התכונה הזו נתמכת במהדורות האלה: Frontline Standard ו-Frontline Plus, Enterprise Standard ו-Enterprise Plus, Education Standard ו-Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. השוואה בין מהדורות
באמצעות בקרת גישה מבוססת-הקשר אפשר ליצור מדיניות אבטחה מפורטת של בקרת גישה לאפליקציות על סמך מאפיינים כמו זהות המשתמש, המיקום, סטטוס האבטחה של המכשיר וכתובת ה-IP. כללי המדיניות חלים על משתמשים שניגשים לאפליקציה במכשירים אישיים ובמכשירים מנוהלים. אתם יכולים לשלוט בגישת המשתמשים על סמך ההקשר, למשל אם מכשיר תואם למדיניות ה-IT שלכם.
תרחישים לדוגמה לשימוש בבקרת גישה מבוססת-הקשר
אתם יכולים להשתמש בבקרת גישה מבוססת-הקשר כשאתם רוצים:
- אפשר לגשת לאפליקציות רק ממכשירים שהונפקו על ידי החברה
- אפשר לגשת ל-Drive רק אם מכשיר האחסון של המשתמש מוצפן
- הגבלת הגישה לאפליקציות מחוץ לרשת הארגונית
אפשר גם לשלב כמה תרחישי שימוש במדיניות אחת. לדוגמה, אפשר ליצור רמת גישה שדורשת גישה לאפליקציות ממכשירים שנמצאים בבעלות החברה, מוצפנים ועומדים בדרישות של גרסה מינימלית של מערכת ההפעלה.
הערה: מדיניות של בקרת גישה מבוססת-הקשר יכולה לשלוט בגישה לאפליקציות רק מחשבונות של משתמשי קצה. הם לא מגבילים את הגישה ל-Google APIs מחשבונות שירות.
תמיכה במהדורות, באפליקציות, בפלטפורמות ובסוגי אדמינים
מידע על מהדורות
אפשר להחיל מדיניות של בקרת גישה מבוססת-הקשר רק על משתמשים שיש להם רישיון לאחת מהמהדורות שמפורטות בראש המאמר הזה.
משתמשים עם מהדורות אחרות יכולים לגשת לאפליקציות כרגיל – גם אם אתם מחילים מדיניות של בקרת גישה מבוססת-הקשר על כל המשתמשים באותה יחידה ארגונית או קבוצה. משתמשים שאין להם אחת מהמהדורות הנתמכות לא כפופים למדיניות של בקרת גישה מבוססת הקשר שנאכפת ביחידה הארגונית או בקבוצה שלהם.
אפליקציות
אפשר להחיל מדיניות של בקרת גישה מבוססת-הקשר על אפליקציות אינטרנט במחשב, על אפליקציות לנייד ועל אפליקציות מובנות במחשב. הגישה לאפליקציות נבדקת באופן רציף אחרי שהיא ניתנת. היוצא מן הכלל הוא אפליקציות SAML, שההערכה שלהן מתבצעת בזמן הכניסה.
אפליקציות של Google Workspace (שירותים מרכזיים)
באפליקציות שהן שירותי ליבה, הערכת המדיניות מתבצעת באופן רציף. לדוגמה, אם משתמש נכנס לשירות ליבה במשרד והולך לבית קפה, מדיניות בקרת הגישה מבוססת-הקשר עבור השירות הזה נבדקת מחדש כשהמשתמש משנה את המיקום.
אפשר להגדיר כללי מדיניות לאפליקציות גם לאפליקציות למחשב וגם לאפליקציות לנייד. כשמגדירים מדיניות למכשירים ניידים, היא חלה באופן אוטומטי על פלטפורמות Android ו-iOS.
בטבלה הזו מפורטות האפליקציות הנתמכות לאפליקציות אינטרנט במחשב, לאפליקציות לנייד ולאפליקציות מובנות במחשב.
|
שירותי ליבה |
אפליקציות אינטרנט (במחשב או בנייד) |
אפליקציות מובנות בנייד* |
אפליקציות מובנות במחשב |
|
יומן Google |
✔ |
✔ |
|
|
Google Cloud Search |
✔ |
✔ |
|
|
Google Drive ו-Google Docs (כולל Sheets, Slides ו-Forms) |
✔ |
✔ |
✔ (Google Drive לשולחן העבודה) |
| Gemini | ✔ | ✔ | |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
Groups for Business |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Google Keep |
✔ |
✔ |
|
|
Google Sites |
✔ |
||
|
Google Tasks |
✔ |
✔ |
|
|
מסוף Google Admin |
✔ | ✔ | |
| NotebookLM | ✔ | ✔ | |
| Workspace Studio | ✔ |
*הערות לגבי תמיכה באפליקציות לנייד:
- אי אפשר לאכוף כללי מדיניות של בקרת גישה מבוססת-הקשר בנייד באפליקציות מובנות של צד שלישי (לדוגמה, Salesforce).
