本範例說明如何建立情境感知存取權層級,以支援企業的受管理 Chrome 瀏覽器政策,然後將這項政策指派給應用程式。
事前準備
- (僅限 Workspace 使用者) 建議您不要透過 Google Cloud 控制台新增或修改情境感知存取權層級。這麼做可能會導致系統顯示「在 Google Workspace 使用了不支援的屬性」錯誤訊息,並封鎖使用者。
- (適用於 Windows 使用者) 為提升 Chrome 資料安全性,請確保 Google Chrome Elevation Service 保持啟用,應用程式綁定加密才能生效。
設定情境感知存取權層級
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「存取權與資料控管」「情境感知存取權」。 - 選取「存取層級」。
- 按一下「建立存取層級」。
- 新增存取層級名稱 (這裡以受管理的 Chrome 瀏覽器為例),並視需要輸入說明。
- 按一下「進階」分頁標籤。在這個分頁中,您必須使用一般運算語言 (CEL),在編輯視窗中建立自訂存取層級。詳情請參閱「建立情境感知存取權層級」中的「定義存取層級:進階模式」一節。
新增存取層級的程式碼:
device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED && device.chrome.versionAtLeast("94.0.4606.81")。按一下「建立」,您現在可將這個存取層級指派給應用程式。
按一下「指派應用程式的存取層級」。建立存取層級後,系統會立即顯示這個連結。如要稍後再指派存取層級,請前往「安全性」
「存取權與資料控管」「情境感知存取權」,然後選取「指派應用程式的存取層級」。選取機構單位。這個組織單位中的使用者符合以下條件:可以存取您指定的應用程式,並位於您在建立存取層級時定義的層級。舉例來說,選取「人資」HR即可對人力資源部門的使用者授予存取權。
選擇要讓使用者存取的應用程式,例如雲端硬碟、文件、Gmail 和 Google Chat。
按一下「指派」。您可能需要捲動畫面,才能看到所需應用程式的「指派」按鈕。請務必將存取層級指派給正確的應用程式;請勿將存取層級指派給管理控制台。
選取要使用的存取層級。在本例中,請選取「受管理的 Chrome 瀏覽器」。
您可以視需要選取多個存取層級。只要使用者符合您所選取的其中一項存取層級條件,系統就會授予他們應用程式存取權 (清單中的存取層級使用「或」邏輯運算子)。
如果您希望使用者一次符合多項存取層級條件 (使用「且」邏輯運算子的存取層級),請建立包含多個存取層級的存取層級。
注意:請勾選「套用到 Google 電腦版和行動版應用程式」方塊。
按一下 [儲存]。請注意,如果存取層級是指派給具有大量使用者的機構單位或群組,指派的存取層級最久可能需要 24 小時才會顯示。
如要確認存取層級已適當指派,您可以查看是否出現以下情形:
- 組織單位名稱旁邊顯示灰色圓點。
- 應用程式會列出存取層級名稱。
如要自訂給使用者的訊息,在對方無法存取應用程式時傳送,請前往「安全性」
「存取權與資料控管」「情境感知存取權」,然後按一下「給使用者的訊息」。給使用者的訊息包括:- 修復訊息:這類訊息是由系統產生,會對應導致使用者存取權遭到封鎖的特定違規情況。修復訊息會向使用者顯示修復選項,讓使用者自行恢復應用程式存取權。
- 自訂訊息:您為使用者提供的特定說明訊息,例如關於恢復存取權的其他建議,或是可點選的實用連結。
預設訊息:預設訊息範例:「貴機構的政策禁止您存取這個應用程式」。如果您未指定修復訊息或自訂訊息,系統就會顯示這則訊息。
詳情請參閱「允許使用者透過情境感知存取權的修復訊息恢復應用程式存取權」。