本文档介绍了管理员如何分配基于设备的访问权限级别,以控制对应用的访问权限。这些应用包括 Google Workspace 资源,以及 Google Cloud 上受 Identity-Aware Proxy 保护的应用(也称为受 IAP 保护的资源)。
准备工作
如需完成本页中的任务,您必须具有以下角色之一:
- Access Context Manager Admin (
roles/accesscontextmanager.policyAdmin
) - Access Context Manager Editor (
roles/accesscontextmanager.policyEditor
)
为资源分配基于设备的访问权限级别
您分配基于设备的访问权限级别的方式取决于您使用的是 Google Workspace 还是 Google Cloud 资源:
Google Workspace
作为管理员,您可以通过 Google 管理控制台使用情境感知访问权限为应用分配一个或多个访问权限级别。如果您选择多个访问权限级别,则设备只需满足其中一个访问权限级别中的条件,即可被授予应用访问权限。
通过 Google Workspace 管理控制台为 Google Workspace 应用分配访问权限级别:
在管理控制台首页,转到安全>情境感知访问权限。
转到“情境感知访问权限”点击分配访问权限级别。
您会看到一个应用列表。
- 在单位部门部分中,选择您的单位部门或群组。
选择要为哪个应用分配访问权限级别,然后点击分配。
您会看到包含所有访问权限级别的列表。访问权限级别是 Google Workspace、Cloud Identity 和 Google Cloud 之间共用的资源,因此您可能会在列表中看到不是由您创建的访问权限级别。
- 为应用选择一个或多个访问权限级别。
- 要将访问权限级别应用于桌面和移动应用(以及浏览器)用户,请选择应用于 Google 桌面和移动应用。 此复选框仅适用于内置应用。
- 点击保存。 访问权限级别的名称会显示在该应用旁边的已分配访问权限级别的列表中。
Google Cloud
您可以通过更新受 IAP 保护的资源的 IAM 政策来为其分配访问权限级别。如需了解相关说明,请参阅 Chrome Enterprise Premium 文档中的为受 IAP 保护的资源应用访问权限级别。