Tworzenie poziomów dostępu zależnego od kontekstu

1. Wybierz Poziomy dostępu.
   Zobaczysz listę zdefiniowanych poziomów dostępu. Poziomy dostępu są używane jednocześnie w usługach Google Workspace i Google Cloud, więc na liście mogą być widoczne poziomy dostępu, które nie zostały utworzone przez Ciebie. Aby było jasne, który zespół utworzył dany poziom dostępu, rozważ umieszczenie nazwy platformy w nazwie tworzonego poziomu.
2. W prawym górnym rogu kliknij Utwórz poziom dostępu.
   Domyślnie wybrany jest tryb podstawowy. Aby utworzyć poziom dostępu, dodaj do niego co najmniej 1 warunek. Następnie zdefiniuj każdy warunek, określając co najmniej 1 atrybut.

   Uwaga: jeśli korzystasz tylko z Google Workspace, nie zalecamy dodawania ani modyfikowania poziomów dostępu zależnego od kontekstu za pomocą interfejsu Google Cloud Platform (GCP). Jeśli dodasz lub zmienisz poziomy dostępu inaczej niż za pomocą interfejsu dostępu zależnego od kontekstu, może pojawić się komunikat o błędzie „W Google Workspace używane są nieobsługiwane atrybuty”, a użytkownicy mogą zostać zablokowani.

3. Dodaj nazwę i (opcjonalnie) opis poziomu dostępu.
4. W dodanym warunku określ, czy ma obowiązywać, kiedy użytkownicy:
   • Spełniają atrybuty – użytkownicy muszą spełniać wszystkie atrybuty warunku.
   • Nie spełniają atrybutów – użytkownicy nie spełniają żadnych atrybutów warunku. Ta opcja określa przeciwieństwo warunku i najczęściej jest używana w przypadku atrybutów określających podsieć IP. Jeśli na przykład określisz podsieć IP i wybierzesz opcję „nie spełniają”, wówczas tylko użytkownicy z adresami IP spoza określonego zakresu będą spełniać warunek.
5. Kliknij Dodaj atrybut, aby dodać co najmniej 1 atrybut do warunku poziomu dostępu. Poniżej znajdują się atrybuty do wyboru:
   • Podsieć IP (publiczna) – adres IPv4 lub IPv6 albo prefiks routingu w notacji CIDR.
     • Ten atrybut nie obsługuje prywatnych adresów IP (w tym sieci domowych użytkownika).
     • Statyczne adresy IP są obsługiwane.
     • Aby używać dynamicznego adresu IP, musisz zdefiniować statyczny adres IP podsieci na poziomie dostępu. Jeśli znasz zakres dynamicznego adresu IP, a statyczny adres IP zdefiniowany w ramach poziomu dostępu obejmuje ten zakres, dostęp zostanie przyznany. Jeśli dynamiczny adres IP nie należy do zdefiniowanej statycznej podsieci IP, nastąpi odmowa dostępu.
   • Podsieć (prywatna) – umożliwia definiowanie zasad dostępu zależnego od kontekstu, które obejmują prywatne podsieci z prywatnych środowisk wirtualnych w chmurze (VPC). W przypadku organizacji korzystających z sieci VPC ten atrybut zapewnia bezpieczny dostęp do usług Workspace i zgodność ze zdefiniowanymi zasadami dostępu zależnego od kontekstu. Jest to szczególnie ważne w przypadku użytkowników, którzy uzyskują dostęp do usług za pomocą infrastruktury VPC, oraz w przypadku Apps Script, które korzystają z prywatnych adresów IP.
     • Aby używać tego atrybutu, musisz mieć uprawnienia do wyświetlania listy i przeglądania zasobów sieciowych Google Cloud w konsoli Google Cloud oraz posiadać odpowiednią rolę Identity and Access Management (IAM) (np. compute.networks.list, compute.subnetworks.list itp.).
     • Ten atrybut dotyczy wyłącznie prywatnych podsieci w zarządzanych środowiskach VPC. Nie dotyczy to ogólnych prywatnych adresów IP, takich jak te, które znajdują się w sieciach domowych użytkowników lub innych prywatnych zakresach spoza sieci VPC.
     • Aby skonfigurować ten atrybut, w narzędziu do tworzenia poziomów dostępu wybierz Podsieć IP (prywatna). Możesz dodać projekty konsoli Google Cloud, powiązane z nimi sieci VPC i opcjonalnie określone zakresy adresów IP podsieci VPC. Nie musisz konfigurować tych poziomów dostępu w konsoli Google Cloud.
     • Podczas oceny dostępu użytkownika używana jest sieć VPC, która wysyła ruch do serwerów Google (niekoniecznie sieć VPC, z której pochodzi żądanie).
     • Konsola administracyjna obsługuje obecnie edycję nazw sieci VPC i odpowiednich podsieci w formie dowolnego tekstu.
     • Jeśli używasz ustawień usługi VPC do tworzenia bezpiecznych granic dla zasobów Google Cloud, podczas korzystania z atrybutu podsieci (prywatnej) obowiązują określone ograniczenia:
       • Wewnętrzne adresy IP możesz włączyć tylko w przypadku podstawowych poziomów dostępu. Aby używać prywatnych adresów IP na zaawansowanych poziomach dostępu, utwórz podstawowy poziom dostępu zawierający tylko warunki dotyczące prywatnych adresów IP, a następnie uwzględnij go na zaawansowanym poziomie dostępu.
       • Unikaj konfigurowania poziomów dostępu w taki sposób, aby blokowały wewnętrzne adresy IP, ponieważ może to powodować nieoczekiwane działanie.
       • Jeden poziom dostępu nie może łączyć atrybutów publicznych i prywatnych adresów IP. Jeśli potrzebujesz obu tych opcji, utwórz osobne poziomy dostępu dla każdej z nich i połącz je na trzecim poziomie dostępu.
   • Lokalizacja – kraje/regiony, z których użytkownik uzyskuje dostęp do usług Google Workspace. Urządzenia z wewnętrznymi adresami IP nie są obsługiwane, ponieważ te adresy nie są unikalne globalnie.
   • Zasady dotyczące urządzeń (wybierz tylko te zasady, które musisz wdrożyć):
     • Zatwierdzenie przez administratora jest wymagane (jeśli jest to wymagane, urządzenie musi zostać zatwierdzone);
     • Urządzenie należące do firmy jest wymagane
     • Ochrona hasłem blokady ekranu

