Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn
Quyền truy cập theo bối cảnh giúp bạn tạo các chính sách chi tiết về việc kiểm soát quyền truy cập cho các ứng dụng dựa trên những thuộc tính, chẳng hạn như danh tính, vị trí, trạng thái bảo mật thiết bị và địa chỉ IP của người dùng. Chính sách của bạn áp dụng cho người dùng truy cập vào ứng dụng trên thiết bị cá nhân và thiết bị được quản lý. Bạn có thể kiểm soát quyền truy cập của người dùng dựa trên bối cảnh, chẳng hạn như việc thiết bị có tuân thủ chính sách CNTT của bạn hay không.
Các trường hợp sử dụng mẫu của tính năng quyền truy cập dựa trên bối cảnh
Bạn có thể sử dụng tính năng quyền truy cập dựa trên bối cảnh khi muốn:
- Chỉ cho phép truy cập vào các ứng dụng trên thiết bị do công ty phát hành
- Chỉ cho phép truy cập vào Drive nếu thiết bị lưu trữ của người dùng được mã hoá
- Hạn chế quyền truy cập vào các ứng dụng bên ngoài mạng doanh nghiệp
Bạn cũng có thể kết hợp nhiều trường hợp sử dụng vào một chính sách. Ví dụ: bạn có thể tạo một cấp truy cập yêu cầu quyền truy cập vào ứng dụng trên những thiết bị thuộc sở hữu của công ty, được mã hoá và đáp ứng phiên bản hệ điều hành tối thiểu.
Lưu ý: Các chính sách Truy cập theo ngữ cảnh chỉ có thể kiểm soát quyền truy cập vào ứng dụng từ tài khoản người dùng cuối. Các chế độ này không hạn chế quyền truy cập vào API của Google từ tài khoản dịch vụ.
Hỗ trợ cho các phiên bản, ứng dụng, nền tảng và loại quản trị viên
Giới thiệu về các phiên bản
Bạn chỉ có thể áp dụng các chính sách quyền truy cập dựa trên bối cảnh cho những người dùng có giấy phép của một trong các phiên bản được xác định ở đầu bài viết này.
Người dùng có bất kỳ loại phiên bản nào khác đều có thể truy cập vào các ứng dụng như bình thường, ngay cả khi bạn áp dụng chính sách quyền truy cập dựa trên bối cảnh cho tất cả người dùng trong cùng một đơn vị tổ chức hoặc nhóm. Những người dùng không có một trong các phiên bản được hỗ trợ sẽ không phải tuân theo các chính sách quyền truy cập dựa trên bối cảnh được thực thi trong đơn vị tổ chức hoặc nhóm của họ.
Ứng dụng
Bạn có thể áp dụng chính sách về quyền truy cập dựa trên bối cảnh cho các ứng dụng web trên máy tính, ứng dụng di động và ứng dụng tích hợp trên máy tính. Quyền truy cập của ứng dụng sẽ được đánh giá liên tục sau khi được cấp. Ngoại lệ là các ứng dụng SAML, được đánh giá khi đăng nhập.
Các ứng dụng trong Google Workspace (dịch vụ cốt lõi)
Đối với các ứng dụng là dịch vụ cốt lõi, việc đánh giá chính sách diễn ra liên tục. Ví dụ: nếu người dùng đăng nhập vào một dịch vụ cốt lõi tại văn phòng và đi bộ đến một quán cà phê, thì chính sách quyền truy cập dựa trên bối cảnh cho dịch vụ đó sẽ được kiểm tra lại khi người dùng thay đổi vị trí.
Bạn có thể định cấu hình chính sách ứng dụng cho cả ứng dụng dành cho máy tính và thiết bị di động. Khi bạn thiết lập một chính sách cho thiết bị di động, chính sách đó sẽ tự động áp dụng cho cả nền tảng Android và iOS.
Bảng này cho biết các ứng dụng được hỗ trợ cho ứng dụng web trên máy tính, ứng dụng di động và ứng dụng tích hợp trên máy tính.
|
Các dịch vụ chính |
Ứng dụng web (máy tính hoặc thiết bị di động) |
Các ứng dụng tích hợp trên thiết bị di động* |
Các ứng dụng tích hợp sẵn trên máy tính |
|
Lịch Google |
✔ |
✔ |
|
|
Google Cloud Search |
✔ |
✔ |
|
|
Google Drive và Google Tài liệu (bao gồm Trang tính, Trang trình bày và Biểu mẫu) |
✔ |
✔ |
✔ (Google Drive cho máy tính) |
| Gemini | ✔ | ✔ | |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
Groups for Business |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Google Keep |
✔ |
✔ |
|
|
Google Sites |
✔ |
||
|
Google Tasks |
✔ |
✔ |
|
|
Bảng điều khiển dành cho quản trị viên của Google |
✔ | ✔ | |
| NotebookLM | ✔ | ✔ | |
| Workplace Studio | ✔ |
*Ghi chú về việc hỗ trợ ứng dụng di động:
- Bạn không thể thực thi các chính sách quyền truy cập dựa trên bối cảnh cho thiết bị di động trên các ứng dụng tích hợp sẵn của bên thứ ba (ví dụ: Salesforce).
