Bảo vệ doanh nghiệp bằng giải pháp Truy cập theo bối cảnh

Các phiên bản được hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Tính năng Quyền truy cập dựa trên bối cảnh giúp bạn tạo các chính sách bảo mật chi tiết về việc kiểm soát quyền truy cập vào các ứng dụng dựa trên các thuộc tính, chẳng hạn như danh tính người dùng, vị trí, trạng thái bảo mật của thiết bị và địa chỉ IP. Các chính sách của bạn áp dụng cho những người dùng truy cập vào ứng dụng trên thiết bị cá nhân và thiết bị được quản lý. Bạn có thể kiểm soát quyền truy cập của người dùng dựa trên bối cảnh, chẳng hạn như liệu một thiết bị có tuân thủ chính sách CNTT của bạn hay không.

Các trường hợp sử dụng mẫu của tính năng quyền truy cập dựa trên bối cảnh

Bạn có thể sử dụng tính năng Quyền truy cập theo bối cảnh khi muốn:

  • Chỉ cho phép truy cập vào các ứng dụng từ thiết bị do công ty cấp
  • Chỉ cho phép truy cập vào Drive nếu thiết bị lưu trữ của người dùng được mã hoá
  • Hạn chế quyền truy cập vào các ứng dụng từ bên ngoài mạng công ty

Bạn cũng có thể kết hợp nhiều trường hợp sử dụng thành một chính sách. Ví dụ: bạn có thể tạo một cấp truy cập yêu cầu quyền truy cập vào ứng dụng từ các thiết bị do công ty sở hữu, được mã hoá và đáp ứng phiên bản hệ điều hành tối thiểu.

Lưu ý: Các chính sách về quyền truy cập dựa trên bối cảnh chỉ có thể kiểm soát quyền truy cập vào ứng dụng từ tài khoản người dùng cuối. Các chính sách này không hạn chế quyền truy cập vào các API của Google từ tài khoản dịch vụ.

Hỗ trợ cho các phiên bản, ứng dụng, nền tảng và loại quản trị viên

Giới thiệu về các phiên bản

Bạn chỉ có thể áp dụng các chính sách về quyền truy cập dựa trên bối cảnh cho những người dùng có giấy phép của một trong các phiên bản được xác định ở đầu bài viết này.

Người dùng có bất kỳ loại phiên bản nào khác đều có thể truy cập vào các ứng dụng như bình thường, ngay cả khi bạn áp dụng chính sách về quyền truy cập dựa trên bối cảnh cho tất cả người dùng trong cùng một đơn vị tổ chức hoặc nhóm. Những người dùng không có một trong các phiên bản được hỗ trợ sẽ không phải tuân theo các chính sách về quyền truy cập dựa trên bối cảnh được thực thi trong đơn vị tổ chức hoặc nhóm của họ.

Ứng dụng

Bạn có thể áp dụng các chính sách về quyền truy cập dựa trên bối cảnh cho các ứng dụng web trên máy tính, ứng dụng dành cho thiết bị di động và ứng dụng tích hợp trên máy tính. Quyền truy cập vào ứng dụng được đánh giá liên tục sau khi được cấp. Trường hợp ngoại lệ là các ứng dụng SAML được đánh giá khi đăng nhập.

Các ứng dụng trong Google Workspace (dịch vụ cốt lõi)

Đối với các ứng dụng là dịch vụ cốt lõi, quá trình đánh giá chính sách diễn ra liên tục. Ví dụ: nếu một người dùng đăng nhập vào một dịch vụ cốt lõi tại văn phòng và đi đến một quán cà phê, thì chính sách về quyền truy cập dựa trên bối cảnh cho dịch vụ đó sẽ được kiểm tra lại khi người dùng thay đổi vị trí.

Bạn có thể định cấu hình chính sách cho cả ứng dụng dành cho thiết bị di động và ứng dụng trên máy tính. Khi bạn định cấu hình một chính sách cho thiết bị di động, chính sách đó sẽ tự động áp dụng cho cả nền tảng Android và iOS.

Bảng này cho thấy các ứng dụng được hỗ trợ cho ứng dụng web trên máy tính, ứng dụng dành cho thiết bị di động và ứng dụng tích hợp trên máy tính.

Dịch vụ cốt lõi

Ứng dụng web (máy tính hoặc thiết bị di động)

Ứng dụng tích hợp trên thiết bị di động*
(Thiết bị di động được quản lý bằng giải pháp quản lý thiết bị đầu cuối của Google ở chế độ cơ bản hoặc nâng cao.)

