התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus, Enterprise Standard ו-Enterprise Plus, Education Standard ו-Education Plus, Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות
באמצעות בקרת גישה מבוססת-הקשר אפשר ליצור מדיניות מפורטת של בקרת גישה לאפליקציות על סמך מאפיינים כמו זהות המשתמש, המיקום, סטטוס האבטחה של המכשיר וכתובת ה-IP. כללי המדיניות חלים על משתמשים שניגשים לאפליקציה במכשירים אישיים ובמכשירים מנוהלים. אתם יכולים לשלוט בגישת המשתמשים על סמך ההקשר, למשל אם מכשיר מסוים עומד בדרישות של מדיניות ה-IT שלכם.
תרחישים לדוגמה לשימוש בבקרת גישה מבוססת-הקשר
אתם יכולים להשתמש בבקרת גישה מבוססת-הקשר כשאתם רוצים:
- אפשר לגשת לאפליקציות רק ממכשירים שהונפקו על ידי החברה
- אפשר לגשת ל-Drive רק אם מכשיר האחסון של המשתמש מוצפן
- הגבלת הגישה לאפליקציות מחוץ לרשת הארגונית
אפשר גם לשלב כמה תרחישי שימוש במדיניות אחת. לדוגמה, אפשר ליצור רמת גישה שדורשת גישה לאפליקציות ממכשירים שנמצאים בבעלות החברה, מוצפנים ועומדים בדרישות של גרסה מינימלית של מערכת ההפעלה.
הערה: מדיניות של גישה מודעת-הקשר יכולה לשלוט בגישה לאפליקציות רק מחשבונות של משתמשי קצה. היא לא מגבילה את הגישה לממשקי Google API מחשבונות שירות.
תמיכה במהדורות, באפליקציות, בפלטפורמות ובסוגי אדמינים
מידע על מהדורות
אפשר להחיל מדיניות של בקרת גישה מבוססת-הקשר רק על משתמשים שיש להם רישיון לאחת מהמהדורות שמפורטות בראש המאמר הזה.
משתמשים עם מהדורות אחרות יכולים לגשת לאפליקציות כרגיל – גם אם אתם מחילים מדיניות של בקרת גישה מבוססת-הקשר על כל המשתמשים באותה יחידה ארגונית או קבוצה. משתמשים שאין להם אחת מהמהדורות הנתמכות לא כפופים למדיניות של בקרת גישה מבוססת הקשר שנאכפת ביחידה הארגונית או בקבוצה שלהם.
אפליקציות
אפשר להחיל מדיניות של בקרת גישה מבוססת-הקשר על אפליקציות אינטרנט במחשב, על אפליקציות לנייד ועל אפליקציות מובנות במחשב. הגישה לאפליקציות נבדקת באופן רציף אחרי שהיא ניתנת. היוצא מן הכלל הוא אפליקציות SAML, שההערכה שלהן מתבצעת בכניסה.
אפליקציות של Google Workspace (שירותים מרכזיים)
באפליקציות שהן שירותי ליבה, הערכת המדיניות מתבצעת באופן רציף. לדוגמה, אם משתמש נכנס לשירות ליבה במשרד והולך לבית קפה, מדיניות בקרת הגישה מבוססת-הקשר עבור השירות הזה נבדקת מחדש כשהמשתמש משנה את המיקום.
אפשר להגדיר מדיניות לגבי אפליקציות למחשב ולאפליקציות לנייד. כשמגדירים מדיניות למכשירים ניידים, היא חלה אוטומטית על פלטפורמות Android ו-iOS.
בטבלה הזו מפורטות האפליקציות הנתמכות לאפליקציות אינטרנט במחשב, לאפליקציות לנייד ולאפליקציות מובנות במחשב.
|
שירותי ליבה |
אפליקציות אינטרנט (למחשב או לנייד) |
אפליקציות מובנות בנייד* |
אפליקציות מובנות במחשב |
|
יומן Google |
✔ |
✔ |
|
|
Google Cloud Search |
✔ |
✔ |
|
|
Google Drive ו-Google Docs (כולל Sheets, Slides ו-Forms) |
✔ |
✔ |
✔ (Google Drive לשולחן העבודה) |
| Gemini | ✔ | ✔ | |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
Groups for Business |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Google Keep |
✔ |
✔ |
|
|
Google Sites |
✔ |
||
|
Google Tasks |
✔ |
✔ |
|
|
מסוף Google Admin |
✔ | ✔ | |
| NotebookLM | ✔ | ✔ | |
| Workspace Studio | ✔ |
*הערות לגבי תמיכה באפליקציות לנייד:
- אי אפשר לאכוף כללי מדיניות של בקרת גישה מבוססת-הקשר בנייד באפליקציות מובנות של צד שלישי (לדוגמה, Salesforce).
