Создание уровней контекстно-зависимого доступа

Уровни доступа, учитывающие контекст, объединяют условия и значения, определяющие контекст пользователя или устройства. Эти уровни доступа определяют контекст, в котором пользователи могут получать доступ к приложениям.

Например, можно установить уровень доступа к Gmail, который потребует от пользователей подключения из определенного диапазона IP-адресов и обязательного шифрования их устройств.

Примечание: Перед созданием уровня доступа необходимо развернуть проверку конечных точек и включить контекстно-зависимый доступ. Подробности см. в разделах «Настройка проверки конечных точек» и «Включение контекстно-зависимого доступа» в документе «Развертывание контекстно-зависимого доступа» .

Создать уровень доступа

Уровни доступа состоят из одного или нескольких условий, которые вы определяете. Для доступа к приложениям пользователи должны соответствовать этим условиям. Условия уровня доступа содержат атрибуты, которые вы можете выбрать, такие как политика устройства, IP-подсеть или другой уровень доступа.

Вы можете создавать уровни доступа в двух режимах: базовом и расширенном. Базовый режим предоставляет список предопределенных атрибутов, из которых вы можете выбрать нужный. Если вам необходимо использовать атрибуты, отсутствующие в интерфейсе, создайте пользовательский уровень доступа в расширенном режиме.

Примечание: При изменении уровня доступа изменения вступают в силу немедленно. Имейте в виду, что изменения уровней доступа повлияют на ваших пользователей сразу после внесения изменений. Убедитесь, что изменения соответствуют вашим намерениям.

Определение уровней доступа — базовый режим

  1. Выберите уровни доступа .
    Вы видите список определенных уровней доступа. Уровни доступа — это общий ресурс для Google Workspace и Google Cloud, поэтому в списке могут отображаться уровни доступа, которые вы не создавали. Чтобы указать, какая команда создала уровень доступа, рекомендуется добавить название платформы в имя уровня доступа.
  2. В правом верхнем углу выберите «Создать уровень доступа» .
    По умолчанию выбран базовый режим. Уровень доступа определяется добавлением одного или нескольких условий. Затем каждое условие задается путем указания одного или нескольких атрибутов.

    Примечание : Мы рекомендуем не использовать интерфейс Google Cloud Platform (GCP) для добавления или изменения уровней доступа с учетом контекста, если вы являетесь клиентом, использующим только Workspace. Если вы добавляете или изменяете уровни доступа с помощью метода, отличного от интерфейса доступа с учетом контекста, может появиться следующее сообщение об ошибке: «В Google Workspace используются неподдерживаемые атрибуты , и пользователи могут быть заблокированы».

