En tant que consultant en outils collaboratifs chez Work Live, une question revient fréquemment : « Que m'apportent réellement les licences Google Workspace Enterprise par rapport aux licences Business ? » 🤔 La réponse réside souvent dans les fonctionnalités avancées de sécurité et de contrôle, et le Context Aware Access (Accès contextuel) en est un excellent exemple.
L'Intérêt du Context Aware Access : Sécurité et Contrôle Accrus
Le Context Aware Access est une fonctionnalité puissante disponible avec les licences Google Workspace Enterprise qui permet aux administrateurs de définir des conditions d'accès granulaires aux applications et données Google Workspace. En d'autres termes, vous pouvez contrôler qui accède à quoi, où et comment. Voici quelques-uns de ses principaux intérêts :
- Accès Restreint aux Appareils Validés : Imaginez pouvoir limiter l'accès à vos outils et données Google Workspace uniquement aux appareils (ordinateurs, smartphones, tablettes) qui ont été validés et sécurisés par votre administrateur IT. Cela garantit que l'accès se fait depuis un poste de travail conforme à la politique de sécurité de l'entreprise, réduisant ainsi considérablement les risques liés aux appareils non gérés ou compromis. C'est une protection essentielle contre le phishing, car même si un utilisateur est trompé et fournit ses identifiants, l'accès sera refusé si l'appareil n'est pas autorisé. 🔒
- Contrôle des Accès Basé sur la Localisation et les Horaires : Le Context Aware Access va plus loin en permettant de filtrer les connexions en fonction de l'adresse IP et même des horaires. Par exemple, vous pourriez empêcher les employés de se connecter à certaines ressources sensibles depuis leur domicile en dehors des heures de travail habituelles, en filtrant les adresses IP résidentielles ou en définissant des plages horaires spécifiques. Cela offre une flexibilité incroyable pour la gestion de la sécurité et de la conformité.
Prérequis pour la Mise en Place du Context Aware Access
Pour tirer pleinement parti du Context Aware Access, notamment pour la restriction d'accès aux appareils autorisés et la vérification de leur posture de sécurité, plusieurs prérequis doivent être mis en place.
- Licence Google Workspace Enterprise : C'est le fondement. Le Context Aware Access est une fonctionnalité exclusive aux licences Enterprise.
- Navigateur Google Chrome et Extension Google Endpoint Verification : Pour que le système puisse évaluer la conformité d'un appareil, les utilisateurs doivent se connecter via le navigateur Google Chrome. Ce dernier doit être équipé de l'extension Google Endpoint Verification. Cette extension permet à Google de collecter des informations sur l'appareil (système d'exploitation, version, état de l'appareil, etc.) et de les utiliser pour l'évaluation de l'accès.
- Approbation des Appareils et Gestion des Appareils (selon les conditions) :
- Approbation Automatique (par défaut) : Par défaut, tous les appareils sur lesquels les utilisateurs se connectent à Chrome avec un profil Google synchronisé et l'extension Endpoint Verification sont automatiquement approuvés pour l'accès.
- Approbation Manuelle Requise : Pour une sécurité accrue, vous pouvez configurer le Context Aware Access pour que l'approbation de l'appareil soit soumise à l'administrateur. Cela signifie qu'un appareil ne pourra accéder aux ressources que si un administrateur l'a explicitement validé.
- Gestion Avancée des Appareils : Si vous souhaitez définir des conditions d'accès basées sur des attributs de sécurité spécifiques de l'appareil (par exemple, si l'appareil est chiffré, s'il a un mot de passe d'écran, si une version minimale du système d'exploitation est installée), alors une gestion avancée des appareils est nécessaire. Cela implique que l'appareil soit géré par Google Endpoint Management (pour les mobiles) ou par un outil MDM/UEM tiers intégré à Google Workspace.
- Licence Chrome Upgrade (pour le contrôle des postes de travail) : Si vous désirez exercer un contrôle granulaire sur l'ensemble du navigateur Chrome sur les postes de travail (qu'il s'agisse de Chromebooks ou d'appareils Windows/macOS/Linux) et définir des politiques de gestion s'appliquant à l'appareil lui-même et non seulement au profil Chrome synchronisé de l'utilisateur, une licence Chrome Enterprise Upgrade (anciennement Chrome Education Upgrade) est indispensable. Gratuite, elle permet de :
- Appliquer des politiques de navigateur à tous les profils sur un appareil géré.
- Gérer les mises à jour du navigateur et les configurations de sécurité au niveau de l'appareil.
- Déployer des extensions (comme Google Endpoint Verification) et des applications de manière forcée, indépendamment de la connexion de l'utilisateur à un profil Chrome spécifique.
- Utiliser les données de conformité de l'appareil pour les règles du Context Aware Access, garantissant que seuls les postes de travail conformes et sécurisés peuvent accéder aux données d'entreprise.
Étapes de Configuration Détaillées
La configuration du Context Aware Access se fait dans la console d'administration Google Workspace (admin.google.com). Voici les grandes lignes des étapes :
1. Activer la Gestion des Points de Terminaison (Endpoint Management) et l'approbation manuelle des appareils
Cette étape est nécessaire pour imposer une validation manuelle par l'utilisateur des appareils à enrôler dans votre environnement.
- Naviguez dans la console d'administration : Connectez-vous à
admin.google.com - Accédez aux paramètres des appareils : Allez dans Appareil -> Appareils mobiles et points de terminaison -> Paramètres universels -> Général
- Configurez la gestion des appareils mobiles : Assurez-vous que la gestion des appareils est activée en mode "Avancé" pour l'unité organisationnelle ou le groupe d'utilisateurs concerné. Vous devrez choisir le niveau de gestion souhaité (de base ou avancé). La gestion avancée est nécessaire pour le Context Aware Access.
