Ochrona firmy za pomocą dostępu zależnego od kontekstu

Zasady dostępu zależnego od kontekstu możesz stosować tylko w przypadku użytkowników, którzy mają licencję na jedną z wersji wymienionych na początku tego artykułu.

Użytkownicy, którzy mają inną wersję, uzyskują dostęp do aplikacji w zwykły sposób – nawet jeśli zastosujesz zasady dostępu zależnego od kontekstu do wszystkich użytkowników w tej samej jednostce organizacyjnej lub grupie. Użytkownicy, którzy nie mają jednej z obsługiwanych wersji, nie podlegają zasadom dostępu zależnego od kontekstu, które są wymuszane w ich jednostkach organizacyjnych lub grupach.

Zasady dostępu zależnego od kontekstu możesz stosować w przypadku aplikacji internetowych i wbudowanych na komputer oraz aplikacji mobilnych. Dostęp dla aplikacji – gdy już zostanie przyznany – jest oceniany cały czas. Wyjątek stanowią aplikacje SAML, które są sprawdzane podczas logowania.

Aplikacje Google Workspace (usługi podstawowe)

W przypadku aplikacji będących usługami podstawowymi ocena zasad jest nieustanna. Jeśli na przykład użytkownik zaloguje się w usłudze podstawowej w biurze, a potem pójdzie do kawiarni, zasady dostępu zależnego od kontekstu zostaną ponownie sprawdzone, gdy użytkownik zmieni lokalizację.

Zasady dotyczące aplikacji można skonfigurować zarówno w przypadku aplikacji komputerowych, jak i aplikacji mobilnych. Gdy zasada jest skonfigurowana na urządzenia mobilne, jest automatycznie stosowana na platformach Androida i iOS.

Tabela poniżej zawiera wykaz obsługiwanych aplikacji internetowych i wbudowanych na komputer oraz aplikacji mobilnych.

* Uwagi dotyczące obsługi aplikacji mobilnych:

• Nie możesz wymuszać stosowania zasad dostępu zależnego od kontekstu w przypadku wbudowanych aplikacji innych firm (na przykład Salesforce).
• Możesz wymuszać stosowanie zasad dostępu zależnego od kontekstu w przypadku aplikacji SAML, do których dostęp uzyskiwany jest przez przeglądarkę Chrome.
• Urządzenia mobilne są zarządzane za pomocą podstawowych lub zaawansowanych funkcji zarządzania punktami końcowymi Google. W przypadku podstawowych funkcji zarządzania synchronizacja wersji systemu operacyjnego i stanu szyfrowania urządzenia może potrwać kilka dni. Jeśli używasz dostępu zależnego od kontekstu, w tym czasie dostęp do usług Google Workspace z tych urządzeń może być ograniczony.
• Aplikacja mobilna NotebookLM jest zgodna z zasadami dostępu zależnego od kontekstu Twojej organizacji dotyczącymi Dysku Google. Jeśli reguły zasad nie są spełnione, dostęp do połączonych treści z Dysku zostanie zablokowany.
• Aplikacja mobilna Gemini obsługuje zablokowane treści w inny sposób. Gdy zapytanie narusza zasady, aplikacja wyświetla odpowiedź z informacją o odmowie dostępu, a nie wyskakujące okienko. Funkcja trybu ostrzegania, która umożliwia użytkownikom kontynuowanie działania pomimo naruszenia zasad, nie jest dostępna w aplikacji mobilnej Gemini.

Usługi dodatkowe Google

W przypadku usług dodatkowych Google ocena zasad jest nieustanna. Te usługi to tylko aplikacje internetowe.

• Looker Studio – przekształca dane w czytelne wykresy i interaktywne raporty.
• Konsola Google Play – umożliwia oferowanie samodzielnie opracowanych aplikacji na Androida coraz liczniejszemu gronu użytkowników tego systemu.

Aplikacje SAML

W przypadku aplikacji SAML ocena zasad dokonywana jest podczas logowania.

• Dotyczy to aplikacji SAML innych firm, które używają Google jako dostawcy tożsamości. Możesz też korzystać z usług zewnętrznego dostawcy tożsamości (zewnętrzny dostawca tożsamości jest sfederowany z Google Cloud Identity, a Google Cloud Identity – z aplikacjami SAML). Więcej informacji znajdziesz w artykule Informacje o logowaniu jednokrotnym.
• Zasady dostępu zależnego od kontekstu są wymuszane podczas logowania się użytkownika w aplikacji SAML.

  Przykład: jeśli użytkownik zaloguje się w aplikacji SAML w biurze, a potem pójdzie do kawiarni, zasady dostępu zależnego od kontekstu dla tej aplikacji SAML nie zostaną ponownie sprawdzone, gdy użytkownik zmieni lokalizację. W przypadku aplikacji SAML zasady są ponownie sprawdzane dopiero po zakończeniu sesji użytkownika i próbie kolejnego zalogowania.

• Jeśli zasady dotyczące urządzeń są stosowane na poziomie dostępu, użytkownik może zostać zatwierdzony tylko przez aplikację SAML innej firmy w przeglądarce Chrome z włączoną weryfikacją punktów końcowych.