- Bạn có thể thực thi các chính sách Quyền truy cập dựa trên bối cảnh đối với các ứng dụng SAML được truy cập bằng trình duyệt Chrome.
- Thiết bị di động được quản lý bằng giải pháp quản lý thiết bị đầu cuối cơ bản hoặc nâng cao của Google. Với tính năng quản lý cơ bản, quá trình đồng bộ hoá phiên bản hệ điều hành và trạng thái mã hoá của thiết bị có thể mất vài ngày. Trong thời gian này, quyền truy cập vào các dịch vụ của Google Workspace trên những thiết bị này có thể bị ảnh hưởng nếu bạn sử dụng tính năng Quyền truy cập theo bối cảnh.
- Ứng dụng di động NotebookLM tuân thủ các chính sách về Quyền truy cập dựa trên bối cảnh của tổ chức bạn đối với Google Drive. Nếu không đáp ứng các quy tắc của chính sách, quyền truy cập vào nội dung được kết nối trên Drive sẽ bị chặn.
- Ứng dụng di động Gemini xử lý nội dung bị chặn theo cách khác. Khi một truy vấn vi phạm chính sách, ứng dụng sẽ hiển thị một thông báo phản hồi cho biết rằng yêu cầu truy cập đã bị từ chối, thay vì một cửa sổ bật lên. Tính năng Chế độ cảnh báo (cho phép người dùng tiếp tục mặc dù vi phạm chính sách) không có trong ứng dụng di động Gemini.
Các dịch vụ bổ sung của Google
Đối với các dịch vụ khác của Google, việc đánh giá chính sách diễn ra liên tục. Các dịch vụ này chỉ là ứng dụng web.
- Looker Studio – Biến dữ liệu thành biểu đồ dễ đọc và báo cáo có tính tương tác.
- Google Play Console – Cung cấp các ứng dụng Android do bạn phát triển cho cơ sở người dùng Android không ngừng gia tăng nhanh chóng.
Ứng dụng SAML
Đối với các ứng dụng SAML, quá trình đánh giá chính sách diễn ra khi người dùng đăng nhập vào ứng dụng.
- Trong đó có các ứng dụng SAML bên thứ ba sử dụng Google làm nhà cung cấp dịch vụ danh tính. Bạn cũng có thể sử dụng nhà cung cấp dịch vụ danh tính (IdP) bên thứ ba (IdP bên thứ ba liên kết với Google Cloud Identity và Google Cloud Identity liên kết với các ứng dụng SAML). Để biết thông tin chi tiết, hãy xem bài viết Giới thiệu về SSO.
- Các chính sách Quyền truy cập dựa trên bối cảnh được thực thi khi người dùng đăng nhập vào một ứng dụng SAML.
Ví dụ: Nếu người dùng đăng nhập vào một ứng dụng SAML tại văn phòng rồi đi đến một quán cà phê, thì chính sách quyền truy cập dựa trên bối cảnh cho ứng dụng SAML đó sẽ không được kiểm tra lại khi người dùng thay đổi vị trí. Đối với các ứng dụng SAML, chính sách này chỉ được kiểm tra lại khi phiên người dùng kết thúc và họ đăng nhập lại.
-
Nếu chính sách thiết bị được áp dụng ở một cấp truy cập, thì người dùng chỉ có thể được phê duyệt bởi một ứng dụng SAML bên thứ ba thông qua trình duyệt Chrome có bật tính năng xác minh điểm cuối.
-
Nếu bạn áp dụng một chính sách thiết bị, thì quyền truy cập vào trình duyệt web trên thiết bị di động (bao gồm cả những ứng dụng di động sử dụng trình duyệt web để đăng nhập) sẽ bị chặn.
Yêu cầu về nền tảng
Bạn có thể tạo nhiều loại chính sách quyền truy cập dựa trên bối cảnh để truy cập vào các ứng dụng: IP, thiết bị, nguồn gốc địa lý và các thuộc tính tuỳ chỉnh về cấp độ truy cập. Để xem hướng dẫn và ví dụ về các thuộc tính và biểu thức được hỗ trợ để tạo cấp truy cập tuỳ chỉnh, hãy truy cập vào Quy cách về cấp truy cập tuỳ chỉnh.
Ngoài ra, để biết thông tin chi tiết về các đối tác được hỗ trợ trong Liên minh BeyondCorp, hãy xem bài viết Thiết lập chế độ tích hợp với đối tác bên thứ ba.
