Creare livelli di accesso sensibile al contesto

1. Seleziona Livelli di accesso.
   Viene visualizzato l'elenco dei livelli di accesso definiti. I livelli di accesso sono una risorsa condivisa tra Google Workspace e Google Cloud, quindi è possibile che l'elenco includa livelli di accesso non creati da te. Per indicare il team che ha creato un livello di accesso, puoi includere la piattaforma nel nome di quel livello.
2. In alto a destra, seleziona Crea livello di accesso.
   Per impostazione predefinita è selezionata la modalità di base. Aggiungi una o più condizioni per definire il livello di accesso. Definisci quindi ogni condizione specificando uno o più attributi.

   Nota: ti consigliamo di non utilizzare l'interfaccia della piattaforma Google Cloud per aggiungere o modificare i livelli di accesso sensibile al contesto se sei un cliente solo di Workspace. Se aggiungi o modifichi i livelli di accesso utilizzando un metodo diverso dall'interfaccia di accesso sensibile al contesto, è possibile che venga generato l'errore Su Google Workspace vengono utilizzati attualmente attributi non supportati e che gli utenti vengano bloccati.

3. Aggiungi un nome al livello di accesso e, in via facoltativa, una descrizione.
4. Per la condizione che aggiungi al livello di accesso, specifica se è valida quando gli utenti:
   • Soddisfano gli attributi: gli utenti devono soddisfare tutti gli attributi della condizione.
   • Non soddisfano gli attributi: gli utenti non soddisfano nessun attributo della condizione. Questa opzione specifica il contrario della condizione ed è la più comunemente utilizzata per gli attributi di subnet IP. Ad esempio, se specifichi una subnet IP e "Non soddisfano gli attributi", solo gli utenti con indirizzi IP esterni all'intervallo specificato soddisferanno la condizione.
5. Fai clic su Aggiungi attributo per aggiungere uno o più attributi alla condizione del livello di accesso. Gli attributi che puoi aggiungere sono:
   • Subnet IP (pubblico): indirizzo IPv4 o IPv6 o prefisso di routing nella notazione a blocchi CIDR.
     • Questo attributo non supporta gli indirizzi IP privati (incluse le reti domestiche di un utente).
     • Gli indirizzi IP statici sono supportati.
     • Per utilizzare un indirizzo IP dinamico, devi definire una subnet IP statica per il livello di accesso. Se conosci l'intervallo dell'indirizzo IP dinamico e l'indirizzo IP statico definito nel livello di accesso copre tale intervallo, l'accesso viene concesso. L'accesso viene negato quando l'indirizzo IP dinamico non si trova nella subnet IP statica definita.
   • Subnet IP (privata): consente di definire policy di accesso sensibile al contesto che includono subnet IP privati dagli ambienti Virtual Private Cloud (VPC). Per le organizzazioni che utilizzano i VPC, questo attributo garantisce l'accesso sicuro ai servizi Workspace e la conformità alle policy di accesso sensibile al contesto definite. Ciò è particolarmente importante per gli utenti che accedono ai servizi tramite l'infrastruttura VPC e per Apps Script che si basa su IP privati.
     • Per utilizzare questo attributo, devi disporre delle autorizzazioni della console Google Cloud per elencare e visualizzare le risorse di rete Google Cloud e del ruolo Identity and Access Management (IAM) appropriato (ad esempio, compute.networks.list, compute.subnetworks.list e così via).
     • Questo attributo è esclusivamente per le subnet IP private all'interno degli ambienti VPC gestiti. Non si applica agli indirizzi IP privati generali, ad esempio quelli che si trovano nelle reti domestiche di un utente o in altri intervalli privati non VPC.
     • Per configurare questo attributo, seleziona Subnet IP (privata) nel generatore di livelli di accesso. Puoi aggiungere progetti della console Google Cloud, le relative reti VPC e, facoltativamente, intervalli di subnet IP VPC specifici. Non devi configurare questi livelli di accesso nella console Google Cloud.
     • Quando viene valutato l'accesso utente, viene utilizzato il VPC che invia il traffico ai server Google (non necessariamente il VPC da cui ha avuto origine la richiesta).
     • Al momento, la Console di amministrazione supporta la modifica del testo in formato libero dei nomi VPC e delle relative subnet.
     • Se utilizzi i Controlli di servizio VPC per creare perimetri sicuri per le tue risorse Google Cloud, si applicano limitazioni specifiche quando utilizzi l'attributo Subnet IP (privata):
       • Puoi abilitare gli indirizzi IP interni solo con i livelli di accesso di base. Per utilizzare gli IP privati nei livelli di accesso avanzati, crea un livello di accesso di base con solo condizioni IP privati, quindi includilo nel livello di accesso avanzato.
       • Evita di configurare i livelli di accesso per bloccare gli indirizzi IP interni, in quanto ciò può causare comportamenti imprevisti.
       • Un singolo livello di accesso non può combinare attributi IP pubblici e privati. Se hai bisogno di entrambi, crea livelli di accesso separati per ciascuno e combinali in un terzo livello di accesso.
   • Località: paesi/regioni in cui l'utente accede ai servizi Google Workspace. I dispositivi con indirizzi IP interni non sono supportati perché quegli indirizzi IP non sono univoci a livello globale.
   • Policy per i dispositivi (scegli solo le policy relative ai dispositivi che devi implementare):
     • Approvazione dell'amministratore obbligatoria (in questo caso, il dispositivo deve essere approvato)
     • Dispositivo di proprietà dell'azienda obbligatorio
     • Protetto da password di blocco dello schermo

