Crear y asignar niveles de acceso personalizados con datos de Microsoft Intune
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En este documento se explica cómo crear niveles de acceso personalizados basados en dispositivos con datos de Intune y cómo asignar esos niveles de acceso a los recursos de tu organización.
Puedes crear niveles de acceso con una o varias condiciones. Si quieres que los dispositivos de los usuarios cumplan varias condiciones (como si combinaras condiciones con un operador lógico "AND"), crea un nivel de acceso que incluya todas las condiciones necesarias.
Para crear un nivel de acceso personalizado con los datos proporcionados por Intune, sigue estos pasos:
Ve a la página Administrador de contextos de acceso de la consola de Google Cloud .
En la página Administrador de contextos de acceso, haz clic en Nuevo.
En el panel Nuevo nivel de acceso, introduce lo siguiente:
En el campo Título del nivel de acceso, introduce un título para el nivel de acceso.
El título debe tener 50 caracteres como máximo, empezar por una letra y solo puede contener números, letras, guiones bajos y espacios.
En la sección Crear condiciones en, selecciona Modo avanzado.
En la sección Condiciones, introduce las expresiones de tu nivel de acceso personalizado. La condición debe resolverse en un único valor booleano.
Para encontrar los campos de Intune disponibles para tu expresión CEL, puedes consultar los datos de Intune
recogidos de tus dispositivos.
Ejemplos
La siguiente expresión CEL crea una regla que permite el acceso solo desde dispositivos gestionados por Intune que cumplen los requisitos:
La siguiente expresión CEL crea una regla que permite el acceso solo desde dispositivos que Intune haya sincronizado en los últimos tres días. El campo lastSyncDateTime lo proporciona Intune.
Para ver ejemplos y obtener más información sobre la compatibilidad con el lenguaje de expresión común (CEL) y los niveles de acceso personalizados, consulta la especificación de niveles de acceso personalizados.
Haz clic en Guardar.
Asignar niveles de acceso personalizados
Puedes asignar niveles de acceso personalizados para controlar el acceso a las aplicaciones. Estas aplicaciones incluyen las aplicaciones de Google Workspace y las aplicaciones protegidas por Identity-Aware Proxy
en Google Cloud (también conocido como recurso protegido mediante IAP).
Puedes asignar uno o varios niveles de acceso a las aplicaciones. Si seleccionas varios niveles de acceso, los dispositivos de los usuarios solo tienen que cumplir las condiciones de uno de los niveles de acceso para obtener acceso a la aplicación.
Asignar niveles de acceso personalizados a aplicaciones de Google Workspace
Asigna niveles de acceso a las aplicaciones de Google Workspace desde la consola de administración de Google Workspace:
En la página principal de la consola de administración, ve a Seguridad > Acceso contextual.
En la sección Unidades organizativas, selecciona la unidad organizativa o el grupo que quieras.
Selecciona la aplicación a la que quieras asignar un nivel de acceso y haz clic en Asignar.
Aparecerá una lista con todos los niveles de acceso. Los niveles de acceso son un recurso compartido entre Google Workspace, Cloud Identity y Google Cloud , por lo que es posible que en la lista aparezcan niveles de acceso que no hayas creado tú.
Selecciona uno o varios niveles de acceso.
Para aplicar los niveles de acceso a usuarios de forma que puedan utilizar aplicaciones móviles o para ordenadores (y en el navegador), selecciona Implementar en las aplicaciones móviles y para ordenador de Google.
Esta casilla solo puede marcarse con aplicaciones integradas.
Haz clic en Guardar.
El nombre del nivel de acceso se muestra en la lista de niveles de acceso asignados junto a la aplicación.
