Una vez que hayas creado niveles de acceso, puedes asignarlos a las aplicaciones. Puedes controlar el acceso por identidad de usuario, estado de seguridad del dispositivo, dirección IP y ubicación geográfica. También puedes controlar el acceso de las aplicaciones que intentan acceder a datos de Google Workspace a través de interfaces de programación de aplicaciones (APIs).
Cuando asignes niveles de acceso…
- Al seleccionar un nivel de acceso, se establece en el modo Monitor de forma predeterminada. De esta forma, no se bloqueará a usuarios por error al activar un nivel de acceso.
- Los usuarios obtienen acceso a la aplicación cuando cumplen las condiciones especificadas en uno de los niveles de acceso seleccionados (es decir, esto funciona como un operador lógico "OR" de los niveles de acceso de la lista). Si quieres que los usuarios tengan que cumplir las condiciones de más de un nivel de acceso (como si combinaras niveles de acceso con un operador lógico "AND"), crea un nivel de acceso que los incluya todos. Si quieres asignar más de 10 niveles de acceso para una aplicación, puedes usar niveles de acceso anidados.
- En las aplicaciones móviles, si utilizas Gmail integrado, puedes dar o denegar a la vez el acceso a Gmail, Google Chat y Google Meet. Si Google Chat y Google Meet se han implementado como aplicaciones independientes (no como parte de la experiencia integrada de Gmail), tendrás que dar o denegar el acceso a esas aplicaciones por separado.
Asignar niveles de acceso contextual a una aplicación
Antes de empezar: consulta cómo aplicar el ajuste a un departamento o un grupo si es necesario.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosAcceso contextual.
- Haz clic en Asignar niveles de acceso. Se mostrará una lista de aplicaciones.
- (Opcional) Para aplicar el ajuste solo a algunos usuarios, en el lateral, selecciona una unidad organizativa (que se suele usar para los departamentos) o un grupo de configuración (avanzado). Ver cómo
La configuración de los grupos prevalece sobre las unidades organizativas. Más información
- Coloca el cursor sobre una aplicación y haz clic en Asignar.
Para asignar los mismos niveles de acceso a varias aplicaciones a la vez, marca las casillas situadas junto a ellas y, en la parte superior, haz clic en Asignar.
- En la parte izquierda, haz clic en uno o varios niveles de acceso (hasta 10) para seleccionarlos. Los niveles de acceso seleccionados se muestran a la derecha y están configurados en el modo Monitor de forma predeterminada.
- Para probar cómo afectará la selección del nivel de acceso a los usuarios sin realmente bloquear el acceso, deja el ajuste en el modo Monitor.
- Si has probado un ajuste de nivel de acceso y quieres empezar a aplicarlo, cámbialo a Activo.
- Haz clic en Continuar.
- (Recomendado) Marca la casilla Impedir que los usuarios accedan a aplicaciones móviles y para ordenadores de Google si no se cumplen los niveles de acceso para aplicar los niveles de acceso a los usuarios de aplicaciones web, nativas para ordenadores, Android y iOS. Consulta la sección Comportamiento de la aplicación según la configuración del nivel de acceso, que aparece más abajo.
- (Opcional) Marca la casilla Impedir que otras aplicaciones accedan a las aplicaciones seleccionadas mediante APIs si no se cumplen los niveles de acceso para impedir que determinadas aplicaciones intenten acceder a los datos de Google Workspace con APIs públicas vulnerables.
- (Opcional) Para evitar que las aplicaciones de confianza se bloqueen mediante APIs vulnerables:
Disponible para su configuración por parte de unidades organizativas, no grupos de configuración, aunque puedas seleccionar un grupo en la consola de administración. Para obtener más información, consulta el artículo sobre casos prácticos relacionados con cómo evitar que aplicaciones de terceros de confianza se bloqueen.- Marca la casilla Eximir aplicaciones en la lista de permitidas para que siempre puedan acceder a determinados servicios de Google mediante APIs, independientemente de los niveles de acceso que tengan.
- Si no aparece una lista de aplicaciones o la aplicación que quieres excluir, haz clic en Ir al control de acceso de aplicaciones y sigue los pasos para confiar en la aplicación.
Cualquier aplicación de terceros que marques como De confianza en la página "Control de acceso de aplicaciones" aparecerá en la tabla de aplicaciones incluidas en la lista de permitidas. Es posible que algunas estén preseleccionadas si las marcas como De confianza y que estén exentas de la implementación obligatoria de APIs. - No puedes excluir aplicaciones de Google (como Drive, Calendar o Apps Script) del bloqueo de APIs. Estas aplicaciones aparecen atenuadas en la lista.
- Si es necesario, selecciona las aplicaciones que quieres que queden exentas de la implementación obligatoria de APIs y haz clic en Continuar.
- Haz clic en Continuar.
- Revisa el permiso, las aplicaciones y los niveles de acceso seleccionados, así como el modo de nivel de acceso (Monitor o activo).
- Haz clic en Asignar.