       Nota: per il sistema operativo Windows, questo attributo verifica se la schermata di accesso viene visualizzata dopo un timeout di inattività, il che è vero se è attivata l'impostazione "Require sign-in" ("Richiedi accesso"), in Sign-in options (Opzioni di accesso) o l'impostazione "On resume, display login screen" ("Al ripristino, mostra la schermata di accesso"), in "Screen saver settings" (Impostazioni salvaschermo). Non controlla se la password è impostata.

     • Crittografia del dispositivo (Non supportata, Senza crittografia, Con crittografia)
   • Sistema operativo del dispositivo (gli utenti possono accedere a Google Workspace solo con i sistemi operativi che selezioni. Imposta una versione minima del sistema operativo o consenti qualsiasi versione. Utilizza il formato major.minor.patch per la versione del sistema operativo) -
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • Livello di accesso: deve soddisfare i requisiti di un livello di accesso esistente.
6. Per aggiungere un'altra condizione al livello di accesso, fai clic su Aggiungi condizione e inserisci gli attributi.
7. Indica le condizioni che gli utenti devono soddisfare:
   • AND: gli utenti devono soddisfare la prima condizione e la condizione aggiunta.
   • Or: gli utenti devono soddisfare solo una delle condizioni.
8. Dopo aver aggiunto le condizioni, salva la definizione del livello di accesso facendo clic su Salva.
9. Scegli cosa fare con il livello di accesso:
   • Assegna questo livello di accesso alle app.
   • Crea una regola per la protezione dei dati con questo livello di accesso. Se scegli questa opzione, si avvierà la procedura guidata per la creazione delle regole. Scopri di più sulla combinazione delle regole di protezione dei dati con i livelli di accesso sensibile al contesto.

Esempio di livello di accesso creato in modalità di base

Questo esempio mostra un livello di accesso denominato "corp_access". Se "corp_access" viene applicato a Gmail, gli utenti possono accedere a Gmail solo da un dispositivo criptato di proprietà dell'azienda e solo dagli Stati Uniti o dal Canada.

Per altri esempi, vedi la pagina degli esempi di accesso sensibile al contesto per la modalità di base.

Questa modalità ti consente di creare livelli di accesso che non possono essere creati nel generatore di condizioni dell'interfaccia di accesso sensibile al contesto. Ad esempio:

• L'amministratore potrebbe dover creare livelli di accesso che includono condizioni del fornitore per le integrazioni di terze parti.
• Alcuni attributi avanzati non sono accessibili dall'interfaccia delle condizioni della modalità di base, ad esempio la possibilità di utilizzare l'autenticazione basata su certificati.

In questa modalità, puoi creare il tuo livello di accesso personalizzato in una finestra di modifica utilizzando il Common Expression Language (CEL).

Per definire i livelli di accesso utilizzando la modalità avanzata:

1. Seleziona Livelli di accesso.
   Viene visualizzato l'elenco dei livelli di accesso definiti. I livelli di accesso rappresentano una risorsa condivisa tra Google Workspace, Cloud Identity e Google Cloud, perciò è possibile che l'elenco includa livelli di accesso non creati da te. Per indicare il team che ha creato un livello di accesso, puoi includere la piattaforma nel nome di quel livello.
2. Seleziona Crea livello di accesso.
3. Seleziona Modalità avanzata.
4. Aggiungi un nome al livello di accesso e, in via facoltativa, una descrizione.
   Puoi definire il livello di accesso scrivendo un'espressione CEL.
5. Crea il tuo livello di accesso personalizzato nell'editor dell'espressione CEL.
   Per farlo, è necessario avere una certa esperienza con il CEL. Per linee guida ed esempi di espressioni supportate per la creazione di livelli di accesso personalizzati, vedi le specifiche del livello di accesso personalizzato .
6. Fai clic su Salva.
   L'espressione viene compilata e vengono segnalati eventuali errori di sintassi.
   • Se non sono presenti errori di sintassi, il livello di accesso personalizzato viene salvato e puoi assegnarlo alle app.
   • In caso di errori di sintassi, viene visualizzato il messaggio Correggi gli errori per continuare contenente gli errori di compilazione (solo in inglese) specifici per l'espressione appena creata. Puoi correggere l'errore e salvare di nuovo. Quando il livello di accesso personalizzato non contiene errori e viene salvato, puoi assegnare questo livello di accesso alle app.

Esempio di livello di accesso creato in modalità avanzata

Questo esempio mostra un livello di accesso che richiede la conformità alle seguenti condizioni per consentire una richiesta:

• Il dispositivo di origine è criptato.
• Una o più delle seguenti condizioni è vera:
  • La richiesta ha avuto origine negli Stati Uniti.
  • Il dispositivo da cui ha avuto origine la richiesta è approvato dall'amministratore di dominio.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Per altri esempi, vedi la pagina degli esempi di accesso sensibile al contesto per la modalità avanzata.