Créer et attribuer des niveaux d'accès personnalisés à l'aide des données Falcon ZTA
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document explique comment créer des niveaux d'accès personnalisés basés sur les appareils et utilisant les données Falcon ZTA, et comment attribuer ces niveaux d'accès à vos ressources organisationnelles.
Passez à Chrome Enterprise Premium, l'abonnement payant de Chrome Enterprise Premium.
Pour passer à une version supérieure, contactez notre équipe commerciale.
Assurez-vous de disposer de l'un des rôles IAM (Identity and Access Management) suivants :
Vous pouvez créer des niveaux d'accès avec une ou plusieurs conditions. Si vous souhaitez que les appareils des utilisateurs remplissent plusieurs conditions (opérateur logique ET sur plusieurs conditions), créez un niveau d'accès contenant toutes les conditions requises.
Pour créer un niveau d'accès personnalisé utilisant les données fournies par Falcon ZTA, procédez comme suit :
Accédez à la page Access Context Manager dans la console Google Cloud .
Si vous y êtes invité, sélectionnez votre organisation.
Sur la page Access Context Manager, cliquez sur Nouveau.
Dans le volet Nouveau niveau d'accès, saisissez les informations suivantes :
Dans le champ Titre du niveau d'accès, saisissez un titre de niveau d'accès.
Ce titre doit contenir au maximum 50 caractères, commencer par une lettre et ne peut contenir que des chiffres, des lettres, des traits de soulignement et des espaces.
Dans la section Créer des conditions en, sélectionnez Mode avancé.
Dans la section Conditions, saisissez les expressions pour votre niveau d'accès personnalisé. La condition doit correspondre à une valeur booléenne unique.
Pour trouver les champs Falcon ZTA disponibles pour votre expression CEL, vous pouvez consulter les données Falcon ZTA collectées pour vos appareils.
Exemples
L'expression CEL suivante crée une règle qui autorise l'accès uniquement depuis des appareils gérés par Falcon ZTA et dont le score d'évaluation du système d'exploitation est supérieur à 50 :
L'expression CEL suivante crée une règle qui autorise l'accès uniquement depuis les appareils évalués par Falcon ZTA au cours des deux derniers jours. Le champ iat (émis le) est fourni dans l'évaluation zéro confiance de Falcon ZTA.
L'expression CEL suivante crée une règle qui autorise l'accès uniquement depuis des appareils dont l'évaluation Falcon ZTA n'a pas expiré. Le champ exp (expiration) est fourni dans l'évaluation zéro confiance de Falcon ZTA.
Pour obtenir des exemples et des informations supplémentaires sur la compatibilité avec le langage CEL (Common Expression Language) et les niveaux d'accès personnalisés, consultez la section Spécification de niveaux d'accès personnalisés.
Cliquez sur Enregistrer.
Attribuer des niveaux d'accès personnalisés
Vous pouvez attribuer des niveaux d'accès personnalisés afin de contrôler l'accès aux applications. Ces applications incluent les applications Google Workspace et celles protégées par Identity-Aware Proxy sur Google Cloud (également appelées "ressources sécurisées par IAP").
Vous pouvez attribuer un ou plusieurs niveaux d'accès aux applications. Si vous sélectionnez plusieurs niveaux d'accès, les appareils des utilisateurs doivent seulement remplir les conditions de l'un des niveaux d'accès pour pouvoir accéder à l'application.
Attribuer des niveaux d'accès personnalisés aux applications Google Workspace
Attribuez des niveaux d'accès aux applications Google Workspace à partir de la console d'administration Google Workspace :
Sur la page d'accueil de la console d'administration, accédez à Sécurité > Accès contextuel.
Dans la section Unités organisationnelles, sélectionnez votre unité organisationnelle ou votre groupe.
Sélectionnez l'application à laquelle vous souhaitez attribuer un niveau d'accès, puis cliquez sur Attribuer.
La liste de tous les niveaux d'accès s'affiche. Les niveaux d'accès sont une ressource partagée entre Google Workspace, Cloud Identity et Google Cloud . Vous pouvez donc voir dans la liste des niveaux d'accès que vous n'avez pas créés.
Sélectionnez un ou plusieurs niveaux d'accès pour l'application.
Pour appliquer les niveaux d'accès aux utilisateurs sur des applications de bureau et mobiles (et dans le navigateur), sélectionnez Appliquer aux applications de bureau et mobiles Google.
Cette case à cocher ne s'applique qu'aux applications intégrées.
Cliquez sur Enregistrer.
Le nom du niveau d'accès s'affiche dans la liste des niveaux d'accès attribués à côté de l'application.
