Bağlama duyarlı erişim düzeyleri oluşturma

Bağlama duyarlı erişim düzeyleri, kullanıcı veya cihaz bağlamını tanımlayan koşulları ve değerleri birleştirir. Bu erişim düzeyleri, kullanıcıların uygulamalara erişebildiği bağlamı tanımlar.

Örneğin, Gmail'e erişmek isteyen kullanıcıların belirli bir IP adresi aralığından bağlanmasını ve cihazlarının şifreli olmasını zorunlu kılan bir erişim düzeyi oluşturabilirsiniz.

Not: Bir erişim düzeyi oluşturmadan önce uç nokta doğrulamasını dağıtmanız ve bağlama duyarlı erişimi etkinleştirmeniz gerekir. Ayrıntılar için Bağlama duyarlı erişimi dağıtma başlıklı makalede yer alan "Uç nokta doğrulamasını ayarlama ve bağlama duyarlı erişimi etkinleştirme" bölümünü inceleyin.

Erişim düzeyi oluşturma

Erişim düzeyleri, tanımladığınız bir veya daha fazla koşuldan oluşur. Uygulamalara erişmek için kullanıcıların koşulları karşılaması gerekir. Erişim düzeyi koşulları; cihaz politikası, IP alt ağı veya başka bir erişim düzeyi gibi seçebileceğiniz belirli özellikleri içerir.

Temel ve Gelişmiş olmak üzere 2 farklı modda erişim düzeyleri oluşturabilirsiniz. Temel mod, seçebileceğiniz önceden tanımlanmış özelliklerin listesini sağlar. Arayüzde olmayan özellikleri kullanmanız gerekiyorsa bunun yerine Gelişmiş modda özel bir erişim düzeyi oluşturun.

Not: Bir erişim düzeyini değiştirdiğinizde, değişiklikler hemen geçerlilik kazanır. Erişim düzeylerinde yapılan değişikliklerin, siz değişiklik yaptıktan hemen sonra kullanıcılarınızı etkileyeceğini unutmayın. Değişikliklerin amacınıza uygun olduğundan emin olun.

Erişim düzeylerini tanımlama - Temel mod

  1. Erişim düzeyleri'ni seçin.
    Tanımlanmış erişim düzeylerinin listesini görürsünüz. Erişim düzeyleri Google Workspace ile Google Cloud arasında paylaşılan bir kaynaktır. Bu nedenle, oluşturmadığınız erişim düzeylerini de listede görebilirsiniz. Bir erişim düzeyini hangi ekibin oluşturduğunu belirtmek için platformu erişim düzeyi adının bir parçası yapabilirsiniz.
  2. Sağ üstte Erişim düzeyi oluştur'u seçin.
    Varsayılan olarak Temel mod seçilidir. Bir veya daha fazla koşul ekleyerek erişim düzeyini tanımlayın. Ardından, en az bir özellik belirterek her koşulu tanımlayın.

    Not: Yalnızca Workspace müşterisiyseniz bağlama duyarlı erişim düzeyleri eklemek veya mevcut erişim düzeylerini değiştirmek için Google Cloud Platform (GCP) arayüzünü kullanmamanızı öneririz. Erişim düzeylerini, bağlama duyarlı erişim arayüzü dışında bir yöntem kullanarak eklemeniz veya değiştirmeniz Google Workspace'te desteklenmeyen özellikler kullanılıyor hatasına ve kullanıcıların engellenmesine neden olabilir.

