Ihr Unternehmen mit dem kontextsensitiven Zugriff schützen

Die Richtlinien für den kontextsensitiven Zugriff lassen sich nur auf Nutzer mit einer Lizenz für eine der oben im Artikel genannten Versionen anwenden.

Nutzer mit anderen Versionen können wie gewohnt auf Apps zugreifen, selbst wenn Sie eine Richtlinie für den kontextsensitiven Zugriff für alle Nutzer in einer Organisationseinheit oder Gruppe festlegen. Diese Richtlinien werden also auf Nutzer mit nicht unterstützten Versionen nicht angewandt.

Die Richtlinien für den kontextsensitiven Zugriff lassen sich auf Web-Apps und systemeigene Apps auf dem Computer sowie auf mobile Apps anwenden. Der Zugriff auf Apps wird kontinuierlich ausgewertet, nachdem er gewährt wurde. Ausgenommen sind SAML-Apps, die bei der Anmeldung ausgewertet werden.

Google Workspace-Apps (Hauptdienste)

Bei Apps, die zu den Hauptdiensten zählen, werden Richtlinien kontinuierlich ausgewertet. Beispiel: Ein Nutzer meldet sich an seinem Arbeitsplatz in einem Hauptdienst an. Anschließend geht er in ein Café. In diesem Fall wird eine Richtlinie für den kontextsensitiven Zugriff für diesen Dienst noch einmal geprüft, wenn der Nutzer seinen Standort wechselt.

App-Richtlinien können sowohl für Computer- als auch für mobile Apps konfiguriert werden. Wenn eine Richtlinie für Mobilgeräte konfiguriert wird, gilt sie automatisch für Android- und iOS-Plattformen.

Diese Tabelle enthält alle Web-Apps und systemeigenen Apps auf dem Computer sowie alle mobilen Apps, die unterstützt werden.

* Supporthinweise für mobile Apps:

• Richtlinien für den kontextsensitiven Zugriff bei Mobilgeräten können nicht auf systemeigenen Apps von Drittanbietern (z. B. Salesforce) erzwungen werden.
• Richtlinien für den kontextsensitiven Zugriff lassen sich auf SAML-Apps erzwingen, auf die über den Chrome-Browser zugegriffen wird.
• Mobilgeräte werden mithilfe der einfachen oder erweiterten Google-Endpunktverwaltung verwaltet. Bei der einfachen Verwaltung kann es einige Tage dauern, bis die Betriebssystemversion und der Verschlüsselungsstatus eines Geräts synchronisiert werden. Während dieser Zeit kann der Zugriff auf Google Workspace-Dienste über diese Geräte beeinträchtigt sein, wenn Sie den kontextsensitiven Zugriff verwenden.
• Die mobile NotebookLM App entspricht den Richtlinien für kontextsensitiven Zugriff Ihrer Organisation für Google Drive. Wenn die Richtlinienregeln nicht eingehalten werden, wird der Zugriff auf verknüpfte Inhalte aus Drive blockiert.
• In der mobilen Gemini App wird mit blockierten Inhalten anders umgegangen. Wenn eine Anfrage gegen eine Richtlinie verstößt, wird in der App eine Antwortmeldung angezeigt, in der darauf hingewiesen wird, dass der Zugriff verweigert wurde. Es wird kein Pop-up-Fenster angezeigt. Die Funktion „Warnmodus“, mit der Nutzer trotz Richtlinienverstoß fortfahren können, ist in der mobilen Gemini App nicht verfügbar.

Zusätzliche Google-Dienste

Bei zusätzlichen Google-Diensten werden die Richtlinien kontinuierlich ausgewertet. Diese Dienste sind nur Webanwendungen.

• Looker Studio: Wandelt Daten in übersichtliche Diagramme und interaktive Berichte um.
• Google Play Console: Ermöglicht die Entwicklung von Android-Apps für die stetig steigende Zahl von Android-Nutzern.

SAML-Apps

Bei SAML-Apps werden Richtlinien bei der Anmeldung in der App ausgewertet.

• Dies gilt auch für SAML-Apps von Drittanbietern, die Google als Identitätsanbieter nutzen. Auch ein externer Identitätsanbieter (IdP) kann verwendet werden. Dabei greift der externe Identitätsanbieter auf Google Cloud Identity und Google Cloud Identity auf SAML-Apps zurück. Weitere Informationen finden Sie im Hilfeartikel SSO.
• Richtlinien für den kontextsensitiven Zugriff werden erzwungen, wenn sich ein Nutzer in einer SAML-App anmeldet.

  Beispiel: Ein Nutzer meldet sich an seinem Arbeitsplatz in einer SAML-App an. Anschließend geht er in ein Café. In diesem Fall wird eine Richtlinie für den kontextsensitiven Zugriff für diese SAML-App nicht noch einmal geprüft, wenn der Nutzer seinen Standort wechselt. Bei SAML-Apps wird die Richtlinie nur dann nochmals überprüft, wenn die Nutzersitzung endet und ein Nutzer sich wieder anmeldet.