  3. Добавьте название уровня доступа и, при необходимости, описание.
  4. В добавляемом условии уровня доступа укажите, применяется ли это условие, когда пользователи:
    • Соответствие атрибутам — Пользователи должны удовлетворять всем атрибутам условия.
    • Не соответствуют атрибутам — Пользователи не соответствуют ни одному из атрибутов условия. Этот параметр задает противоположное условие и чаще всего используется для атрибутов IP-подсети. Например, если вы укажете IP-подсеть и параметр «не соответствуют», то условию будут соответствовать только пользователи с IP-адресами, выходящими за пределы указанного диапазона.
  5. Нажмите кнопку «Добавить атрибут» , чтобы добавить один или несколько атрибутов к условию уровня доступа. Вы можете добавить следующие атрибуты:
    • IP-подсеть (публичная) — IPv4 или IPv6 адрес или префикс маршрутизации в формате CIDR-блоков.
      • Этот атрибут не поддерживает частные IP-адреса (включая домашние сети пользователя).
      • Поддерживаются статические IP-адреса.
      • Для использования динамического IP-адреса необходимо определить статическую подсеть IP-адресов для уровня доступа. Если известен диапазон динамического IP-адреса, и определенный статический IP-адрес на уровне доступа охватывает этот диапазон, доступ предоставляется. Доступ запрещен, если динамический IP-адрес не находится в определенной статической подсети IP-адресов.
    • IP-подсеть (частная) — позволяет определять политики контекстно-зависимого доступа, включающие частные IP-подсети из виртуальных частных облаков (VPC). Для организаций, использующих VPC, этот атрибут обеспечивает безопасный доступ к сервисам Workspace и соответствие определенным политикам контекстно-зависимого доступа. Это особенно важно для пользователей, получающих доступ к сервисам через инфраструктуру VPC, и для Apps Script, которые используют частные IP-адреса.
      • Для использования этого атрибута вам потребуются разрешения консоли Google Cloud на просмотр и отображение сетевых ресурсов Google Cloud, а также соответствующая роль управления идентификацией и доступом (IAM) (например, compute.networks.list , compute.subnetworks.list и т. д.).
      • Этот атрибут предназначен исключительно для частных IP-подсетей в управляемых средах VPC. Он не применяется к обычным частным IP-адресам, например, к адресам в домашних сетях пользователей или другим частным диапазонам, не входящим в VPC.
      • Для настройки этого атрибута выберите IP-подсеть (частная) в конструкторе уровней доступа. Вы можете добавить проекты консоли Google Cloud, связанные с ними сети VPC и, при необходимости, определенные диапазоны IP-подсетей VPC. Настраивать эти уровни доступа в консоли Google Cloud не требуется.
      • При оценке доступа пользователя используется VPC, которая направляет трафик на серверы Google (не обязательно VPC, откуда поступил запрос).
      • В настоящее время консоль администратора поддерживает редактирование имен VPC и соответствующих подсетей в произвольном текстовом формате.
      • Если вы используете VPC Service Controls для создания защищенных периметров для ваших ресурсов Google Cloud, при использовании атрибута IP-подсети (частная) действуют определенные ограничения:
        • Встроенные IP-адреса можно включить только при использовании базовых уровней доступа. Чтобы использовать частные IP-адреса в расширенных уровнях доступа, создайте базовый уровень доступа только с условиями использования частных IP-адресов, а затем включите его в расширенный уровень доступа.
        • Избегайте настройки уровней доступа для блокировки внутренних IP-адресов, так как это может привести к непредсказуемому поведению.
        • В рамках одного уровня доступа нельзя объединять атрибуты публичного и частного IP-адресов. Если вам нужны оба типа, создайте отдельные уровни доступа для каждого из них и объедините их в третьем уровне доступа.
    • Местоположение — страны/регионы, где пользователь получает доступ к сервисам Google Workspace. Устройства с внутренними IP-адресами не поддерживаются, поскольку эти IP-адреса не являются уникальными в глобальном масштабе.
    • Политика устройства (выберите только те политики устройств, которые необходимо реализовать) —
      • Требуется одобрение администратора (при необходимости устройство должно быть одобрено).
      • Требуется устройство, принадлежащее компании.
      • Экран защищен паролем

        Примечание : В операционной системе Windows этот атрибут проверяет, отображается ли экран входа в систему после истечения времени бездействия, что выполняется, если включена либо настройка «Требовать входа в систему» ​​(в параметрах входа), либо настройка «При возобновлении работы отображать экран входа в систему» ​​(в настройках заставки). Он не проверяет, установлен ли пароль.

      • Шифрование устройства (Не поддерживается, Не зашифровано, Зашифровано)
    • Операционная система устройства (пользователи могут получить доступ к Google Workspace только с выбранными вами операционными системами. Установите минимальную версию операционной системы или разрешите любую версию. Используйте формат major.minor.patch для указания версии операционной системы) —
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Уровень доступа — Должен соответствовать требованиям существующего уровня доступа.
  6. Чтобы добавить еще одно условие к уровню доступа, нажмите «Добавить условие» и добавьте к нему атрибуты.
  7. Укажите условия, которым должны соответствовать пользователи:
    • И — Пользователи должны соответствовать первому условию и дополнительному условию.
    • Или — Пользователи должны соответствовать только одному из условий.
  8. После добавления условий уровня доступа сохраните определение уровня доступа, нажав кнопку «Сохранить» .
  9. Выберите, что делать с уровнем доступа:
    • Назначьте этот уровень доступа приложениям.
    • Создайте правило защиты данных с этим уровнем доступа. Если вы выберете этот вариант, запустится мастер создания правил. Узнайте больше о сочетании правил защиты данных с уровнями доступа, учитывающими контекст.

