Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva
Med hjälp av kontextmedveten åtkomst kan du skapa detaljerade säkerhetspolicyer för åtkomstkontroll för appar baserat på attribut, till exempel användaridentitet, plats, enhetens säkerhetsstatus och IP-adress. Dina policyer gäller för användare som använder appen på personliga och hanterade enheter. Du kan styra användaråtkomst baserat på kontext, till exempel om en enhet följer din IT-policy.
Exempel på användningsområden för kontextmedveten åtkomst
Du kan använda kontextmedveten åtkomst när du vill:
- Tillåt endast åtkomst till appar från företagsutfärdade enheter
- Tillåt endast åtkomst till Drive om en användarlagringsenhet är krypterad
- Begränsa åtkomst till appar utanför företagsnätverket
Du kan också kombinera mer än ett användningsfall i en policy. Du kan till exempel skapa en åtkomstnivå som kräver appåtkomst från enheter som är företagsägda, krypterade och uppfyller en viss lägsta operativsystemversion.
Obs! Kontextmedvetna åtkomstpolicyer kan endast styra appåtkomst från slutanvändarkonton. De begränsar inte åtkomst till Google API:er från tjänstkonton .
Stöd för utgåvor, appar, plattformar och administratörstyper
Om utgåvor
Du kan endast tillämpa kontextmedvetna åtkomstpolicyer på användare som har en licens för en av de utgåvor som anges högst upp i den här artikeln.
Användare med andra typer av utgåvor kan komma åt appar som vanligt – även om du tillämpar en policy för kontextmedveten åtkomst på alla användare i samma organisationsenhet eller grupp. Användare som inte har någon av de utgåvor som stöds omfattas inte av de policyer för kontextmedveten åtkomst som tillämpas i deras organisationsenhet eller grupp.
Appar
Du kan tillämpa kontextmedvetna åtkomstpolicyer på webbappar på datorer, mobilappar och inbyggda appar på datorer. Åtkomst för appar utvärderas kontinuerligt efter att åtkomst har beviljats. Undantaget är SAML-appar, som utvärderas vid inloggning.
Google Workspace-appar (kärntjänster)
För appar som är kärntjänster sker policyutvärderingen kontinuerligt. Om en användare till exempel loggar in på en kärntjänst på kontoret och går över till ett kafé, kontrolleras en kontextmedveten åtkomstpolicy för den tjänsten igen när användaren byter plats.
Apppolicyer kan konfigureras för både dator- och mobilappar. När en policy konfigureras för mobila enheter gäller den automatiskt för både Android- och iOS-plattformar.
Den här tabellen visar de appar som stöds för webbappar på datorer, mobilappar och inbyggda appar på datorer.
Kärntjänster | Webbappar (dator eller mobil) | Inbyggda appar på mobilen* | Inbyggda appar på skrivbordet |
Google Kalender | ✔ | ✔ | |
Google Cloud Search | ✔ | ✔ | |
Google Drive och Google Dokument (inkluderar Kalkylark, Presentationer och Formulär) | ✔ | ✔ | ✔ (Google Drive för datorer) |
| Tvillingarna | ✔ | ✔ | |
Gmail | ✔ | ✔ | |
Google Meet | ✔ | ✔ | |
Google Arkiv | ✔ | ||
Grupper för företag | ✔ | ||
Google Chat | ✔ | ✔ | |
Google Keep | ✔ | ✔ | |
Google Webbplatser | ✔ | ||
Google Uppgifter | ✔ | ✔ | |
Googles administratörskonsol | ✔ | ✔ | |
| NotebookLM | ✔ | ✔ | |
| Arbetsplatsstudio | ✔ |
*Anmärkningar om support för mobilappar:
- Du kan inte tillämpa kontextmedvetna åtkomstpolicyer för mobila enheter på inbyggda appar från tredje part (till exempel Salesforce).
- Du kan tillämpa kontextmedvetna åtkomstpolicyer på SAML-appar som nås med hjälp av Chrome-webbläsaren.
- Mobila enheter hanteras med Googles slutpunktshantering grundläggande eller avancerad. Med grundläggande hantering kan det ta några dagar att synkronisera en enhets operativsystemversion och krypteringsstatus. Under denna tid kan åtkomsten till Google Workspace-tjänster från dessa enheter påverkas om du använder kontextmedveten åtkomst.
- Mobilappen NotebookLM följer din organisations policyer för kontextmedveten åtkomst för Google Drive. Om policyreglerna inte följs kommer åtkomst till anslutet innehåll från Drive att blockeras.
- Gemini-mobilappen hanterar blockerat innehåll på olika sätt. När en fråga bryter mot en policy visar appen ett svarsmeddelande som anger att åtkomst nekades, snarare än ett popup-fönster. Varningslägesfunktionen, som låter användare fortsätta trots policyöverträdelsen, är inte tillgänglig i Gemini-mobilappen.
Ytterligare Google-tjänster
För ytterligare Google-tjänster sker policyutvärdering kontinuerligt. Dessa tjänster är endast webbappar.
- Data Studio — Omvandlar data till lättlästa diagram och interaktiva rapporter.
