支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。版本比較
透過情境感知存取權功能,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為應用程式建立精細的存取控管安全性政策。當使用者在個人裝置和受管理裝置上存取應用程式時,系統便會套用這些政策。您可以根據情境 (例如裝置是否符合 IT 政策) 控管使用者存取權。
情境感知存取權用途範例
您可以使用情境感知存取權功能達成以下目的:
- 規定使用者僅能透過公司提供的裝置存取應用程式
- 規定使用者的儲存裝置必須經過加密,才能存取雲端硬碟
- 禁止透過公司外部的網路存取應用程式
您也可以將多種用途合併為一項政策;舉例來說,您可以建立一個存取層級,規定必須使用已加密的公司裝置,並符合最低作業系統版本要求,才能存取應用程式。
注意:情境感知存取權政策只能控管使用者帳戶的應用程式存取權,並不會限制服務帳戶存取 Google API。
支援此功能的版本、應用程式、平台和管理員類型
版本簡介
使用者只有具備本文開頭列出的 Google Workspace 版本授權,才能套用情境感知存取權政策。
採用其他版本的使用者可以照常存取應用程式,即使您對同一機構單位或群組的所有使用者都套用情境感知存取權政策,也不會造成影響。如果使用者沒有上述任何一種支援的版本,就不適用您在其所屬機構單位或群組中強制執行的情境感知存取權政策。
應用程式
您可以將情境感知存取權政策套用至電腦版網頁應用程式、行動應用程式,以及電腦版內建應用程式。授予應用程式存取權後,系統會持續做出評估。但 SAML 應用程式是例外狀況,因為系統是在使用者登入這類應用程式時進行評估。
Google Workspace 應用程式 (核心服務)
如果應用程式屬於核心服務,系統會持續進行政策評估。舉例來說,如果使用者在辦公室登入核心服務,隨後前往咖啡廳,則系統會在使用者的位置變更時,重新檢查服務的情境感知存取權政策。
電腦版應用程式和行動應用程式都可以設定應用程式政策。為行動裝置設定政策後,系統會自動套用至 Android 和 iOS 平台。
下表列出了電腦版和行動版網頁應用程式及內建應用程式所支援的核心服務。
|
核心服務 |
網頁應用程式 (電腦版或行動版) |
行動裝置上的內建應用程式* |
內建 電腦版應用程式 |
|
Google 日曆 |
✔ |
✔ |
|
|
Google Cloud 搜尋 |
✔ |
✔ |
|
|
Google 雲端硬碟和 Google 文件 (包括試算表、簡報和表單) |
✔ |
✔ |
✔ (Google 雲端硬碟電腦版) |
| Gemini | ✔ | ✔ | |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
網路論壇企業版 |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Google Keep |
✔ |
✔ |
|
|
Google 協作平台 |
✔ |
||
|
Google Tasks |
✔ |
✔ |
|
|
Google 管理控制台 |
✔ | ✔ | |
| NotebookLM | ✔ | ✔ | |
| Workspace Studio | ✔ |
*行動應用程式支援注意事項:
- 您無法對行動裝置上的第三方內建應用程式 (例如 Salesforce) 強制執行情境感知存取權政策。
- 您可對使用 Chrome 瀏覽器存取的 SAML 應用程式強制執行情境感知存取權政策。
- 行動裝置透過基本或進階版 Google 端點管理服務進行管理。使用基本管理服務時,裝置的 OS 版本和加密狀態可能需要幾天才能完成同步。如果您使用情境感知存取權,這段期間內可能無法透過這些裝置存取 Google Workspace 服務。
- NotebookLM 行動應用程式會遵循貴機構的 Google 雲端硬碟情境感知存取權政策。如果雲端硬碟中連結的內容不符合政策規則,系統便會禁止存取。
- Gemini 行動應用程式處理遭封鎖內容的方式有所不同。如果查詢違反政策,應用程式會顯示回覆訊息,說明存取權遭拒,而不會顯示彈出式視窗。Gemini 行動應用程式不支援「警告」模式功能,該功能允許使用者在違反政策的情況下繼續操作。
其他 Google 服務
如果應用程式屬於額外的 Google 服務,系統會持續進行政策評估。這些服務僅限網頁應用程式。
