支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 比较您的版本
使用情境感知访问权限功能,您可以根据用户身份、位置、设备安全状态和 IP 地址等属性,针对应用创建精细的访问权限控制安全政策。您的政策适用于在个人设备和受管设备上访问应用的用户。您可以根据情境(例如设备是否符合 IT 政策)控制用户访问权限。
情境感知访问权限用例示例
您可以使用情境感知访问权限达成以下目的:
- 规定用户只能通过公司分发的设备访问应用
- 规定用户只有在存储设备加密的情况下,才能访问云端硬盘
- 禁止从公司网络外访问应用
您还可以将多个应用场景合并为一项政策。例如,您可以创建一个访问权限级别,规定只有在公司自有、已加密且已满足最低操作系统版本要求的设备上才能访问应用。
注意:情境感知访问权限政策只能控制最终用户账号对应用的访问权限。它们不会限制服务账号对 Google API 的访问权限。
对版本、应用、平台和管理员类型的支持
版本简介
您只能将情境感知访问权限政策应用到拥有本文开头所述任一版本的许可证的用户。
即使您对同一组织部门或群组中的所有用户都应用了情境感知访问权限政策,其中使用任何其他版本的用户仍可照常访问应用。如果用户没有使用上述任一受支持的版本,则不受所在组织部门或群组强制执行的情境感知访问权限政策的制约。
应用
您可以将情境感知访问权限政策应用到移动应用和桌面设备上的 Web 应用和内置应用。授予访问权限后,系统会持续评估对应用的访问权限。这不适用于 SAML 应用,系统会在登录这类应用时进行评估。
Google Workspace 应用(核心服务)
对于提供核心服务的应用,系统会持续进行政策评估。例如,用户在办公室登录了核心服务,然后走到了咖啡店。当用户的位置信息发生更改时,系统会重新检查该服务的情境感知访问权限政策。
可为桌面应用和移动应用配置政策。为移动设备配置政策后,该政策会自动应用于 Android 和 iOS 平台。
以下表格显示了桌面设备上受支持的 Web 应用和内置应用,以及受支持的移动应用。
|
核心服务 |
Web 应用(桌面设备或移动设备) |
移动设备上的内置应用* |
桌面设备上的内置 应用 |
|
Google 日历 |
✔ |
✔ |
|
|
Google Cloud Search |
✔ |
✔ |
|
|
Google 云端硬盘和 Google 文档(包括表格、幻灯片和表单) |
✔ |
✔ |
✔(桌面版 Google 云端硬盘) |
| Gemini | ✔ | ✔ | |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
群组企业版 |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Google Keep |
✔ |
✔ |
|
|
Google 协作平台 |
✔ |
||
|
Google Tasks |
✔ |
✔ |
|
|
Google 管理控制台 |
✔ | ✔ | |
| NotebookLM | ✔ | ✔ | |
| Workspace Studio | ✔ |
*移动应用支持注意事项:
- 您无法对移动设备上的第三方内置应用(如 Salesforce)强制执行情境感知访问权限政策。
- 您可以对通过 Chrome 浏览器访问的 SAML 应用强制执行情境感知访问权限政策。
- 移动设备可以通过基本模式或高级模式下的 Google 端点管理进行管理。 使用基本管理功能时,同步设备的操作系统版本和加密状态可能需要几天时间。在此期间,如果您启用了情境感知访问权限,这些设备对 Google Workspace 服务的访问可能会受到影响。
- NotebookLM 移动应用遵循贵组织针对 Google 云端硬盘的情境感知访问权限政策。如果该应用不符合政策规则,系统将会阻止其对云端硬盘中关联内容的访问。
- Gemini 移动应用会以不同方式处理被屏蔽的内容。当查询违反某项政策时,应用会显示一条回复消息,说明访问遭拒,而不是显示弹出式窗口。Gemini 移动应用不支持“警告”模式功能,该功能允许用户在违反政策的情况下继续操作。
附加 Google 服务
对于附加 Google 服务,系统会持续进行政策评估。这些服务仅限 Web 应用。
- Looker Studio - 将数据转换为可轻松阅读的图表和互动式报告。
