Skapa kontextmedvetna åtkomstnivåer

Kontextmedvetna åtkomstnivåer kombinerar villkor och värden som definierar en användar- eller enhetskontext. Dessa åtkomstnivåer definierar det sammanhang inom vilket användare kan komma åt appar.

Du kan till exempel skapa en åtkomstnivå för åtkomst till Gmail som kräver att användare ansluter från ett specifikt IP-adressintervall och kräver att deras enheter är krypterade.

Obs! Innan du skapar en åtkomstnivå bör du distribuera slutpunktsverifiering och aktivera kontextmedveten åtkomst. Gå till Konfigurera slutpunktsverifiering och Aktivera kontextmedveten åtkomst i Distribuera kontextmedveten åtkomst för mer information.

Skapa en åtkomstnivå

Åtkomstnivåer består av ett eller flera villkor som du definierar. För att få åtkomst till appar måste användarna uppfylla villkoren. Åtkomstnivåvillkor innehåller attribut som du kan välja, till exempel enhetspolicy, IP-subnät eller en annan åtkomstnivå.

Du kan skapa åtkomstnivåer i två olika lägen, grundläggande och avancerat. I grundläggande läge får du en lista med fördefinierade attribut som du kan välja. Om du behöver använda attribut som inte finns i gränssnittet kan du skapa en anpassad åtkomstnivå i avancerat läge istället.

Obs! När du ändrar en åtkomstnivå träder ändringarna i kraft omedelbart. Tänk på att ändringar av åtkomstnivåer kommer att påverka dina användare så snart du gör ändringarna. Se till att ändringarna är vad du avser.

Definiera åtkomstnivåer – Grundläge

  1. Välj Åtkomstnivåer .
    Du ser en lista med definierade åtkomstnivåer. Åtkomstnivåer är en delad resurs mellan Google Workspace och Google Cloud, så du kan se åtkomstnivåer som du inte har skapat i listan. För att ange vilket team som skapade en åtkomstnivå kan du överväga att göra plattformen till en del av åtkomstnivånamnet.
  2. Längst upp till höger väljer du Skapa åtkomstnivå .
    Grundläget är valt som standard. Du definierar åtkomstnivån genom att lägga till ett eller flera villkor. Definiera sedan varje villkor genom att ange ett eller flera attribut.

    Obs ! Vi rekommenderar att du inte använder Google Cloud Platform (GCP)-gränssnittet för att lägga till eller ändra kontextmedvetna åtkomstnivåer om du är en Workspace-kund. Om du lägger till eller ändrar åtkomstnivåer med en annan metod än det kontextmedvetna åtkomstgränssnittet kan det här felmeddelandet visas: Attribut som inte stöds används i Google Workspace och användare kan blockeras.

