本文档介绍了管理员如何分配基于设备的访问权限级别 来控制对应用的访问权限。这些应用包括 Google Workspace 资源和 受到保护的应用 启用 Identity-Aware Proxy Google Cloud(也称为受 IAP 保护的资源)。
准备工作
如需完成此页面上的任务,您必须拥有以下角色之一:
- Access Context Manager Admin (
roles/accesscontextmanager.policyAdmin
) - Access Context Manager Editor (
roles/accesscontextmanager.policyEditor
)
针对资源分配基于设备的访问权限级别
基于设备的访问权限级别分配方式取决于您 使用 Google Workspace 或 Google Cloud 资源:
Google Workspace
作为管理员,您可以为应用分配一个或多个访问权限级别 设置情境感知访问权限。如果您选择 多个访问权限级别,那么设备必须满足以下条件: 授予应用访问权限的其中一种访问权限级别。
为 Google Workspace 应用分配访问权限级别 在 Google Workspace 管理控制台中执行相应操作:
在管理控制台首页,转到安全>情境感知访问权限。
转到“情境感知访问权限”点击分配访问权限级别。
您会看到一个应用列表。
- 在单位部门部分中,选择您的单位部门或群组。
选择要为哪个应用分配访问权限级别,然后点击分配。
您会看到包含所有访问权限级别的列表。访问权限级别是共享的资源 Google Workspace、Cloud Identity 和 Google Cloud 之间的无缝协作, 可能会在列表中看到不是由您创建的访问权限级别。
- 为应用选择一个或多个访问权限级别。
- 要将访问权限级别应用于桌面和移动应用(以及浏览器)用户,请选择应用于 Google 桌面和移动应用。 此复选框仅适用于内置应用。
- 点击保存。 访问权限级别的名称会显示在该应用旁边的已分配访问权限级别的列表中。
Google Cloud
您可以为受 IAP 保护的资源分配访问权限级别 更新其 IAM 政策。 有关说明,请参阅 为受 IAP 保护的资源应用访问权限级别 。