建立情境感知存取層級

1. 選取「存取層級」。
   系統隨即會列出定義的存取層級。由於存取層級是 Google Workspace 和 Google Cloud 的共用資源，因此您可能會在這份清單中看到他人建立的存取層級。為了標示哪個團隊建立了存取層級，建議您在存取層級名稱中加入平台名稱。
2. 選取右上方的「建立存取層級」。
   根據預設，系統會選取基本模式。您必須為存取層級新增一或多個條件，藉此定義存取層級。接下來，請指定一或多個屬性來定義各個條件。

   注意：如果您只有使用 Google Workspace，建議您不要使用 Google Cloud Platform (GCP) 介面新增或修改情境感知存取層級。如果您透過情境感知存取權介面以外的方式新增或變更存取層級，就可能收到下列錯誤訊息：「在 Google Workspace 使用了不支援的屬性」，且使用者可能會遭到封鎖。

3. 新增存取層級名稱和選填說明。
4. 針對您新增的存取層級條件，指定在以下情況下該條件是否適用：
   • 符合屬性：使用者必須符合條件中的所有屬性。
   • 不符合屬性：使用者不符合條件中的任何屬性。該選項指定相反的條件，最常用於 IP 子網路屬性。舉例來說，如果您指定了 IP 子網路和「不符合」選項，那麼只有指定 IP 位址範圍外的使用者才會符合條件。
5. 按一下「新增屬性」，在存取層級條件中新增一或多個屬性。你可以新增的屬性包括：
   • IP 子網路 (公開)：IPv4 或 IPv6 位址，或是採用 CIDR 區塊標記法的路徑前置字元。
     • 這項屬性不支援私人 IP 位址 (包括使用者的家用網路)。
     • 支援靜態 IP 位址。
     • 如要使用動態 IP 位址，您必須為存取層級定義靜態 IP 子網路。如果您知道動態 IP 位址的範圍，且在存取層級中定義的靜態 IP 位址涵蓋該範圍，則系統會授予存取權。如果動態 IP 位址不在定義的靜態 IP 子網路範圍內，系統會拒絕存取權。
   • IP 子網路 (私人)：可讓您定義情境感知存取權政策，包含虛擬私有雲 (VPC) 環境中的私人 IP 子網路。如果貴機構使用虛擬私有雲，這項屬性可確保安全存取 Workspace 服務，並遵循您定義的情境感知存取權政策。假如使用者透過虛擬私有雲基礎架構來存取服務，或是 Apps Script 仰賴私人 IP 運作，這項屬性就特別重要。
     • 如要使用這項屬性，您需要取得 Google Cloud 控制台權限，以便列出及查看 Google Cloud 網路資源，並具備適當的身分與存取權管理 (IAM) 角色 (例如 compute.networks.list、compute.subnetworks.list 等)。
     • 此屬性僅適用於代管虛擬私有雲環境中的私人 IP 子網路，不適用於一般私人 IP 位址，例如使用者家用網路或其他非虛擬私有雲私人範圍中的 IP 位址。
     • 如要設定這項屬性，請在存取層級建構工具中選取「IP 子網路 (私人)」。您可以新增 Google Cloud 控制台專案、相關聯的虛擬私有雲網路，以及特定虛擬私有雲 IP 子網路範圍 (選用)，而不需在 Google Cloud 控制台中設定這些存取層級。
     • 評估使用者存取權時，系統會採用將流量傳送至 Google 伺服器的虛擬私有雲 (不一定是發起要求的虛擬私有雲)。
     • 管理控制台目前支援以任意形式的文字，編輯虛擬私有雲名稱和對應的子網路。
     • 如果您使用 VPC Service Controls 為 Google Cloud 資源建立安全 perimeter，那麼在使用 IP 子網路 (私人) 屬性時，會受到特定限制：
       • 您只能透過基本存取層級啟用內部 IP 位址。如要在進階存取層級中使用私人 IP，請先建立只含私人 IP 條件的基本存取層級，然後將其納入進階存取層級。
       • 請避免設定存取層級來封鎖內部 IP 位址，否則可能導致非預期行為。
       • 單一存取層級無法同時包含公開和私人 IP 屬性。如果兩者皆需要，請分別建立存取層級，然後在第三個存取層級中合併這兩個屬性。
   • 地區：使用者存取 Google Workspace 服務時所在的國家/地區。系統不支援具有內部 IP 位址的裝置，因為這些 IP 位址並非全域唯一。
   • 裝置政策 (僅選擇您需要採用的裝置政策)：
     • 必須獲得管理員核准 (如果選擇「必要」，裝置將須經過核准)
     • 必須是公司擁有的裝置
     • 受螢幕密碼保護

