Kontextbezogene Zugriffsebenen für Apps zuweisen – Google Workspace-Administratorhilfe [gg-a-en]

Steuern Sie den Zugriff auf Apps basierend auf Benutzer- und Gerätekontext

Weisen Sie Apps kontextbezogene Zugriffsebenen zu

Weiter: Zugriffsebenen löschen (bei denen es sich um eine gemeinsam genutzte Ressource handelt)

Nachdem Sie Zugriffsebenen erstellt haben, können Sie diese Apps zuweisen. Verwenden Sie Zugriffsebenen, um zu definieren, wie Benutzer auf Apps zugreifen können. Sie können den Zugriff nach Benutzeridentität, Gerätesicherheitsstatus, IP-Adresse und geografischem Standort definieren. Sie können auch den Zugriff für Apps definieren, die versuchen, über offengelegte öffentliche Anwendungsprogrammierschnittstellen (APIs) auf Google Workspace-Daten zuzugreifen.

Wenn Sie Zugriffsebenen zuweisen ...

• Erzwingen Sie die Endpunktüberprüfung, damit Sie Informationen zu den Geräten der Benutzer überprüfen und den Zugriff auf Apps basierend auf Standort, Gerätesicherheitsstatus oder anderen Attributen steuern können.
• Benutzern wird Zugriff auf die App gewährt, wenn sie die in einer der von Ihnen ausgewählten Zugriffsebenen angegebenen Bedingungen erfüllen (es handelt sich um ein logisches ODER der Zugriffsebenen in der Liste). Wenn Sie möchten, dass Benutzer die Bedingungen in mehr als einer Zugriffsebene erfüllen (ein logisches UND von Zugriffsebenen), erstellen Sie eine Zugriffsebene, die mehrere Zugriffsebenen enthält. Wenn Sie einer App mehr als 10 Zugriffsebenen zuweisen möchten, können Sie dazu verschachtelte Zugriffsebenen verwenden.
• Wenn Sie bei mobilen Apps integriertes Gmail verwenden, können Sie den Zugriff auf Gmail, Google Chat und Google Meet gleichzeitig gewähren oder verweigern. Wenn Google Chat und Google Meet als separate Apps implementiert sind (nicht als Teil des integrierten Gmail), müssen Sie den Zugriff auf diese Apps separat gewähren oder verweigern.

Weisen Sie einer App kontextsensitive Zugriffsebenen zu

Bevor Sie beginnen: Um die Einstellung für bestimmte Benutzer anzuwenden, ordnen Sie deren Konten einer Organisationseinheit (zur Festlegung nach Abteilung) oder einer Konfigurationsgruppe (zur Festlegung für Benutzer abteilungsübergreifend oder innerhalb von Abteilungen) zu.

1. Melden Sie sich bei Ihrer Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).

2. Gehen Sie in der Admin-Konsole zu Menü Sicherheit Zugangs- und Datenkontrolle Kontextbezogener Zugriff .
   
3. Klicken Sie auf Zugriffsebenen zuweisen . Sie sehen eine Liste mit Apps.
4. Um die Einstellung auf alle anzuwenden, lassen Sie die oberste Organisationseinheit ausgewählt. Andernfalls wählen Sie eine untergeordnete Organisationseinheit oder eine Konfigurationsgruppe aus.
   
5. Suchen Sie die App und klicken Sie auf Zuweisen .
   Um mehreren Apps gleichzeitig dieselben Zugriffsebenen zuzuweisen, aktivieren Sie die Kontrollkästchen neben den Apps und klicken Sie oben auf Zuweisen .
   
