Après avoir créé des niveaux d'accès, vous pouvez les attribuer à des applications. Vous pouvez contrôler les accès selon l'identité de l'utilisateur, le niveau de sécurité de l'appareil, l'adresse IP et l'emplacement géographique. Vous pouvez également contrôler l'accès des applications qui tentent d'accéder aux applications et aux données Google Workspace via des interfaces de programmation d'applications (API).
Lorsque vous attribuez des niveaux d'accès…
- Lorsque vous sélectionnez un niveau d'accès, le mode Moniteur est appliqué par défaut. Ainsi, vous ne bloquerez pas involontairement des utilisateurs lorsque vous activez un niveau d'accès.
- Les utilisateurs ont accès à l'application dès lors qu'ils remplissent les conditions spécifiées dans l'un des niveaux d'accès que vous sélectionnez (relation "OU" logique des niveaux d'accès de la liste). Pour que les utilisateurs remplissent les conditions de plusieurs niveaux d'accès à la fois (une relation "ET" logique des niveaux d'accès), vous devez créer un niveau d'accès contenant plusieurs niveaux d'accès. Si vous souhaitez attribuer plus de 10 niveaux d'accès à une application, vous pouvez utiliser des niveaux d'accès imbriqués.
- Pour les applications mobiles, si vous utilisez Gmail intégré, vous pouvez accorder ou refuser simultanément l'accès à Gmail, Google Chat et Google Meet. Si Chat et Meet sont implémentés en tant qu'applications distinctes (dissociées de Gmail intégré), vous devrez accorder ou refuser l'accès à ces applications séparément.
Attribuer des niveaux d'accès à une application
Avant de commencer:si nécessaire, découvrez comment appliquer le paramètre à un service ou à un groupe.
-
Connectez-vous à la console d'administration Google avec un compte administrateur.
Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.
-
- Dans le champ Attribuer des niveaux d'accès, cliquez sur Attribuer des niveaux d'accès aux applications.
-
(Facultatif) Si vous souhaitez appliquer le paramètre uniquement à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé). Voir la marche à suivre
Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus
- Sélectionnez une option :
- Pointez sur une application, puis cliquez sur Actions
Attribuer.
- Cochez les cases correspondant à plusieurs applications, puis cliquez sur Attribuer au-dessus de la liste des applications.
- Pointez sur une application, puis cliquez sur Actions
- Dans le champ Niveaux d'accès, cliquez sur Modifier.
- Dans le champ Niveaux d'accès, choisissez une option pour chaque niveau d'accès :
- Pour tester l'impact du niveau d'accès sélectionné sur les utilisateurs sans réellement bloquer l'accès, cochez la case Contrôler.
- Pour commencer à appliquer un niveau d'accès, cochez la case Actif.
- Cliquez sur Enregistrer.
- Dans le champ Actions, cliquez sur Modifier.
- Sélectionnez Avertir ou Bloquer pour spécifier l'action à effectuer lorsqu'une règle de niveau d'accès active n'est pas respectée pour une application compatible.
Pour en savoir plus sur les applications compatibles, consultez Compatibilité des applications avec l'accès contextuel sur cette page. - Cliquez sur Enregistrer.
- (Facultatif) Pour modifier le champ d'application que vous avez sélectionné pour vos niveaux d'accès :
- Sous Champ d'application, cliquez sur Modifier.
- Apportez les modifications souhaitées, puis cliquez sur Enregistrer.
- (Facultatif) Pour modifier les applications que vous avez sélectionnées pour vos niveaux d'accès :
- Dans le champ Applications, cliquez sur Modifier.
- Apportez les modifications souhaitées, puis cliquez sur Enregistrer.
- Dans le champ Paramètres de la règle, cliquez sur Modifier.
- (Recommandé) Cochez la case Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés pour appliquer les niveaux d'accès aux utilisateurs d'applications natives de bureau, Android et iOS, et d'applications Web. Pour en savoir plus sur les comportements auxquels vous pouvez vous attendre après avoir configuré les paramètres de niveau d'accès de votre choix, consultez Comportement des applications en fonction des paramètres de niveau d'accès sur cette page.
- (Facultatif) Pour empêcher les applications d'accéder aux données Workspace via des API publiques, cochez la case Empêcher d'autres applications d'accéder aux applications sélectionnées via les API si les niveaux d'accès ne sont pas respectés.
- (Facultatif) Pour empêcher le blocage des applications approuvées via les API exposées, cochez la case Exempter les applications sélectionnées ci-dessous pour qu'elles aient toujours accès via des API à des services Google spécifiques, quels que soient leurs niveaux d'accès.
