Creazione e assegnazione di livelli di accesso personalizzati utilizzando i dati di Falcon ZTA
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questo documento mostra come creare livelli di accesso personalizzati basati sul dispositivo utilizzando i dati di Falcon ZTA e assegnarli alle risorse dell'organizzazione.
Esegui l'upgrade a Chrome Enterprise Premium, l'abbonamento a pagamento di Chrome Enterprise Premium.
Per eseguire l'upgrade, contatta il nostro team di vendita.
Assicurati di disporre di uno dei seguenti ruoli Identity and Access Management:
Puoi creare livelli di accesso con una o più condizioni. Se vuoi che i dispositivi degli utenti soddisfino più condizioni (ai livelli di accesso viene applicato l'operatore logico AND), crea un livello di accesso che contenga tutte le condizioni richieste.
Per creare un nuovo livello di accesso personalizzato utilizzando i dati forniti da Falcon ZTA, procedi nel seguente modo:
Vai alla pagina Gestore contesto accesso nella console Google Cloud .
Nella pagina Gestore contesto accesso, fai clic su Nuovo.
Nel riquadro Nuovo livello di accesso, inserisci quanto segue:
Nel campo Titolo livello di accesso, inserisci un titolo per il livello di accesso.
Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.
Nella sezione Crea condizioni in, seleziona Modalità avanzata.
Nella sezione Condizioni, inserisci le espressioni per il livello di accesso personalizzato. La condizione deve restituire un singolo valore booleano.
Per trovare i campi CrowdStrike disponibili per l'espressione CEL, puoi esaminare i
dati Falcon ZTA
raccolti per i tuoi dispositivi.
Esempi
La seguente espressione CEL crea una regola che consente l'accesso solo dai
dispositivi gestiti da Falcon ZTA con un punteggio di valutazione del sistema operativo superiore a 50:
La seguente espressione CEL crea una regola che consente l'accesso solo dai dispositivi che
Falcon ZTA ha valutato negli ultimi due giorni. Il campo iat (emesso il) viene fornito
nell'ambito della valutazione Zero Trust di Falcon ZTA.
La seguente espressione CEL crea una regola che consente l'accesso solo dai dispositivi la cui
valutazione di Falcon ZTA non è scaduta. Il campo exp (scadenza) viene
fornito nell'ambito della valutazione Zero Trust di Falcon ZTA.
Puoi assegnare livelli di accesso personalizzati per controllare l'accesso alle
applicazioni. Queste applicazioni includono le app Google Workspace e le applicazioni protette da Identity-Aware Proxy su Google Cloud (nota anche come risorsa protetta da IAP).
Puoi assegnare uno o più livelli di accesso per le app. Se selezioni più livelli di accesso, i dispositivi degli utenti devono soddisfare le condizioni di uno solo dei livelli di accesso per ottenere l'accesso all'app.
Assegnare livelli di accesso personalizzati per le applicazioni Google Workspace
Assegna livelli di accesso per le applicazioni Google Workspace
dalla Console di amministrazione Google Workspace:
Nella home page della Console di amministrazione, vai a Sicurezza > Accesso sensibile al contesto.
Nella sezione Unità organizzative, seleziona l'unità organizzativa
o il gruppo.
Seleziona l'app per cui vuoi assegnare un livello di accesso e fai clic su Assegna.
Viene visualizzato l'elenco di tutti i livelli di accesso. I livelli di accesso sono una risorsa condivisa
tra Google Workspace, Cloud Identity e Google Cloud , quindi
è possibile che l'elenco includa livelli di accesso non creati da te.
Seleziona uno o più livelli di accesso per l'app.
Per applicare i livelli di accesso agli utenti sulle app desktop e per dispositivi mobili (e
sul browser), seleziona Applica ad app mobile e desktop Google.
Questa casella di controllo è disponibile solo per le app integrate.
Fai clic su Salva.
Il nome del livello di accesso viene visualizzato nell'elenco dei livelli di accesso assegnati accanto all'app.
