Se usó la API de Cloud Translation para traducir esta página.

Crea y asigna niveles de acceso personalizados mediante los datos de Falcon ZTA

En este documento, se muestra cómo crear niveles de acceso personalizados basados en dispositivos con los datos de Falcon ZTA y asignarlos a tus recursos organizativos.

Antes de comenzar

Configura la integración de Chrome Enterprise Premium y Falcon ZTA.
Actualiza a Chrome Enterprise Premium Premium, que es la suscripción pagada a Chrome Enterprise Premium. Para actualizar, comunícate con nuestro equipo de ventas.
Asegúrate de tener una de los siguientes roles de administración de identidades y accesos:
- Administrador de Access Context Manager (roles/accesscontextmanager.policyAdmin)
- Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
Comprender los objetos y atributos usados para crear la Common Expression Language (CEL) para niveles de acceso personalizados. Para obtener más información, consulta Especificación de niveles de acceso personalizados.

Crear niveles de acceso personalizados

Puedes crear niveles de acceso con una o más condiciones. Si quieres que los usuarios dispositivos para satisfacer varias condiciones (un AND lógico de condiciones), crea un nivel de acceso que contenga todas las condiciones necesarias.

Para crear un nuevo nivel de acceso personalizado con los datos que proporciona Falcon ZTA, haz lo siguiente:

Ve a la página de Access Context Manager en la consola de Google Cloud.
Ir a Access Context Manager
Si se te solicita, selecciona tu organización.
En la página de Access Context Manager, haz clic en Nuevo.
En el panel Nuevo nivel de acceso, ingresa lo siguiente:
1. En el campo Título del nivel de acceso, ingresa un título para el nivel de acceso. El título debe tener 50 caracteres como máximo, comenzar con una letra y puede contener solo números, letras, guiones bajos y espacios.
2. En la sección Crear condiciones en, selecciona Modo avanzado.
3. En la sección Condiciones, ingresa las expresiones para tu nivel de acceso. La condición debe resolverse en un solo valor booleano.
  A fin de encontrar los campos de CrowdStrike disponibles para tu expresión CEL, puedes revisar los datos de Falcon ZTA recopilados para tus dispositivos.
  Ejemplos
  La siguiente expresión CEL crea una regla que permite el acceso solo desde dispositivos administrados por Falcon ZTA con una puntuación de evaluación del SO mayor que 50:
```
device.vendors["CrowdStrike"].is_managed_device == true && device.vendors["CrowdStrike"].data["assessment.os"] > 50.0
```
  La siguiente expresión en CEL crea una regla que permite el acceso solo desde dispositivos que Falcon ZTA evaluado en los últimos dos días. Se debe proporcionar el campo iat (emitido en). como parte de la evaluación de confianza cero de Falcon ZTA.
```
request.time - timestamp(device.vendors["CrowdStrike"].data["iat"]) < duration("48h")
      
```
  Nota: Te recomendamos que establezcas un valor superior a 90 minutos para duration. porque Chrome Enterprise Premium tiene un retraso innato de 90 minutos para obtener cualquier evaluación nueva realizada por Falcon ZTA.
  
  La siguiente expresión en CEL crea una regla que permite el acceso solo desde dispositivos cuyo La evaluación de Falcon ZTA no venció. El campo exp (vencimiento) es proporcionados como parte de la evaluación de confianza cero de Falcon ZTA.
```
timestamp(device.vendors["CrowdStrike"].data["exp"]) - request.time > duration("0m")
       
```
  Para obtener ejemplos y más información sobre la compatibilidad con Common Expression Language (CEL) y los niveles de acceso personalizados, consulta la especificación del nivel de acceso personalizado.
4. Haz clic en Guardar.

Asignar niveles de acceso personalizados

Puedes asignar niveles de acceso personalizados para controlar el acceso aplicaciones. Estas aplicaciones incluyen apps de Google Workspace y las aplicaciones que están protegidas por Identity-Aware Proxy en Google Cloud (también conocido como recurso protegido con IAP). Puedes asignar uno o más niveles de acceso a las apps. Si seleccionar varios niveles de acceso, las contraseñas Los dispositivos solo deben cumplir con las condiciones de una de los niveles de acceso que tendrán acceso a la app.

Asigna niveles de acceso personalizados para aplicaciones de Google Workspace.

Asigna niveles de acceso para las aplicaciones de Google Workspace en la Consola del administrador de Google Workspace:

En la página principal de la Consola del administrador, ve a Seguridad > Acceso adaptado al contexto.
Ir a Acceso adaptado al contexto
Haz clic en Asignar niveles de acceso.

Verás una lista de aplicaciones.
En la sección Unidades organizativas, selecciona tu grupo o unidad organizativa.
Selecciona la aplicación a la que deseas asignar un nivel de acceso y haz clic en Asignar.

Verás una lista de todos los niveles de acceso. Los niveles de acceso son un recurso compartido entre Google Workspace, Cloud Identity y Google Cloud para que Es posible que veas niveles de acceso que no creaste en la lista.
Selecciona uno o más niveles de acceso para la app.
Para aplicar los niveles de acceso a los usuarios en computadoras y aplicaciones para dispositivos móviles (y desde el navegador), selecciona Aplicar a las apps de Google para computadoras de escritorio y dispositivos móviles. Esta casilla de verificación solo se aplica a las apps integradas.
Haz clic en Guardar. El nombre del nivel de acceso se muestra en la lista de niveles de acceso asignados junto al la aplicación.

Asigna niveles de acceso personalizados para recursos protegidos con IAP

Para asignar niveles de acceso protegidos con IAP desde la consola de Google Cloud, sigue las instrucciones Aplica un nivel de acceso a los recursos protegidos con IAP.