       Uwaga: w przypadku systemu operacyjnego Windows ten atrybut sprawdza, czy po upływie limitu czasu nieaktywności wyświetla się ekran logowania. Dzieje się tak, jeśli włączone jest ustawienie „Require sign-in" (Wymagaj logowania) w opcjach logowania lub „On resume, display login screen" (Po wznowieniu wyświetl ekran logowania”) w ustawieniach wygaszacza ekranu. Atrybut nie sprawdza, czy hasło jest ustawione.

     • Szyfrowanie urządzenia (Funkcja jest nieobsługiwana, Niezaszyfrowane, Zaszyfrowane)
   • System operacyjny urządzenia – użytkownicy mogą uzyskać dostęp do Google Workspace wyłącznie na systemach operacyjnych, które wybierzesz. Możesz ustawić minimalną wersję systemu operacyjnego lub zezwolić na dowolną wersję. Wersję systemu operacyjnego podaj w formacie główna.podrzędna.poprawka:
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • Poziom dostępu – użytkownik musi spełniać wymagania utworzonego wcześniej poziomu dostępu.
6. Aby dodać kolejny warunek do poziomu dostępu, kliknij opcję Dodaj warunek i wybierz dla niego atrybuty.
7. Określ warunki, które muszą spełnić użytkownicy:
   • I – użytkownicy muszą spełniać pierwszy warunek oraz dodany warunek.
   • Lub – użytkownicy muszą spełniać tylko jeden z warunków.
8. Po dodaniu warunków zapisz definicję poziomu dostępu, klikając przycisk Zapisz.
9. Wybierz, co zrobić z poziomem dostępu:
   • Przypisz ten poziom dostępu aplikacjom.
   • Utwórz regułę ochrony danych określającą poziom dostępu. Jeśli zdecydujesz się na ten krok, uruchomisz kreator tworzenia reguł. Więcej informacji o łączeniu reguł ochrony danych z poziomami dostępu zależnego od kontekstu

