Creëer contextbewuste toegangsniveaus

Contextbewuste toegangsniveaus combineren voorwaarden en waarden die de context van een gebruiker of apparaat definiëren. Deze toegangsniveaus bepalen de context waarin gebruikers toegang hebben tot apps.

Je kunt bijvoorbeeld een toegangsniveau voor Gmail instellen dat vereist dat gebruikers verbinding maken vanaf een specifiek IP-adresbereik en dat hun apparaten versleuteld zijn.

Opmerking: Voordat u een toegangsniveau aanmaakt, moet u eindpuntverificatie implementeren en contextbewuste toegang inschakelen. Zie Eindpuntverificatie instellen en contextbewuste toegang inschakelen in Contextbewuste toegang implementeren voor meer informatie.

Maak een toegangsniveau aan

Toegangsniveaus bestaan ​​uit een of meer voorwaarden die u definieert. Om toegang te krijgen tot apps, moeten gebruikers aan deze voorwaarden voldoen. Voorwaarden voor toegangsniveaus bevatten kenmerken die u kunt selecteren, zoals apparaatbeleid, IP-subnet of een ander toegangsniveau.

Je kunt toegangsniveaus aanmaken in twee verschillende modi: Basis en Geavanceerd. In de Basismodus krijg je een lijst met vooraf gedefinieerde kenmerken waaruit je kunt kiezen. Als je kenmerken nodig hebt die niet in de interface staan, maak dan in de Geavanceerde modus een aangepast toegangsniveau aan.

Let op: wanneer u een toegangsniveau wijzigt, worden de wijzigingen onmiddellijk van kracht. Houd er rekening mee dat wijzigingen in toegangsniveaus direct van invloed zijn op uw gebruikers. Zorg ervoor dat de wijzigingen overeenkomen met uw bedoelingen.

Definieer toegangsniveaus - Basismodus

  1. Selecteer toegangsniveaus .
    Je ziet een lijst met gedefinieerde toegangsniveaus. Toegangsniveaus zijn een gedeelde bron tussen Google Workspace en Google Cloud, dus het kan zijn dat je toegangsniveaus in de lijst ziet die je niet zelf hebt aangemaakt. Om aan te geven welk team een ​​toegangsniveau heeft aangemaakt, kun je overwegen om het platform in de naam van het toegangsniveau op te nemen.
  2. Selecteer rechtsboven ' Toegangsniveau aanmaken' .
    De basismodus is standaard geselecteerd. U definieert het toegangsniveau door er een of meer voorwaarden aan toe te voegen. Definieer vervolgens elke voorwaarde door een of meer kenmerken op te geven.

    Opmerking : We raden af ​​om de Google Cloud Platform (GCP)-interface te gebruiken om contextbewuste toegangsrechten toe te voegen of te wijzigen als u alleen een Workspace-abonnement hebt. Als u toegangsrechten toevoegt of wijzigt via een andere methode dan de interface voor contextbewuste toegang, kan de volgende foutmelding verschijnen: Er worden niet-ondersteunde kenmerken gebruikt in Google Workspace en gebruikers kunnen worden geblokkeerd.

