Steuern Sie den Zugriff auf Apps basierend auf Benutzer- und Gerätekontext
Schützen Sie Ihr Unternehmen mit kontextsensitivem Zugriff
Unterstützte Editionen für diese Funktion: Frontline Standard ; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergleichen Sie Ihre Edition
Mithilfe des kontextsensitiven Zugriffs können Sie detaillierte Sicherheitsrichtlinien für die Zugriffskontrolle für Apps erstellen, die auf Attributen wie Benutzeridentität, Standort, Gerätesicherheitsstatus und IP-Adresse basieren.
Sie steuern den Benutzerzugriff basierend auf seinem Kontext, z. B. ob sein Gerät Ihren IT-Richtlinien entspricht.
Beispielanwendungsfälle für kontextsensitiven Zugriff
Sie können den kontextsensitiven Zugriff verwenden, wenn Sie Folgendes möchten:
- Erlauben Sie den Zugriff auf Apps nur von vom Unternehmen bereitgestellten Geräten
- Erlauben Sie den Zugriff auf Drive nur, wenn ein Benutzerspeichergerät verschlüsselt ist
- Beschränken Sie den Zugriff auf Apps von außerhalb des Unternehmensnetzwerks
Sie können auch mehr als einen Anwendungsfall in einer Richtlinie kombinieren. Sie könnten beispielsweise eine Zugriffsebene erstellen, die den App-Zugriff von Geräten erfordert, die firmeneigenen und verschlüsselten Geräten sind und eine Mindestversion des Betriebssystems erfüllen.
Unterstützung für Editionen, Apps, Plattformen und Administratortypen
Abschnitt erweitern | Alles reduzieren und nach oben gehen
Sie können kontextsensitive Zugriffsrichtlinien nur auf Benutzer anwenden, die über eine der oben in diesem Artikel genannten Editionen verfügen.
Benutzer mit anderen Editionstypen können wie gewohnt auf Apps zugreifen – auch wenn Sie eine kontextsensitive Zugriffsrichtlinie auf alle Benutzer in derselben Organisationseinheit oder Gruppe anwenden. Benutzer, die nicht über eine der unterstützten Editionen verfügen, unterliegen nicht den kontextsensitiven Zugriffsrichtlinien, die in ihrer Organisationseinheit oder Gruppe durchgesetzt werden.
Google Workspace-Apps (Kerndienste)
Bei Apps, bei denen es sich um Kerndienste handelt, erfolgt die Richtlinienauswertung kontinuierlich. Wenn sich ein Benutzer beispielsweise bei einem Kerndienst im Büro anmeldet und in ein Café geht, wird eine kontextsensitive Zugriffsrichtlinie für diesen Dienst erneut überprüft, wenn der Benutzer seinen Standort wechselt.
Diese Tabelle zeigt die unterstützten Apps für Web-Apps auf dem Desktop, mobile Apps und native Apps (integrierte Apps) auf dem Desktop.
Kernleistungen | Web-Apps (Desktop oder mobil) | Native Apps auf Mobilgeräten* | Native Apps auf dem Desktop |
Kalender | ✔ | ✔ | |
Cloud-Suche | ✔ | ✔ | |
Drive und Docs (einschließlich Tabellen, Folien und Formulare) | ✔ | ✔ | ✔ (Laufwerk für Desktop) |
Google Mail | ✔ | ✔ | |
Google Meet | ✔ | ✔ | |
Google Vault | ✔ | ||
Google Currents (ehemals Google+) | ✔ | ✔ | |
Gruppen für Unternehmen | ✔ | ||
Google Chat | ✔ | ✔ | |
Jamboard-Service | ✔ | ✔ | |
Halten | ✔ | ✔ | |
Websites | ✔ | ||
Aufgaben | ✔ | ✔ | |
Admin-Konsole | ✔ | ✔ |
*Hinweise zur Unterstützung mobiler Apps:
- Sie können für Mobilgeräte keine kontextsensitiven Zugriffsrichtlinien für native Apps von Drittanbietern (z. B. Salesforce) erzwingen.
- Sie können kontextsensitive Zugriffsrichtlinien für SAML-Apps erzwingen, auf die über den Chrome-Webbrowser zugegriffen wird.
- Mobile Geräte werden mit Google Endpoint Management Basic oder Advanced verwaltet.
Zusätzliche Google-Dienste
Für zusätzliche Google-Dienste erfolgt die Richtlinienauswertung kontinuierlich. Bei diesen Diensten handelt es sich ausschließlich um Web-Apps.
- Looker Studio – Wandelt Daten in leicht lesbare Diagramme und interaktive Berichte um.
- Google Play Console – Bieten Sie von Ihnen entwickelte Android-Anwendungen der schnell wachsenden Android-Benutzerbasis an.
SAML-Apps
Bei SAML-Apps erfolgt die Richtlinienauswertung bei der Anmeldung bei der App.
