Criar e atribuir níveis de acesso personalizados com os dados da ZTA da Falcon
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este documento mostra como criar níveis de acesso personalizados baseados em dispositivo usando dados do Falcon ZTA e atribuir esses níveis de acesso aos seus recursos organizacionais.
É possível criar níveis de acesso com uma ou mais condições. Se você quiser que os dispositivos dos usuários atendam a várias condições (uma lógica AND de condições), crie um nível de acesso que contenha todas as condições necessárias.
Para criar um novo nível de acesso personalizado usando os dados fornecidos pelo Falcon ZTA, faça o seguinte:
Acesse a página do Access Context Manager no console Google Cloud .
No painel Novo nível de acesso, digite o seguinte:
Na caixa Título do nível de acesso, digite um título para o nível de acesso.
O título precisa ter no máximo 50 caracteres, começar com uma letra e pode conter apenas números, letras, sublinhados e espaços.
Na seção Criar condições em, selecione Modo avançado.
Na seção Condições, insira as expressões para seu nível de acesso personalizado. A condição precisa ser resolvida como um único valor booleano.
Para encontrar os campos da CrowdStrike disponíveis para sua expressão CEL, revise os dados do Falcon ZTA coletados para seus dispositivos.
Exemplos
A expressão CEL a seguir cria uma regra que permite o acesso apenas a partir de dispositivos gerenciados pelo Falcon ZTA com uma pontuação de avaliação do SO maior que 50:
A expressão CEL a seguir cria uma regra que permite o acesso apenas a partir de dispositivos avaliados pelo Falcon ZTA nos últimos dois dias. O campo iat (emitido em) é fornecido como parte da avaliação de confiança zero da ZTA do Falcon.
A expressão CEL a seguir cria uma regra que permite o acesso apenas a partir de dispositivos cuja avaliação do Falcon ZTA não expirou. O campo exp (expiração) é fornecido como parte da avaliação de confiança zero da ZTA do Falcon.
Para ver exemplos e mais informações sobre o suporte à Common Expression Language (CEL) e os níveis de acesso personalizados, consulte a Especificação do nível de acesso personalizado.
Clique em Save.
Atribuir níveis de acesso personalizados
É possível atribuir níveis de acesso personalizados para controlar o acesso aos aplicativos. Esses aplicativos incluem apps do Google Workspace e aplicativos protegidos pelo Identity-Aware Proxy no Google Cloud (também conhecido como recurso protegido pelo IAP).
É possível atribuir um ou mais níveis de acesso aos apps. Se você selecionar vários níveis de acesso, os dispositivos dos usuários só precisarão atender às condições em um dos níveis de acesso para receber acesso ao app.
Atribuir níveis de acesso personalizados a aplicativos do Google Workspace
Atribua níveis de acesso aos aplicativos do Google Workspace no Admin Console do Google Workspace:
Na página inicial do Admin Console, acesse Segurança > Acesso baseado no contexto.
Na seção Unidades organizacionais, selecione uma unidade organizacional ou um grupo.
Selecione o app ao qual você quer atribuir um nível de acesso e clique em Atribuir.
Você verá uma lista de todos os níveis de acesso. Como os níveis de acesso são um recurso compartilhado entre o Google Workspace, o Cloud Identity e Google Cloud , você talvez veja na lista níveis de acesso que não criou.
Selecione um ou mais níveis de acesso para o app.
Para aplicar os níveis de acesso a usuários em apps para computador e dispositivos móveis (e no navegador), selecione Aplicar a apps do Google para computador e dispositivos móveis.
Essa caixa de seleção só é válida para os apps integrados.
Clique em Salvar.
O nome do nível de acesso é exibido ao lado do app, na lista de níveis de acesso atribuídos.