Volverás a la página de la lista de aplicaciones. La columna Niveles de acceso muestra el número de niveles de acceso aplicados a cada aplicación, tanto en el modo Monitor como en el modo activo.
Comportamiento de la aplicación según la configuración del nivel de accesoEn la siguiente tabla se resume el comportamiento en función de si marcas la casilla Impedir que los usuarios accedan a aplicaciones móviles y para ordenadores de Google si no se cumplen los niveles de acceso y de si implementas Verificación de endpoints. En las filas con el texto subrayado y en negrita, se muestra la configuración recomendada.
Principales términos de esta tabla:
- Nivel de acceso aplicado: el acceso se concede en función de los niveles de acceso que hayas configurado en la configuración de acceso contextual.
- Acceso permitido: el acceso contextual no se aplica, y se permiten todos los niveles de acceso.
- Acceso bloqueado: el acceso está bloqueado porque el acceso contextual no está configurado o la verificación de endpoints no está activada.
Nivel de acceso |
Acceso contextual habilitado |
Permitir o bloquear (nativas y web) |
||||
Móvil |
Ordenador |
|||||
Nativas para móviles |
Web para móviles |
Web para ordenadores |
Nativas para ordenadores |
¿Verificación de puntos finales implementada? |
||
Nivel de acceso solo con atributos de IP o geográficos |
Casilla Impedir que los usuarios accedan a aplicaciones móviles y para ordenadores de Google si no se cumplen los niveles de acceso seleccionada |
Nivel de acceso aplicado |
Nivel de acceso aplicado |
No es obligatorio |
||
Casilla Impedir que los usuarios accedan a aplicaciones móviles y para ordenadores de Google si no se cumplen los niveles de acceso no seleccionada |
Acceso permitido |
Nivel de acceso aplicado |
Nivel de acceso aplicado |
Acceso permitido |
No es obligatorio |
|
Nivel de acceso con atributos de dispositivo |
Casilla Impedir que los usuarios accedan a aplicaciones móviles y para ordenadores de Google si no se cumplen los niveles de acceso seleccionada |
Nivel de acceso aplicado |
Nivel de acceso aplicado |
Sí |
||
Casilla Impedir que los usuarios accedan a aplicaciones móviles y para ordenadores de Google si no se cumplen los niveles de acceso seleccionada |
Nivel de acceso aplicado |
Acceso bloqueado |
No |
|||
Casilla Impedir que los usuarios accedan a aplicaciones móviles y para ordenadores de Google si no se cumplen los niveles de acceso no seleccionada |
Acceso permitido |
Nivel de acceso aplicado |
Nivel de acceso aplicado |
Acceso permitido |
Sí |
|
Casilla Impedir que los usuarios accedan a aplicaciones móviles y para ordenadores de Google si no se cumplen los niveles de acceso no seleccionada | Acceso permitido | Nivel de acceso aplicado | Acceso bloqueado | Acceso permitido | No |
Revisar o modificar niveles de acceso asignados
Este ajuste se utiliza para aplicar cambios de forma local y no muestra las asignaciones heredadas.
- Coloca el cursor sobre la aplicación y haz clic en Asignar.
Los niveles de acceso seleccionados se muestran a la derecha.
- Realiza una de estas acciones:
- Haz clic en Quitar, en la parte izquierda, para anular la asignación de un nivel de acceso.
- En la parte derecha, cambia el nivel de acceso asignado de Monitor a activo, o viceversa.
- Para asignar más niveles de acceso, busca el que quieras en la parte izquierda y haz clic en Seleccionar.
- Haz clic en Continuar para configurar o cambiar los ajustes de la política (consulta los pasos 8 a 13 de la sección Asignar niveles de acceso contextual a una aplicación, que aparece más arriba).
Ver eventos registrados de un nivel de acceso
Utiliza la opción Ver informe para comprobar si los niveles de acceso asignados funcionan correctamente y controlar el acceso de los usuarios a las aplicaciones. Los niveles de acceso configurados en los modos Monitor o activo generan eventos que se incluyen en el registro de acceso contextual.
- Haz clic en Asignar niveles de acceso.
- Selecciona la UO o el grupo cuyos resultados quieras consultar.
En la columna Niveles de acceso de la lista de aplicaciones, se muestra cuántos niveles de acceso activos y monitorizados se aplican a cada aplicación:
-
Coloca el cursor sobre una aplicación y, en la parte derecha, haz clic en Ver informe.
-
En la barra lateral de la parte derecha, haz clic en Enlace a la herramienta de investigación de seguridad para buscar automáticamente eventos de registro de acceso de Contex Aware para la aplicación seleccionada.
Los resultados de búsqueda incluyen la siguiente información:
- En los eventos de acceso denegado (modo Monitor), se muestran los usuarios que se habrían bloqueado si se aplicara este nivel de acceso.
- En la columna Actor, se muestra el usuario bloqueado.
- Niveles de acceso aplicados, satisfechos (se cumplen las condiciones de acceso) y no satisfechos (no se cumplen las condiciones de acceso).
Para obtener más información, consulta el artículo Eventos de registro de acceso contextual.