Los niveles de acceso contextual combinan condiciones y valores que determinen el contexto de los usuarios o de los dispositivos. Estos niveles de acceso determinan el contexto en el que los usuarios pueden acceder a las aplicaciones.
Por ejemplo, puedes crear un nivel de acceso para entrar en Gmail que requiera que los usuarios se conecten desde un intervalo de direcciones IP específico y que sus dispositivos estén cifrados.
Nota: Antes de crear un nivel de acceso, debes implementar la verificación de puntos finales y activar el acceso contextual. Consulta más información sobre cómo configurar la verificación de puntos finales y activar el acceso contextual en este artículo.
Crear un nivel de acceso
Los niveles de acceso se componen de una o varias condiciones que tú defines. Para acceder a las aplicaciones, los usuarios deben cumplir dichas condiciones. Estas condiciones incluyen atributos que puedes seleccionar, como la política de dispositivos, la subred de IPs u otro nivel de acceso.
Puedes crear niveles de acceso en dos modos diferentes: básico y avanzado. En el modo básico tienes una lista de atributos predefinidos que puedes seleccionar. Si tienes que usar atributos que no están en la interfaz, puedes crear un nivel de acceso personalizado con el modo avanzado.
Nota: Los cambios que hagas en un nivel de acceso se aplican de inmediato. Recuerda que las modificaciones en los niveles de acceso afectarán a tus usuarios en cuanto las hagas. Asegúrate de hacer los cambios correctos.
Abrir sección | Ocultar todo y volver al principio
- Selecciona Niveles de acceso.
Aparecerá una lista con los niveles de acceso definidos. Estos niveles son un recurso compartido entre Google Workspace y Google Cloud, por lo que es posible que en la lista aparezcan niveles de acceso que no hayas creado. Puedes mencionar la plataforma en el nombre del nivel de acceso para dejar constancia de qué equipo lo ha creado. - En la parte superior derecha, selecciona Crear nivel de acceso.
De forma predeterminada, está seleccionado el modo básico. Para definir el nivel de acceso, debes añadir una o varias condiciones. Después, especifica uno o varios atributos para definir cada condición.Nota: Te recomendamos que no utilices la interfaz de Google Cloud Platform para añadir o modificar niveles de acceso contextual si únicamente eres cliente de Google Workspace. Si añades o cambias niveles de acceso con un método que no sea la interfaz de acceso contextual, puede aparecer el siguiente mensaje de error: Se están utilizando atributos no admitidos en Google Workspace. Como consecuencia, es posible que se bloqueen usuarios.
- Añade un nombre de nivel de acceso y una descripción (opcional).
- Cuando añadas una condición de nivel de acceso, indica si se aplica cuando los usuarios:
- Cumplen los atributos: los usuarios deben cumplir todos los atributos de la condición.
- No cumplen los atributos: los usuarios no cumplen ninguno de los atributos de la condición. Esta opción especifica lo contrario a la condición y suele emplearse en los atributos de subred de IPs. Por ejemplo, si especificas una subred de IPs y añades una condición de este tipo, solo la cumplirán los usuarios cuyas direcciones IP no estén dentro del intervalo especificado.
- Haz clic en Añadir atributo para añadir uno o varios atributos a la condición del nivel de acceso. Estos son los atributos que puedes añadir:
- Subred de IPs: una dirección IPv4 o IPv6, o bien un prefijo de enrutamiento en la notación en bloques CIDR.
- No se admiten direcciones IP privadas (incluidas las redes domésticas del usuario).
- Se admiten direcciones IP estáticas.
- Para utilizar una dirección IP dinámica, debes definir una subred IP estática para el nivel de acceso. Si conoces el intervalo de la dirección IP dinámica y la dirección IP estática definida en el nivel de acceso lo cubre, tendrás acceso. Cuando la dirección IP dinámica no se encuentra en la subred IP estática definida, no se concede el acceso.
- Ubicación: países o regiones en los que el usuario accede a los servicios de Google Workspace. No se admiten dispositivos con direcciones IP internas porque no son únicas a nivel mundial.
- Política de dispositivos (elige solo las que necesites implementar):
- Aprobación de administrador obligatoria (si esta condición es obligatoria, el dispositivo debe estar aprobado)
- Dispositivo de empresa obligatorio
- Bloqueo de pantalla obligatorio
- Cifrado de dispositivos (No disponible, Sin cifrar, Cifrado)
- SO del dispositivo (los usuarios solo pueden acceder a Google Workspace con los sistemas operativos que selecciones. Puedes definir una versión mínima del sistema operativo o permitir que utilicen cualquier versión. Para indicar la versión, usa el formato principal.secundaria.parche):
- macOS
- Windows
- Linux
- ChromeOS
- iOS
- Android
- Nivel de acceso (se deben cumplir los requisitos de un nivel de acceso que ya tengas).