Cette option est disponible pour la configuration par unité organisationnelle, et non par groupe de configuration, même si vous pouvez sélectionner un groupe dans la console d'administration. Pour en savoir plus, consultez Cas d'utilisation : Empêcher le blocage d'applications tierces approuvées.- Si la liste des applications ou l'application que vous souhaitez exempter ne s'affiche pas, cliquez sur Accéder au contrôle d'accès des applications et suivez la procédure permettant d'approuver l'application. Les applications tierces, internes et appartenant à Google que vous marquez comme Approuvées sur la page "Contrôle de l'accès des applications" sont listées dans le tableau des applications approuvées. Les applications sont présélectionnées si vous les avez marquées comme approuvées et exemptes de l'application des API.
Remarque : Vous ne pouvez pas exempter les applications Google (telles que Google Drive, Google Agenda ou Google Apps Script) du blocage des API. Ces applications sont grisées dans la liste. - Si nécessaire, sélectionnez les applications pour lesquelles vous souhaitez exempter l'application des API, puis cliquez sur Continuer.
- Si la liste des applications ou l'application que vous souhaitez exempter ne s'affiche pas, cliquez sur Accéder au contrôle d'accès des applications et suivez la procédure permettant d'approuver l'application. Les applications tierces, internes et appartenant à Google que vous marquez comme Approuvées sur la page "Contrôle de l'accès des applications" sont listées dans le tableau des applications approuvées. Les applications sont présélectionnées si vous les avez marquées comme approuvées et exemptes de l'application des API.
- (Facultatif) Pour empêcher le blocage des applications approuvées via les API exposées, cochez la case Exempter les applications sélectionnées ci-dessous pour qu'elles aient toujours accès via des API à des services Google spécifiques, quels que soient leurs niveaux d'accès.
- Cliquez sur Enregistrer.
- Dans le champ Quel sera l'impact de cette règle ?, examinez les effets de vos nouveaux niveaux d'accès sur votre organisation et ses applications. Pour modifier les sélections, cliquez sur Modifier à côté de Niveaux d'accès, Actions, Champ d'application, Applications ou Paramètres de la règle.
- Cliquez sur Attribuer.
Vous êtes redirigé vers la page de la liste des applications. La colonne "Niveaux d'accès" indique le nombre de niveaux d'accès appliqués à chaque application en mode Moniteur et en mode Actif.
Compatibilité des applications avec l'accès contextuel
| Appli Google | Prise en charge du mode Bloquer | Prise en charge du mode Avertissement |
|---|---|---|
| Gmail | ✔ | ✔ |
| Drive | ✔ | ✔ |
| Google Docs (y compris Google Sheets et Google Slides) | ✔ | ✔ |
| Agenda | ✔ | ✔ |
| Meet | ✔ | Web et Android uniquement |
| Chat | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Google ToDo | ✔ | ✔ |
| Gemini | ✔ | Web uniquement |
| Console d'administration | ✔ | Web uniquement |
| Google Vault | ✔ | |
| Google Sites | ✔ | Web uniquement |
| Google Cloud Search | ✔ | |
| Google for Business | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play Console | ✔ | |
| NotebookLM | ✔ | Web uniquement |
Comportement des applications en fonction des paramètres de niveau d'accès
Le tableau ci-dessous résume ce qu'il se produit selon que vous sélectionnez l'option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés ou que vous déployez la validation des points de terminaison.
Termes clés contenus dans ce tableau :
- Niveau d'accès appliqué : l'accès est autorisé en fonction des niveaux d'accès que vous avez définis lors de la configuration de l'accès contextuel.
- Accès autorisé : l'accès contextuel n'est pas configuré et aucune restriction d'accès n'est appliquée.
- Accès bloqué : l'accès est bloqué, car l'accès contextuel n'est pas configuré ou vous n'avez pas activé la validation des points de terminaison.
|
Niveau d'accès |
Accès contextuel activé |
Autoriser/Bloquer (applications natives et Web) |
||||
|
Mobile |
Ordinateur |
|||||
|
Application native pour mobile |
Web mobile |
Web pour ordinateur |
Application native pour ordinateur |
Validation des points de terminaison déployée ? |
||
|
Niveau d'accès uniquement avec des attributs IP/de données géographiques |
Option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés sélectionnée* |
Niveau d'accès appliqué |
Niveau d'accès appliqué |
Non requise |
||
|
Option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés non sélectionnée |
Accès autorisé |
Niveau d'accès appliqué |
Niveau d'accès appliqué |
Accès autorisé |
Non requise |
|
|
Niveau d'accès avec attributs de l'appareil |
Option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés sélectionnée* |
Niveau d'accès appliqué |
Niveau d'accès appliqué |
Oui |
||
|
Option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés sélectionnée |
Niveau d'accès appliqué |
Accès bloqué |
Non |
|||
| Option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés non sélectionnée |
Accès autorisé |
Niveau d'accès appliqué |
Niveau d'accès appliqué |
Accès autorisé |
Oui |
|
| Option Empêcher les utilisateurs d'accéder aux applications de bureau et mobiles Google si les niveaux d'accès ne sont pas respectés non sélectionnée | Accès autorisé | Niveau d'accès appliqué | Accès bloqué | Accès autorisé | Non | |
* Paramètre recommandé
Remarque : L'application mobile Gemini gère le contenu bloqué différemment. Lorsqu'une requête enfreint un niveau d'accès, l'application affiche un message de réponse indiquant que l'accès a été refusé, au lieu d'une fenêtre pop-up standard. Cela ne se produit pas pour les requêtes simples comme les messages d'accueil.