• Jeśli stosowane są zasady dotyczące urządzeń, dostęp przez przeglądarkę mobilną zostanie zablokowany (dotyczy to też aplikacji mobilnych używających przeglądarki do logowania).

Możesz tworzyć różne typy zasad dostępu zależnego od kontekstu. Mogą to być adresy IP, urządzenia, pochodzenie geograficzne oraz atrybuty niestandardowych poziomów dostępu. Wskazówki i przykłady obsługiwanych atrybutów i wyrażeń, których można użyć do tworzenia niestandardowych poziomów dostępu, znajdziesz w specyfikacji niestandardowych poziomów dostępu (w języku angielskim).

Szczegółowe informacje o obsługiwanych partnerach BeyondCorp Alliance znajdziesz w artykule Konfigurowanie integracji z usługami partnerów zewnętrznych.

Obsługiwane platformy, czyli typ urządzenia, system operacyjny czy przeglądarka, zależą od typu zasad.

Typy zasad:

• IP – określa zakres adresów IP, z których użytkownik może łączyć się z aplikacją.
• Zasady dotyczące urządzeń i System operacyjny urządzenia – elementy te pozwalają na określenie właściwości urządzenia, z którego użytkownik uzyskuje dostęp do aplikacji (na przykład czy urządzenie jest zaszyfrowane lub wymaga podania hasła).
• Pochodzenie geograficzne – określa kraje, z których użytkownik może uzyskiwać dostęp do aplikacji.

Obsługiwane platformy: adres IP i pochodzenie geograficzne

Pamiętaj, że jeśli dostawca usług internetowych zmieni adresy IP między regionami geograficznymi, zmiany te zostaną wprowadzone z opóźnieniem. W międzyczasie dostęp zależny od kontekstu może blokować użytkowników, jeśli dostęp jest przyznawany na podstawie atrybutów geolokalizacji.

• Typ urządzenia – komputer stacjonarny, laptop lub urządzenie mobilne.
• System operacyjny
  • na komputer – macOS, Windows, ChromeOS i Linux;
  • na urządzenia mobilne – Android, iOS (w tym iPadOS).
• Dostęp
  • przeglądarka internetowa na komputer i Dysk na komputer,
  • przeglądarka internetowa i wbudowane aplikacje własne na urządzenia mobilne.
• Oprogramowanie – nie jest wymagany żaden agent (z wyjątkiem Safari z włączoną usługą Apple Private Relay). Jeśli usługa Apple Private Relay jest skonfigurowana w iCloud, adres IP urządzenia jest ukryty. Google Workspace otrzymuje anonimowy adres IP. Dlatego jeśli dostęp zależny od kontekstu zostanie przypisany na poziomie podsieci IP, nastąpi odmowa dostępu do Safari. Aby rozwiązać ten problem, wyłącz usługę Apple Private Relay lub usuń poziom dostępu obejmujący podsieci IP.

Obsługiwane platformy: zasady dotyczące urządzeń

• Typ urządzenia – komputer stacjonarny, laptop lub urządzenie mobilne.
• System operacyjny
  • na komputer – macOS, Windows, ChromeOS i Linux;
  • na urządzenia mobilne – Android, iOS (w tym iPadOS). Pamiętaj, że w przypadku urządzeń z Androidem w wersjach starszych niż 6.0 do weryfikacji punktów końcowych musisz używać funkcji zarządzania punktami końcowymi Google w trybie podstawowym.
• Należące do firmy – brak obsługi na urządzeniach z Androidem 12 lub nowszym i profilem służbowym. Takie urządzenia są zawsze zgłaszane jako należące do użytkowników, nawet jeśli znajdują się w spisie urządzeń należących do firmy. Więcej informacji znajdziesz w artykule Wyświetlanie informacji o urządzeniu mobilnym – w sekcji Informacje na temat urządzeń rozwiń tabelę Informacje o urządzeniu i znajdź wiersz Własność.
• Dostęp
  • przeglądarka Chrome na komputer i Dysk na komputer,
  • przeglądarka Chrome do wbudowanych aplikacji własnych na urządzenia mobilne.
• Oprogramowanie
  • na komputer – przeglądarka Chrome, rozszerzenie Endpoint Verification (Weryfikacja punktów końcowych) do Chrome;
  • (Urządzenia mobilne) Zarządzaj urządzeniami mobilnymi za pomocą podstawowych lub zaawansowanych funkcji zarządzania punktami końcowymi Google.
  • (W przypadku użytkowników systemu Windows) Aby zwiększyć bezpieczeństwo danych Chrome, upewnij się, że usługa Google Chrome Elevation Service jest włączona w przypadku szyfrowania powiązanego z aplikacją.

Poniżej znajdziesz listę administratorów, którzy mogą ustawiać zasady dostępu zależnego od kontekstu.

• Superadministrator
• Administrator z każdym z tych uprawnień:
  • Bezpieczeństwo danych> Zarządzanie poziomem dostępu,
  • Bezpieczeństwo danych> Zarządzanie regułami,
  • Uprawnienia w interfejsie Admin API> Grupy> Odczyt.
  • Uprawnienia w interfejsie Admin API> Użytkownicy> Odczyt