- Subred de IPs: una dirección IPv4 o IPv6, o bien un prefijo de enrutamiento en la notación en bloques CIDR.
- Para incluir otra condición en el nivel de acceso, haz clic en Añadir condición y añade atributos.
- Indica las condiciones que deben cumplir los usuarios:
- AND: los usuarios deben cumplir tanto la primera condición como la adicional.
- OR: los usuarios solo deben cumplir una de las condiciones.
- Cuando hayas terminado de añadir condiciones de nivel de acceso, haz clic en Guardar para guardar la definición de nivel de acceso.
- Elige qué quieres hacer con el nivel de acceso:
- Asigna este nivel de acceso a las aplicaciones que quieras.
- Crear una regla de protección de datos con este nivel de acceso. Si seleccionas esta opción, se iniciará el asistente de creación de reglas. Más información sobre cómo combinar reglas de protección de datos con los niveles de acceso contextual
Ejemplo de nivel de acceso creado en modo básico
En este ejemplo se muestra un nivel de acceso llamado "acceso_corporativo". Si se aplica "acceso_corporativo" a Gmail, los usuarios solo podrán acceder desde un dispositivo cifrado y propiedad de la empresa, y solo desde EE. UU. o Canadá.
Nombre del nivel de acceso | acceso_corporativo |
Los usuarios pueden acceder si: | Cumplen todos los atributos de la condición |
Atributo de la condición 1 |
Política de dispositivos |
Unir las condiciones 1 y 2 con | AND |
Los usuarios pueden acceder si: | Cumplen todos los atributos de la condición |
Atributo de la condición 2 |
Origen geográfico
|
Para obtener más ejemplos, consulta el artículo Ejemplos de acceso contextual en el modo básico.
Este modo te permite crear niveles de acceso que no se pueden definir en el creador de condiciones de la interfaz de acceso contextual. Por ejemplo:
- Es posible que el administrador tenga que crear niveles de acceso que incluyan las condiciones del proveedor para las integraciones de terceros.
- Desde la interfaz de condiciones del modo básico no se puede acceder a algunos atributos avanzados, como la posibilidad de utilizar la autenticación basada en certificados.
En este modo, puedes crear el nivel de acceso personalizado en una ventana de edición utilizando el lenguaje de expresión común (CEL).
Para definir niveles de acceso en el modo avanzado, sigue estos pasos:
- Selecciona Niveles de acceso.
Aparecerá una lista con los niveles de acceso definidos. Estos niveles son un recurso compartido entre Google Workspace, Cloud Identity y Google Cloud, por lo que es posible que en la lista aparezcan niveles de acceso que no hayas creado tú. Puedes mencionar la plataforma en el nombre del nivel de acceso para dejar constancia de qué equipo lo ha creado. - Selecciona Crear nivel de acceso.
- Selecciona Modo avanzado.
- Añade un nombre de nivel de acceso y una descripción (opcional).
Para definir el nivel de acceso, escribe una expresión CEL. - Crea el nivel de acceso personalizado en el editor de expresiones CEL.
Para hacerlo, debes tener cierta experiencia en CEL. Para obtener directrices y ejemplos de expresiones admitidas para crear niveles de acceso personalizados, consulta la especificación de niveles de acceso personalizados. - Haz clic en Guardar.
La expresión se compila y se notifica cualquier error de sintaxis.- Si no hay errores de sintaxis, el nivel de acceso personalizado se guarda y puedes asignarlo a las aplicaciones.
- Si hay errores de sintaxis, aparece el mensaje Corrige los errores para continuar indicando los errores del compilador (solo en inglés) referentes a la expresión que acabas de crear. Puedes corregir el error y volver a guardar. Cuando el nivel de acceso personalizado no contenga errores y se guarde, podrás asignarlo a las aplicaciones.
Ejemplo de nivel de acceso creado en modo avanzado
En este ejemplo se muestra un nivel de acceso que requiere que se cumplan las siguientes condiciones para permitir una solicitud:
- El dispositivo de origen está cifrado.
- Se cumple al menos una de las siguientes condiciones:
- La solicitud se originó en Estados Unidos.
- El administrador del dominio ha aprobado el dispositivo desde el que se originó la solicitud.
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
Para obtener más ejemplos, consulta el artículo Ejemplos de acceso contextual en el modo avanzado.
Pasos siguientes: asignar niveles de acceso a aplicaciones
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.