  3. Voeg een naam voor het toegangsniveau en een optionele beschrijving toe.
  4. Geef voor de toegangsvoorwaarde die u toevoegt aan of de voorwaarde van toepassing is wanneer gebruikers:
    • Voldoen aan de voorwaarden — Gebruikers moeten aan alle voorwaarden in de conditie voldoen.
    • Niet aan de kenmerken voldoen — Gebruikers voldoen aan geen van de kenmerken in de voorwaarde. Deze optie specificeert het tegenovergestelde van de voorwaarde en wordt het meest gebruikt voor IP-subnetkenmerken. Als u bijvoorbeeld een IP-subnet opgeeft en "niet aan de kenmerken voldoen", voldoen alleen gebruikers met IP-adressen buiten het opgegeven bereik aan de voorwaarde.
  5. Klik op 'Attribuut toevoegen' om een ​​of meer attributen toe te voegen aan de toegangsvoorwaarde. De volgende attributen kunt u toevoegen:
    • IP-subnet (openbaar) — IPv4- of IPv6-adres of routeringsprefix in CIDR-bloknotatie.
      • Dit attribuut ondersteunt geen privé-IP-adressen (inclusief thuisnetwerken van gebruikers).
      • Statische IP-adressen worden ondersteund.
      • Om een ​​dynamisch IP-adres te gebruiken, moet u een statisch IP-subnet definiëren voor het toegangsniveau. Als u het bereik van het dynamische IP-adres kent en het gedefinieerde statische IP-adres in het toegangsniveau dat bereik dekt, wordt toegang verleend. Toegang wordt geweigerd als het dynamische IP-adres zich niet in het gedefinieerde statische IP-subnet bevindt.
    • IP-subnet (Privé) — Hiermee kunt u contextbewuste toegangsbeleidsregels definiëren die privé-IP-subnetten van Virtual Private Cloud (VPC)-omgevingen omvatten. Voor organisaties die VPC's gebruiken, zorgt dit kenmerk voor veilige toegang tot Workspace-services en naleving van uw gedefinieerde contextbewuste toegangsbeleidsregels. Dit is met name belangrijk voor gebruikers die toegang hebben tot services via de VPC-infrastructuur en voor Apps Script die afhankelijk zijn van privé-IP's.
      • Om dit attribuut te gebruiken, hebt u machtigingen in de Google Cloud-console nodig om Google Cloud-netwerkbronnen weer te geven en te bekijken, evenals de juiste Identity and Access Management (IAM) -rol (bijvoorbeeld compute.networks.list , compute.subnetworks.list , enzovoort).
      • Dit kenmerk is uitsluitend bedoeld voor privé-IP-subnetten binnen beheerde VPC-omgevingen. Het is niet van toepassing op algemene privé-IP-adressen, zoals die in thuisnetwerken van gebruikers of andere privé-IP-adressen buiten VPC's.
      • Om dit attribuut te configureren, selecteert u IP-subnet (Privé) in de builder voor toegangsniveaus. U kunt Google Cloud Console-projecten, de bijbehorende VPC-netwerken en, optioneel, specifieke VPC IP-subnetbereiken toevoegen. U hoeft deze toegangsniveaus niet in de Google Cloud Console te configureren.
      • Bij het beoordelen van gebruikerstoegang wordt de VPC gebruikt die verkeer naar Google-servers stuurt (niet noodzakelijkerwijs de VPC waar het verzoek vandaan kwam).
      • De beheerdersconsole ondersteunt momenteel het bewerken van VPC-namen en de bijbehorende subnetten in vrije tekstvorm.
      • Als u VPC-servicebeheer gebruikt om beveiligde perimeterzones voor uw Google Cloud-resources te creëren, gelden er specifieke beperkingen bij gebruik van het IP-subnetkenmerk (Privé):
        • Je kunt interne IP-adressen alleen inschakelen met basistoegangsniveaus. Om privé-IP-adressen te gebruiken in geavanceerde toegangsniveaus, maak je een basistoegangsniveau aan met alleen voorwaarden voor privé-IP-adressen en neem je dit vervolgens op in je geavanceerde toegangsniveau.
        • Vermijd het configureren van toegangsniveaus om interne IP-adressen te blokkeren, aangezien dit onverwacht gedrag kan veroorzaken.
        • Een enkel toegangsniveau kan geen openbare en privé-IP-kenmerken combineren. Als u beide nodig hebt, maak dan aparte toegangsniveaus aan voor elk en combineer deze in een derde toegangsniveau.
    • Locatie — Landen/regio's waar de gebruiker toegang heeft tot Google Workspace-services. Apparaten met interne IP-adressen worden niet ondersteund, omdat deze IP-adressen niet wereldwijd uniek zijn.
    • Apparaatbeleid (selecteer alleen de apparaatbeleidsregels die u wilt implementeren)
      • Goedkeuring van de beheerder is vereist (indien nodig moet het apparaat goedgekeurd zijn).
      • Een apparaat dat eigendom is van het bedrijf is vereist.
      • Scherm beveiligd met wachtwoord

        Opmerking : Voor Windows-besturingssystemen controleert dit kenmerk of het aanmeldscherm wordt weergegeven na een inactiviteitstijdslimiet. Dit is het geval als de instelling 'Aanmelden vereisen' (in Aanmeldopties) of 'Aanmeldscherm weergeven bij hervatten' (in Schermbeveiligingsinstellingen) is ingeschakeld. Er wordt niet gecontroleerd of er een wachtwoord is ingesteld.

      • Apparaatversleuteling (Niet ondersteund, Niet versleuteld, Versleuteld)
    • Apparaatbesturingssysteem (gebruikers hebben alleen toegang tot Google Workspace met de besturingssystemen die u selecteert. Stel een minimale besturingssysteemversie in of sta elke versie toe. Gebruik de indeling major.minor.patch voor de besturingssysteemversie)
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Toegangsniveau — Moet voldoen aan de vereisten van een bestaand toegangsniveau.
  6. Om een ​​extra voorwaarde aan het toegangsniveau toe te voegen, klikt u op 'Voorwaarde toevoegen' en voegt u er kenmerken aan toe.
  7. Geef aan aan welke voorwaarden gebruikers moeten voldoen:
    • En — Gebruikers moeten voldoen aan de eerste voorwaarde en de toegevoegde voorwaarde.
    • Of — Gebruikers hoeven slechts aan één van de voorwaarden te voldoen.
  8. Nadat u de toegangsniveauvoorwaarden hebt toegevoegd, slaat u de definitie van het toegangsniveau op door op 'Opslaan' te klikken.
  9. Kies wat je met het toegangsniveau wilt doen:
    • Wijs dit toegangsniveau toe aan apps.
    • Maak een gegevensbeschermingsregel met dit toegangsniveau. Als u deze optie kiest, start u de wizard voor het maken van regels. Lees meer over het combineren van gegevensbeschermingsregels met contextbewuste toegangsniveaus.

