本文档介绍了管理员如何分配基于设备的访问权限级别,以控制对应用的访问权限。这些应用包括 Google Workspace 资源,以及 Google Cloud 上受 Identity-Aware Proxy 保护的应用(也称为受 IAP 保护的资源)。
准备工作
要完成本页面上的任务,您必须拥有以下角色之一:
- Access Context Manager Admin (
roles/accesscontextmanager.policyAdmin
) - Access Context Manager Editor (
roles/accesscontextmanager.policyEditor
)
为资源分配基于设备的访问权限级别
分配基于设备的访问权限级别的方式取决于您使用的是 Google Workspace 还是 Google Cloud 资源:
Google Workspace
作为管理员,您可以在 Google 管理控制台中使用情境感知访问权限,为应用分配一个或多个访问权限级别。如果您选择多个访问权限级别,则设备必须仅满足其中一个访问权限级别的条件,才能获得应用的访问权限。
通过 Google Workspace 管理控制台为 Google Workspace 应用分配访问权限级别:
在管理控制台首页,转到安全>情境感知访问权限。
转到“情境感知访问权限”点击分配访问权限级别。
您会看到一个应用列表。
- 在单位部门部分中,选择您的单位部门或群组。
选择要为哪个应用分配访问权限级别,然后点击分配。
您会看到包含所有访问权限级别的列表。访问权限级别是 Google Workspace、Cloud Identity 和 Google Cloud 之间的共享资源,因此您可能会在列表中看到不是由您创建的访问权限级别。
- 为应用选择一个或多个访问权限级别。
- 要将访问权限级别应用于桌面和移动应用(以及浏览器)用户,请选择应用于 Google 桌面和移动应用。 此复选框仅适用于内置应用。
- 点击保存。 访问权限级别的名称会显示在该应用旁边的已分配访问权限级别的列表中。
Google Cloud
您可以通过更新受 IAP 保护的资源的 IAM 政策为其分配访问权限级别。有关说明,请参阅 BeyondCorp Enterprise 文档中的为受 IAP 保护的资源应用访问权限级别。