Assegnare livelli di accesso personalizzati per le risorse protette da IAP
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["# Create and assign custom access levels using Falcon ZTA data\n\nThis document shows you how to create device-based custom access levels using Falcon ZTA\ndata and assign those access levels to your organizational resources.\n\nBefore you begin\n----------------\n\n- [Set up Chrome Enterprise Premium and Falcon ZTA integration](/chrome-enterprise-premium/docs/setting-up-cs).\n- Upgrade to Chrome Enterprise Premium, which is the paid subscription of Chrome Enterprise Premium. To upgrade, [contact our sales team](https://go.chronicle.security/beyondcorp-enterprise-upgrade).\n- Ensure that you have one of the following Identity and Access Management roles:\n - Access Context Manager Admin (`roles/accesscontextmanager.policyAdmin`)\n - Access Context Manager Editor (`roles/accesscontextmanager.policyEditor`)\n- Understand the objects and attributes that are used to build the [Common Expression Language (CEL)](https://opensource.google.com/projects/cel) expressions for custom access levels. For details, see [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n\nCreate custom access levels\n---------------------------\n\nYou can create access levels with one or more conditions. If you want the users'\ndevices to satisfy multiple conditions (a logical AND of conditions), create\nan access level that contains all the required conditions.\n\nTo create a new custom access level using the data provided by Falcon ZTA, do the\nfollowing:\n\n1. Go to the **Access Context Manager** page in the Google Cloud console.\n\n [Go to Access Context Manager](https://console.cloud.google.com/security/access-level)\n2. If you are prompted, select your organization.\n3. On the **Access Context Manager** page, click **New**.\n4. In the **New Access Level** pane, enter the following:\n 1. In the **Access level title** field, enter a title for the access level. The title must be at most 50 characters, start with a letter, and can contain only numbers, letters, underscores, and spaces.\n 2. In the **Create Conditions in** section, select **Advanced Mode**.\n 3. In the **Conditions** section, enter the expressions for your custom access level. The condition must resolve to a single boolean value.\n\n To find the available CrowdStrike fields for your CEL expression, you can review the\n [Falcon ZTA data](/chrome-enterprise-premium/docs/setting-up-cs#verify-client-data)\n collected for your devices.\n **Examples**\n\n The following CEL expression creates a rule that allows access only from\n Falcon ZTA-managed devices with an OS assessment score higher than 50: \n\n ```scdoc\n device.vendors[\"CrowdStrike\"].is_managed_device == true && device.vendors[\"CrowdStrike\"].data[\"assessment.os\"] \u003e 50.0\n ```\n\n The following CEL expression creates a rule that allows access only from devices that\n Falcon ZTA assessed in the last two days. The `iat` (issued at) field is provided\n as part of the Falcon ZTA's zero trust assessment. \n\n ```text\n request.time - timestamp(device.vendors[\"CrowdStrike\"].data[\"iat\"]) \u003c duration(\"48h\")\n \n ```\n | **Note:** We recommend setting a value more than 90 minutes for `duration` because Chrome Enterprise Premium has an innate delay of 90 minutes for getting any new assessment by Falcon ZTA.\n\n The following CEL expression creates a rule that allows access only from devices whose\n Falcon ZTA's assessment is not expired. The `exp` field (expiry) field is\n provided as part of the Falcon ZTA's zero trust assessment. \n\n ```text\n timestamp(device.vendors[\"CrowdStrike\"].data[\"exp\"]) - request.time \u003e duration(\"0m\")\n \n ```\n\n For examples and more information about Common Expression Language\n (CEL) support and custom access levels, see the [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n 4. Click **Save**.\n\nAssign custom access levels\n---------------------------\n\nYou can assign custom access levels to control access to\napplications. These applications include [Google Workspace](https://workspace.google.com/) apps\nand the applications that are protected by [Identity-Aware Proxy](/iap/docs/concepts-overview)\non Google Cloud (also known as IAP-secured resource).\nYou can assign one or more access levels for the apps. If you\nselect multiple access levels, users' devices only need to satisfy the conditions in **one**\nof the access levels to be granted access to the app.\n| **Note:** If you want user devices to satisfy conditions in more than one access level (a logical AND of access levels), create an access level with all the required conditions.\n\n### Assign custom access levels for Google Workspace applications\n\nAssign access levels for Google Workspace applications\nfrom the Google Workspace Admin console:\n\n1. From the Admin console Home page, go to **Security \\\u003e Context-Aware Access**.\n\n [Go to Context-Aware Access](https://admin.google.com/u/1/ac/security/context-aware)\n2. Click **Assign access levels**.\n\n You see a list of apps.\n3. In the **Organizational units** section, select your organizational unit or group.\n4. Select the app for which you want to assign an access level, and click **Assign**.\n\n You see a list of all access levels. Access levels are a shared resource\n between Google Workspace, Cloud Identity, and Google Cloud so you\n might see access levels that you didn't create in the list.\n5. Select one or more access levels for the app.\n6. To apply the access levels to users on desktop and mobile apps (and on the browser), select **Apply to Google desktop and mobile apps**. This checkbox applies to built-in apps only.\n7. Click **Save**. The access level name displays in the assigned access levels list next to the app.\n\n### Assign custom access levels for IAP-secured resources\n\nTo assign access levels for IAP-secured\nresources from the Google Cloud console, follow the instructions in\n[Apply an access level for IAP-secured resources](/chrome-enterprise-premium/docs/access-levels#applying_an_access_level)."]]
