिल हैं.
     • स्टैटिक आईपी पते इस्तेमाल किए जा सकते हैं.
     • डाइनैमिक आईपी पते का इस्तेमाल करने के लिए, आपको ऐक्सेस लेवल के लिए स्टैटिक आईपी सबनेट तय करना होगा. अगर आपको डाइनैमिक आईपी पते की रेंज पता है और ऐक्सेस लेवल में तय किया गया स्टैटिक आईपी पता उस रेंज को कवर करता है, तो ऐक्सेस दिया जाता है. डाइनैमिक आईपी पता, तय किए गए स्टैटिक आईपी सबनेट में न होने पर ऐक्सेस नहीं दिया जाता.
   • आईपी सबनेट (निजी)—इससे कॉन्टेक्स्ट अवेयर ऐक्सेस की ऐसी नीतियां तय की जा सकती हैं जिनमें वर्चुअल प्राइवेट क्लाउड (VPC) एनवायरमेंट से निजी आईपी सबनेट शामिल हों. वीपीसी का इस्तेमाल करने वाले संगठनों के लिए, यह एट्रिब्यूट Workspace सेवाओं को सुरक्षित तरीके से ऐक्सेस करने और कॉन्टेक्स्ट अवेयर ऐक्सेस की आपकी तय की गई नीतियों का पालन करने की सुविधा देता है. यह खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो वीपीसी इन्फ़्रास्ट्रक्चर के ज़रिए सेवाओं को ऐक्सेस करते हैं. साथ ही, यह उन Apps Script के लिए भी ज़रूरी है जो निजी आईपी पर निर्भर करती हैं.
     • इस एट्रिब्यूट का इस्तेमाल करने के लिए, आपके पास Google Cloud Console की अनुमतियां होनी चाहिए. इनकी मदद से, Google Cloud नेटवर्क संसाधनों को सूची में शामिल किया जा सकता है और उन्हें देखा जा सकता है. साथ ही, आपके पास Identity and Access Management (IAM) की सही भूमिका होनी चाहिए. उदाहरण के लिए, compute.networks.list, compute.subnetworks.list वगैरह.
     • यह एट्रिब्यूट, मैनेज किए गए वीपीसी एनवायरमेंट में मौजूद निजी आईपी सबनेट के लिए ही है. यह सामान्य प्राइवेट आईपी पतों पर लागू नहीं होता. जैसे, किसी उपयोगकर्ता के होम नेटवर्क या वीपीसी के अलावा अन्य प्राइवेट रेंज में मौजूद आईपी पते.
     • इस एट्रिब्यूट को कॉन्फ़िगर करने के लिए, ऐक्सेस लेवल बिल्डर में आईपी सबनेट (निजी) चुनें. Google Cloud Console प्रोजेक्ट और उनसे जुड़े वीपीसी नेटवर्क जोड़े जा सकते हैं. इसके अलावा, वीपीसी आईपी सबनेट की कुछ खास रेंज भी जोड़ी जा सकती हैं. आपको इन ऐक्सेस लेवल को Google Cloud Console में कॉन्फ़िगर करने की ज़रूरत नहीं है.
     • उपयोगकर्ता के ऐक्सेस का आकलन करते समय, उस वीपीसी का इस्तेमाल किया जाता है जो Google सर्वर को ट्रैफ़िक भेजता है. यह ज़रूरी नहीं है कि अनुरोध उसी वीपीसी से किया गया हो.
     • फ़िलहाल, Admin console में वीपीसी के नाम और उनसे जुड़े सबनेट में टेक्स्ट को अपनी पसंद के मुताबिक बदलने की सुविधा उपलब्ध है.
     • अगर आपने Google Cloud संसाधनों के लिए सुरक्षित पेरीमीटर बनाने के लिए, VPC सर्विस कंट्रोल का इस्तेमाल किया है, तो आईपी सबनेट (निजी) एट्रिब्यूट का इस्तेमाल करते समय कुछ सीमाएं लागू होती हैं:
       • बेसिक ऐक्सेस लेवल के साथ, सिर्फ़ इंटरनल आईपी पतों को चालू किया जा सकता है. ऐडवांस ऐक्सेस लेवल में निजी आईपी का इस्तेमाल करने के लिए, सिर्फ़ निजी आईपी की शर्तों वाला बेसिक ऐक्सेस लेवल बनाएं. इसके बाद, इसे अपने ऐडवांस ऐक्सेस लेवल में शामिल करें.
       • इंटरनल आईपी पतों को ब्लॉक करने के लिए, ऐक्सेस लेवल कॉन्फ़िगर न करें. इससे अनचाही समस्याएं हो सकती हैं.
       • एक ऐक्सेस लेवल में, सार्वजनिक और निजी आईपी एट्रिब्यूट को एक साथ इस्तेमाल नहीं किया जा सकता. अगर आपको दोनों की ज़रूरत है, तो हर एक के लिए अलग-अलग ऐक्सेस लेवल बनाएं. इसके बाद, उन्हें तीसरे ऐक्सेस लेवल में जोड़ें.
   • जगह—वे देश/इलाके जहां उपयोगकर्ता Google Workspace की सेवाएं ऐक्सेस कर रहा है. इंटरनल आईपी पते वाले डिवाइसों के लिए, यह सुविधा काम नहीं करती. ऐसा इसलिए, क्योंकि ये आईपी पते दुनिया भर में यूनीक नहीं होते.
   • डिवाइस की नीति (सिर्फ़ उन डिवाइसों की नीतियां चुनें जिन्हें आपको लागू करना है)—
     • एडमिन की अनुमति ज़रूरी है (अगर ज़रूरी हो, तो डिवाइस को अनुमति दी जानी चाहिए)
     • कंपनी के मालिकाना हक वाला डिवाइस ज़रूरी है
     • स्क्रीन पर पासवर्ड डालकर सुरक्षित रखा जाता है