- Google Play Console — Erbjud Android-appar som du utvecklar till den snabbt växande Android-användarbasen.
SAML-appar
För SAML-appar sker policyutvärdering vid inloggning till appen.
- Detta inkluderar tredjeparts-SAML-appar som använder Google som identitetsleverantör. En tredjeparts-identitetsleverantör (IdP) kan också användas (tredjeparts-IdP federerar till Google Cloud Identity och Google Cloud Identity federerar till SAML-appar). Mer information finns i Om SSO .
- Kontextmedvetna åtkomstpolicyer tillämpas när en användare loggar in på en SAML-app.
Exempel : Om en användare loggar in på en SAML-app på kontoret och går över till ett kafé, kontrolleras inte en kontextmedveten åtkomstpolicy för den SAML-appen igen när användaren byter plats. För SAML-appar kontrolleras policyn bara igen när användarsessionen avslutas och de loggar in igen.
Om en enhetspolicy tillämpas på en åtkomstnivå kan en användare endast godkännas av en tredjeparts-SAML-app via Chrome-webbläsaren med slutpunktsverifiering aktiverad.
Om en enhetspolicy tillämpas blockeras webbläsaråtkomst på mobilen (inklusive mobilappar som använder en webbläsare för inloggning).
Plattformskrav
Du kan skapa olika typer av kontextmedvetna åtkomstpolicyer för att komma åt appar: IP, enhet, geografiskt ursprung och anpassade åtkomstnivåattribut. För vägledning och exempel på attribut och uttryck som stöds för att skapa anpassade åtkomstnivåer, gå till specifikationen för anpassad åtkomstnivå .
För mer information om BeyondCorp Alliance-partners som stöds, gå till Konfigurera integrationer med tredjepartspartners .
Plattformsstöd som enhetstyp, operativsystem och webbläsaråtkomst varierar beroende på policytyp.
Policytyper inkluderar:
- IP — Anger ett IP-adressintervall från vilket en användare kan ansluta till en app
- Enhetspolicy och enhetsoperativsystem – Anger egenskaper om enheten från vilken en användare öppnar en app, till exempel om enheten är krypterad eller kräver ett lösenord.
- Geografiskt ursprung – Anger länder där en användare kan komma åt appar
Stöd för IP- och geografiskt ursprungsplattform
Observera att om en internetleverantör (ISP) ändrar IP-adresser mellan olika geografiska regioner, uppstår en fördröjning medan dessa ändringar träder i kraft. Under denna fördröjning kan kontextmedveten åtkomst blockera användare om deras åtkomst tvingas fram av geolokaliseringsattribut.
- Enhetstyp — Stationär, bärbar eller mobil enhet
- Operativsystem
- Skrivbord – Mac, Windows, ChromeOS, Linux
- Mobil – Android, iOS (inklusive iPadOS)
- Tillträde
- Webbläsare för datorer och Drive för datorer
- Webbläsare och inbyggda appar från första part på mobilen
- Programvara — Ingen agent krävs (förutom Safari med Apple Private Relay aktiverat). Om Apple Private Relay är konfigurerat i iCloud döljs enhetens IP-adress. Google Workspace tar emot en anonym IP-adress. Om det finns en kontextmedveten åtkomstnivå tilldelad som IP-undernät nekas åtkomst till Safari. Åtgärda detta genom att inaktivera Apple Private Relay eller genom att ta bort åtkomstnivån som innehåller IP-undernät.
Stöd för enhetspolicyplattform
- Enhetstyp — Stationär, bärbar eller mobil enhet
- Operativsystem
- (Skrivbord) Mac, Windows, ChromeOS, Linux OS
- (Mobil) Android, iOS (inklusive iPadOS). Observera att för Android-enheter före version 6.0 måste du använda Googles slutpunktshantering i grundläge för slutpunktsverifiering.
- Företagsägt – Stöds inte för enheter med Android 12 eller senare och en arbetsprofil. Dessa enheter rapporteras alltid som användarägda, även om de finns i det företagsägda lagret. För mer information, gå till Visa mobila enheter , Läs mer om enhetsinformation och i tabellen Enhetsinformation, skrolla ner till raden Ägarskap.
- Tillträde
- Chrome-webbläsaren för datorn och Drive för datorn
- Chrome-webbläsaren för inbyggda appar från första part på mobilen
- Programvara
- (Dator) Chrome-webbläsare, Chrome Endpoint Verification-tillägg
- (Mobil) Hantera mobila enheter med Googles slutpunktshantering (antingen grundläggande eller avancerad ).
- (För användare i Windows) För att förbättra säkerheten för Chrome-data, se till att Google Chrome Elevation Service förblir aktiverad för appbunden kryptering .
Administratörskrav
Dessa administratörer kan ställa in policyer för kontextmedveten åtkomst:
- Superadministratör
- En administratör med var och en av dessa behörigheter:
- Datasäkerhet>Hantering av åtkomstnivåer
- Datasäkerhet>Regelhantering
- Admin API-behörigheter>Grupper>Läs
- Admin API-behörigheter>Användare>Läs
Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.