  3. Lägg till ett namn för åtkomstnivån och en valfri beskrivning.
  4. För det åtkomstnivåvillkor du lägger till anger du om villkoret gäller när användare:
    • Meet-attribut — Användare måste uppfylla alla attribut i villkoret.
    • Uppfyller inte attributen — Användare uppfyller inte något av attributen i villkoret. Det här alternativet anger motsatsen till villkoret och används oftast för IP-subnätsattribut. Om du till exempel anger ett IP-subnät och "uppfyller inte" kommer endast användare med IP-adresser utanför det angivna intervallet att matcha villkoret.
  5. Klicka på Lägg till attribut för att lägga till ett eller flera attribut till åtkomstnivåvillkoret. De attribut du kan lägga till är:
    • IP-subnät (offentligt) — IPv4- eller IPv6-adress eller routingprefix i CIDR-blocknotation.
      • Det här attributet stöder inte privata IP-adresser (inklusive en användares hemnätverk).
      • Statiska IP-adresser stöds.
      • För att använda en dynamisk IP-adress måste du definiera ett statiskt IP-undernät för åtkomstnivån. Om du känner till intervallet för den dynamiska IP-adressen och den definierade statiska IP-adressen i åtkomstnivån täcker det intervallet beviljas åtkomst. Åtkomst nekas när den dynamiska IP-adressen inte finns i det definierade statiska IP-undernätet.
    • IP-subnät (privat) – Gör att du kan definiera kontextmedvetna åtkomstpolicyer som inkluderar privata IP-subnät från VPC-miljöer (Virtual Private Cloud). För organisationer som använder VPC:er säkerställer detta attribut säker åtkomst till Workspace-tjänster och efterlevnad av dina definierade kontextmedvetna åtkomstpolicyer. Detta är särskilt viktigt för användare som använder tjänster via VPC-infrastruktur och för Apps Script som är beroende av privata IP-adresser.
      • För att använda det här attributet behöver du behörighet för Google Cloud-konsolen för att lista och visa Google Cloud-nätverksresurser och lämplig roll för identitets- och åtkomsthantering (IAM) (till exempel compute.networks.list , compute.subnetworks.list och så vidare).
      • Det här attributet är exklusivt för privata IP-undernät inom hanterade VPC-miljöer. Det gäller inte för allmänna privata IP-adresser, till exempel de som finns i en användares hemnätverk eller andra privata intervall som inte är VPC.
      • För att konfigurera det här attributet, välj IP-subnät (privat) i åtkomstnivåbyggaren. Du kan lägga till Google Cloud-konsolprojekt, deras tillhörande VPC-nätverk och, valfritt, specifika VPC IP-subnätintervall. Du behöver inte konfigurera dessa åtkomstnivåer i Google Cloud-konsolen.
      • Vid utvärdering av användaråtkomst används den VPC som skickar trafik till Googles servrar (inte nödvändigtvis den VPC där begäran kom från).
      • Administratörskonsolen stöder för närvarande fritt formulerad textredigering av VPC-namn och motsvarande undernät.
      • Om du använder VPC-tjänstkontroller för att skapa säkra perimeter för dina Google Cloud-resurser gäller specifika begränsningar när du använder attributet IP-subnät (privat):
        • Du kan bara aktivera interna IP-adresser med grundläggande åtkomstnivåer. För att använda privata IP-adresser i avancerade åtkomstnivåer, skapa en grundläggande åtkomstnivå med endast privata IP-villkor och inkludera den sedan i din avancerade åtkomstnivå.
        • Undvik att konfigurera åtkomstnivåer för att blockera interna IP-adresser, eftersom detta kan orsaka oväntat beteende.
        • En enda åtkomstnivå kan inte kombinera publika och privata IP-attribut. Om du behöver båda, skapa separata åtkomstnivåer för var och en och kombinera dem i en tredje åtkomstnivå.
    • Plats – Länder/regioner där användaren använder Google Workspace-tjänster. Enheter med interna IP-adresser stöds inte eftersom dessa IP-adresser inte är globalt unika.
    • Enhetspolicy (välj endast de enhetspolicyer du behöver implementera)
      • Administratörsgodkännande krävs (om det krävs måste enheten godkännas)
      • Företagsägd enhet krävs
      • Lösenordsskyddad skärm

        Obs ! För Windows kontrollerar det här attributet om inloggningsskärmen visas efter en timeout på grund av inaktivitet, vilket är sant om antingen inställningen "Kräv inloggning" (i Inloggningsalternativ) eller inställningen "Visa inloggningsskärm vid CV" (i Skärmsläckarinställningar) är aktiverad. Det kontrollerar inte om lösenordet är inställt.

      • Enhetskryptering (stöds inte, inte krypterad, krypterad)
    • Enhetens operativsystem (användare kan bara komma åt Google Workspace med de operativsystem du väljer. Ange en lägsta operativsystemversion eller tillåt valfri version. Använd formatet major.minor.patch för operativsystemversionen) –
      • macOS
      • Fönster
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Åtkomstnivå — Måste uppfylla kraven för en befintlig åtkomstnivå.
  6. För att lägga till ytterligare ett villkor till åtkomstnivån klickar du på Lägg till villkor och lägger till attribut till det.
  7. Ange de villkor som användarna måste uppfylla:
    • Och —Användare måste uppfylla det första villkoret och det tillagda villkoret.
    • Eller —Användare måste endast uppfylla ett av villkoren.
  8. När du är klar med att lägga till villkor för åtkomstnivå sparar du definitionen av åtkomstnivån genom att klicka på Spara .
  9. Välj vad du vill göra med åtkomstnivån:
    • Tilldela denna åtkomstnivå till appar.
    • Skapa en dataskyddsregel med denna åtkomstnivå. Om du väljer det här alternativet startar du guiden för att skapa regler. Läs mer om att kombinera dataskyddsregler med kontextmedvetna åtkomstnivåer.