Consulter ou modifier les niveaux d'accès attribués
Ce paramètre permet d'appliquer les modifications localement et n'affiche pas les attributions héritées.
-
Connectez-vous à la console d'administration Google avec un compte administrateur.
Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.
- Dans le champ Attribuer des niveaux d'accès, cliquez sur Attribuer des niveaux d'accès aux applications.
-
(Facultatif) Si vous souhaitez appliquer le paramètre uniquement à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé). Voir la marche à suivre
Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus
<
- Sélectionnez une option :
- Pointez sur une application, puis cliquez sur Actions
- Cochez les cases correspondant à plusieurs applications, puis cliquez sur Attribuer au-dessus de la liste des applications.
- Pointez sur une application, puis cliquez sur Actions
- Dans le champ Niveaux d'accès, cliquez sur Modifier.
- Dans le champ Niveaux d'accès, choisissez une option pour chaque niveau d'accès :
- Pour tester l'impact du niveau d'accès sélectionné sur les utilisateurs sans réellement bloquer l'accès, cochez la case Contrôler.
- Pour commencer à appliquer un niveau d'accès, cochez la case Actif.
- Cliquez sur Enregistrer.
- Dans le champ Actions, cliquez sur Modifier.
- Vérifiez que les niveaux d'accès sélectionnés sont configurés pour déclencher l'action souhaitée lorsque les conditions du niveau d'accès ne sont pas remplies.
- Bloquer : bloque l'accès à l'application.
- Avertir : autorise l'accès à l'application avec un avertissement.
- Cliquez sur Enregistrer.
- (Facultatif) Pour examiner ou modifier le champ d'application que vous avez sélectionné pour vos niveaux d'accès :
- Sous Champ d'application, cliquez sur Modifier.
- Apportez les modifications souhaitées, puis cliquez sur Enregistrer.
- (Facultatif) Pour examiner ou modifier les applications que vous avez sélectionnées pour vos niveaux d'accès :
- Dans le champ Applications, cliquez sur Modifier.
- Apportez les modifications souhaitées, puis cliquez sur Enregistrer.
- Dans le champ Paramètres de la règle, cliquez sur Modifier.
- Examinez la règle sélectionnée pour vérifier si elle est configurée pour bloquer les applications appropriées. La règle peut inclure le blocage de l'accès aux versions pour ordinateur et mobile des applications sélectionnées, le blocage de l'accès d'autres applications à vos applications sélectionnées à l'aide d'API et l'exemption des applications ajoutées à la liste d'autorisation.
- Cliquez sur Enregistrer.
- Dans le champ Quel sera l'impact de cette règle ?, examinez les effets de vos nouveaux niveaux d'accès contextuel sur votre organisation et ses applications. Pour modifier les sélections, cliquez sur Modifier à côté de Niveaux d'accès, Actions, Champ d'application, Applications ou Paramètres de la règle.
- Cliquez sur Attribuer.
Afficher les événements consignés pour un niveau d'accès
L'option "Afficher le rapport" vous permet de vérifier si les niveaux d'accès qui vous ont été attribués fonctionnent correctement pour contrôler l'accès des utilisateurs aux applications. Les niveaux d'accès définis en mode Moniteur ou Actif génèrent des événements qui sont consignés dans le journal d'accès contextuel.
-
Connectez-vous à la console d'administration Google avec un compte administrateur.
Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.
- Dans le champ Attribuer des niveaux d'accès, cliquez sur Attribuer des niveaux d'accès aux applications.
-
(Facultatif) Si vous souhaitez appliquer le paramètre uniquement à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé). Voir la marche à suivre
Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus
- Pointez sur une application, puis cliquez sur Actions
- Sur le côté, cliquez sur le lien vers l'outil d'investigation sur la sécurité pour rechercher automatiquement les événements de journaux d'accès contextuel associés à l'application sélectionnée.
Les résultats de recherche incluent les informations suivantes :
- Les événements Accès refusé (mode Moniteur) indiquent les utilisateurs qui auraient été bloqués si ce niveau d'accès avait été appliqué.
- La colonne Acteur indique l'utilisateur bloqué.
- Niveaux d'accès appliqués, satisfaits (conditions d'accès remplies) et non satisfaits (conditions d'accès non remplies).
Pour en savoir plus, consultez Événements de journaux d'accès contextuel.