  3. Erişim düzeyi adı ve isteğe bağlı bir açıklama ekleyin.
  4. Eklediğiniz erişim düzeyi koşulunun uygulanması için kullanıcıların yapması gerekenleri belirtin:
    • Özellikler karşılanıyorsa: Kullanıcılar, koşuldaki tüm özellikleri yerine getirmelidir.
    • Özellikler karşılanmıyorsa: Kullanıcılar, koşuldaki herhangi bir özelliği yerine getirmez. Bu seçenek, koşulun tersini belirtir ve çoğunlukla IP alt ağ özellikleri için kullanılır. Örneğin, bir IP alt ağı ve "özellikler karşılanmıyorsa" ayarını belirtirseniz yalnızca IP adresleri belirtilen aralığın dışında kalan kullanıcılar koşulla eşleşir.
  5. Erişim düzeyi koşuluna bir veya daha fazla özellik eklemek için Özellik Ekle'yi tıklayın. Ekleyebileceğiniz özellikler şunlardır:
    • IP alt ağı (Herkese açık): CIDR bloku notasyonunda bir IPv4 veya IPv6 adresi ya da bir yönlendirme ön ekidir.
      • Bu özellik, özel IP adreslerini (kullanıcının ev ağları dahil) desteklemez.
      • Statik IP adresleri desteklenir.
      • Dinamik IP adresi kullanmak istiyorsanız erişim düzeyi için statik bir IP alt ağı tanımlamanız gerekir. Dinamik IP adresinin aralığını biliyorsanız ve erişim düzeyinde tanımlı statik IP adresi bu aralığı kapsıyorsa erişim izni verilir. Dinamik IP adresi, tanımlı statik IP alt ağında değilse erişim reddedilir.
    • IP alt ağı (özel): Sanal Özel Bulut (VPC) ortamlarındaki özel IP alt ağlarını içeren bağlama duyarlı erişim politikaları tanımlamanıza olanak tanır. VPC kullanan kuruluşlar için bu özellik, Workspace hizmetlerine güvenli erişim ve tanımladığınız bağlama duyarlı erişim politikalarına uygunluk sağlar. Bu, özellikle hizmetlere VPC altyapısı üzerinden erişen kullanıcılar ve özel IP'leri kullanan Apps Komut Dosyası için önemlidir.
      • Bu özelliği kullanmak için Google Cloud ağ kaynaklarını listelemek ve görüntülemek üzere Google Cloud Console izinlerine ve uygun Identity and Access Management (IAM) rolüne (örneğin, compute.networks.list, compute.subnetworks.list vb.) sahip olmanız gerekir.
      • Bu özellik yalnızca yönetilen VPC ortamlarındaki özel IP alt ağları içindir. Kullanıcının ev ağlarında veya VPC dışı diğer özel aralıklarda bulunanlar gibi genel özel IP adresleri için geçerli değildir.
      • Bu özelliği yapılandırmak için erişim düzeyi oluşturucuda IP alt ağı (Özel)'nı seçin. Google Cloud Console projelerini, bunlarla ilişkili VPC ağlarını ve isteğe bağlı olarak belirli VPC IP alt ağ aralıklarını ekleyebilirsiniz. Bu erişim düzeylerini Google Cloud Console'da yapılandırmanız gerekmez.
      • Kullanıcı erişimi değerlendirilirken trafiği Google sunucularına gönderen VPC (isteğin geldiği VPC olması gerekmez) kullanılır.
      • Yönetici Konsolu şu anda VPC adlarının ve ilgili alt ağların serbest biçimli metin düzenlemesini desteklemektedir.
      • Google Cloud kaynaklarınız için güvenli çevreler oluşturmak üzere VPC Hizmet Kontrolleri'ni kullanıyorsanız IP alt ağı (Özel) özelliğini kullanırken belirli sınırlamalar geçerlidir:
        • Yalnızca temel erişim düzeylerine sahip dahili IP adreslerini etkinleştirebilirsiniz. Gelişmiş erişim düzeylerinde özel IP'leri kullanmak için yalnızca özel IP koşulları içeren temel bir erişim düzeyi oluşturun ve ardından bunu gelişmiş erişim düzeyinize ekleyin.
        • Beklenmedik davranışlara neden olabileceğinden, erişim düzeylerini dahili IP adreslerini engelleyecek şekilde yapılandırmayın.
        • Tek bir erişim düzeyi, genel ve özel IP özelliklerini birleştiremez. Her ikisine de ihtiyacınız varsa her biri için ayrı erişim düzeyleri oluşturun ve bunları üçüncü bir erişim düzeyinde birleştirin.
    • Konum: Kullanıcının Google Workspace hizmetlerine eriştiği ülkeler/bölgelerdir. Dahili IP adresleri global olarak benzersiz olmadığından bu tür adreslere sahip cihazlar desteklenmez.
    • Cihaz politikası (yalnızca uygulamanız gereken cihaz politikalarını seçin):
      • Yönetici onayı gerekiyor (gerekliyse cihaz onaylanmış olmalıdır)
      • Şirkete ait cihaz gerekiyor
      • Ekran şifresi korumalı

        Not: Windows işletim sisteminde bu özellik, etkinlik dışı kalma zaman aşımından sonra oturum açma ekranının gösterilip gösterilmediğini kontrol eder. Bu, "Oturum açma gerektir" ayarı (Oturum açma seçeneklerinde) veya "Devam ettirirken giriş ekranını göster" ayarı (Ekran koruyucu ayarlarında) etkinse geçerlidir. Şifrenin ayarlanıp ayarlanmadığını kontrol etmez.

      • Cihaz şifreleme (Desteklenmiyor, Şifrelenmemiş, Şifrelenmiş)
    • Cihaz OS (Kullanıcılar, Google Workspace'e yalnızca seçtiğiniz işletim sistemlerinden erişebilir. Minimum işletim sistemi sürümünü belirleyebilir veya tüm sürümlere izin verebilirsiniz. İşletim sistemi sürümü için anasürüm.altsürüm.yama biçimini kullanın):
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Erişim düzeyi: Mevcut bir erişim düzeyinin şartlarını karşılamalı.
  6. Erişim düzeyine başka bir koşul eklemek için Koşul ekle'yi tıklayın ve koşula çeşitli özellikler ekleyin.
  7. Kullanıcıların yerine getirmesi gereken koşulları belirtin:
    • Ve: Kullanıcıların ilk koşulu ve eklenen koşulu yerine getirmesi zorunludur.
    • Veya: Kullanıcıların koşullardan yalnızca birini yerine getirmesi zorunludur.
  8. Erişim düzeyi koşulları eklemeyi tamamladığınızda Kaydet'i tıklayarak erişim düzeyi tanımını kaydedin.
  9. Erişim düzeyiyle ilgili olarak ne yapılacağını seçin:
    • Bu erişim düzeyini uygulamalara atayın.
    • Bu erişim düzeyine sahip bir veri koruma kuralı oluşturun. Bu seçeneği belirlerseniz kural oluşturma sihirbazını başlatırsınız. Veri koruma kurallarını bağlama duyarlı erişim düzeyleriyle birleştirme hakkında daha fazla bilgi edinin.