Atribuir níveis de acesso personalizados a recursos protegidos pelo IAP
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-05 UTC."],[],[],null,["# Create and assign custom access levels using Falcon ZTA data\n\nThis document shows you how to create device-based custom access levels using Falcon ZTA\ndata and assign those access levels to your organizational resources.\n\nBefore you begin\n----------------\n\n- [Set up Chrome Enterprise Premium and Falcon ZTA integration](/chrome-enterprise-premium/docs/setting-up-cs).\n- Upgrade to Chrome Enterprise Premium, which is the paid subscription of Chrome Enterprise Premium. To upgrade, [contact our sales team](https://go.chronicle.security/beyondcorp-enterprise-upgrade).\n- Ensure that you have one of the following Identity and Access Management roles:\n - Access Context Manager Admin (`roles/accesscontextmanager.policyAdmin`)\n - Access Context Manager Editor (`roles/accesscontextmanager.policyEditor`)\n- Understand the objects and attributes that are used to build the [Common Expression Language (CEL)](https://opensource.google.com/projects/cel) expressions for custom access levels. For details, see [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n\nCreate custom access levels\n---------------------------\n\nYou can create access levels with one or more conditions. If you want the users'\ndevices to satisfy multiple conditions (a logical AND of conditions), create\nan access level that contains all the required conditions.\n\nTo create a new custom access level using the data provided by Falcon ZTA, do the\nfollowing:\n\n1. Go to the **Access Context Manager** page in the Google Cloud console.\n\n [Go to Access Context Manager](https://console.cloud.google.com/security/access-level)\n2. If you are prompted, select your organization.\n3. On the **Access Context Manager** page, click **New**.\n4. In the **New Access Level** pane, enter the following:\n 1. In the **Access level title** field, enter a title for the access level. The title must be at most 50 characters, start with a letter, and can contain only numbers, letters, underscores, and spaces.\n 2. In the **Create Conditions in** section, select **Advanced Mode**.\n 3. In the **Conditions** section, enter the expressions for your custom access level. The condition must resolve to a single boolean value.\n\n To find the available CrowdStrike fields for your CEL expression, you can review the\n [Falcon ZTA data](/chrome-enterprise-premium/docs/setting-up-cs#verify-client-data)\n collected for your devices.\n **Examples**\n\n The following CEL expression creates a rule that allows access only from\n Falcon ZTA-managed devices with an OS assessment score higher than 50: \n\n ```scdoc\n device.vendors[\"CrowdStrike\"].is_managed_device == true && device.vendors[\"CrowdStrike\"].data[\"assessment.os\"] \u003e 50.0\n ```\n\n The following CEL expression creates a rule that allows access only from devices that\n Falcon ZTA assessed in the last two days. The `iat` (issued at) field is provided\n as part of the Falcon ZTA's zero trust assessment. \n\n ```text\n request.time - timestamp(device.vendors[\"CrowdStrike\"].data[\"iat\"]) \u003c duration(\"48h\")\n \n ```\n | **Note:** We recommend setting a value more than 90 minutes for `duration` because Chrome Enterprise Premium has an innate delay of 90 minutes for getting any new assessment by Falcon ZTA.\n\n The following CEL expression creates a rule that allows access only from devices whose\n Falcon ZTA's assessment is not expired. The `exp` field (expiry) field is\n provided as part of the Falcon ZTA's zero trust assessment. \n\n ```text\n timestamp(device.vendors[\"CrowdStrike\"].data[\"exp\"]) - request.time \u003e duration(\"0m\")\n \n ```\n\n For examples and more information about Common Expression Language\n (CEL) support and custom access levels, see the [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n 4. Click **Save**.\n\nAssign custom access levels\n---------------------------\n\nYou can assign custom access levels to control access to\napplications. These applications include [Google Workspace](https://workspace.google.com/) apps\nand the applications that are protected by [Identity-Aware Proxy](/iap/docs/concepts-overview)\non Google Cloud (also known as IAP-secured resource).\nYou can assign one or more access levels for the apps. If you\nselect multiple access levels, users' devices only need to satisfy the conditions in **one**\nof the access levels to be granted access to the app.\n| **Note:** If you want user devices to satisfy conditions in more than one access level (a logical AND of access levels), create an access level with all the required conditions.\n\n### Assign custom access levels for Google Workspace applications\n\nAssign access levels for Google Workspace applications\nfrom the Google Workspace Admin console:\n\n1. From the Admin console Home page, go to **Security \\\u003e Context-Aware Access**.\n\n [Go to Context-Aware Access](https://admin.google.com/u/1/ac/security/context-aware)\n2. Click **Assign access levels**.\n\n You see a list of apps.\n3. In the **Organizational units** section, select your organizational unit or group.\n4. Select the app for which you want to assign an access level, and click **Assign**.\n\n You see a list of all access levels. Access levels are a shared resource\n between Google Workspace, Cloud Identity, and Google Cloud so you\n might see access levels that you didn't create in the list.\n5. Select one or more access levels for the app.\n6. To apply the access levels to users on desktop and mobile apps (and on the browser), select **Apply to Google desktop and mobile apps**. This checkbox applies to built-in apps only.\n7. Click **Save**. The access level name displays in the assigned access levels list next to the app.\n\n### Assign custom access levels for IAP-secured resources\n\nTo assign access levels for IAP-secured\nresources from the Google Cloud console, follow the instructions in\n[Apply an access level for IAP-secured resources](/chrome-enterprise-premium/docs/access-levels#applying_an_access_level)."]]
