此示例说明了如何创建情境感知访问权限级别来支持贵企业的公共 IP 地址强制执行政策,然后将此政策分配给应用。
注意:如果您仅使用 Workspace,我们建议不要通过 Google Cloud Platform (GCP) 控制台添加或修改情境感知访问权限级别。否则,可能会导致出现错误“在 Google Workspace 中使用了不受支持的属性”,且用户可能会被禁止访问。
-
在 Google 管理控制台中,依次前往“菜单”图标
安全性 访问权限和数据控件 情境感知访问权限。 - 选择访问权限级别。
- 点击创建访问权限级别。
- 添加访问权限级别名称(例如,公共 IP 地址强制执行这样的名称),并可以根据需要添加说明。
- 选择满足属性。这意味着用户必须满足相应条件中的属性才能访问应用。
- 点击添加属性以创建访问权限级别条件。系统会默认选择基本模式。
- 选择 IP 子网 (公共),然后添加一个公共 IP 地址。此地址可以是 IPv4 或 IPv6 地址,也可以是采用无类别域间路由 (CIDR) 地址块表示法的路由前缀。
- 支持静态 IP 地址。
- 如要使用动态 IP 地址,您必须为访问权限级别指定静态 IP 子网(公共)。如果您知道动态 IP 地址的范围,并且在访问权限级别中指定的静态 IP 地址涵盖该范围,则系统会授予访问权限。当动态 IP 地址不在指定的静态 IP 子网(公共)中时,将拒绝访问。
- 点击保存。现在,您可以将此访问权限级别分配给应用。
- 点击向应用授予。此链接会在您创建访问权限级别后立即显示。如果您想稍后分配访问权限级别,请依次前往安全 访问权限和数据控件
情境感知访问权限,然后选择分配访问权限级别。
- 选择一个组织部门。此组织部门中的用户是对您指定的应用拥有访问权限的用户,且处于您创建的访问权限级别中定义的级别。例如,选择欧洲组织部门可向一组欧洲用户授予访问权限。
- 选择可供用户访问的应用。例如云端硬盘、Google 文档、Gmail 和 Google Chat。
- 点击分配。您可能需要滚动页面,才能看到所需应用对应的“分配”按钮。请务必将访问权限级别分配给正确的应用。请勿将访问权限级别分配给管理控制台。
选择要使用的访问权限级别。在此例中为公共 IP 地址强制执行。
您可以根据需要选择多个访问权限级别。只要用户符合您所选择的任一访问权限级别中指定的条件(列表中各访问权限级别之间的逻辑关系是“或”),系统就会授予用户访问该应用的权限。
如果您希望用户满足多个访问权限级别中的条件(访问权限级别之间的逻辑关系是“与”),则需要创建包含多个访问权限级别的访问权限级别。
注意:请选中应用至 Google 桌面和移动应用复选框。
点击保存。请注意,如果访问权限级别被分配给包含大量用户的组织部门或群组,分配的访问权限级别最长可能需要 24 小时才能显示。
为确保正确分配,请查找:
- 组织部门名称旁边有一个灰色圆点。
- 为应用列出的访问权限级别的名称。
如需自定义用户在访问应用被拒时收到的消息,请依次前往安全
访问权限和数据控制
情境感知访问权限,然后点击用户消息。用户消息包括:- 修复措施消息 - 这类消息是系统生成的,与导致用户访问被拒的具体违规行为相对应。 修复措施消息会向用户提供修复选项,以便他们可以恢复应用访问权限。
- 自定义消息 - 您添加的为用户提供具体帮助的消息,例如关于恢复访问权限的建议或可以点击的实用链接。
默认消息 - 默认消息示例:贵组织的政策禁止您使用此应用。如果您未指定修复措施消息或自定义消息,则系统会显示此消息。
如需了解详情,请参阅允许用户通过情境感知访问权限设置中的修复措施消息来恢复对应用的访问权限。