- Looker Studio:將資料轉換為易於閱讀的圖表和互動式報表。
- Google Play 管理中心:將您開發的 Android 應用程式提供給快速成長的 Android 使用者群。
SAML 應用程式
對於 SAML 應用程式,系統是在使用者登入這類應用程式時進行政策評估。
- 這包括以 Google 做為識別資訊提供者的第三方 SAML 應用程式。這類應用程式也可以使用第三方識別資訊提供者 (先由第三方 IdP 連結至 Google Cloud Identity,再由 Google Cloud Identity 連結至 SMAL 應用程式)。詳情請參閱「關於單一登入 (SSO)」。
- 使用者登入 SAML 應用程式時,系統就會強制執行情境感知存取權政策。
範例: 如果使用者在辦公室登入 SAML 應用程式,隨後前往咖啡廳,系統並不會在使用者的位置變更時,重新檢查 SAML 應用程式的情境感知存取權政策。對於 SAML 應用程式,系統只會在使用者工作階段結束及重新登入時重新檢查這項政策。
-
如果套用了存取層級的裝置政策,使用者只能透過已啟用端點驗證的 Chrome 瀏覽器,由第三方 SAML 應用程式核准。
-
如果套用了裝置政策,使用者將無法在行動裝置上透過網路瀏覽器存取這類應用程式 (包括需要經由網路瀏覽器登入的行動應用程式)。
平台需求條件
您可以建立不同類型的情境感知存取權政策 (例如 IP、裝置、地理位置來源和自訂存取層級屬性),用以存取應用程式。如需建立自訂存取層級的支援屬性和運算式指引和範例,請參閱「自訂存取層級詳細說明」。
此外,如要進一步瞭解支援的 BeyondCorp Alliance 合作夥伴,請參閱「設定第三方合作夥伴整合服務」。
平台支援 (例如裝置類型、作業系統和瀏覽器存取權) 會因政策類型而異。
政策類型包括:
- IP:指定使用者可連線至應用程式的 IP 位址範圍
- 裝置政策及裝置 OS:指定使用者用於存取應用程式的裝置必須具備哪些特性,例如是否需要加密,或者是否需要使用密碼
- 地理位置來源:指定使用者可存取應用程式的國家/地區
IP 和地理位置來源平台支援
請注意,如果網際網路服務供應商 (ISP) 在不同地理區域間變更了 IP 位址,這些變更需要一段時間才會生效。在這段延遲時間內,如果透過地理位置屬性強制執行使用者存取權,情境感知存取權可能會封鎖使用者。
- 裝置類型:電腦、筆電或行動裝置
- 作業系統
- 電腦:Mac、Windows、ChromeOS、Linux OS
- 行動裝置:Android、iOS (包括 iPadOS)
- 存取權
- 電腦版網路瀏覽器及雲端硬碟電腦版
- 行動版網路瀏覽器和第一方內建應用程式
- 軟體:無須使用代理程式 (除非使用已啟用 Apple Private Relay 功能的 Safari)。如果您已在 iCloud 中設定 Apple Private Relay,系統會隱藏裝置的 IP 位址,使得 Google Workspace 收到匿名的 IP 位址。在這種情況下,如果已將情境感知存取層級指派為 IP 子網路,系統就會拒絕使用者存取 Safari。如要修正這個問題,請關閉 Apple Private Relay,或是移除包含 IP 子網路的存取層級。
裝置政策平台支援
- 裝置類型:電腦、筆電或行動裝置
- 作業系統
- (電腦) Mac、Windows、ChromeOS、Linux OS
- (行動裝置) Android、iOS (包括 iPadOS)。請注意,如果是 Android 6.0 之前的版本,則必須使用基本模式的 Google 端點管理服務進行端點驗證。
- 公司擁有的裝置:不支援搭載 Android 12 以上版本並設有工作資料夾的裝置。即使裝置已加入公司擁有的裝置清單,系統一律會將其視為使用者擁有的裝置。如需瞭解詳情,請參閱「查看行動裝置」,瞭解裝置詳細資料,然後在「裝置資訊」表格中向下捲動至「擁有權」列。
- 存取權
- 電腦版 Chrome 瀏覽器及雲端硬碟電腦版
- 行動版 Chrome 瀏覽器及第一方內建應用程式
- 軟體
管理員資格條件
下列管理員可以設定情境感知存取權政策:
- 超級管理員
- 具備下列各項權限的管理員:
- 資料安全性> 存取層級管理
- 資料安全性> 規則管理
- 管理員 API 權限> 群組> 讀取
- 管理員 API 權限> 使用者> 讀取
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標。所有其他公司和產品名稱則是與個別公司關聯的商標。