Temel modda oluşturulmuş örnek erişim düzeyi

Bu örnekte "corp_access" adında bir erişim düzeyi gösterilmektedir. Gmail'e "corp_access" uygulanmışsa kullanıcılar Gmail'e yalnızca şifrelenmiş ve şirkete ait bir cihazdan ve yalnızca ABD'den veya Kanada'dan erişebilir.

Erişim düzeyi adı corp_access
Kullanıcı, şu koşulda erişim elde eder: Koşuldaki tüm özellikleri karşılıyorsa
Koşul 1 özelliği

Cihaz politikası
Cihaz şifreleme = şifreli
Şirkete ait cihaz = zorunlu
Koşul 1 ve koşul 2'yi birleştirme VE
Kullanıcı, şu koşulda erişim elde eder: Koşuldaki tüm özellikleri karşılıyorsa
Koşul 2 özelliği

Coğrafi kaynak
Ülkeler = ABD, Kanada

Daha fazla örnek için Temel mod için bağlama duyarlı erişim örnekleri başlıklı makaleyi inceleyin.

Erişim düzeylerini tanımlama - Gelişmiş mod

Bu mod, bağlama duyarlı erişim arayüzü koşul derleyicide oluşturulamayan erişim düzeylerini oluşturmanıza olanak tanır. Örneğin:

  • Yöneticinin, üçüncü taraf entegrasyonları için satıcı koşullarını içeren erişim düzeyleri oluşturması gerekebilir.
  • Sertifika tabanlı kimlik doğrulaması kullanma gibi bazı gelişmiş özelliklere Temel mod koşul arayüzünden erişilemez.

Bu modda, Common Expression Language (CEL) kullanarak bir düzenleme penceresinde özel erişim düzeyinizi oluşturursunuz.

Gelişmiş modu kullanarak erişim düzeylerini tanımlamak için:

  1. Erişim düzeyleri'ni seçin.
    Tanımlanmış erişim düzeylerinin listesini görürsünüz. Erişim düzeyleri Google Workspace, Cloud Identity ve Google Cloud arasında paylaşılan bir kaynaktır. Bu nedenle, oluşturmadığınız erişim düzeylerini de listede görebilirsiniz. Bir erişim düzeyini hangi ekibin oluşturduğunu belirtmek için platformu erişim düzeyi adının bir parçası yapabilirsiniz.
  2. Erişim düzeyi oluştur'u seçin.
  3. Gelişmiş Mod'u seçin.
  4. Erişim düzeyi adı ve isteğe bağlı bir açıklama ekleyin.
    Erişim düzeyini bir CEL ifadesi yazarak tanımlarsınız.
  5. CEL ifade düzenleyicide özel erişim düzeyinizi oluşturun.
    Bunun için CEL konusunda biraz deneyiminiz olmalıdır. Özel erişim düzeyleri oluşturmayla ilgili yönergeler ve desteklenen ifade örnekleri için Özel erişim düzeyi spesifikasyonu başlıklı makaleye bakın .
  6. Kaydet'i tıklayın.
    İfade derlenir ve söz dizimi hataları bildirilir.
    • Söz dizimi hatası yoksa özel erişim düzeyiniz kaydedilir ve bunu uygulamalara atayabilirsiniz.
    • Söz dizimi hataları varsa, yeni oluşturduğunuz ifadeye özel derleyici hatalarını (yalnızca İngilizce) ve Devam etmek için hataları düzeltin ifadesini içeren bir mesaj görürsünüz. Hatayı düzeltip tekrar kaydedebilirsiniz. Özel erişim düzeyi hata içermiyorsa ve kaydedildiyse bu erişim düzeyini uygulamalara atayabilirsiniz.

Gelişmiş modda oluşturulmuş örnek erişim düzeyi

Bu örnekte, bir isteğe izin vermek için aşağıdaki koşulların karşılanmasını gerektiren bir erişim düzeyi gösterilmektedir:

  • İsteğin geldiği cihaz şifrelenmiş.
  • Aşağıdakilerden biri veya daha fazlası doğru:
    • İstek Amerika Birleşik Devletleri kaynaklı.
    • İsteğin geldiği cihaz, alan yöneticisi tarafından onaylandı.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Daha fazla örnek için Gelişmiş mod için bağlama duyarlı erişim örnekleri başlıklı makaleyi inceleyin.

Sıradaki adım: Uygulamalara erişim düzeyleri atama


Google, Google Workspace ve ilgili markalar ile logolar Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.