Exempel på åtkomstnivå – skapad i grundläggande läge

Det här exemplet visar en åtkomstnivå som heter "corp_access". Om "corp_access" tillämpas på Gmail kan användare endast komma åt Gmail från en krypterad och företagsägd enhet, och endast från USA eller Kanada.

Åtkomstnivånamn företagsåtkomst
En användare får åtkomst om de Uppfylla alla attribut i villkoret
Attribut för villkor 1

Enhetspolicy
Enhetskryptering = krypterad
Företagsägd enhet = obligatorisk

Koppla ihop villkor 1 och villkor 2 med OCH
En användare får åtkomst om de Uppfylla alla attribut i villkoret
Attribut för villkor 2

Geografiskt ursprung
Länder = USA, Kanada

För fler exempel, se exempel på kontextmedveten åtkomst för grundläggande läge .

Definiera åtkomstnivåer – Avancerat läge

I det här läget kan du skapa åtkomstnivåer som inte kan skapas i villkorsbyggaren för kontextmedveten åtkomst. Till exempel:

  • Administratören kan behöva skapa åtkomstnivåer som inkluderar leverantörsvillkor för tredjepartsintegrationer.
  • Vissa avancerade attribut är inte tillgängliga från gränssnittet för grundläggande läge, till exempel möjligheten att använda certifikatbaserad autentisering.

I det här läget skapar du din anpassade åtkomstnivå i ett redigeringsfönster med hjälp av Common Expression Language (CEL).

Så här definierar du åtkomstnivåer med hjälp av avancerat läge:

  1. Välj Åtkomstnivåer .
    Du ser en lista med definierade åtkomstnivåer. Åtkomstnivåer är en resurs som delas mellan Google Workspace, Cloud Identity och Google Cloud, så du kan se åtkomstnivåer som du inte har skapat i listan. För att ange vilket team som skapade en åtkomstnivå kan du överväga att göra plattformen till en del av åtkomstnivånamnet.
  2. Välj Skapa åtkomstnivå .
  3. Välj Avancerat läge .
  4. Lägg till ett namn på åtkomstnivå och en valfri beskrivning.
    Du definierar åtkomstnivån genom att skriva ett CEL-uttryck.
  5. Skapa din anpassade åtkomstnivå i CEL-uttrycksredigeraren.
    För att göra det behöver du viss erfarenhet av CEL. För vägledning och exempel på uttryck som stöds för att skapa anpassade åtkomstnivåer, gå till specifikationen för anpassad åtkomstnivå .
  6. Klicka på Spara .
    Uttrycket kompileras och eventuella syntaxfel rapporteras.
    • Om det inte finns några syntaxfel sparas din anpassade åtkomstnivå och du kan tilldela den till appar.
    • Om det finns syntaxfel ser du meddelandet Åtgärda fel för att fortsätta med kompileringsfel (endast på engelska) som är specifikt för uttrycket du just skapade. Du kan korrigera felet och spara igen. När den anpassade åtkomstnivån inte innehåller några fel och är sparad kan du tilldela denna åtkomstnivå till appar.

Exempel på åtkomstnivå – skapad i avancerat läge

Det här exemplet visar en åtkomstnivå som kräver att följande villkor är uppfyllda för att tillåta en begäran:

  • Ursprungsenheten är krypterad.
  • Ett eller flera av följande är sanna:
    • Begäran kom ursprungligen från USA.
    • Enheten som begäran kom från är godkänd av domänadministratören.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

För fler exempel, se exempel på kontextmedveten åtkomst för avancerat läge .

Nästa steg: tilldela åtkomstnivåer till appar


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.