Пример уровня доступа — создан в базовом режиме

В этом примере показан уровень доступа под названием "corp_access". Если к Gmail применяется уровень доступа "corp_access", пользователи могут получить доступ к Gmail только с зашифрованного устройства, принадлежащего компании, и только из США или Канады.

Название уровня доступа corp_access
Пользователь получает доступ, если он Удовлетворить всем условиям.
Атрибут условия 1

Политика устройства
Шифрование устройства = зашифровано
Требуется устройство, принадлежащее компании.

Объедините условие 1 и условие 2 с помощью И
Пользователь получает доступ, если он Удовлетворить всем условиям.
Атрибут условия 2

Географическое происхождение
Страны = США, Канада

Дополнительные примеры см. в разделе «Примеры контекстно-зависимого доступа для базового режима» .

Определение уровней доступа — расширенный режим

Этот режим позволяет создавать уровни доступа, которые невозможно создать в конструкторе условий интерфейса контекстно-зависимого доступа. Например:

  • Администратору может потребоваться создать уровни доступа, включающие условия для интеграции со сторонними сервисами.
  • Некоторые расширенные параметры недоступны из интерфейса условий базового режима, например, возможность использования аутентификации на основе сертификатов.

В этом режиме вы создаете свой собственный уровень доступа в окне редактирования, используя язык выражений Common Expression Language (CEL).

Для определения уровней доступа в расширенном режиме:

  1. Выберите уровни доступа .
    Вы видите список определенных уровней доступа. Уровни доступа — это общий ресурс для Google Workspace, Cloud Identity и Google Cloud, поэтому в списке могут отображаться уровни доступа, которые вы не создавали. Чтобы указать, какая команда создала уровень доступа, рекомендуется добавить название платформы в имя уровня доступа.
  2. Выберите «Создать уровень доступа» .
  3. Выберите расширенный режим .
  4. Добавьте имя уровня доступа и, при необходимости, описание.
    Уровень доступа определяется путем написания выражения CEL.
  5. Создайте собственный уровень доступа в редакторе выражений CEL.
    Для этого вам потребуется некоторый опыт работы с CEL. Рекомендации и примеры поддерживаемых выражений для создания пользовательских уровней доступа см. в спецификации пользовательских уровней доступа .
  6. Нажмите « Сохранить ».
    Выражение компилируется, и все синтаксические ошибки сообщаются.
    • Если синтаксических ошибок нет, ваш пользовательский уровень доступа сохраняется, и вы можете назначить его приложениям.
    • Если обнаружены синтаксические ошибки, вы увидите сообщение «Исправьте ошибки, чтобы продолжить работу с ошибками компилятора» (только на английском языке), относящееся к только что созданному выражению. Вы можете исправить ошибку и сохранить изменения. Когда пользовательский уровень доступа не содержит ошибок и сохранен, вы можете назначить этот уровень доступа приложениям.

Пример уровня доступа — создан в расширенном режиме.

В этом примере показан уровень доступа, для разрешения запроса на котором необходимо соблюдение следующих условий:

  • Исходное устройство зашифровано.
  • Верно одно или несколько из следующих утверждений:
    • Запрос поступил из Соединенных Штатов.
    • Устройство, с которого поступил запрос, одобрено администратором домена.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Дополнительные примеры см. в разделе «Примеры контекстно-зависимого доступа в расширенном режиме» .

Что дальше: назначение уровней доступа приложениям.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.