Asignar niveles de acceso personalizados a recursos protegidos mediante IAP
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[],[],null,["# Create and assign custom access levels using Microsoft Intune data\n\nThis document shows you how to create device-based custom access levels using Intune\ndata and assign those access levels to your organizational resources.\n\nBefore you begin\n----------------\n\n- [Set up Chrome Enterprise Premium integration with Microsoft Intune](/chrome-enterprise-premium/docs/setting-up-intune).\n- Upgrade to Chrome Enterprise Premium, which is the paid subscription of Chrome Enterprise Premium. To upgrade, [contact our sales team](https://go.chronicle.security/beyondcorp-enterprise-upgrade).\n- Ensure that you have one of the following Identity and Access Management roles:\n - Access Context Manager Admin (`roles/accesscontextmanager.policyAdmin`)\n - Access Context Manager Editor (`roles/accesscontextmanager.policyEditor`)\n- Understand the objects and attributes that are used to build the [Common Expression Language (CEL)](https://opensource.google.com/projects/cel) expressions for custom access levels. For details, see [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n\nCreate custom access levels\n---------------------------\n\nYou can create access levels with one or more conditions. If you want the users'\ndevices to satisfy multiple conditions (a logical AND of conditions), create\nan access level that contains all the required conditions.\n\nTo create a new custom access level using the data provided by Intune, do the\nfollowing:\n\n1. Go to the **Access Context Manager** page in the Google Cloud console.\n\n [Go to Access Context Manager](https://console.cloud.google.com/security/access-level)\n2. If you are prompted, select your organization.\n3. On the **Access Context Manager** page, click **New**.\n4. In the **New Access Level** pane, enter the following:\n 1. In the **Access level title** field, enter a title for the access level. The title must be at most 50 characters, start with a letter, and can contain only numbers, letters, underscores, and spaces.\n 2. In the **Create Conditions in** section, select **Advanced Mode**.\n 3. In the **Conditions** section, enter the expressions for your custom access level. The condition must resolve to a single boolean value.\n\n To find the available Intune fields for your CEL expression, you can review the\n [Intune data](/chrome-enterprise-premium/docs/setting-up-intune#verify-client-data)\n collected for your devices.\n **Examples**\n\n The following CEL expression creates a rule that allows access only from\n Intune-managed devices that are compliant: \n\n ```scdoc\n device.vendors[\"Intune\"].is_managed_device == true && device.vendors[\"Intune\"].data[\"complianceState\"] == \"compliant\"\n ```\n\n The following CEL expression creates a rule that allows access only from devices that Intune synced in the last three days. The `lastSyncDateTime` field is provided by Intune. \n\n ```text\n request.time - timestamp(device.vendors[\"Intune\"].data[\"lastSyncDateTime\"]) \u003c duration(\"72h\")\n \n ```\n | **Note:** Chrome Enterprise Premium can take up to 60 minutes to pull updates from Intune, and Intune syncs only a few times in a day if the device is active. Therefore, we recommend accommodating this schedule when planning the freshness duration.\n\n For examples and more information about Common Expression Language\n (CEL) support and custom access levels, see the [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n 4. Click **Save**.\n\nAssign custom access levels\n---------------------------\n\nYou can assign custom access levels to control access to\napplications. These applications include [Google Workspace](https://workspace.google.com/) apps\nand the applications that are protected by [Identity-Aware Proxy](/iap/docs/concepts-overview)\non Google Cloud (also known as IAP-secured resource).\nYou can assign one or more access levels for the apps. If you\nselect multiple access levels, users' devices only need to satisfy the conditions in **one**\nof the access levels to be granted access to the app.\n| **Note:** If you want user devices to satisfy conditions in more than one access level (a logical AND of access levels), create an access level with all the required conditions.\n\n### Assign custom access levels for Google Workspace applications\n\nAssign access levels for Google Workspace applications\nfrom the Google Workspace Admin console:\n\n1. From the Admin console Home page, go to **Security \\\u003e Context-Aware Access**.\n\n [Go to Context-Aware Access](https://admin.google.com/u/1/ac/security/context-aware)\n2. Click **Assign access levels**.\n\n You see a list of apps.\n3. In the **Organizational units** section, select your organizational unit or group.\n4. Select the app for which you want to assign an access level, and click **Assign**.\n\n You see a list of all access levels. Access levels are a shared resource\n between Google Workspace, Cloud Identity, and Google Cloud so you\n might see access levels that you didn't create in the list.\n5. Select one or more access levels for the app.\n6. To apply the access levels to users on desktop and mobile apps (and on the browser), select **Apply to Google desktop and mobile apps**. This checkbox applies to built-in apps only.\n7. Click **Save**. The access level name displays in the assigned access levels list next to the app.\n\n### Assign custom access levels for IAP-secured resources\n\nTo assign access levels for IAP-secured\nresources from the Google Cloud console, follow the instructions in\n[Apply an access level for IAP-secured resources](/chrome-enterprise-premium/docs/access-levels#applying_an_access_level).\n\nWhat's next\n-----------\n\n- [Monitor device inventory](/chrome-enterprise-premium/docs/view-inventory-intune)"]]