- אפשר לאכוף מדיניות של בקרת גישה מבוססת-הקשר באפליקציות SAML שאליהן ניגשים באמצעות דפדפן Chrome.
- מכשירים ניידים מנוהלים באמצעות ניהול נקודות קצה בסיסי או מתקדם ב-Google. בניהול בסיסי, יכולים לחלוף כמה ימים עד שגרסת מערכת ההפעלה וסטטוס ההצפנה של המכשיר יסתנכרנו. במהלך התקופה הזו, הגישה לשירותי Google Workspace מהמכשירים האלה עשויה להיות מושפעת אם אתם משתמשים בבקרת גישה מבוססת-הקשר.
- אפליקציית NotebookLM לנייד פועלת בהתאם למדיניות בקרת הגישה מבוססת-הקשר של הארגון שלכם ל-Google Drive. אם לא מתקיימים הכללים של המדיניות, הגישה לתוכן שמקושר מ-Drive תיחסם.
- באפליקציית Gemini לנייד, הטיפול בתוכן חסום שונה. כששאילתה מפירה מדיניות, האפליקציה מציגה הודעת תשובה שבה מצוין שהגישה נדחתה, במקום חלון קופץ. התכונה 'מצב אזהרה', שמאפשרת למשתמשים להמשיך למרות ההפרה של המדיניות, לא זמינה באפליקציית Gemini לנייד.
שירותי Google נוספים
בשירותי Google נוספים, הערכת המדיניות מתבצעת באופן רציף. השירותים האלה הם אפליקציות אינטרנט בלבד.
- Looker Studio – הופך נתונים לתרשימים קלים לקריאה ולדוחות אינטראקטיביים.
- Google Play Console – מציעים את האפליקציות שאתם מפתחים ל-Android לבסיס משתמשי Android שמתפתח במהירות.
אפליקציות SAML
באפליקציות SAML, הערכת המדיניות מתבצעת בכניסה לאפליקציה.
- השאלה מתייחסת גם לאפליקציות SAML של צד שלישי שמשתמשות ב-Google כספק הזהויות. אפשר גם להשתמש בספק זהויות של צד שלישי (IdP) (ספק הזהויות של הצד השלישי מבצע איחוד עם Google Cloud Identity, ו-Google Cloud Identity מבצע איחוד עם אפליקציות SAML). פרטים נוספים זמינים במאמר מידע על SSO.
- כללי המדיניות של בקרת הגישה מבוססת-הקשר נאכפים כשמשתמש נכנס לאפליקציית SAML.
דוגמה: אם משתמש נכנס לאפליקציית SAML במשרד והולך לבית קפה, מדיניות של בקרת גישה מבוססת הקשר לאפליקציית SAML הזו לא תיבדק מחדש כשהמשתמש ישנה את המיקום שלו. באפליקציות SAML, המדיניות נבדקת מחדש רק כשהסשן של המשתמש מסתיים והוא נכנס שוב לחשבון.
-
אם מדיניות מכשיר מוחלת ברמת גישה, אפשר לאשר משתמש רק באמצעות אפליקציית SAML של צד שלישי דרך דפדפן Chrome שמופעל בו בדיקה של נקודת קצה (endpoint).
-
אם מוחלת מדיניות מכשיר, הגישה לדפדפן אינטרנט בנייד (כולל אפליקציות לנייד שמשתמשות בדפדפן אינטרנט לכניסה לחשבון) נחסמת.
דרישות הפלטפורמה
אפשר ליצור סוגים שונים של מדיניות בקרת גישה מבוססת-הקשר לגישה לאפליקציות: IP, מכשיר, מקור גיאוגרפי ומאפיינים מותאמים אישית של רמת הגישה. הנחיות ודוגמאות למאפיינים ולביטויים נתמכים ליצירת רמות גישה מותאמות אישית מופיעות במאמר בנושא מפרט של רמות גישה מותאמות אישית.
