Bescherm uw bedrijf met contextbewuste toegang.

U kunt contextbewuste toegangsbeleidsregels alleen toepassen op gebruikers die een licentie hebben voor een van de edities die bovenaan dit artikel worden vermeld.

Gebruikers met een andere editie hebben zoals gebruikelijk toegang tot apps, zelfs als u een contextbewust toegangsbeleid toepast op alle gebruikers in dezelfde organisatie-eenheid of -groep. Gebruikers die niet over een van de ondersteunde edities beschikken, zijn niet onderworpen aan contextbewuste toegangsbeleidsregels die van kracht zijn in hun organisatie-eenheid of -groep.

U kunt contextbewuste toegangsbeleidsregels toepassen op webapps op desktops, mobiele apps en ingebouwde apps op desktops. De toegang voor apps wordt continu geëvalueerd nadat toegang is verleend. Een uitzondering hierop vormen SAML-apps, die bij het aanmelden worden geëvalueerd.

Google Workspace-apps (kernservices)

Voor apps die essentiële services zijn, vindt de beleidsevaluatie continu plaats. Als een gebruiker bijvoorbeeld inlogt op een essentiële service op kantoor en vervolgens naar een koffiebar loopt, wordt het contextbewuste toegangsbeleid voor die service opnieuw gecontroleerd wanneer de gebruiker van locatie verandert.

App-beleid kan worden geconfigureerd voor zowel desktop- als mobiele apps. Wanneer een beleid is geconfigureerd voor mobiele apparaten, is het automatisch van toepassing op zowel Android- als iOS-platforms.

Deze tabel toont de ondersteunde apps voor webapps op desktops, mobiele apps en ingebouwde apps op desktops.

*Opmerkingen over ondersteuning voor mobiele apps:

• Je kunt geen contextbewust toegangsbeleid afdwingen voor mobiele apparaten in ingebouwde apps van derden (zoals bijvoorbeeld Salesforce).
• U kunt contextbewuste toegangsbeleidsregels afdwingen voor SAML-apps die via de Chrome-browser worden gebruikt.
• Mobiele apparaten worden beheerd met Google Endpoint Management Basic of Advanced. Met Basic Management kan het synchroniseren van de OS-versie en de versleutelingsstatus van een apparaat enkele dagen duren. Gedurende deze tijd kan de toegang tot Google Workspace-services vanaf deze apparaten worden beïnvloed als u Context-Aware Access gebruikt.
• De NotebookLM-app voor mobiele apparaten houdt zich aan het contextbewuste toegangsbeleid van uw organisatie voor Google Drive. Als niet aan de beleidsregels wordt voldaan, wordt de toegang tot gekoppelde inhoud vanuit Drive geblokkeerd.
• De mobiele app van Gemini behandelt geblokkeerde content anders. Wanneer een zoekopdracht een beleid schendt, toont de app een bericht dat de toegang is geweigerd, in plaats van een pop-upvenster. De waarschuwingsmodus, waarmee gebruikers ondanks de beleidsschending toch verder kunnen gaan, is niet beschikbaar in de mobiele app van Gemini.

Aanvullende Google-services

Voor aanvullende Google-diensten wordt het beleid continu geëvalueerd. Deze diensten zijn uitsluitend webapplicaties.

• Data Studio — Zet gegevens om in gemakkelijk leesbare grafieken en interactieve rapporten.
• Google Play Console — Bied de Android-applicaties die je ontwikkelt aan het snelgroeiende aantal Android-gebruikers.

SAML-apps

Bij SAML-apps vindt de beleidsevaluatie plaats bij het inloggen op de app.

• Dit omvat SAML-apps van derden die Google als identiteitsprovider gebruiken. Er kan ook een identiteitsprovider (IdP) van derden worden gebruikt (deze IdP federeert met Google Cloud Identity en Google Cloud Identity federeert met SAML-apps). Ga naar Over SSO voor meer informatie.
• Contextbewuste toegangsbeleidsregels worden toegepast wanneer een gebruiker zich aanmeldt bij een SAML-app.

  Voorbeeld : Als een gebruiker zich op kantoor aanmeldt bij een SAML-app en vervolgens naar een koffiebar loopt, wordt het contextbewuste toegangsbeleid voor die SAML-app niet opnieuw gecontroleerd wanneer de gebruiker van locatie verandert. Voor SAML-apps wordt het beleid pas opnieuw gecontroleerd wanneer de gebruikerssessie eindigt en de gebruiker zich opnieuw aanmeldt.

