Dokumen ini menunjukkan cara membuat tingkat akses kustom berbasis perangkat menggunakan data Intune dan menetapkan tingkat akses tersebut ke resource organisasi Anda.
Sebelum memulai
- Menyiapkan integrasi BeyondCorp Enterprise dengan Microsoft Intune .
- Upgrade ke BeyondCorp Enterprise Premium, yang merupakan langganan berbayar BeyondCorp Enterprise. Untuk melakukan upgrade, hubungi tim penjualan kami.
- Pastikan Anda memiliki salah satu peran Identity and Access Management berikut:
- Admin Access Context Manager (
roles/accesscontextmanager.policyAdmin) - Editor Access Context Manager (
roles/accesscontextmanager.policyEditor)
- Admin Access Context Manager (
- Pahami objek dan atribut yang digunakan untuk membangun ekspresi Common Expression Language (CEL) untuk tingkat akses kustom. Untuk mengetahui detailnya, lihat Spesifikasi tingkat akses kustom.
Buat tingkat akses kustom
Anda dapat membuat tingkat akses dengan satu atau beberapa kondisi. Jika Anda ingin perangkat pengguna memenuhi beberapa kondisi (AND logis dari kondisi), buat tingkat akses yang berisi semua kondisi yang diperlukan.
Untuk membuat tingkat akses kustom baru menggunakan data yang disediakan oleh Intune, lakukan hal berikut:
Buka halaman Access Context Manager di Konsol Google Cloud.
Buka Access Context Manager- Jika diminta, pilih organisasi Anda.
- Di halaman Access Context Manager, klik New.
- Di panel New Access Level, masukkan opsi berikut:
- Di kolom Judul tingkat akses, masukkan judul untuk tingkat akses. Judul harus berisi maksimal 50 karakter, diawali dengan huruf, dan hanya dapat berisi angka, huruf, garis bawah, serta spasi.
- Di bagian Buat Kondisi di, pilih Mode Lanjutan.
- Di bagian Kondisi, masukkan ekspresi untuk tingkat akses kustom Anda. Kondisi tersebut harus di-resolve menjadi satu nilai boolean.
Untuk menemukan kolom Intune yang tersedia untuk ekspresi CEL, Anda dapat meninjau data Intune yang dikumpulkan untuk perangkat Anda.
ContohEkspresi CEL berikut membuat aturan yang mengizinkan akses hanya dari perangkat yang dikelola Intune yang mematuhi kebijakan:
device.vendors["Intune"].is_managed_device == true && device.vendors["Intune"].data["complianceState"] == "compliant"
Ekspresi CEL berikut membuat aturan yang mengizinkan akses hanya dari perangkat yang disinkronkan dengan Intune dalam tiga hari terakhir. Kolom
lastSyncDateTimedisediakan oleh Intune.request.time - timestamp(device.vendors["Intune"].data["lastSyncDateTime"]) < duration("72h")Untuk mengetahui contoh dan informasi selengkapnya tentang dukungan Common Expression Language (CEL) dan tingkat akses kustom, lihat Spesifikasi tingkat akses kustom.
- Klik Simpan.
Tetapkan tingkat akses kustom
Anda dapat menetapkan tingkat akses kustom untuk mengontrol akses ke aplikasi. Aplikasi tersebut mencakup aplikasi Google Workspace dan aplikasi yang dilindungi oleh Identity-Aware Proxy di Google Cloud (juga dikenal sebagai resource yang diamankan oleh IAP). Anda dapat menetapkan satu atau beberapa tingkat akses untuk aplikasi. Jika Anda memilih beberapa tingkat akses, perangkat pengguna hanya perlu memenuhi kondisi di salah satu tingkat akses yang akan diberikan akses ke aplikasi.
Tetapkan tingkat akses kustom untuk aplikasi Google Workspace
Tetapkan tingkat akses untuk aplikasi Google Workspace dari konsol Admin Google Workspace:
Dari Halaman beranda konsol Admin, buka Keamanan > Akses Kontekstual.
Buka Akses KontekstualKlik Tetapkan tingkat akses.
Anda akan melihat daftar aplikasi.
- Di bagian Unit organisasi, pilih unit organisasi atau grup Anda.
Pilih aplikasi yang ingin Anda tetapkan tingkat aksesnya, lalu klik Tetapkan.
Anda akan melihat daftar semua tingkat akses. Tingkat akses adalah resource bersama antara Google Workspace, Cloud Identity, dan Google Cloud, sehingga Anda mungkin melihat tingkat akses yang tidak Anda buat dalam daftar.
- Pilih satu atau beberapa tingkat akses untuk aplikasi.
- Untuk menerapkan tingkat akses ke pengguna di aplikasi desktop dan seluler (serta di browser), pilih Terapkan untuk aplikasi seluler dan desktop Google. Kotak centang ini hanya berlaku untuk aplikasi bawaan.
- Klik Simpan. Nama tingkat akses akan ditampilkan dalam daftar tingkat akses yang ditetapkan di samping aplikasi.
Menetapkan tingkat akses kustom untuk resource yang diamankan oleh IAP
Guna menetapkan tingkat akses untuk resource yang diamankan oleh IAP dari Konsol Google Cloud, ikuti petunjuk di Menerapkan tingkat akses untuk resource yang diamankan oleh IAP.