       ध्यान दें: Windows OS के लिए, यह एट्रिब्यूट यह जांच करता है कि तय समय तक कोई गतिविधि न होने के बाद, साइन-इन स्क्रीन दिख रही है या नहीं. ऐसा तब होता है, जब "साइन-इन ज़रूरी है" सेटिंग (साइन-इन के विकल्पों में) या "फिर से शुरू करने पर, लॉगिन स्क्रीन दिखाएं" सेटिंग (स्क्रीन सेवर की सेटिंग में) चालू हो. इससे यह पता नहीं चलता कि पासवर्ड सेट किया गया है या नहीं.

     • डिवाइस एन्क्रिप्शन (काम नहीं करता, एन्क्रिप्ट (सुरक्षित) नहीं किया गया, एन्क्रिप्ट (सुरक्षित) किया गया)
   • डिवाइस ओएस (उपयोगकर्ता सिर्फ़ आपके चुने गए ऑपरेटिंग सिस्टम के साथ Google Workspace ऐक्सेस कर सकते हैं. ऑपरेटिंग सिस्टम का कम से कम वर्शन सेट करें या किसी भी वर्शन को अनुमति दें. ऑपरेटिंग सिस्टम के वर्शन के लिए, major.minor.patch फ़ॉर्मैट का इस्तेमाल करें)—
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • ऐक्सेस लेवल—मौजूदा ऐक्सेस लेवल की ज़रूरी शर्तों को पूरा करना चाहिए.
6. ऐक्सेस लेवल में कोई दूसरी शर्त जोड़ने के लिए, शर्त जोड़ें पर क्लिक करें और उसमें एट्रिब्यूट जोड़ें.
7. बताएं कि उपयोगकर्ताओं को कौनसी शर्तें पूरी करनी होंगी:
   • और—उपयोगकर्ताओं को पहली शर्त और जोड़ी गई शर्त, दोनों को पूरा करना होगा.
   • या—उपयोगकर्ताओं को सिर्फ़ एक शर्त पूरी करनी होगी.
8. ऐक्सेस लेवल की शर्तें जोड़ने के बाद, सेव करें पर क्लिक करके, ऐक्सेस लेवल की परिभाषा सेव करें.
9. चुनें कि ऐक्सेस लेवल के साथ क्या करना है:
   • यह ऐक्सेस लेवल, ऐप्लिकेशन को असाइन करें.
   • इस ऐक्सेस लेवल के साथ, डेटा की सुरक्षा का नियम बनाएं. इस विकल्प को चुनने पर, नियम बनाने का विज़र्ड शुरू हो जाएगा. डेटा सुरक्षा के नियमों को कॉन्टेक्स्ट अवेयर ऐक्सेस के लेवल के साथ इस्तेमाल करने के बारे में ज़्यादा जानें.

ऐक्सेस लेवल का सैंपल—इसे बेसिक मोड में बनाया गया है

इस उदाहरण में, "corp_access" नाम का ऐक्सेस लेवल दिखाया गया है. अगर Gmail पर "corp_access" लागू किया जाता है, तो उपयोगकर्ता सिर्फ़ अमेरिका या कनाडा में, कंपनी के मालिकाना हक वाले एन्क्रिप्ट (सुरक्षित) किए गए डिवाइस से Gmail ऐक्सेस कर सकते हैं.

ज़्यादा उदाहरणों के लिए, बेसिक मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण देखें.