- Google Play 管理中心 - 将您开发的 Android 应用提供给快速增长的 Android 用户群。
SAML 应用
对于 SAML 应用,系统会在登录这类应用时进行政策评估。
- 这包括使用 Google 作为身份提供方的第三方 SAML 应用。这类应用还可使用第三方身份提供方 (IdP)(先通过第三方身份提供方访问 Google Cloud Identity,再通过 Google Cloud Identity 访问 SAML 应用)。有关详情,请参阅关于单点登录。
- 当用户登录 SAML 应用时,系统会强制执行情境感知访问权限政策。
例如: 如果用户在办公室登录了 SAML 应用,随后前往咖啡店,那么当用户的位置信息发生变更时,系统不会重新检查 SAML 应用的情境感知访问权限政策。对于 SAML 应用,系统仅在用户结束当前会话并再次登录时才会重新检查此政策。
-
如果在某个访问权限级别应用了设备政策,则用户只能由第三方 SAML 应用通过启用了端点验证的 Chrome 浏览器进行批准。
-
如果您应用了设备政策,则用户将无法在移动设备上通过网络浏览器访问这类应用(包括需要使用网络浏览器进行登录的移动应用)。
平台要求
您可以创建不同类型的情境感知访问权限政策(IP、设备、地理位置来源和自定义访问权限级别属性)用于访问应用。如要查看用于创建自定义访问权限级别的受支持属性和表达式的相关指南和示例,请参阅自定义访问权限级别规范。
此外,如需详细了解受支持的 BeyondCorp Alliance 合作伙伴,请参阅设置第三方合作伙伴集成。
支持的平台(例如设备类型、操作系统和浏览器访问权限)取决于政策类型。
政策类型包括:
- IP - 指定用户连接应用时使用的 IP 地址范围
- 设备政策和设备操作系统 - 指定用户用于访问应用的设备需具备的特征,例如设备是否已加密或是否要求使用密码
- 地理位置来源 - 指定用户可以在哪些国家/地区访问应用
采用 IP 和地理位置来源政策时支持的平台
请注意,如果互联网服务提供商 (ISP) 在不同地理区域之间更改 IP 地址,那么这些更改需要一段时间才会生效。如果根据地理位置属性强制执行情境感知访问权限,用户可能会被禁止访问。
- 设备类型 - 桌面设备、笔记本电脑或移动设备
- 操作系统
- 桌面设备 - Mac、Windows、ChromeOS 和 Linux OS
- 移动设备 - Android、iOS(包括 iPadOS)
- 访问
- 在桌面设备上通过网络浏览器和桌面版云端硬盘访问
- 在移动设备上通过网络浏览器和内置第一方应用访问
- 软件 - 无需代理(已启用 Apple Private Relay 的 Safari 除外)。如果在 iCloud 中配置了 Apple Private Relay,则设备 IP 地址会隐藏起来。Google Workspace 会收到一个匿名 IP 地址。在这种情况下,如果将情境感知访问权限级别分配为 IP 子网,那么系统会禁止用户访问 Safari。若要解决此问题,请关闭 Apple Private Relay,或移除包含 IP 子网的访问权限级别。
采用设备政策时支持的平台
- 设备类型 - 桌面设备、笔记本电脑或移动设备
- 操作系统
- (桌面设备)Mac、Windows、ChromeOS 和 Linux OS
- (移动设备)Android、iOS(包括 iPadOS)。请注意,对于 Android 6.0 之前的版本,您必须在基本模式下使用 Google 端点管理服务来实现端点验证。
- 公司自有 - 不支持搭载 Android 12 或更高版本并设有工作资料的设备。这类设备始终会被列为归用户所有,即使它们在公司自有资产清单中也是如此。有关详情,请前往查看移动设备,了解设备详细信息,然后在“设备信息”表格中向下滚动到“所有权”行。
- 访问
- 在桌面设备上通过 Chrome 浏览器和桌面版云端硬盘访问
- 在移动设备上通过 Chrome 浏览器和内置第一方应用访问
- 软件
管理员要求
以下管理员可以设置情境感知访问权限政策:
- 超级用户
- 具备以下权限之一的管理员:
- “数据安全”>“访问权限级别管理”
- “数据安全”>“规则管理”
- “Admin API 权限”>“群组”>“读取”
- “Admin API 权限”>“用户”>“读取”
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。