Nền tảng hỗ trợ (chẳng hạn như loại thiết bị, hệ điều hành và quyền truy cập vào trình duyệt) sẽ khác nhau tuỳ theo loại chính sách.
Các loại chính sách bao gồm:
- IP – Chỉ định một dải địa chỉ IP mà người dùng có thể kết nối với một ứng dụng
- Chính sách thiết bị và Hệ điều hành thiết bị – Chỉ định các đặc điểm về thiết bị mà người dùng truy cập vào một ứng dụng, chẳng hạn như thiết bị có được mã hoá hay yêu cầu mật khẩu hay không
- Nguồn gốc địa lý – Chỉ định quốc gia nơi người dùng có thể truy cập vào ứng dụng
Hỗ trợ nền tảng IP và nguồn gốc địa lý
Xin lưu ý rằng nếu nhà cung cấp dịch vụ Internet (ISP) thay đổi địa chỉ IP giữa các khu vực địa lý khác nhau, thì sẽ có một khoảng thời gian trễ trong khi những thay đổi này có hiệu lực. Trong thời gian trễ này, quyền truy cập dựa trên bối cảnh có thể chặn người dùng nếu quyền truy cập của họ được thực thi bằng các thuộc tính vị trí địa lý.
- Loại thiết bị – Máy tính, máy tính xách tay hoặc thiết bị di động
- Hệ điều hành
- Máy tính — Mac, Windows, ChromeOS, Linux OS
- Thiết bị di động – Android, iOS (bao gồm cả iPadOS)
- Quyền truy cập
- Trình duyệt web cho máy tính và ứng dụng Drive cho máy tính
- Trình duyệt web và các ứng dụng tích hợp của bên thứ nhất trên thiết bị di động
- Phần mềm – Không cần tác nhân (ngoại trừ Safari khi bật tính năng Chuyển tiếp riêng tư của Apple). Nếu bạn định cấu hình tính năng Chuyển tiếp bảo mật của Apple trong iCloud, địa chỉ IP của thiết bị sẽ bị ẩn. Google Workspace nhận được một địa chỉ IP ẩn danh. Trong trường hợp này, nếu có một cấp truy cập dựa trên bối cảnh được chỉ định làm mạng con IP, thì Safari sẽ bị từ chối quyền truy cập. Khắc phục vấn đề này bằng cách tắt tính năng Chuyển tiếp riêng tư của Apple hoặc xoá cấp truy cập có chứa mạng con IP.
Nền tảng hỗ trợ chính sách thiết bị
- Loại thiết bị – Máy tính, máy tính xách tay hoặc thiết bị di động
- Hệ điều hành
- (Máy tính) Mac, Windows, ChromeOS, Linux OS
- (Thiết bị di động) Android, iOS (bao gồm cả iPadOS). Xin lưu ý rằng đối với Android phiên bản trước 6.0, bạn phải sử dụng giải pháp quản lý thiết bị đầu cuối của Google ở Chế độ cơ bản để xác minh thiết bị đầu cuối.
- Do công ty sở hữu – Không được hỗ trợ cho các thiết bị chạy Android 12 trở lên và có hồ sơ công việc. Những thiết bị này luôn được báo cáo là thuộc sở hữu của người dùng, ngay cả khi chúng nằm trong kho thiết bị của công ty. Để biết thêm thông tin, hãy chuyển đến phần Xem thiết bị di động, Tìm hiểu về thông tin chi tiết của thiết bị và trong bảng Thông tin thiết bị, hãy di chuyển xuống hàng Quyền sở hữu.
- Quyền truy cập
- Trình duyệt Chrome cho máy tính và Drive cho máy tính
- Trình duyệt Chrome cho các ứng dụng bên thứ nhất được tích hợp trên thiết bị di động
- Phần mềm
- (Máy tính) Trình duyệt Chrome, tiện ích Xác minh điểm cuối của Chrome
- (Thiết bị di động) Quản lý thiết bị di động bằng giải pháp quản lý thiết bị đầu cuối của Google (cơ bản hoặc nâng cao).
- (Đối với người dùng Windows) Để cải thiện tính bảo mật của dữ liệu Chrome, hãy đảm bảo rằng Dịch vụ nâng cao của Google Chrome vẫn bật cho tính năng Mã hoá liên kết với ứng dụng.
Yêu cầu đối với quản trị viên
Những quản trị viên này có thể đặt chính sách quyền truy cập dựa trên bối cảnh:
- Quản trị viên cấp cao
- Quản trị viên có từng đặc quyền sau:
- Bảo mật dữ liệu>Quản lý cấp truy cập
- Bảo mật dữ liệu>Quản lý quy tắc
- Đặc quyền của API Quản trị>Nhóm>Đọc
- Đặc quyền của API quản trị>Người dùng>Đọc
Google, Google Workspace cũng như những nhãn hiệu và biểu trưng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.