       注意：如果是 Windows OS，這項屬性會檢查閒置逾時後是否顯示登入畫面，當開啟「需要登入」設定 (位於登入選項) 或「繼續時顯示登入畫面」設定 (位於螢幕保護程式設定) 時，這項屬性就會傳回 true，但不會檢查是否已設定密碼。

     • 裝置加密 (不支援、未加密、已加密)
   • 裝置 OS (使用者僅能透過您選取的作業系統存取 Google Workspace。請允許使用所有版本，或使用 <主版號>.<次版號>.<修訂號> 格式設定最低作業系統版本)：
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • 存取層級 - 必須符合某個現有存取層級的要求。
6. 如要為存取層級新增其他條件，請按一下「新增條件」並新增條件屬性。
7. 指出使用者必須符合的條件：
   • 且：使用者必須符合第一個條件和新增的條件。
   • 或：使用者僅須符合其中一個條件。
8. 存取層級條件新增完成後，請按一下「儲存」，儲存存取層級的定義。
9. 選擇要透過存取層級執行的動作：
   • 將這個存取層級指派給應用程式。
   • 使用這個存取層級建立資料保護規則。如果您選擇這個選項，系統就會啟動規則建立精靈。請參閱這篇文章，進一步瞭解如何結合資料保護規則與情境感知存取權層級。

在基本模式中建立存取層級的範例

這個範例使用的是「corp_access」這個存取層級。當「corp_access」套用至 Gmail 時，使用者就只能透過加密的公司裝置存取 Gmail，且只能從美國或加拿大存取。

如需查看更多範例，請參閱基本模式的情境感知存取權範例。

這個模式可讓您建立無法在情境感知存取權介面條件建構工具中建立的存取層級。例如：

• 管理員可能須建立包含廠商條件的存取層級，來進行第三方整合。
• 部分進階屬性無法透過基本模式條件介面存取，例如使用憑證式驗證。

在這個模式下，您必須使用一般運算語言 (CEL)，在編輯視窗中建立自訂存取層級。

如何使用進階模式定義存取層級：

1. 選取「存取層級」。
   系統隨即會列出定義的存取層級。由於存取層級是 Google Workspace、Cloud Identity 和 Google Cloud 的共用資源，因此您可能會在這份清單中看到他人建立的存取層級。為了標示哪個團隊建立了存取層級，建議您在存取層級名稱中加入平台名稱。
2. 選取「建立存取層級」。
3. 選取「進階模式」。
4. 新增存取層級名稱和選填說明。
   您必須編寫 CEL 運算式來定義存取層級。
5. 在 CEL 運算式編輯器中建立自訂存取層級。
   您需要一些編寫 CEL 的經驗才能這麼做。如需建立自訂存取層級的支援運算式指引和範例，請參閱「自訂存取層級詳細說明」。
6. 按一下 [儲存]。
   運算式會經過編譯，且系統會回報任何語法錯誤。
   • 如果沒有任何語法錯誤，系統就會儲存自訂存取層級，而您可以指派存取層級給應用程式。
   • 如有語法錯誤，系統會顯示「修正錯誤以繼續」訊息，以及與您剛建立的運算式相關的特定編譯器錯誤 (僅提供英文版)。請修正錯誤並重新儲存。如果自訂存取層級沒有任何錯誤且已儲存，您就可以將這個存取層級指派給應用程式。

在進階模式中建立存取層級的範例

以下範例顯示的存取層級必須符合下列條件才能發出要求：

• 來源裝置已加密。
• 下列一或多項敘述為真：
  • 要求來自美國。
  • 提出要求的來源裝置已經過網域管理員核准。

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

如需查看更多範例，請參閱進階模式的情境感知存取權範例。