Ứng dụng tích hợp trên máy tính

Lịch Google

Google Cloud Search

Google Drive và Google Tài liệu (bao gồm Trang tính, Trang trình bày và Biểu mẫu)

(Google Drive cho máy tính)
Gemini

Gmail

Google Meet

Google Vault

Groups for Business

Google Chat

Google Keep

Google Sites

Google Tasks

Bảng điều khiển dành cho quản trị viên của Google
NotebookLM
Workplace Studio

*Lưu ý về hỗ trợ ứng dụng dành cho thiết bị di động:

  • Bạn không thể thực thi các chính sách về quyền truy cập dựa trên bối cảnh cho thiết bị di động trên các ứng dụng tích hợp của bên thứ ba (ví dụ: Salesforce).
  • Bạn có thể thực thi các chính sách về quyền truy cập dựa trên bối cảnh trên các ứng dụng SAML được truy cập bằng Trình duyệt Chrome.
  • Thiết bị di động được quản lý bằng giải pháp quản lý thiết bị đầu cuối của Google ở chế độ cơ bản hoặc nâng cao. Với chế độ quản lý cơ bản, quá trình đồng bộ hoá phiên bản hệ điều hành và trạng thái mã hoá của thiết bị có thể mất vài ngày. Trong thời gian này, quyền truy cập vào các dịch vụ của Google Workspace từ các thiết bị này có thể bị ảnh hưởng nếu bạn sử dụng tính năng quyền truy cập dựa trên bối cảnh.
  • Ứng dụng di động NotebookLM tuân thủ các chính sách về quyền truy cập dựa trên bối cảnh của tổ chức bạn đối với Google Drive. Nếu không đáp ứng các quy tắc của chính sách, quyền truy cập vào nội dung được kết nối từ Drive sẽ bị chặn.
  • Ứng dụng di động Gemini xử lý nội dung bị chặn theo cách khác. Khi một truy vấn vi phạm chính sách, ứng dụng sẽ hiển thị một thông báo phản hồi cho biết quyền truy cập bị từ chối thay vì một cửa sổ bật lên. Tính năng Chế độ cảnh báo cho phép người dùng tiếp tục mặc dù vi phạm chính sách không có trong ứng dụng di động Gemini.

Các dịch vụ bổ sung của Google

Đối với các dịch vụ bổ sung của Google, quá trình đánh giá chính sách diễn ra liên tục. Các dịch vụ này chỉ là ứng dụng web.

  • Looker Studio—Biến dữ liệu thành biểu đồ dễ đọc và báo cáo có tính tương tác.
  • Google Play Console—Cung cấp các ứng dụng Android do bạn phát triển cho cơ sở người dùng Android đang phát triển nhanh chóng.

Ứng dụng SAML

Đối với các ứng dụng SAML, quá trình đánh giá chính sách diễn ra khi đăng nhập vào ứng dụng.

  • Điều này bao gồm các ứng dụng SAML của bên thứ ba sử dụng Google làm nhà cung cấp dịch vụ danh tính. Bạn cũng có thể sử dụng nhà cung cấp dịch vụ danh tính (IdP) của bên thứ ba (IdP của bên thứ ba liên kết với Google Cloud Identity và Google Cloud Identity liên kết với các ứng dụng SAML). Để biết thông tin chi tiết, hãy chuyển đến phần Giới thiệu về tính năng Đăng nhập một lần.
  • Các chính sách về quyền truy cập dựa trên bối cảnh được thực thi khi người dùng đăng nhập vào một ứng dụng SAML.

    Ví dụ: Nếu một người dùng đăng nhập vào một ứng dụng SAML tại văn phòng và đi đến một quán cà phê, thì chính sách về quyền truy cập dựa trên bối cảnh cho ứng dụng SAML đó sẽ không được kiểm tra lại khi người dùng thay đổi vị trí. Đối với các ứng dụng SAML, chính sách chỉ được kiểm tra lại khi phiên người dùng kết thúc và họ đăng nhập lại.

  • Nếu một chính sách thiết bị được áp dụng ở một cấp truy cập, thì người dùng chỉ có thể được phê duyệt bởi một ứng dụng SAML của bên thứ ba thông qua trình duyệt Chrome có bật tính năng xác minh điểm cuối.

  • Nếu một chính sách thiết bị được áp dụng, quyền truy cập vào trình duyệt web trên thiết bị di động (bao gồm cả các ứng dụng dành cho thiết bị di động sử dụng trình duyệt web để đăng nhập) sẽ bị chặn.

Yêu cầu về nền tảng

Bạn có thể tạo nhiều loại chính sách về quyền truy cập dựa trên bối cảnh để truy cập vào các ứng dụng: IP, thiết bị, nguồn gốc địa lý và các thuộc tính cấp truy cập tuỳ chỉnh. Để được hướng dẫn và xem các ví dụ về thuộc tính và biểu thức được hỗ trợ để tạo cấp truy cập tuỳ chỉnh, hãy chuyển đến phần Thông số kỹ thuật về cấp truy cập tuỳ chỉnh.

Ngoài ra, để biết thông tin chi tiết về các đối tác được hỗ trợ của Liên minh BeyondCorp, hãy chuyển đến phần Thiết lập tính năng tích hợp đối tác bên thứ ba.