- אפשר לאכוף מדיניות של בקרת גישה מבוססת-הקשר באפליקציות SAML שאליהן ניגשים באמצעות דפדפן Chrome.
- מכשירים ניידים מנוהלים באמצעות ניהול נקודות קצה בסיסי או מתקדם ב-Google. בניהול בסיסי, יכולים לחלוף כמה ימים עד שגרסת מערכת ההפעלה וסטטוס ההצפנה של המכשיר יסתנכרנו. במהלך התקופה הזו, אם אתם משתמשים בבקרת גישה מבוססת-הקשר, יכול להיות שתהיה השפעה על הגישה לשירותי Google Workspace מהמכשירים האלה.
- אפליקציית NotebookLM לנייד פועלת בהתאם למדיניות הגישה מודעת-ההקשר של הארגון שלכם ל-Google Drive. אם לא מתקיימים הכללים של המדיניות, הגישה לתוכן שמקושר מ-Drive תיחסם.
- הטיפול בתוכן חסום באפליקציית Gemini לנייד שונה. כששאילתה מפרה מדיניות, באפליקציה מוצגת הודעת תשובה שבה מצוין שהגישה נדחתה, ולא חלון קופץ. התכונה 'מצב אזהרה', שמאפשרת למשתמשים להמשיך למרות הפרת המדיניות, לא זמינה באפליקציית Gemini לנייד.
שירותי Google נוספים
בשירותים נוספים של Google, הערכת המדיניות מתבצעת באופן רציף. השירותים האלה הם אפליקציות אינטרנט בלבד.
- Data Studio – ממיר נתונים לתרשימים ולדוחות אינטראקטיביים שפשוט וקל לקרוא.
- Google Play Console – מציעים את האפליקציות שאתם מפתחים ל-Android לבסיס משתמשי Android שמתפתח במהירות.
אפליקציות SAML
באפליקציות SAML, הערכת המדיניות מתבצעת בכניסה לאפליקציה.
- זה כולל אפליקציות SAML של צד שלישי שמשתמשות ב-Google כספק הזהויות. אפשר גם להשתמש בספק זהויות (IdP) של צד שלישי (ספק הזהויות של צד שלישי מאוחד עם Google Cloud Identity, ו-Google Cloud Identity מאוחד עם אפליקציות SAML). לפרטים נוספים, אפשר לעבור אל מידע על כניסה יחידה (SSO).
- כללי מדיניות של בקרת גישה מבוססת-הקשר נאכפים כשמשתמש נכנס לאפליקציית SAML.
דוגמה: אם משתמש נכנס לאפליקציית SAML במשרד והולך לבית קפה, מדיניות הגישה בהתאם להקשר עבור אפליקציית SAML הזו לא נבדקת מחדש כשהמשתמש משנה את המיקום. באפליקציות SAML, המדיניות נבדקת מחדש רק כשסשן המשתמש מסתיים והוא נכנס שוב.
-
אם מדיניות מכשיר מוחלת ברמת גישה, אפשר לאשר משתמש רק באמצעות אפליקציית SAML של צד שלישי דרך דפדפן Chrome שמופעל בו בדיקה של נקודת קצה.
-
אם מוחלת מדיניות מכשיר, הגישה לדפדפן אינטרנט בנייד (כולל אפליקציות לנייד שמשתמשות בדפדפן אינטרנט לכניסה לחשבון) נחסמת.
דרישות הפלטפורמה
אתם יכולים ליצור סוגים שונים של מדיניות בקרת גישה מבוססת-הקשר לגישה לאפליקציות: IP, מכשיר, מקור גיאוגרפי ומאפיינים של רמת גישה בהתאמה אישית. כדי לקבל הנחיות ודוגמאות למאפיינים ולביטויים נתמכים ליצירת רמות גישה בהתאמה אישית, אפשר לעבור אל מפרט רמת גישה בהתאמה אישית.