- SAML-Apps von Drittanbietern, die Google als Identitätsanbieter verwenden. Es kann auch ein Drittanbieter-Identitätsanbieter (IdP) verwendet werden (Drittanbieter-IdP verbindet sich mit Google Cloud Identity und Google Cloud Identity verbindet sich mit SAML-Apps). Weitere Informationen finden Sie unter Einrichten der einmaligen Anmeldung für verwaltete Google-Konten mithilfe von Drittanbieter-Identitätsanbietern .
- Kontextsensitive Zugriffsrichtlinien werden erzwungen, wenn sich ein Benutzer bei einer SAML-App anmeldet.
Beispiel: Wenn sich ein Benutzer im Büro bei einer SAML-App anmeldet und in ein Café geht, wird eine kontextsensitive Zugriffsrichtlinie für diese SAML-App nicht erneut überprüft, wenn der Benutzer den Standort wechselt. Bei SAML-Apps wird die Richtlinie erst erneut überprüft, wenn die Benutzersitzung endet und sie sich erneut anmelden.
Wenn eine Geräterichtlinie angewendet wird, wird der Webbrowser-Zugriff auf Mobilgeräten (einschließlich mobiler Apps, die einen Webbrowser für die Anmeldung verwenden) blockiert.
Sie können verschiedene Arten von kontextsensitiven Zugriffsrichtlinien für den Zugriff auf Apps erstellen: IP, Gerät, geografische Herkunft und benutzerdefinierte Zugriffsebenenattribute. Anleitungen und Beispiele für unterstützte Attribute und Ausdrücke zum Erstellen benutzerdefinierter Zugriffsebenen finden Sie in der Spezifikation für benutzerdefinierte Zugriffsebenen .
Weitere Informationen zu unterstützten BeyondCorp Alliance-Partnern finden Sie unter Einrichten von Drittanbieter-Integrationen .
Die Plattformunterstützung wie Gerätetyp, Betriebssystem und Browserzugriff variiert je nach Richtlinientyp.
Zu den Richtlinientypen gehören:
- IP – gibt einen IP-Adressbereich an, über den ein Benutzer eine Verbindung zu einer App herstellen kann
- Geräterichtlinie und Gerätebetriebssystem – gibt Merkmale des Geräts an, von dem aus ein Benutzer auf eine App zugreift, z. B. ob das Gerät verschlüsselt ist oder ein Kennwort erfordert
- Geografischer Ursprung – gibt die Länder an, in denen ein Benutzer auf Apps zugreifen kann
Unterstützung für IP- und geografische Herkunftsplattformen
Beachten Sie, dass es zu einer Verzögerung kommt, bis diese Änderungen wirksam werden, wenn ein Internetdienstanbieter IP-Adressen zwischen verschiedenen geografischen Regionen ändert. Während dieser Verzögerung kann der kontextsensitive Zugriff Benutzer blockieren, wenn ihr Zugriff durch Geolokalisierungsattribute erzwungen wird.
- Gerätetyp : Desktop, Laptop oder Mobilgerät
- Betriebssystem –
- Desktop – Mac, Windows, Chrome OS, Linux OS
- Mobil – Android, iOS
- Zugang —
- Webbrowser für Desktop und Drive für Desktop
- Webbrowser und native Erstanbieter-Apps auf Mobilgeräten
- Software – Kein Agent erforderlich (außer Safari mit aktiviertem Apple Private Relay). Wenn Apple Private Relay in iCloud konfiguriert ist, wird die IP-Adresse des Geräts ausgeblendet. Google Workspace erhält eine anonymisierte IP-Adresse. Wenn in diesem Fall dem IP-Subnetz eine kontextsensitive Zugriffsebene zugewiesen ist, wird Safari der Zugriff verweigert. Beheben Sie dieses Problem, indem Sie Private Relay deaktivieren oder die Zugriffsebene entfernen, die IP-Subnetze enthält.
Unterstützung der Geräterichtlinienplattform
- Gerätetyp : Desktop, Laptop oder Mobilgerät
- Betriebssystem –
- Desktop – Mac, Windows, Chrome OS, Linux OS
- Mobil – Android, iOS. Beachten Sie, dass Sie für Android-Versionen vor 6.0 Google Endpoint Management im Basismodus zur Endpunktüberprüfung verwenden müssen.
- Firmeneigen – Nicht unterstützt für Geräte mit Android 12 oder höher und einem Arbeitsprofil. Diese Geräte werden immer als benutzereigene Geräte gemeldet, auch wenn sie sich im firmeneigenen Inventar befinden. Weitere Informationen finden Sie unter „Mobile Geräte anzeigen" , „Informationen zu Gerätedetails" und scrollen Sie in der Tabelle „Geräteinformationen" nach unten zur Zeile „Eigentum".
- Zugang —
- Chrome-Browser für Desktop und Drive für Desktop
- Chrome-Browser für native Erstanbieter-Apps auf Mobilgeräten
- Software –
- Höchster Vorgesetzter
- Delegierter Administrator mit jeder dieser Berechtigungen:
- Datensicherheit > Zugriffsebenenverwaltung
- Datensicherheit>Regelverwaltung
- Admin-API-Berechtigungen > Gruppen > Lesen
- Admin-API-Berechtigungen > Benutzer > Lesen
No comments:
Post a Comment