Пример использования: принудительное использование публичных IP-адресов.

В этом примере показано, как создать уровень доступа с учетом контекста для поддержки политики принудительного применения общедоступных IP-адресов в вашей организации, а затем назначить эту политику приложениям.

Примечание : Мы рекомендуем пользователям, использующим только рабочую область (Workspace), не добавлять и не изменять уровни доступа с учетом контекста (Context-Aware Access) с помощью консоли Google Cloud Platform (GCP). Это может привести к следующей ошибке: «В Google Workspace используются неподдерживаемые атрибуты , и пользователи заблокированы».

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Выберите уровни доступа .
  3. Нажмите «Создать уровень доступа» .
  4. Добавьте название уровня доступа (например, «Принудительное использование публичных IP-адресов ») и, при желании, описание.
  5. Выберите «Соответствовать атрибутам» . Это означает, что пользователи должны соответствовать атрибутам в условии, чтобы иметь возможность получить доступ к приложениям.
  6. Нажмите «Добавить атрибут» , чтобы создать условие уровня доступа. По умолчанию выбран базовый режим.
  7. Выберите IP-подсеть (публичную) и добавьте публичный IP-адрес. Это адрес IPv4 или IPv6, либо префикс маршрутизации в формате CIDR (Classless Inter-Domain Routing).
    • Поддерживаются статические IP-адреса.
    • Для использования динамического IP-адреса необходимо определить статическую IP-подсеть (публичную) для уровня доступа. Если известен диапазон динамического IP-адреса, и определенный статический IP-адрес на уровне доступа охватывает этот диапазон, доступ предоставляется. Доступ запрещен, если динамический IP-адрес не находится в определенной статической IP-подсети (публичной).
  8. Нажмите «Сохранить» . Теперь вы можете назначать этот уровень доступа приложениям.
  9. Нажмите «Назначить приложениям» . Эта ссылка появится сразу после создания уровня доступа. Если вы хотите назначить уровень доступа позже, перейдите в раздел «Безопасность». а потом Контроль доступа и данных а потом Включите контекстно-зависимый доступ и выберите «Назначить уровни доступа» .
  10. Выберите организационное подразделение. Пользователи в этом организационном подразделении — это пользователи, имеющие доступ к указанным вами приложениям на уровне, определенном в созданном вами уровне доступа. Например, выберите организационное подразделение «Европа» , чтобы предоставить доступ группе европейских пользователей.
  11. Выберите приложения, к которым пользователи смогут получить доступ. Например, Google Диск и Документы, Gmail и Google Чат.
  12. Нажмите «Назначить» . Возможно, вам придётся прокрутить список, чтобы увидеть кнопку «Назначить» для нужного приложения. Убедитесь, что вы назначили уровень доступа правильному приложению. Ни в коем случае не назначайте уровень доступа к консоли администратора.

  13. Выберите используемый уровень доступа. В данном случае — принудительное использование публичных IP-адресов .

    При необходимости вы можете выбрать несколько уровней доступа. Пользователи получают доступ к приложению, когда соответствуют условиям, указанным только в одном из выбранных вами уровней доступа (это логическое ИЛИ уровней доступа в списке).

    Если вы хотите, чтобы пользователи соответствовали условиям более чем одного уровня доступа (логическое И уровней доступа), создайте уровень доступа, содержащий несколько уровней доступа.

    Примечание : Оставьте флажок «Применить к настольным и мобильным приложениям Google» отмеченным.

  14. Нажмите «Сохранить» . Обратите внимание, что если уровень доступа назначен организационному подразделению или группе с большим количеством пользователей, отображение назначенного уровня доступа может занять до 24 часов.

  15. Для обеспечения правильного выполнения задания обратите внимание на следующее:

    • Серое пятно рядом с названием организационного подразделения.
    • Название уровня доступа, указанного для приложения.

  16. Чтобы настроить сообщения, которые пользователи получают при блокировке доступа к приложению, перейдите в раздел «Безопасность». а потом Контроль доступа и данных а потом Контекстно-зависимый доступ и сообщения пользователей при нажатии. Сообщения пользователей включают:

    • Сообщения об исправлении — эти сообщения генерируются системой и соответствуют конкретному нарушению правил, которое заблокировало доступ пользователя. В сообщениях об исправлении предлагаются варианты решения проблемы, позволяющие пользователю разблокировать доступ к приложению.
    • Пользовательские сообщения — это сообщения, которые вы добавляете и которые предлагают пользователю конкретную помощь, например, дополнительные советы по разблокировке или полезную ссылку.

    • Сообщение по умолчанию — Пример сообщения по умолчанию: «Политика вашей организации блокирует доступ к этому приложению» . Это сообщение отображается, если вы не указали сообщение для исправления ситуации или пользовательское сообщение.

      Для получения подробной информации перейдите в раздел «Разрешить пользователям разблокировать приложения с помощью сообщений об исправлении в контекстно-зависимом доступе».