इस मोड की मदद से, ऐसे ऐक्सेस लेवल बनाए जा सकते हैं जिन्हें कॉन्टेक्स्ट अवेयर ऐक्सेस इंटरफ़ेस के कंडीशन बिल्डर में नहीं बनाया जा सकता. उदाहरण के लिए:

• एडमिन को ऐसे ऐक्सेस लेवल बनाने पड़ सकते हैं जिनमें तीसरे पक्ष के इंटिग्रेशन के लिए, वेंडर की शर्तें शामिल हों.
• बेसिक मोड के शर्त इंटरफ़ेस से, कुछ ऐडवांस एट्रिब्यूट ऐक्सेस नहीं किए जा सकते. जैसे, सर्टिफ़िकेट के आधार पर पुष्टि करने की सुविधा का इस्तेमाल करने की क्षमता.

इस मोड में, कॉमन एक्सप्रेशन लैंग्वेज (सीईएल) का इस्तेमाल करके, एडिटिंग विंडो में अपनी पसंद के मुताबिक ऐक्सेस लेवल बनाया जाता है.

ऐडवांस मोड का इस्तेमाल करके ऐक्सेस लेवल तय करने के लिए:

1. ऐक्सेस लेवल चुनें.
   आपको तय किए गए ऐक्सेस लेवल की सूची दिखती है. ऐक्सेस लेवल, Google Workspace, Cloud Identity, और Google Cloud के बीच शेयर किए जाते हैं. इसलिए, आपको सूची में ऐसे ऐक्सेस लेवल दिख सकते हैं जिन्हें आपने नहीं बनाया है. यह बताने के लिए कि किस टीम ने ऐक्सेस लेवल बनाया है, ऐक्सेस लेवल के नाम में प्लैटफ़ॉर्म का नाम शामिल करें.
2. ऐक्सेस लेवल बनाएं को चुनें.
3. ऐडवांस मोड चुनें.
4. ऐक्सेस लेवल का नाम और जानकारी (ज़रूरी नहीं) जोड़ें.
   ऐक्सेस लेवल को सीईएल एक्सप्रेशन लिखकर तय किया जाता है.
5. सीईएल एक्सप्रेशन एडिटर में, अपनी पसंद के मुताबिक ऐक्सेस लेवल बनाएं.
   इसके लिए, आपको सीईएल का कुछ अनुभव होना चाहिए. कस्टम ऐक्सेस लेवल बनाने के लिए, इस्तेमाल किए जा सकने वाले एक्सप्रेशन के बारे में जानकारी और उदाहरण पाने के लिए, कस्टम ऐक्सेस लेवल स्पेसिफ़िकेशन पर जाएं .
6. सेव करें पर क्लिक करें.
   एक्सप्रेशन को कंपाइल किया जाता है और सिंटैक्स से जुड़ी गड़बड़ियों की जानकारी दी जाती है.
   • अगर सिंटैक्स में कोई गड़बड़ी नहीं है, तो आपका कस्टम ऐक्सेस लेवल सेव हो जाता है. इसके बाद, इसे ऐप्लिकेशन के लिए असाइन किया जा सकता है.
   • सिंटैक्स से जुड़ी गड़बड़ियां होने पर, आपको जारी रखने के लिए, इस गड़बड़ी को ठीक करें मैसेज दिखेगा. इसमें, कंपाइलर से जुड़ी गड़बड़ियों के बारे में बताया गया होगा. यह मैसेज सिर्फ़ अंग्रेज़ी में दिखेगा. इसमें, आपके बनाए गए एक्सप्रेशन से जुड़ी गड़बड़ियों के बारे में बताया गया होगा. गड़बड़ी को ठीक करके, फिर से सेव किया जा सकता है. जब कस्टम ऐक्सेस लेवल में कोई गड़बड़ी न हो और उसे सेव कर लिया जाए, तब इस ऐक्सेस लेवल को ऐप्लिकेशन को असाइन किया जा सकता है.

ऐडवांस मोड में बनाया गया ऐक्सेस लेवल का सैंपल

इस उदाहरण में, ऐक्सेस लेवल दिखाया गया है. अनुरोध को अनुमति देने के लिए, इन शर्तों को पूरा करना ज़रूरी है:

• जिस डिवाइस से डेटा भेजा जा रहा है उसे एन्क्रिप्ट (सुरक्षित) किया गया है.
• इनमें से एक या उससे ज़्यादा बातें सही हैं:
  • अनुरोध अमेरिका से किया गया हो.
  • अनुरोध भेजने वाले डिवाइस को डोमेन एडमिन ने अनुमति दी हो.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

ज़्यादा उदाहरणों के लिए, ऐडवांस मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण देखें.