Пример использования: принудительное использование публичных IP-адресов.

В этом примере показано, как создать уровень доступа с учетом контекста для поддержки политики принудительного применения общедоступных IP-адресов в вашей организации, а затем назначить эту политику приложениям.

Примечание : Мы рекомендуем пользователям, использующим только рабочую область (Workspace), не добавлять и не изменять уровни доступа с учетом контекста (Context-Aware Access) с помощью консоли Google Cloud Platform (GCP). Это может привести к следующей ошибке: «В Google Workspace используются неподдерживаемые атрибуты , и пользователи заблокированы».

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Выберите уровни доступа .
  3. Нажмите «Создать уровень доступа» .
  4. Добавьте название уровня доступа (например, «Принудительное использование публичных IP-адресов ») и, при желании, описание.
  5. Выберите «Соответствовать атрибутам» . Это означает, что пользователи должны соответствовать атрибутам в условии, чтобы иметь возможность получить доступ к приложениям.
  6. Нажмите «Добавить атрибут» , чтобы создать условие уровня доступа. По умолчанию выбран базовый режим.
  7. Выберите IP-подсеть (публичную) и добавьте публичный IP-адрес. Это адрес IPv4 или IPv6, либо префикс маршрутизации в формате CIDR (Classless Inter-Domain Routing).
    • Поддерживаются статические IP-адреса.
    • Для использования динамического IP-адреса необходимо определить статическую IP-подсеть (публичную) для уровня доступа. Если известен диапазон динамического IP-адреса, и определенный статический IP-адрес на уровне доступа охватывает этот диапазон, доступ предоставляется. Доступ запрещен, если динамический IP-адрес не находится в определенной статической IP-подсети (публичной).
  8. Нажмите «Сохранить» . Теперь вы можете назначать этот уровень доступа приложениям.
  9. Нажмите «Назначить приложениям» . Эта ссылка появится сразу после создания уровня доступа. Если вы хотите назначить уровень доступа позже, перейдите в раздел «Безопасность». а потом Контроль доступа и данных а потом Включите контекстно-зависимый доступ и выберите «Назначить уровни доступа» .
  10. Select an organizational unit. The users in this organizational unit are the users who have access to the apps you specify, and at the level defined in the access level you created. For example, select Europe OU to give access to a group of European users.
  11. Выберите приложения, к которым пользователи смогут получить доступ. Например, Google Диск и Документы, Gmail и Google Чат.
  12. Нажмите «Назначить» . Возможно, вам придётся прокрутить список, чтобы увидеть кнопку «Назначить» для нужного приложения. Убедитесь, что вы назначили уровень доступа правильному приложению. Ни в коем случае не назначайте уровень доступа к консоли администратора.

  13. Выберите используемый уровень доступа. В данном случае — принудительное использование публичных IP-адресов .

    При необходимости вы можете выбрать несколько уровней доступа. Пользователи получают доступ к приложению, когда соответствуют условиям, указанным только в одном из выбранных вами уровней доступа (это логическое ИЛИ уровней доступа в списке).

    Если вы хотите, чтобы пользователи соответствовали условиям более чем одного уровня доступа (логическое И уровней доступа), создайте уровень доступа, содержащий несколько уровней доступа.

    Примечание : Оставьте флажок «Применить к настольным и мобильным приложениям Google» установленным.

  14. Нажмите «Сохранить» . Обратите внимание, что если уровень доступа назначен организационному подразделению или группе с большим количеством пользователей, отображение назначенного уровня доступа может занять до 24 часов.

  15. Для обеспечения правильного выполнения задания обратите внимание на следующее:

    • Серое пятно рядом с названием организационного подразделения.
    • Название уровня доступа, указанного для приложения.

  16. Чтобы настроить сообщения, которые пользователи получают при блокировке доступа к приложению, перейдите в раздел «Безопасность». а потом Контроль доступа и данных а потом Контекстно-зависимый доступ и сообщения пользователей при нажатии. Сообщения пользователей включают:

    • Сообщения об исправлении — эти сообщения генерируются системой и соответствуют конкретному нарушению правил, которое заблокировало доступ пользователя. В сообщениях об исправлении предлагаются варианты решения проблемы, позволяющие пользователю разблокировать доступ к приложению.
    • Пользовательские сообщения — это сообщения, которые вы добавляете и которые предлагают пользователю конкретную помощь, например, дополнительные советы по разблокировке или полезную ссылку.

    • Сообщение по умолчанию — Пример сообщения по умолчанию: «Политика вашей организации блокирует доступ к этому приложению» . Это сообщение отображается, если вы не указали сообщение для исправления ситуации или пользовательское сообщение.

      Для получения подробной информации перейдите в раздел «Разрешить пользователям разблокировать приложения с помощью сообщений об исправлении в контекстно-зависимом доступе».