Voorbeeldtoegangsniveau - gemaakt in de basismodus

Dit voorbeeld toont een toegangsniveau genaamd "corp_access". Als "corp_access" is toegepast op Gmail, hebben gebruikers alleen toegang tot Gmail vanaf een versleuteld apparaat dat eigendom is van het bedrijf, en alleen vanuit de VS of Canada.

Toegangsniveaunaam corp_access
Een gebruiker krijgt toegang als hij/zij Voldoe aan alle kenmerken in de voorwaarde.
Voorwaarde 1 attribuut

Apparaatbeleid
Apparaatversleuteling = versleuteld
Apparaat in bedrijfseigendom = vereist

Verbind voorwaarde 1 en voorwaarde 2 met EN
Een gebruiker krijgt toegang als hij/zij Voldoe aan alle kenmerken in de voorwaarde.
Voorwaarde 2 attribuut

Geografische oorsprong
Landen = VS, Canada

Zie voor meer voorbeelden de voorbeelden van contextbewuste toegang voor de basismodus .

Definieer toegangsniveaus - Geavanceerde modus

Met deze modus kunt u toegangsniveaus creëren die niet mogelijk zijn in de contextbewuste toegangsinterface-conditiebouwer. Bijvoorbeeld:

  • De beheerder moet mogelijk toegangsniveaus aanmaken die leveranciersvoorwaarden bevatten voor integraties met externe partijen.
  • Sommige geavanceerde eigenschappen zijn niet toegankelijk via de basisinterface, zoals de mogelijkheid om authenticatie op basis van certificaten te gebruiken.

In deze modus bouwt u uw eigen toegangsniveau op in een bewerkingsvenster met behulp van Common Expression Language (CEL).

Om toegangsniveaus te definiëren met behulp van de geavanceerde modus:

  1. Selecteer toegangsniveaus .
    Je ziet een lijst met gedefinieerde toegangsniveaus. Toegangsniveaus zijn een gedeelde bron voor Google Workspace, Cloud Identity en Google Cloud, dus het kan zijn dat je toegangsniveaus in de lijst ziet die je niet zelf hebt aangemaakt. Om aan te geven welk team een ​​toegangsniveau heeft aangemaakt, kun je overwegen om het platform in de naam van het toegangsniveau op te nemen.
  2. Selecteer ' Toegangsniveau aanmaken' .
  3. Selecteer de geavanceerde modus .
  4. Voeg een naam voor het toegangsniveau en een optionele beschrijving toe.
    Je definieert het toegangsniveau door een CEL-expressie te schrijven.
  5. Stel uw eigen toegangsniveau samen in de CEL-expressie-editor.
    Hiervoor hebt u enige ervaring met CEL nodig. Voor richtlijnen en voorbeelden van ondersteunde expressies voor het maken van aangepaste toegangsniveaus kunt u de specificatie voor aangepaste toegangsniveaus raadplegen.
  6. Klik op Opslaan .
    De expressie wordt gecompileerd en eventuele syntaxfouten worden gerapporteerd.
    • Als er geen syntaxfouten zijn, wordt uw aangepaste toegangsniveau opgeslagen en kunt u dit aan apps toewijzen.
    • Als er syntaxfouten zijn, ziet u het bericht ' Fouten corrigeren om verder te gaan' met compilerfouten (alleen in het Engels) die specifiek zijn voor de expressie die u zojuist hebt gemaakt. U kunt de fout corrigeren en opnieuw opslaan. Wanneer het aangepaste toegangsniveau geen fouten bevat en is opgeslagen, kunt u dit toegangsniveau toewijzen aan apps.

Voorbeeldtoegangsniveau - gemaakt in de geavanceerde modus

Dit voorbeeld toont een toegangsniveau dat vereist dat aan de volgende voorwaarden wordt voldaan om een ​​verzoek toe te staan:

  • Het apparaat waarmee de gegevens worden verzonden, is versleuteld.
  • Een of meer van de volgende beweringen zijn waar:
    • Het verzoek was afkomstig uit de Verenigde Staten.
    • Het apparaat waarvan het verzoek afkomstig is, is goedgekeurd door de domeinbeheerder.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Zie voor meer voorbeelden de voorbeelden van contextbewuste toegang in de geavanceerde modus .

Wat volgt: toegangsniveaus toewijzen aan apps


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.