Защитите свой бизнес с помощью контекстно-зависимого доступа.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Используя контекстно-ориентированный доступ, вы можете создавать детализированные политики безопасности контроля доступа для приложений на основе таких атрибутов, как идентификация пользователя, местоположение, состояние безопасности устройства и IP-адрес. Ваши политики применяются к пользователям, получающим доступ к приложению на личных и управляемых устройствах. Вы можете контролировать доступ пользователей на основе контекста, например, соответствует ли устройство вашей ИТ-политике.

Примеры использования контекстно-зависимого доступа

Вы можете использовать контекстно-зависимый доступ, когда это необходимо:

  • Разрешите доступ к приложениям только с устройств, выданных компанией.
  • Разрешайте доступ к Диску только в том случае, если устройство хранения данных пользователя зашифровано.
  • Ограничьте доступ к приложениям извне корпоративной сети.

В политику также можно включить несколько вариантов использования. Например, можно создать уровень доступа, требующий доступа к приложению с устройств, принадлежащих компании, имеющих шифрование и соответствующих минимальной версии операционной системы.

Примечание: Политики доступа с учетом контекста могут контролировать доступ к приложению только из учетных записей конечных пользователей. Они не ограничивают доступ к API Google из учетных записей служб .

Поддержка различных версий, приложений, платформ и типов администраторов.

О выпусках

Политики контекстно-зависимого доступа можно применять только к пользователям, имеющим лицензию на одну из версий, указанных в начале этой статьи.

Пользователи с любыми другими версиями программного обеспечения могут получать доступ к приложениям как обычно — даже если вы применяете политику контекстно-зависимого доступа ко всем пользователям в одном организационном подразделении или группе. На пользователей, не имеющих одной из поддерживаемых версий, не распространяются политики контекстно-зависимого доступа, действующие в их организационном подразделении или группе.

Приложения

Политики контекстно-зависимого доступа можно применять к веб-приложениям на настольных компьютерах, мобильным приложениям и встроенным приложениям на настольных компьютерах. Доступ для приложений оценивается непрерывно после предоставления доступа. Исключение составляют приложения SAML, для которых оценка происходит при входе в систему.

Приложения Google Workspace (основные сервисы)

Для приложений, являющихся основными сервисами, оценка политик происходит непрерывно. Например, если пользователь входит в основной сервис в офисе и идет в кафе, политика контекстно-зависимого доступа для этого сервиса перепроверяется при смене местоположения пользователем.

Политики приложений можно настроить как для настольных, так и для мобильных приложений. Если политика настроена для мобильных устройств, она автоматически применяется к платформам Android и iOS.

В этой таблице показаны поддерживаемые приложения: веб-приложения для настольных компьютеров, мобильные приложения и встроенные приложения для настольных компьютеров.

Основные сервисы

Веб-приложения (для настольных компьютеров или мобильных устройств)

Встроенные приложения на мобильных устройствах*
(Управление мобильными устройствами осуществляется с помощью базового или расширенного инструмента управления конечными точками Google.)

Встроенные приложения на рабочем столе

Календарь Google

Google Облачный Поиск

Google Drive и Google Docs (включая Sheets, Slides и Forms)

 (Google Drive для настольных компьютеров)
Близнецы

Гмайл

Google Meet

Хранилище Google

Группы для бизнеса

Google Чат

Google Keep

Сайты Google

Задачи Google

Консоль администратора Google
NotebookLM
Студия рабочего пространства

*Примечания по поддержке мобильных приложений:

  • Встроенные сторонние приложения (например, Salesforce) не позволяют применять политики контекстно-зависимого доступа к мобильным устройствам.
  • Вы можете применять политики контекстно-зависимого доступа к приложениям SAML, доступ к которым осуществляется через браузер Chrome.
  • Управление мобильными устройствами осуществляется с помощью базового или расширенного режима управления конечными точками Google. При базовом управлении синхронизация версии ОС и состояния шифрования устройства может занять несколько дней. В течение этого времени доступ к сервисам Google Workspace с этих устройств может быть ограничен, если вы используете контекстно-зависимый доступ.
  • Мобильное приложение NotebookLM соответствует политикам контекстно-зависимого доступа вашей организации к Google Drive. Если правила политики не соблюдаются, доступ к подключенному контенту из Drive будет заблокирован.
  • Мобильное приложение Gemini обрабатывает заблокированный контент иначе. Когда запрос нарушает правила, приложение отображает ответное сообщение о том, что доступ запрещен, а не всплывающее окно. Функция режима предупреждения, которая позволяет пользователям продолжить работу, несмотря на нарушение правил, недоступна в мобильном приложении Gemini.

Дополнительные сервисы Google

Для дополнительных сервисов Google постоянно проводится оценка эффективности политики. Эти сервисы доступны только в виде веб-приложений.

  • Looker Studio — преобразует данные в легко читаемые диаграммы и интерактивные отчеты.
  • Google Play Console — Предлагайте разработанные вами приложения для Android быстро растущей базе пользователей Android.

Приложения SAML

В приложениях SAML оценка политики происходит при входе в приложение.

