Benutzerdefinierte Zugriffsebenen mit Microsoft Intune-Daten erstellen und zuweisen
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument erfahren Sie, wie Sie mit Intune-Daten gerätebasierte benutzerdefinierte Zugriffsebenen erstellen und Ihren Organisationsressourcen zuweisen.
Sie können Zugriffsebenen mit einer oder mehreren Bedingungen erstellen. Wenn die Geräte der Nutzer mehrere Bedingungen erfüllen sollen (ein logisches UND von Bedingungen), erstellen Sie eine Zugriffsebene, die alle erforderlichen Bedingungen enthält.
So erstellen Sie eine neue benutzerdefinierte Zugriffsebene mit den von Intune bereitgestellten Daten:
Rufen Sie die Seite Access Context Manager in der Google Cloud Console auf.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf der Seite Access Context Manager auf Neu.
Geben Sie im Bereich Neue Zugriffsebene Folgendes ein:
Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene ein.
Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.
Wählen Sie im Abschnitt Bedingungen erstellen in die Option Erweiterter Modus aus.
Geben Sie im Abschnitt Bedingungen die Ausdrücke für Ihre benutzerdefinierte Zugriffsebene ein. Die Bedingung muss in einen einzelnen booleschen Wert aufgelöst werden.
Informationen zu den verfügbaren Intune-Feldern für Ihren CEL-Ausdruck finden Sie in den Intune-Daten, die für Ihre Geräte erfasst wurden.
Beispiele
Der folgende CEL-Ausdruck erstellt eine Regel, die den Zugriff nur von Intune-verwalteten Geräten zulässt, die den Richtlinien entsprechen:
Der folgende CEL-Ausdruck erstellt eine Regel, die den Zugriff nur von Geräten zulässt, die in den letzten drei Tagen mit Intune synchronisiert wurden. Das Feld lastSyncDateTime wird von Intune bereitgestellt.
Sie können benutzerdefinierte Zugriffsebenen zuweisen, um den Zugriff auf Anwendungen zu steuern. Dazu gehören Google Workspace-Anwendungen und Anwendungen, die durch Identity-Aware Proxy in Google Cloud geschützt sind(auch als IAP-gesicherte Ressource bezeichnet).
Sie können den Anwendungen eine oder mehrere Zugriffsebenen zuweisen. Wenn Sie mehrere Zugriffsebenen auswählen, müssen die Geräte der Nutzer nur die Bedingungen in einer der Zugriffsebenen erfüllen, um Zugriff auf die App zu erhalten.
Benutzerdefinierte Zugriffsebenen für Google Workspace-Anwendungen zuweisen
Weisen Sie Zugriffsebenen für Google Workspace-Anwendungen über die Google Workspace-Admin-Konsole zu:
Klicken Sie auf der Startseite der Admin-Konsole auf Sicherheit > Kontextsensitiver Zugriff.
Wählen Sie im Abschnitt Organisationseinheiten Ihre Organisationseinheit oder Gruppe aus.
Wählen Sie die Anwendung aus, der Sie eine Zugriffsebene zuweisen möchten, und klicken Sie auf Zuweisen.
Eine Liste mit allen Zugriffsebenen wird angezeigt. Zugriffsebenen sind eine freigegebene Ressource von Google Workspace, Cloud Identity und Google Cloud . Daher können Sie in der Liste Zugriffsebenen sehen, die Sie nicht erstellt haben.
Wählen Sie mindestens eine Zugriffsebene für die App aus.
Wählen Sie Auf Desktop- und mobile Apps von Google anwenden aus, um die Zugriffsebenen auf Nutzer in Desktop- und mobilen Apps (und im Browser) anzuwenden.
Dieses Kästchen gilt nur für integrierte Anwendungen.
Klicken Sie auf Speichern.
Der Name der Zugriffsebene wird in der Liste der zugewiesenen Zugriffsebenen neben der Anwendung angezeigt.
