使用 Microsoft Intune 資料建立及指派自訂存取層級

本文說明如何使用 Intune 資料建立以裝置為準的自訂存取層級,並將這些存取層級指派給貴機構的資源。

事前準備

建立自訂存取層級

您可以建立包含一或多個條件的存取層級。如果您希望使用者的裝置符合多個條件 (使用「且」邏輯運算子的條件),請建立包含所有必要條件的存取層級。

如要使用 Intune 提供的資料建立新的自訂存取層級,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Access Context Manager」頁面。

    前往 Access Context Manager
  2. 如果系統提示您選取機構,請依提示選取您的機構。
  3. 在「Access Context Manager」頁面中,按一下「New」
  4. 在「New Access Level」窗格中輸入以下內容:
    1. 在「Access level title」(存取層級標題) 欄位中輸入存取層級的標題。 標題長度不得超過 50 個字元,開頭必須是英文字母,且只能包含數字、英文字母、底線和空格。
    2. 在「Create Conditions in」部分,選取「Advanced Mode」
    3. 在「條件」部分中,輸入自訂存取層級的運算式。條件必須解析為單一布林值。

      如要找出 CEL 運算式可用的 Intune 欄位,請查看為裝置收集的 Intune 資料

      示例

      下列 CEL 運算式會建立規則,只允許符合規定的 Intune 管理裝置存取:

      device.vendors["Intune"].is_managed_device == true && device.vendors["Intune"].data["complianceState"] == "compliant"

      下列 CEL 運算式會建立規則,只允許在過去三天內由 Intune 同步的裝置存取。lastSyncDateTime 欄位由 Intune 提供。

      request.time - timestamp(device.vendors["Intune"].data["lastSyncDateTime"]) < duration("72h")

      如需一般運算語言 (CEL) 支援和自訂存取層級的範例和詳細資訊,請參閱自訂存取層級規格

    4. 按一下 [儲存]

指派自訂存取層級

您可以指派自訂存取層級,藉此控管應用程式的存取權。這些應用程式包括 Google Workspace 應用程式,以及在 Google Cloud 上由 Identity-Aware Proxy 保護的應用程式(也稱為 IAP 安全資源)。您可以為應用程式指派一或多個存取層級。如果您選取多個存取層級,使用者的裝置只需滿足「其中一個」存取層級的條件,即可取得應用程式存取權。

為 Google Workspace 應用程式指派自訂存取層級

透過 Google Workspace 管理控制台指派 Google Workspace 應用程式的存取層級:

  1. 在管理控制台首頁中,依序前往「安全性」>「情境感知存取權」

    前往「情境感知存取權」

  2. 按一下「指派存取層級」

    系統隨即會顯示應用程式清單。

  3. 在「機構單位」部分中,選取機構單位或群組。

  4. 選取要指派存取層級的應用程式,然後按一下「指派」

    指派存取層級

    畫面上會顯示所有存取層級的清單。由於存取層級是 Google Workspace、Cloud Identity 和 Google Cloud 的共用資源,因此您可能會在這份清單中看到他人建立的存取層級。

  5. 為應用程式選取一或多個存取層級。
  6. 如要對電腦版和行動版 (以及瀏覽器版) 應用程式使用者套用存取層級,請選取「套用到 Google 電腦版和行動版應用程式」。這個核取方塊僅適用於內建應用程式。
  7. 按一下「Save」(儲存)。存取層級名稱會顯示在應用程式旁邊的已指派存取層級清單中。

為受 IAP 保護的資源指派自訂存取層級

如要透過 Google Cloud 控制台為受 IAP 保護的資源指派存取層級,請按照「為受 IAP 保護的資源套用存取層級」中的指示操作。

後續步驟