Attribuer des niveaux d'accès personnalisés aux ressources sécurisées par IAP
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/01 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/01 (UTC)."],[],[],null,["# Create and assign custom access levels using Falcon ZTA data\n\nThis document shows you how to create device-based custom access levels using Falcon ZTA\ndata and assign those access levels to your organizational resources.\n\nBefore you begin\n----------------\n\n- [Set up Chrome Enterprise Premium and Falcon ZTA integration](/chrome-enterprise-premium/docs/setting-up-cs).\n- Upgrade to Chrome Enterprise Premium, which is the paid subscription of Chrome Enterprise Premium. To upgrade, [contact our sales team](https://go.chronicle.security/beyondcorp-enterprise-upgrade).\n- Ensure that you have one of the following Identity and Access Management roles:\n - Access Context Manager Admin (`roles/accesscontextmanager.policyAdmin`)\n - Access Context Manager Editor (`roles/accesscontextmanager.policyEditor`)\n- Understand the objects and attributes that are used to build the [Common Expression Language (CEL)](https://opensource.google.com/projects/cel) expressions for custom access levels. For details, see [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n\nCreate custom access levels\n---------------------------\n\nYou can create access levels with one or more conditions. If you want the users'\ndevices to satisfy multiple conditions (a logical AND of conditions), create\nan access level that contains all the required conditions.\n\nTo create a new custom access level using the data provided by Falcon ZTA, do the\nfollowing:\n\n1. Go to the **Access Context Manager** page in the Google Cloud console.\n\n [Go to Access Context Manager](https://console.cloud.google.com/security/access-level)\n2. If you are prompted, select your organization.\n3. On the **Access Context Manager** page, click **New**.\n4. In the **New Access Level** pane, enter the following:\n 1. In the **Access level title** field, enter a title for the access level. The title must be at most 50 characters, start with a letter, and can contain only numbers, letters, underscores, and spaces.\n 2. In the **Create Conditions in** section, select **Advanced Mode**.\n 3. In the **Conditions** section, enter the expressions for your custom access level. The condition must resolve to a single boolean value.\n\n To find the available CrowdStrike fields for your CEL expression, you can review the\n [Falcon ZTA data](/chrome-enterprise-premium/docs/setting-up-cs#verify-client-data)\n collected for your devices.\n **Examples**\n\n The following CEL expression creates a rule that allows access only from\n Falcon ZTA-managed devices with an OS assessment score higher than 50: \n\n ```scdoc\n device.vendors[\"CrowdStrike\"].is_managed_device == true && device.vendors[\"CrowdStrike\"].data[\"assessment.os\"] \u003e 50.0\n ```\n\n The following CEL expression creates a rule that allows access only from devices that\n Falcon ZTA assessed in the last two days. The `iat` (issued at) field is provided\n as part of the Falcon ZTA's zero trust assessment. \n\n ```text\n request.time - timestamp(device.vendors[\"CrowdStrike\"].data[\"iat\"]) \u003c duration(\"48h\")\n \n ```\n | **Note:** We recommend setting a value more than 90 minutes for `duration` because Chrome Enterprise Premium has an innate delay of 90 minutes for getting any new assessment by Falcon ZTA.\n\n The following CEL expression creates a rule that allows access only from devices whose\n Falcon ZTA's assessment is not expired. The `exp` field (expiry) field is\n provided as part of the Falcon ZTA's zero trust assessment. \n\n ```text\n timestamp(device.vendors[\"CrowdStrike\"].data[\"exp\"]) - request.time \u003e duration(\"0m\")\n \n ```\n\n For examples and more information about Common Expression Language\n (CEL) support and custom access levels, see the [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n 4. Click **Save**.\n\nAssign custom access levels\n---------------------------\n\nYou can assign custom access levels to control access to\napplications. These applications include [Google Workspace](https://workspace.google.com/) apps\nand the applications that are protected by [Identity-Aware Proxy](/iap/docs/concepts-overview)\non Google Cloud (also known as IAP-secured resource).\nYou can assign one or more access levels for the apps. If you\nselect multiple access levels, users' devices only need to satisfy the conditions in **one**\nof the access levels to be granted access to the app.\n| **Note:** If you want user devices to satisfy conditions in more than one access level (a logical AND of access levels), create an access level with all the required conditions.\n\n### Assign custom access levels for Google Workspace applications\n\nAssign access levels for Google Workspace applications\nfrom the Google Workspace Admin console:\n\n1. From the Admin console Home page, go to **Security \\\u003e Context-Aware Access**.\n\n [Go to Context-Aware Access](https://admin.google.com/u/1/ac/security/context-aware)\n2. Click **Assign access levels**.\n\n You see a list of apps.\n3. In the **Organizational units** section, select your organizational unit or group.\n4. Select the app for which you want to assign an access level, and click **Assign**.\n\n You see a list of all access levels. Access levels are a shared resource\n between Google Workspace, Cloud Identity, and Google Cloud so you\n might see access levels that you didn't create in the list.\n5. Select one or more access levels for the app.\n6. To apply the access levels to users on desktop and mobile apps (and on the browser), select **Apply to Google desktop and mobile apps**. This checkbox applies to built-in apps only.\n7. Click **Save**. The access level name displays in the assigned access levels list next to the app.\n\n### Assign custom access levels for IAP-secured resources\n\nTo assign access levels for IAP-secured\nresources from the Google Cloud console, follow the instructions in\n[Apply an access level for IAP-secured resources](/chrome-enterprise-premium/docs/access-levels#applying_an_access_level)."]]