Przykładowy poziom dostępu utworzony w trybie podstawowym

Ten przykładowy poziom dostępu ma nazwę „dostęp_firmowy”. Po zastosowaniu poziomu dostępu „dostęp_firmowy” w Gmailu użytkownicy będą mogli uzyskać dostęp do tej usługi tylko za pomocą zaszyfrowanego urządzenia należącego do firmy oraz wyłącznie z terytorium USA lub Kanady.

Więcej przykładów znajdziesz w artykule zawierającym przykłady dostępu zależnego od kontekstu w trybie podstawowym.

Tryb zaawansowany umożliwia tworzenie poziomów dostępu, których nie można utworzyć za pomocą narzędzia do definiowania warunków znajdującego się w interfejsie dostępu zależnego od kontekstu. Na przykład:

• Może być koniecznie utworzenie przez administratora poziomów dostępu obejmujących warunki dostawcy w celu integracji z usługami innych firm.
• Niektóre atrybuty zaawansowane, takie jak możliwość uwierzytelniania za pomocą certyfikatów, są niedostępne w interfejsie trybu podstawowego.

Okno edycji trybu zaawansowanego umożliwia utworzenie niestandardowego poziomu dostępu za pomocą języka CEL (Common Expression Language).

Aby utworzyć poziomy dostępu w trybie zaawansowanym:

1. Wybierz Poziomy dostępu.
   Zobaczysz listę zdefiniowanych poziomów dostępu. Poziomy dostępu są używane jednocześnie w usługach Google Workspace, Cloud Identity i Google Cloud. Dlatego na liście możesz zobaczyć poziomy, które nie zostały utworzone przez Ciebie. Aby było jasne, który zespół utworzył dany poziom dostępu, rozważ umieszczenie nazwy platformy w nazwie tworzonego poziomu.
2. Kliknij Utwórz poziom dostępu.
3. Wybierz Tryb zaawansowany.
4. Dodaj nazwę i (opcjonalnie) opis poziomu dostępu.
   Napisz wyrażenie w języku CEL, aby zdefiniować poziom dostępu.
5. Utwórz niestandardowy poziom dostępu w edytorze wyrażeń CEL.
   Aby to zrobić, przyda Ci się nieco doświadczenia z językiem CEL. Wskazówki i przykłady obsługiwanych wyrażeń, których można użyć do tworzenia niestandardowych poziomów dostępu, znajdziesz w specyfikacji niestandardowych poziomów dostępu (w języku angielskim).
6. Kliknij Zapisz.
   Wyrażenie zostanie skompilowane, a wszystkie ewentualne błędy w składni zostaną zgłoszone.
   • Jeśli system nie wykryje żadnych błędów w składni, Twój niestandardowy poziom dostępu zostanie zapisany i będzie można go przypisać do wybranych aplikacji.
   • W przeciwnym razie zobaczysz komunikat Aby kontynuować, popraw błędy oraz listę wykrytych w Twoim wyrażeniu błędów kompilatora (tylko w języku angielskim). Po poprawieniu błędów będzie można podjąć kolejną próbę zapisania poziomu dostępu. Jeśli Twój niestandardowy poziom dostępu nie zawiera żadnych błędów i został poprawnie zapisany, będzie można go przypisać do wybranych aplikacji.

Przykładowy poziom dostępu utworzony w trybie zaawansowanym

Poniżej znajdziesz przykładowy poziom dostępu, który wymaga spełnienia wymienionych warunków, aby umożliwić realizację żądania.

• Urządzenie źródłowe jest zaszyfrowane.
• Spełniono co najmniej 1 z następujących warunków:
  • Żądanie pochodzi ze Stanów Zjednoczonych.
  • Urządzenie, z którego pochodzi żądanie, zostało zatwierdzone przez administratora domeny.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Więcej przykładów znajdziesz w artykule zawierającym przykłady dostępu zależnego od kontekstu w trybie zaawansowanym.