Sự hỗ trợ cho nền tảng, chẳng hạn như loại thiết bị, hệ điều hành và quyền truy cập vào trình duyệt, sẽ khác nhau tuỳ theo loại chính sách.

Các loại chính sách bao gồm:

  • IP—Chỉ định một dải địa chỉ IP mà người dùng có thể kết nối với một ứng dụng
  • Chính sách thiết bị và Hệ điều hành thiết bị—Chỉ định các đặc điểm về thiết bị mà người dùng truy cập vào một ứng dụng, chẳng hạn như liệu thiết bị có được mã hoá hay yêu cầu mật khẩu hay không
  • Nguồn gốc địa lý—Chỉ định các quốc gia mà người dùng có thể truy cập vào các ứng dụng

Hỗ trợ nền tảng cho IP và nguồn gốc địa lý

Xin lưu ý rằng nếu một nhà cung cấp dịch vụ Internet (ISP) thay đổi địa chỉ IP giữa các khu vực địa lý khác nhau, thì sẽ có một khoảng thời gian trễ trong khi những thay đổi này có hiệu lực. Trong khoảng thời gian trễ này, tính năng quyền truy cập dựa trên bối cảnh có thể chặn người dùng nếu quyền truy cập của họ được thực thi bằng các thuộc tính định vị vị trí.

  • Loại thiết bị—Máy tính, máy tính xách tay hoặc thiết bị di động
  • Hệ điều hành
    • Máy tính—Mac, Windows, ChromeOS, Linux OS
    • Thiết bị di động—Android, iOS (bao gồm cả iPadOS)
  • Quyền truy cập
    • Trình duyệt web cho máy tính và Drive cho máy tính
    • Trình duyệt web và các ứng dụng tích hợp của bên thứ nhất trên thiết bị di động
  • Phần mềm—Không yêu cầu tác nhân (ngoại trừ Safari có bật tính năng Chuyển tiếp bảo mật của Apple). Nếu tính năng Chuyển tiếp bảo mật của Apple được định cấu hình trong iCloud, thì địa chỉ IP của thiết bị sẽ bị ẩn. Google Workspace nhận được một địa chỉ IP ẩn danh. Trong trường hợp này, nếu có một cấp truy cập theo bối cảnh được chỉ định là mạng con IP, thì quyền truy cập sẽ bị từ chối đối với Safari. Khắc phục vấn đề này bằng cách tắt tính năng Chuyển tiếp bảo mật của Apple hoặc bằng cách xoá cấp truy cập có chứa mạng con IP.

Hỗ trợ nền tảng cho chính sách thiết bị

  • Loại thiết bị—Máy tính, máy tính xách tay hoặc thiết bị di động
  • Hệ điều hành
    • (Máy tính) Mac, Windows, ChromeOS, Linux OS
    • (Thiết bị di động) Android, iOS (bao gồm cả iPadOS). Xin lưu ý rằng đối với Android phiên bản trước 6.0, bạn phải sử dụng giải pháp quản lý thiết bị đầu cuối của Google ở Chế độ cơ bản để Xác minh điểm cuối.
  • Do công ty sở hữu–Không được hỗ trợ cho các thiết bị chạy Android 12 trở lên và có hồ sơ công việc. Các thiết bị này luôn được báo cáo là do người dùng sở hữu, ngay cả khi chúng nằm trong kho thiết bị do công ty sở hữu. Để biết thêm thông tin, hãy chuyển đến phần Xem thiết bị di động, Tìm hiểu về thông tin chi tiết về thiết bị và trong bảng Thông tin thiết bị, hãy di chuyển xuống hàng Quyền sở hữu.
  • Quyền truy cập
    • Trình duyệt Chrome cho máy tính và Drive dành cho máy tính
    • Trình duyệt Chrome cho các ứng dụng tích hợp của bên thứ nhất trên thiết bị di động
  • Phần mềm
    • (Máy tính) Trình duyệt Chrome, tiện ích Xác minh điểm cuối của Chrome
    • (Thiết bị di động) Quản lý thiết bị di động bằng giải pháp quản lý thiết bị đầu cuối của Google (cơ bản hoặc nâng cao).
    • (Đối với người dùng trên Windows) Để cải thiện tính bảo mật của dữ liệu Google Chrome, hãy đảm bảo rằng Dịch vụ nâng cao của Google Chrome vẫn bật cho tính năng Mã hoá ràng buộc ứng dụng.

Yêu cầu đối với quản trị viên

Những quản trị viên này có thể thiết lập các chính sách về quyền truy cập dựa trên bối cảnh:

  • Quản trị viên cấp cao
  • Quản trị viên có từng đặc quyền sau:
    • Bảo mật dữ liệu > Quản lý cấp truy cập
    • Bảo mật dữ liệu > Quản lý quy tắc
    • Đặc quyền của API quản trị > Nhóm > Đọc
    • Đặc quyền của API quản trị > Người dùng > Đọc


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.