Diese Seite wurde von der Cloud Translation API übersetzt.

Benutzerdefinierte Zugriffsebenen mit Falcon ZTA-Daten erstellen und zuweisen

In diesem Dokument erfahren Sie, wie Sie mit Falcon ZTA-Daten gerätebasierte benutzerdefinierte Zugriffsebenen erstellen und Ihren Organisationsressourcen zuweisen.

Hinweise

Integration von Chrome Enterprise Premium und Falcon ZTA einrichten
Führen Sie ein Upgrade auf Chrome Enterprise Premium durch, das kostenpflichtige Abo von Chrome Enterprise Premium. Wenn Sie ein Upgrade ausführen möchten, wenden Sie sich an unser Vertriebsteam.
Sie benötigen eine der folgenden Identity and Access Management-Rollen:
- Access Context Manager-Administrator (roles/accesscontextmanager.policyAdmin)
- Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor)
Informieren Sie sich über die Objekte und Attribute, die zum Erstellen der Ausdrücke in Common Expression Language (CEL) für benutzerdefinierte Zugriffsebenen verwendet werden. Weitere Informationen finden Sie unter Spezifikation für benutzerdefinierte Zugriffsebenen.

Benutzerdefinierte Zugriffsebenen erstellen

Sie können Zugriffsebenen mit einer oder mehreren Bedingungen erstellen. Wenn die Geräte der Nutzer mehrere Bedingungen erfüllen sollen (ein logisches UND von Bedingungen), erstellen Sie eine Zugriffsebene, die alle erforderlichen Bedingungen enthält.

So erstellen Sie eine neue benutzerdefinierte Zugriffsebene mit den von Falcon ZTA bereitgestellten Daten:

Rufen Sie in der Google Cloud Console die Seite Access Context Manager auf.
Zu Access Context Manager
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf der Seite Access Context Manager auf Neu.
Geben Sie im Bereich Neue Zugriffsebene Folgendes ein:
1. Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene ein. Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.
2. Wählen Sie im Abschnitt Bedingungen erstellen in die Option Erweiterter Modus aus.
3. Geben Sie im Abschnitt Bedingungen die Ausdrücke für Ihre benutzerdefinierte Zugriffsebene ein. Die Bedingung muss in einen einzelnen booleschen Wert aufgelöst werden.
  Informationen zu den verfügbaren CrowdStrike-Feldern für Ihren CEL-Ausdruck finden Sie in den Falcon ZTA-Daten, die für Ihre Geräte erfasst wurden.
  Beispiele
  Der folgende CEL-Ausdruck erstellt eine Regel, die den Zugriff nur von mit verwalteten Falcon ZTA-Geräten mit einem Betriebssystem-Bewertungswert von mehr als 50 zulässt:
```
device.vendors["CrowdStrike"].is_managed_device == true && device.vendors["CrowdStrike"].data["assessment.os"] > 50.0
```
  Der folgende CEL-Ausdruck erstellt eine Regel, die den Zugriff nur über Geräte zulässt, die In den letzten zwei Tagen wurde der Falcon ZTA-Test durchgeführt. Das Feld iat (ausgestellt am) wird im Rahmen der Zero-Trust-Bewertung von Falcon ZTA bereitgestellt.
```
request.time - timestamp(device.vendors["CrowdStrike"].data["iat"]) < duration("48h")
      
```
  Hinweis:Wir empfehlen, für duration einen Wert von mehr als 90 Minuten festzulegen. da Chrome Enterprise Premium eine Verzögerung von 90 Minuten bei jeder neuen Bewertung durch Falcon ZTA hat.
  
  Der folgende CEL-Ausdruck erstellt eine Regel, die den Zugriff nur über Geräte zulässt, deren Die Bewertung von Falcon ZTA ist noch gültig. Das Feld exp (expiry) wird im Rahmen der Zero-Trust-Bewertung von Falcon ZTA bereitgestellt.
```
timestamp(device.vendors["CrowdStrike"].data["exp"]) - request.time > duration("0m")
       
```
  Beispiele und weitere Informationen zur Unterstützung von Common Expression Language (CEL) und benutzerdefinierten Zugriffsebenen finden Sie in der Spezifikation für benutzerdefinierte Zugriffsebenen.
4. Klicken Sie auf Speichern.

Benutzerdefinierte Zugriffsebenen zuweisen

Sie können benutzerdefinierte Zugriffsebenen zuweisen, um den Zugriff auf Anwendungen zu steuern. Dazu gehören Google Workspace-Anwendungen und Anwendungen, die durch Identity-Aware Proxy in Google Cloud geschützt sind (auch als IAP-gesicherte Ressource bezeichnet). Sie können den Anwendungen eine oder mehrere Zugriffsebenen zuweisen. Wenn Sie mehrere Zugriffsebenen auswählen, müssen die Geräte der Nutzer nur die Bedingungen in einer der Zugriffsebenen erfüllen, um Zugriff auf die Anwendung zu erhalten.

Benutzerdefinierte Zugriffsebenen für Google Workspace-Anwendungen zuweisen

Weisen Sie Zugriffsebenen für Google Workspace-Anwendungen über die Google Workspace-Admin-Konsole zu:

Klicken Sie auf der Startseite der Admin-Konsole auf Sicherheit > Kontextsensitiver Zugriff.
Zu „Kontextsensitiver Zugriff“
Klicken Sie auf Zugriffsebenen zuweisen.

Eine Liste mit Apps wird angezeigt.
Wählen Sie im Abschnitt Organisationseinheiten Ihre Organisationseinheit oder Gruppe aus.
Wählen Sie die Anwendung aus, der Sie eine Zugriffsebene zuweisen möchten, und klicken Sie auf Zuweisen.

Eine Liste mit allen Zugriffsebenen wird angezeigt. Zugriffsebenen sind eine freigegebene Ressource zwischen Google Workspace, Cloud Identity und Google Cloud werden möglicherweise Zugriffsebenen angezeigt, die Sie nicht erstellt haben.
Wählen Sie mindestens eine Zugriffsebene für die App aus.
Wählen Sie Auf Desktop- und mobile Apps von Google anwenden aus, um die Zugriffsebenen auf Nutzer in Desktop- und mobilen Apps (und im Browser) anzuwenden. Dieses Kästchen gilt nur für integrierte Anwendungen.
Klicken Sie auf Speichern. Der Name der Zugriffsebene wird in der Liste der zugewiesenen Zugriffsebenen neben der Anwendung angezeigt.

Benutzerdefinierte Zugriffsebenen für mit IAP gesicherte Ressourcen zuweisen

Folgen Sie der Anleitung unter Zugriffsebene für mit IAP gesicherte Ressourcen anwenden, um Zugriffsebenen für Ressourcen zuzuweisen, die mit IAP gesichert sind.