Benutzerdefinierte Zugriffsebenen für mit IAP gesicherte Ressourcen zuweisen
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-05 (UTC)."],[],[],null,["# Create and assign custom access levels using Microsoft Intune data\n\nThis document shows you how to create device-based custom access levels using Intune\ndata and assign those access levels to your organizational resources.\n\nBefore you begin\n----------------\n\n- [Set up Chrome Enterprise Premium integration with Microsoft Intune](/chrome-enterprise-premium/docs/setting-up-intune).\n- Upgrade to Chrome Enterprise Premium, which is the paid subscription of Chrome Enterprise Premium. To upgrade, [contact our sales team](https://go.chronicle.security/beyondcorp-enterprise-upgrade).\n- Ensure that you have one of the following Identity and Access Management roles:\n - Access Context Manager Admin (`roles/accesscontextmanager.policyAdmin`)\n - Access Context Manager Editor (`roles/accesscontextmanager.policyEditor`)\n- Understand the objects and attributes that are used to build the [Common Expression Language (CEL)](https://opensource.google.com/projects/cel) expressions for custom access levels. For details, see [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n\nCreate custom access levels\n---------------------------\n\nYou can create access levels with one or more conditions. If you want the users'\ndevices to satisfy multiple conditions (a logical AND of conditions), create\nan access level that contains all the required conditions.\n\nTo create a new custom access level using the data provided by Intune, do the\nfollowing:\n\n1. Go to the **Access Context Manager** page in the Google Cloud console.\n\n [Go to Access Context Manager](https://console.cloud.google.com/security/access-level)\n2. If you are prompted, select your organization.\n3. On the **Access Context Manager** page, click **New**.\n4. In the **New Access Level** pane, enter the following:\n 1. In the **Access level title** field, enter a title for the access level. The title must be at most 50 characters, start with a letter, and can contain only numbers, letters, underscores, and spaces.\n 2. In the **Create Conditions in** section, select **Advanced Mode**.\n 3. In the **Conditions** section, enter the expressions for your custom access level. The condition must resolve to a single boolean value.\n\n To find the available Intune fields for your CEL expression, you can review the\n [Intune data](/chrome-enterprise-premium/docs/setting-up-intune#verify-client-data)\n collected for your devices.\n **Examples**\n\n The following CEL expression creates a rule that allows access only from\n Intune-managed devices that are compliant: \n\n ```scdoc\n device.vendors[\"Intune\"].is_managed_device == true && device.vendors[\"Intune\"].data[\"complianceState\"] == \"compliant\"\n ```\n\n The following CEL expression creates a rule that allows access only from devices that Intune synced in the last three days. The `lastSyncDateTime` field is provided by Intune. \n\n ```text\n request.time - timestamp(device.vendors[\"Intune\"].data[\"lastSyncDateTime\"]) \u003c duration(\"72h\")\n \n ```\n | **Note:** Chrome Enterprise Premium can take up to 60 minutes to pull updates from Intune, and Intune syncs only a few times in a day if the device is active. Therefore, we recommend accommodating this schedule when planning the freshness duration.\n\n For examples and more information about Common Expression Language\n (CEL) support and custom access levels, see the [Custom access level specification](/access-context-manager/docs/custom-access-level-spec).\n 4. Click **Save**.\n\nAssign custom access levels\n---------------------------\n\nYou can assign custom access levels to control access to\napplications. These applications include [Google Workspace](https://workspace.google.com/) apps\nand the applications that are protected by [Identity-Aware Proxy](/iap/docs/concepts-overview)\non Google Cloud (also known as IAP-secured resource).\nYou can assign one or more access levels for the apps. If you\nselect multiple access levels, users' devices only need to satisfy the conditions in **one**\nof the access levels to be granted access to the app.\n| **Note:** If you want user devices to satisfy conditions in more than one access level (a logical AND of access levels), create an access level with all the required conditions.\n\n### Assign custom access levels for Google Workspace applications\n\nAssign access levels for Google Workspace applications\nfrom the Google Workspace Admin console:\n\n1. From the Admin console Home page, go to **Security \\\u003e Context-Aware Access**.\n\n [Go to Context-Aware Access](https://admin.google.com/u/1/ac/security/context-aware)\n2. Click **Assign access levels**.\n\n You see a list of apps.\n3. In the **Organizational units** section, select your organizational unit or group.\n4. Select the app for which you want to assign an access level, and click **Assign**.\n\n You see a list of all access levels. Access levels are a shared resource\n between Google Workspace, Cloud Identity, and Google Cloud so you\n might see access levels that you didn't create in the list.\n5. Select one or more access levels for the app.\n6. To apply the access levels to users on desktop and mobile apps (and on the browser), select **Apply to Google desktop and mobile apps**. This checkbox applies to built-in apps only.\n7. Click **Save**. The access level name displays in the assigned access levels list next to the app.\n\n### Assign custom access levels for IAP-secured resources\n\nTo assign access levels for IAP-secured\nresources from the Google Cloud console, follow the instructions in\n[Apply an access level for IAP-secured resources](/chrome-enterprise-premium/docs/access-levels#applying_an_access_level).\n\nWhat's next\n-----------\n\n- [Monitor device inventory](/chrome-enterprise-premium/docs/view-inventory-intune)"]]