  • Это включает сторонние SAML-приложения, использующие Google в качестве поставщика идентификации. Также может использоваться сторонний поставщик идентификации (IdP) (сторонний IdP, интегрированный с Google Cloud Identity, и Google Cloud Identity, интегрированный с SAML-приложениями). Для получения более подробной информации перейдите в раздел «О SSO» .
  • Политики доступа с учетом контекста применяются при входе пользователя в приложение SAML.

    Пример : Если пользователь входит в SAML-приложение в офисе и переходит в кафе, политика контекстно-зависимого доступа для этого SAML-приложения не перепроверяется при смене местоположения пользователем. Для SAML-приложений перепроверка политики происходит только после завершения сеанса пользователя и его повторного входа в систему.

  • Если политика устройства применяется на уровне доступа, пользователь может быть одобрен только сторонним приложением SAML через браузер Chrome с включенной проверкой конечной точки.

  • Если применяется политика устройства, доступ к веб-браузеру на мобильном устройстве (включая мобильные приложения, использующие веб-браузер для входа в систему) блокируется.

Требования к платформе

Вы можете создавать различные типы политик доступа с учетом контекста для доступа к приложениям: по IP-адресу, устройству, географическому местоположению и пользовательским атрибутам уровня доступа. Для получения рекомендаций и примеров поддерживаемых атрибутов и выражений для создания пользовательских уровней доступа перейдите к спецификации пользовательских уровней доступа .

Кроме того, подробную информацию о поддерживаемых партнерах BeyondCorp Alliance можно найти в разделе «Настройка интеграции с партнерами сторонних компаний» .

Поддержка платформы, включая тип устройства, операционную систему и доступ через браузер, зависит от типа политики.

К типам страховых полисов относятся:

  • IP-адрес — указывает диапазон IP-адресов, с которого пользователь может подключиться к приложению.
  • Политика устройства и ОС устройства — определяет характеристики устройства, с которого пользователь получает доступ к приложению, например, зашифровано ли устройство или требуется ли пароль.
  • Географическое происхождение — указывает страны, в которых пользователь может получить доступ к приложениям.

Поддержка платформы по IP-адресам и географическому происхождению

Обратите внимание, что если интернет-провайдер меняет IP-адреса между различными географическими регионами, возникает задержка, пока эти изменения вступят в силу. В течение этой задержки контекстно-зависимый доступ может блокировать пользователей, если их доступ определяется атрибутами геолокации.

  • Тип устройства — настольный компьютер, ноутбук или мобильное устройство.
  • Операционная система
    • Настольные компьютеры — Mac, Windows, ChromeOS, Linux OS
    • Мобильные устройства — Android, iOS (включая iPadOS)
  • Доступ
    • Веб-браузер для настольных компьютеров и Диск для настольных компьютеров
    • Веб-браузер и встроенные приложения от разработчиков на мобильных устройствах
  • Программное обеспечение — Агент не требуется (кроме Safari с включенным Apple Private Relay). Если Apple Private Relay настроен в iCloud, IP-адрес устройства скрывается. Google Workspace получает анонимный IP-адрес. В этом случае, если для IP-подсети назначен уровень доступа Context-Aware, доступ к Safari будет запрещен. Исправьте это, отключив Apple Private Relay или удалив уровень доступа, содержащий IP-подсети.

Поддержка платформы политик устройств

  • Тип устройства — настольный компьютер, ноутбук или мобильное устройство.
  • Операционная система
    • (Настольные версии) Mac, Windows, ChromeOS, Linux OS
    • (Мобильные) Android, iOS (включая iPadOS). Обратите внимание, что для версий Android ниже 6.0 для проверки конечных точек необходимо использовать управление конечными точками Google в базовом режиме.
  • Принадлежность компании — не поддерживается для устройств с Android 12 или более поздней версии и рабочим профилем. Эти устройства всегда отображаются как принадлежащие пользователю, даже если они находятся в инвентаре, принадлежащем компании. Для получения дополнительной информации перейдите в раздел «Просмотр мобильных устройств» , «Подробная информация об устройстве» и в таблице «Информация об устройстве» прокрутите вниз до строки «Владение».
  • Доступ
    • Браузер Chrome для настольных компьютеров и Google Диск для настольных компьютеров
    • Браузер Chrome для встроенных приложений от разработчиков на мобильных устройствах
  • Программное обеспечение
    • (Для настольных компьютеров) Браузер Chrome, расширение Chrome Endpoint Verification
    • (Мобильные устройства) Управляйте мобильными устройствами с помощью Google Endpoint Management ( базовая или расширенная версия ).
    • (Для пользователей Windows) Чтобы повысить безопасность данных Chrome, убедитесь, что служба повышения привилегий Google Chrome остается включенной для шифрования данных, привязанного к приложению .

Административные требования

Эти администраторы могут устанавливать политики доступа с учетом контекста:

  • Супер администратор
  • Администратор, обладающий каждой из следующих привилегий:
    • Безопасность данных > Управление уровнями доступа
    • Безопасность данных > Управление правилами
    • Права доступа к API администратора > Группы > Чтение
    • Права доступа к API администратора > Пользователи > Чтение


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.