6. Wählen Sie eine oder mehrere Zugriffsebenen (bis zu 10) für die App aus und klicken Sie auf Weiter .
   Zugriffsebenen werden zwischen Google Workspace und Google Cloud geteilt, sodass Sie möglicherweise Zugriffsebenen sehen, die Sie nicht erstellt haben.
7. (Empfohlen) Aktivieren Sie das Kontrollkästchen Benutzern den Zugriff auf Google-Desktop- und mobile Apps verweigern, wenn die Zugriffsebenen nicht erfüllt sind, um die Zugriffsebenen auf Benutzer von nativen Desktop-, Android- und iOS-Apps und Web-Apps anzuwenden.
8. (Optional) Überprüfen Sie die Blockieren Sie den Zugriff anderer Apps auf die ausgewählten Apps über APIs, wenn die Zugriffsebenen nicht erfüllt sind. Mit diesem Kontrollkästchen können Sie verhindern, dass Apps versuchen, über offengelegte öffentliche APIs auf Google Workspace-Daten zuzugreifen.
9. (Optional) So befreien Sie vertrauenswürdige Apps von der Blockierung durch offengelegte APIs:
   Verfügbar für die Konfiguration nach Organisationseinheit, nicht nach Konfigurationsgruppe, auch wenn Sie in der Admin-Konsole eine Gruppe auswählen können. Einzelheiten finden Sie unter Anwendungsfälle: Vertrauenswürdige Drittanbieter-Apps von der Blockierung ausschließen .
   1. Aktivieren Sie das Kontrollkästchen „Apps von der Zulassungsliste ausnehmen", damit sie unabhängig von den Zugriffsebenen immer auf APIs für bestimmte Google-Dienste zugreifen können .
   2. Wenn Sie keine Liste der Apps oder der App sehen, die Sie ausschließen möchten, klicken Sie auf „Zur App-Zugriffskontrolle" und führen Sie die Schritte aus, um der App zu vertrauen.
      Alle Drittanbieter-Apps, die Sie auf der Seite „App-Zugriffskontrolle" als vertrauenswürdig markieren, werden in der Tabelle der zugelassenen Apps aufgeführt. Einige sind möglicherweise bereits vorausgewählt, wenn Sie sie als vertrauenswürdig und von der API-Durchsetzung ausgenommen markiert haben.
   3. Wählen Sie bei Bedarf die Apps aus, die von der API-Durchsetzung ausgenommen werden sollen, und klicken Sie auf Weiter .
10. Klicken Sie auf Fertig stellen . Wenn ein Benutzer die Bedingungen in mindestens einer der ausgewählten Zugriffsebenen erfüllt, kann der Benutzer auf die App zugreifen. Der Name der Zugriffsebene wird in der Liste der zugewiesenen Zugriffsebenen neben der App angezeigt.

App-Verhalten basierend auf Zugriffsebeneneinstellungen

Die folgende Tabelle fasst das Verhalten basierend darauf zusammen, ob Sie die Option „Benutzern den Zugriff auf Google-Desktop- und mobile Apps blockieren, wenn die Zugriffsebenen nicht erfüllt sind" aktivieren   Feld und ob Sie die Endpunktüberprüfung bereitstellen. Die Zeilen in fettem, unterstrichenem Text zeigen die empfohlenen Einstellungen an.

Schlüsselbegriffe für diese Tabelle:

• Angewendete Zugriffsebene – Der Zugriff wird basierend auf den Zugriffsebenen gewährt, die Sie in der Konfiguration des kontextsensitiven Zugriffs eingerichtet haben.
• Zugriff erlaubt – Der kontextsensitive Zugriff wird nicht angewendet und jeder Zugriff ist zulässig.
• Zugriff blockiert – Der Zugriff ist blockiert, weil der kontextsensitive Zugriff nicht konfiguriert ist oder Sie die Endpunktüberprüfung nicht aktiviert haben.

Zugriffsebene	CAA aktiviert	Zulassen/Blockieren (nativ und Web)
		Handy, Mobiltelefon		Desktop
		Mobil nativ	Mobiles Web	Desktop-Web	Desktop-nativ	Endpunktverifizierung bereitgestellt?
Zugriffsebene nur mit IP-/Geo-Attributen	Blockieren Sie Nutzern den Zugriff auf Desktop- und mobile Apps von Google, wenn die Zugriffsebenen nicht erfüllt sind Kontrollkästchen aktiviert	Zugriffsebene angewendet		Zugriffsebene angewendet		Nicht benötigt
	Blockieren Sie Nutzern den Zugriff auf Desktop- und mobile Apps von Google, wenn die Zugriffsebenen nicht erfüllt sind   Kontrollkästchen nicht aktiviert	Zugriff erlaubt	Zugriffsebene angewendet	Zugriffsebene angewendet	Zugriff erlaubt	Nicht benötigt
Zugriffsebene mit Geräteattributen	Blockieren Sie Nutzern den Zugriff auf Desktop- und mobile Apps von Google, wenn die Zugriffsebenen nicht erfüllt sind Kontrollkästchen aktiviert	Zugriffsebene angewendet		Zugriffsebene angewendet		Ja
	Blockieren Sie den Zugriff von Nutzern auf Google-Desktop- und mobile Apps, wenn die Zugriffsebenen nicht erfüllt sind. Das Kontrollkästchen ist aktiviert	Zugriffsebene angewendet		Zugriff gesperrt		NEIN
	Blockieren Sie Nutzern den Zugriff auf Desktop- und mobile Apps von Google, wenn die Zugriffsebenen nicht erfüllt sind   Kontrollkästchen nicht aktiviert	Zugriff erlaubt	Zugriffsebene angewendet	Zugriffsebene angewendet	Zugriff erlaubt	Ja
	Blockieren Sie Nutzern den Zugriff auf Desktop- und mobile Apps von Google, wenn die Zugriffsebenen nicht erfüllt sind   Kontrollkästchen nicht aktiviert	Zugriff erlaubt	Zugriffsebene angewendet	Zugriff gesperrt	Zugriff erlaubt	NEIN

Weiter: Zugriffsebenen löschen (bei denen es sich um eine gemeinsam genutzte Ressource handelt)