• Wenn eine Geräterichtlinie auf eine Zugriffsebene angewendet wird, kann ein Nutzer nur von einer SAML-Drittanbieter-App über den Chrome-Browser mit aktivierter Endpunktprüfung genehmigt werden.

•  Wenn Geräterichtlinien angewendet werden, wird der Webbrowserzugriff auf Mobilgeräten blockiert. Das gilt auch für mobile Apps, bei denen die Anmeldung über einen Webbrowser läuft.

Sie können die Richtlinien für den kontextsensitiven App-Zugriff auf verschiedene Bereiche ausrichten: IP-Adresse, Gerät, geografische Herkunft sowie benutzerdefinierte Zugriffsebenenattribute. Eine Anleitung sowie Beispiele für unterstützte Attribute und Ausdrücke zur Erstellung benutzerdefinierter Zugriffsebenen finden Sie auf der Seite Benutzerdefinierte Spezifikation der Zugriffsebene.

Weitere Informationen zu unterstützten BeyondCorp Alliance-Partnern erhalten Sie unter Integrationen von Drittanbietern einrichten.

Die Anforderungen im Rahmen der Plattformunterstützung, z. B. Gerätetyp, Betriebssystem und Browserzugriff, variieren je nach Richtlinientyp.

Es gibt Richtlinien für folgende Bereiche:

• IP: Der IP-Adressbereich, über den ein Nutzer eine Verbindung zu einer App herstellen darf.
• Geräterichtlinien und Betriebssystem des Geräts: Die Eigenschaften der Geräte, über die Nutzer auf eine App zugreifen dürfen. Müssen die Geräte zum Beispiel verschlüsselt sein oder ist ein Passwort erforderlich?
• Geografische Herkunft: Die Länder, aus denen Nutzer auf Apps zugreifen dürfen.

Plattformunterstützung für IP-Adresse und geografische Herkunft

Wenn ein Internetanbieter IP-Adressen zwischen verschiedenen geografischen Regionen ändert, kommt es zu einer Verzögerung, bis diese Änderungen wirksam werden. Während dieser Zeit kann es passieren, dass Nutzer durch den kontextsensitiven Zugriff blockiert werden, wenn ihr Zugriff durch Attribute zur Standortbestimmung erzwungen wird.

• Gerätetyp: Computer, Laptop oder Mobilgerät
• Betriebssystem
  • Computer: Mac, Windows, ChromeOS, Linux OS
  • Mobilgeräte: Android, iOS (einschließlich iPadOS)
• Zugriff
  • Webbrowser für den Computer und Drive for Desktop
  • Webbrowser und integrierte eigene Google-Apps auf Mobilgeräten
• Software: Kein Agent erforderlich (Ausnahme: Safari mit aktiviertem Apple Private Relay). Wenn Apple Private Relay in iCloud konfiguriert ist, wird die IP-Adresse des Geräts ausgeblendet. Google Workspace erhält eine anonyme IP-Adresse. Wenn dem IP-Subnetz eine kontextsensitive Zugriffsebene zugewiesen ist, wird Safari in diesem Fall der Zugriff verweigert. Deaktivieren Sie entweder Apple Private Relay oder entfernen Sie die Zugriffsebene, die IP-Subnetze enthält.

Plattformunterstützung für Geräterichtlinien

• Gerätetyp: Computer, Laptop oder Mobilgerät
• Betriebssystem
  • Computer: Mac, Windows, ChromeOS, Linux OS
  • Mobilgeräte: Android, iOS (einschließlich iPadOS). In älteren Versionen als Android 6.0 müssen Sie für die Endpunktprüfung die Google-Endpunktverwaltung im einfachen Modus verwenden.
• Gehört dem Unternehmen: Diese Option wird auf Geräten mit Android 12 oder höher und einem Arbeitsprofil nicht unterstützt. Diese Geräte werden immer als nutzereigene Geräte behandelt, auch wenn sie sich im Bestand unternehmenseigener Geräte befinden. Weitere Informationen finden Sie unter Mobilgeräte aufrufen, Informationen zu Gerätedetails und in der Tabelle „Geräteinformationen“ unten in der Zeile „Inhaber“.
• Zugriff
  • Chrome-Browser für den Computer und Drive for Desktop
  • Chrome-Browser für integrierte eigene Google-Apps auf Mobilgeräten
• Software
  • Computer: Chrome-Browser, Chrome-Erweiterung „Endpunktprüfung“
  • Mobilgeräte: Mobilgeräte mit der Google-Endpunktverwaltung (einfach oder erweitert) verwalten.
  • (Für Nutzer unter Windows) Um die Sicherheit von Chrome-Daten zu verbessern, muss der Google Chrome Elevation Service für die App-gebundene Verschlüsselung aktiviert bleiben.

Diese Administratoren können Richtlinien für den kontextsensitiven Zugriff festlegen:

• Super Admin
• Ein Administrator mit den folgenden Berechtigungen:
  • „Datensicherheit“ > „Zugriffsebenen verwalten“
  • „Datensicherheit“ > „Regelverwaltung“
  • Admin API-Berechtigungen> Gruppen> Lesezugriff
  • Admin API-Berechtigungen> Nutzer> Lesezugriff