בנוסף, פרטים על שותפים נתמכים של BeyondCorp Alliance מופיעים במאמר בנושא הגדרת שילובים של שותפים שהם צד שלישי.
התמיכה בפלטפורמות, כמו סוג המכשיר, מערכת ההפעלה והגישה לדפדפן, משתנה בהתאם לסוג המדיניות.
סוגי המדיניות כוללים:
- IP – מציין טווח כתובות IP שממנו משתמש יכול להתחבר לאפליקציה
- מדיניות המכשיר ומערכת ההפעלה של המכשיר – מציינים מאפיינים של המכשיר שממנו המשתמש ניגש לאפליקציה, למשל אם המכשיר מוצפן או אם נדרשת סיסמה
- מקור גיאוגרפי – מציין את המדינות שבהן משתמש יכול לגשת לאפליקציות
תמיכה בפלטפורמות של כתובות IP ומיקום גיאוגרפי
שימו לב: אם ספק אינטרנט משנה כתובות IP בין אזורים גיאוגרפיים שונים, יש עיכוב עד שהשינויים האלה נכנסים לתוקף. במהלך העיכוב הזה, יכול להיות שהגישה מבוססת-ההקשר תחסום משתמשים אם הגישה שלהם נאכפת על ידי מאפייני מיקום גיאוגרפי.
- סוג המכשיר – מחשב, מחשב נייד או מכשיר נייד
- מערכת הפעלה
- מחשב – Mac, Windows, ChromeOS, Linux OS
- נייד – Android, iOS (כולל iPadOS)
- גישה
- דפדפן אינטרנט למחשב ו-Drive לשולחן העבודה
- דפדפן אינטרנט ואפליקציות מובנות מהדומיין הנוכחי בנייד
- תוכנה – לא נדרש סוכן (למעט Safari עם Apple Private Relay מופעל). אם שרת הממסר הפרטי של אפל מוגדר ב-iCloud, כתובת ה-IP של המכשיר מוסתרת. כתובת ה-IP האנונימית מועברת אל Google Workspace. במקרה כזה, אם מוקצית רמת גישה מבוססת-הקשר כרשת משנה של כתובות IP, הגישה ל-Safari נדחית. כדי לפתור את הבעיה, צריך להשבית את התכונה 'העברת נתונים פרטית' של אפל או להסיר את רמת הגישה שמכילה רשתות משנה של כתובות IP.
תמיכה בפלטפורמת מדיניות המכשירים
- סוג המכשיר – מחשב, מחשב נייד או מכשיר נייד
- מערכת הפעלה
- (Desktop) Mac, Windows, ChromeOS, Linux OS
- (נייד) Android, iOS (כולל iPadOS). שימו לב שב-Android מגרסה 5.0 ומטה, צריך להשתמש בניהול נקודות קצה ב-Google במצב בסיסי כדי לאמת את נקודות הקצה.
- בבעלות החברה – לא נתמך במכשירים עם Android מגרסה 12 ואילך ועם פרופיל עבודה. המכשירים האלה תמיד מדווחים כמכשירים בבעלות המשתמש, גם אם הם נמצאים במלאי בבעלות החברה. מידע נוסף מופיע במאמר בנושא צפייה במכשירים ניידים. כדי לראות את פרטי המכשיר, גוללים למטה לשורה 'בעלות' בטבלה 'פרטי המכשיר'.
- גישה
- דפדפן Chrome למחשב ו-Drive לשולחן העבודה
- דפדפן Chrome לאפליקציות מובנות של צד ראשון בנייד
- תוכנה
- (מחשב) דפדפן Chrome, התוסף Endpoint Verification ל-Chrome
- (נייד) ניהול מכשירים ניידים באמצעות ניהול נקודות קצה ב-Google (בסיסי או מתקדם).
- (למשתמשים ב-Windows) כדי לשפר את האבטחה של נתוני Chrome, חשוב לוודא ששירות ההרשאות של Google Chrome נשאר מופעל עבור הצפנה שקשורה לאפליקציה.
דרישות לאדמינים
האדמינים האלה יכולים להגדיר מדיניות של בקרת גישה מבוססת-הקשר:
- סופר-אדמין
- אדמין עם כל אחת מההרשאות הבאות:
- אבטחת נתונים> ניהול רמות גישה
- אבטחת נתונים>ניהול כללים
- הרשאות Admin API>קבוצות>קריאה
- הרשאות ב-Admin API>משתמשים>קריאה
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.