本頁面由 Cloud Translation API 翻譯而成。

使用 Falcon ZTA 資料建立及指派自訂存取層級

本文說明如何使用 Falcon ZTA 資料建立以裝置為準的自訂存取層級，並將這些存取層級指派給機構資源。

事前準備

設定 Chrome Enterprise Premium 並整合 Falcon ZTA。
升級至 Chrome Enterprise 進階版，這是 Chrome Enterprise 進階版的付費訂閱方案。如要升級，請與我們的銷售團隊聯絡。
確認您具備下列其中一個 Identity and Access Management 角色：
- Access Context Manager 管理員 (roles/accesscontextmanager.policyAdmin)
- Access Context Manager 編輯者 (roles/accesscontextmanager.policyEditor)
瞭解用於建構自訂存取層級一般運算語言 (CEL) 運算式的物件和屬性。詳情請參閱「自訂存取層級規格」。

建立自訂存取層級

您可以建立含有一或多個條件的存取層級。如要讓使用者的裝置符合多項條件 (使用「且」邏輯運算子的條件)，請建立包含所有必要條件的存取層級。

如要使用 Falcon ZTA 提供的資料建立新的自訂存取層級，請按照下列步驟操作：

前往 Google Cloud 控制台的「Access Context Manager」頁面。
前往 Access Context Manager
如果系統提示您選取機構，請依提示選取您的機構。
在「Access Context Manager」頁面中，按一下「新增」。
在「New Access Level」(建立新的存取層級) 窗格中，輸入下列資訊：
1. 在「Access level title」(存取層級標題) 欄位中，輸入存取層級的標題。標題不得超過 50 個字元，開頭須為英文字母，且只能包含數字、英文字母、底線和空格。
2. 在「Create Conditions in」(在以下位置建立條件) 區段中，選取「Advanced Mode」(進階模式)。
3. 在「條件」部分中，輸入自訂存取層級的運算式。條件必須解析為單一布林值。
  如要找出 CEL 運算式可用的 CrowdStrike 欄位，請查看裝置收集的 Falcon ZTA 資料。
  範例
  下列 CEL 運算式會建立規則，只允許 OS 評估分數高於 50 的 Falcon ZTA 管理裝置存取：
```
device.vendors["CrowdStrike"].is_managed_device == true && device.vendors["CrowdStrike"].data["assessment.os"] > 50.0
```
  下列 CEL 運算式會建立規則，只允許 Falcon ZTA 在過去兩天內評估的裝置存取。「iat」(核發時間) 欄位是 Falcon ZTA 零信任評估的一部分。
```
request.time - timestamp(device.vendors["CrowdStrike"].data["iat"]) < duration("48h")
      
```
  注意：建議將 duration 的值設為超過 90 分鐘，因為 Chrome Enterprise Premium 從 Falcon ZTA 取得任何新評估作業時，本身就有 90 分鐘的延遲。
  
  下列 CEL 運算式會建立規則，只允許從 Falcon ZTA 評估未過期的裝置存取。exp 欄位 (到期日) 是 Falcon ZTA 零信任評估的一部分。
```
timestamp(device.vendors["CrowdStrike"].data["exp"]) - request.time > duration("0m")
       
```
  如需一般運算語言 (CEL) 支援和自訂存取層級的範例及詳細資訊，請參閱「自訂存取層級詳細說明」。
4. 按一下 [儲存]。

指派自訂存取層級

您可以指派自訂存取層級，控管應用程式的存取權。這些應用程式包括 Google Workspace 應用程式，以及受 Identity-Aware Proxy 保護的應用程式(也稱為受 IAP 保護的資源)。 Google Cloud 您可以為應用程式指派一或多個存取層級。如果您選取多個存取層級，使用者裝置只需符合「其中一個」存取層級的條件，即可取得應用程式存取權。

為 Google Workspace 應用程式指派自訂存取層級

透過 Google Workspace 管理控制台，為 Google Workspace 應用程式指派存取層級：

在管理控制台首頁中，依序前往「安全性」> 情境感知存取權。
前往情境感知存取權
按一下「指派存取層級」。

系統隨即會顯示應用程式清單。
在「機構單位」部分，選取機構單位或群組。
選取要指派存取層級的應用程式，然後按一下「指派」。

系統隨即會列出所有存取層級。存取層級是 Google Workspace、Cloud Identity 和 Google Cloud 的共用資源，因此您可能會在清單中看到您並未建立的存取層級。
為應用程式選取一或多個存取層級。
如要對電腦版和行動版 (以及瀏覽器版) 應用程式使用者套用存取層級，請選取「套用到 Google 電腦版和行動版應用程式」。請注意，這個核取方塊僅適用於內建應用程式。
按一下「Save」(儲存)。存取層級名稱會顯示在應用程式旁邊的已指派存取層級清單中。

為受 IAP 保護的資源指派自訂存取層級

如要透過 Google Cloud 控制台指派受 IAP 保護資源的存取層級，請按照「為受 IAP 保護的資源套用存取層級」一文中的操作說明進行。