• Als er op toegangsniveau een apparaatbeleid wordt toegepast, kan een gebruiker alleen worden goedgekeurd door een SAML-app van een derde partij via de Chrome-browser met ingeschakelde eindpuntverificatie.

• Als er een apparaatbeleid is toegepast, wordt de toegang tot webbrowsers op mobiele apparaten (inclusief mobiele apps die een webbrowser gebruiken om in te loggen) geblokkeerd.

U kunt verschillende soorten contextbewuste toegangsbeleidsregels maken voor toegang tot apps: IP-adres, apparaat, geografische herkomst en aangepaste toegangsrechten. Voor richtlijnen en voorbeelden van ondersteunde kenmerken en expressies voor het maken van aangepaste toegangsrechten, raadpleegt u de specificatie voor aangepaste toegangsrechten .

Voor meer informatie over de ondersteunde BeyondCorp Alliance-partners kunt u terecht bij Integraties met externe partners instellen .

De platformondersteuning, zoals apparaattype, besturingssysteem en browsertoegang, verschilt per beleidstype.

De polissoorten omvatten:

• IP — Specificeert een IP-adresbereik van waaruit een gebruiker verbinding kan maken met een app.
• Apparaatbeleid en apparaatbesturingssysteem — Specificeert kenmerken van het apparaat waarmee een gebruiker een app opent, zoals of het apparaat versleuteld is of een wachtwoord vereist.
• Geografische herkomst — Specificeert de landen waar een gebruiker toegang heeft tot apps.

Ondersteuning voor IP- en geografische herkomstplatformen

Houd er rekening mee dat als een internetprovider (ISP) IP-adressen wijzigt tussen verschillende geografische regio's, er een vertraging optreedt voordat deze wijzigingen van kracht worden. Gedurende deze vertraging kan Context-Aware Access gebruikers blokkeren als hun toegang wordt afgedwongen door geolocatiekenmerken.

• Apparaattype — Desktop, laptop of mobiel apparaat
• Besturingssysteem
  • Desktop: Mac, Windows, ChromeOS, Linux OS
  • Mobiel—Android, iOS (inclusief iPadOS)
• Toegang
  • Webbrowser voor desktop en Drive voor desktop
  • Webbrowser en ingebouwde apps van Microsoft zelf op mobiele apparaten
• Software — Geen agent vereist (behalve voor Safari met Apple Private Relay ingeschakeld). Als Apple Private Relay is geconfigureerd in iCloud, wordt het IP-adres van het apparaat verborgen. Google Workspace ontvangt een anoniem IP-adres. In dit geval wordt de toegang tot Safari geweigerd als er een contextbewust toegangsniveau is toegewezen als IP-subnet. Dit kan worden opgelost door Apple Private Relay uit te schakelen of door het toegangsniveau met IP-subnetten te verwijderen.

Ondersteuning voor het platform voor apparaatbeleid

• Apparaattype — Desktop, laptop of mobiel apparaat
• Besturingssysteem
  • (Desktop) Mac, Windows, ChromeOS, Linux OS
  • (Mobiel) Android, iOS (inclusief iPadOS). Houd er rekening mee dat u voor Android-versies ouder dan 6.0 Google-eindpuntbeheer in de basismodus moet gebruiken voor eindpuntverificatie.
• In bedrijfseigendom – Niet ondersteund voor apparaten met Android 12 of hoger en een werkprofiel. Deze apparaten worden altijd als eigendom van de gebruiker gerapporteerd, zelfs als ze zich in de inventaris van bedrijfseigendom bevinden. Ga voor meer informatie naar Mobiele apparaten bekijken , Meer informatie over apparaatdetails en scroll in de tabel Apparaatinformatie naar beneden naar de rij Eigendom.
• Toegang
  • Chrome-browser voor desktop en Google Drive voor desktop
  • Chrome-browser voor ingebouwde apps van Microsoft zelf op mobiele apparaten
• Software
  • (Desktop) Chrome-browser, Chrome Endpoint Verification-extensie
  • (Mobiel) Beheer mobiele apparaten met Google Endpoint Management ( basis of geavanceerd ).
  • (Voor Windows-gebruikers) Om de beveiliging van Chrome-gegevens te verbeteren, moet u ervoor zorgen dat de Google Chrome Elevation Service is ingeschakeld voor app-gebonden versleuteling .

Deze beheerders kunnen contextbewuste toegangsbeleidsregels instellen:

• Superbeheerder
• Een beheerder met elk van deze privileges:
  • Gegevensbeveiliging > Toegangsbeheer
  • Gegevensbeveiliging > Regelbeheer
  • Beheerders-API-rechten > Groepen > Lezen
  • Beheerders-API-rechten > Gebruikers > Lezen