בנוסף, אפשר לקרוא פרטים על שותפים נתמכים של BeyondCorp Alliance במאמר בנושא הגדרת שילובים של שותפים שהם צד שלישי.
התמיכה בפלטפורמות, כמו סוג המכשיר, מערכת ההפעלה והגישה לדפדפן, משתנה בהתאם לסוג המדיניות.
סוגי המדיניות כוללים:
- IP – מציין טווח כתובות IP שמשתמש יכול להתחבר דרכן לאפליקציה
- מדיניות המכשיר ומערכת ההפעלה של המכשיר – מציינים מאפיינים של המכשיר שממנו המשתמש ניגש לאפליקציה, למשל אם המכשיר מוצפן או אם נדרשת סיסמה
- מקור גיאוגרפי – מציין את המדינות שבהן משתמש יכול לגשת לאפליקציות
תמיכה בפלטפורמות של כתובות IP ומיקום גיאוגרפי
הערה: אם ספק אינטרנט (ISP) משנה כתובות IP בין אזורים גיאוגרפיים שונים, יש עיכוב עד שהשינויים האלה נכנסים לתוקף. במהלך העיכוב הזה, יכול להיות שבקרת הגישה מבוססת-הקשר תחסום משתמשים אם הגישה שלהם נאכפת על ידי מאפייני מיקום גיאוגרפי.
- סוג המכשיר – מחשב, מחשב נייד או מכשיר נייד
- מערכת הפעלה
- מחשב – Mac, Windows, ChromeOS, Linux OS
- נייד – Android, iOS (כולל iPadOS)
- גישה
- דפדפן אינטרנט למחשב ו-Drive לשולחן העבודה
- דפדפן אינטרנט ואפליקציות מובנות מהדומיין הנוכחי בנייד
- תוכנה – לא נדרש סוכן (למעט Safari עם Apple Private Relay מופעל). אם שרת הממסר הפרטי של אפל מוגדר ב-iCloud, כתובת ה-IP של המכשיר מוסתרת. כתובת ה-IP האנונימית מועברת אל Google Workspace. במקרה כזה, אם מוקצית רמת גישה מבוססת-הקשר כרשת משנה של כתובות IP, הגישה ל-Safari נדחית. כדי לפתור את הבעיה, צריך להשבית את התכונה 'העברת נתונים פרטית' של אפל או להסיר את רמת הגישה שמכילה רשתות משנה של כתובות IP.
תמיכה בפלטפורמת מדיניות המכשירים
- סוג המכשיר – מחשב, מחשב נייד או מכשיר נייד
- מערכת הפעלה
- (Desktop) Mac, Windows, ChromeOS, Linux OS
- (נייד) Android, iOS (כולל iPadOS). שימו לב שבגרסאות Android שקדמו ל-6.0, צריך להשתמש בניהול נקודות קצה ב-Google במצב בסיסי כדי לאמת את נקודות הקצה.
- בבעלות החברה – לא נתמך במכשירים עם Android מגרסה 12 ואילך ועם פרופיל עבודה. המכשירים האלה תמיד מדווחים כמכשירים בבעלות המשתמש, גם אם הם נמצאים במלאי בבעלות החברה. מידע נוסף מופיע במאמר בנושא צפייה במכשירים ניידים. כדי לראות את פרטי המכשיר, גוללים למטה בטבלה 'פרטי המכשיר' לשורה 'בעלות'.
- גישה
- דפדפן Chrome למחשב ו-Drive לשולחן העבודה
- דפדפן Chrome לאפליקציות מובנות של צד ראשון בנייד
- תוכנה
- (מחשב) דפדפן Chrome, התוסף Endpoint Verification ל-Chrome
- (נייד) ניהול מכשירים ניידים באמצעות ניהול נקודות קצה ב-Google (בסיסי או מתקדם).
- (למשתמשים ב-Windows) כדי לשפר את האבטחה של נתוני Chrome, חשוב לוודא ששירות ההרשאות של Google Chrome Elevation Service מופעל עבור הצפנה שקשורה לאפליקציה.
דרישות לאדמינים
האדמינים האלה יכולים להגדיר מדיניות של בקרת גישה מבוססת-הקשר:
- סופר-אדמין
- אדמין עם כל אחת מההרשאות האלה:
- אבטחת נתונים> ניהול רמת הגישה
- אבטחת נתונים>ניהול כללים
- הרשאות Admin API>קבוצות>קריאה
- הרשאות ב-Admin API>משתמשים>קריאה
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.