- Aller ensuite dans paramètres universels --> accès aux données et cocher "Déterminer les appareils ayant accès aux données de l'organisation".
2. Déployer l'Extension Google Endpoint Verification
C'est cette extension qui fournit les informations nécessaires à Google Workspace sur l'état de l'appareil.
- Accédez à la gestion des applications Chrome : Dans la console d'administration, allez dans Appareils > Chrome > Applications et extensions > Utilisateurs et navigateurs.
- Recherchez et forcez l'installation de l'extension :
- Cliquez sur le bouton "Ajouter" (le "+" jaune).
- Choisissez "Ajouter à partir de l'ID d'extension Chrome".
- Saisissez l'ID de l'extension Google Endpoint Verification :
gmbgaklkmjakoohgpdhojbmecjlcellh(vous pouvez le trouver également en cherchant "Google Endpoint Verification" dans le Chrome Web Store). - Définissez la "Politique d'installation" sur "Force install" (Installation forcée).
- Important : Synchronisation du profil Chrome : Le déploiement automatique de cette extension via la console d'administration ne se fera que si les utilisateurs synchronisent leur compte Google Workspace avec leur profil Chrome. Si un utilisateur n'est pas connecté à Chrome avec son compte Google Workspace, l'extension ne sera pas automatiquement installée sur ce profil. Pour les postes où la gestion doit s'appliquer à tous les profils Chrome, qu'ils soient synchronisés ou non, une gestion plus poussée de l'appareil est nécessaire, ce que nous aborderons dans un prochain article (notamment avec la gestion des navigateurs Chrome via Chrome Enterprise).
3. Configurer les Niveaux d'Accès
C'est ici que vous définissez les règles qui dicteront l'accès.
- Créez un nouveau niveau d'accès : Dans la console d'administration, accédez à Sécurité > Context Aware Access > Niveaux d'accès.
- Cliquez sur "Créer un niveau d'accès".
- Définissez les attributs de l'appareil et du contexte : Vous pouvez combiner plusieurs conditions :
- État de l'appareil : Par exemple, "L'appareil est approuvé", "Le système d'exploitation est à jour", "Le cryptage de l'appareil est activé", "Le pare-feu est actif".
- Adresses IP : Spécifiez des plages d'adresses IP autorisées (ex: les adresses IP publiques de votre bureau, de votre VPN). Vous pouvez utiliser la notation CIDR.
- Région/Pays : Limitez l'accès à certaines zones géographiques.
- Heure de la journée : Définissez des plages horaires précises pendant lesquelles l'accès est autorisé ou interdit.
- Type d'appareil : Restreignez l'accès aux ordinateurs portables gérés ou aux appareils mobiles.
- Niveau de sécurité de l'OS : Exigez un certain patch level pour le système d'exploitation.
- Nommez votre niveau d'accès de manière claire (ex: "Accès_Bureau_Appareil_Approuvé").
4. Appliquer les Niveaux d'Accès aux Applications Google Workspace
Une fois vos niveaux d'accès définis, vous les associez aux applications que vous souhaitez protéger.
- Attribuez les niveaux d'accès : Dans la console d'administration, allez dans Sécurité > Context Aware Access > Attribuer des niveaux d'accès.
- Sélectionnez l'application et l'unité organisationnelle : Choisissez l'application Google Workspace (ex: Gmail, Google Drive, Google Docs, etc.) et l'unité organisationnelle ou le groupe d'utilisateurs spécifique à laquelle vous souhaitez appliquer cette politique.
- Associez le niveau d'accès : Sélectionnez le ou les niveaux d'accès que vous avez créés. Vous pouvez choisir de bloquer l'accès si les conditions ne sont pas remplies ou de simplement afficher un avertissement.
Conseil : n'activez pas le contrôle d'accès pour la console d'administration.
5. Gérer l'Approbation des Appareils (si l'approbation manuelle est activée)
Si vous avez configuré l'approbation manuelle dans vos niveaux d'accès (condition "L'appareil est approuvé"), vous devrez gérer les requêtes d'approbation.
Consultez les appareils en attente : Les administrateurs peuvent approuver ou refuser les appareils en attente dans la console d'administration, sous Appareils > Vue d'ensemble > Appareils en attente d'approbation (ou une section similaire selon la version de la console).
Conclusion
Le Context Aware Access est bien plus qu'une simple fonctionnalité ; c'est un pilier de la sécurité moderne dans Google Workspace. Il permet aux entreprises de mettre en œuvre des politiques de sécurité robustes, de protéger leurs données sensibles et de contrôler précisément l'environnement de travail numérique. Si la sécurité et la conformité sont des priorités pour votre organisation, il est pertinent de se pencher sérieusement sur les capacités offertes par les licences Google Workspace Enterprise et le déploiement du Context Aware Access. C'est un investissement qui renforce considérablement la résilience de votre système d'information. 💪
Optimisez la sécurité de votre Google Workspace avec Work Live ! 🚀
Cet article vous a éclairé sur la puissance du Context Aware Access, une fonctionnalité clé des licences Google Workspace Enterprise qui transforme votre approche de la sécurité. Si la protection de vos données et le contrôle des accès sont des préoccupations majeures pour votre entreprise, il est temps d'aller plus loin !
Chez Work Live, nous sommes des experts en audit de sécurité et en mise en œuvre de solutions avancées Google Workspace. Nous pouvons vous aider à :
- Évaluer vos besoins et choisir la licence Enterprise la plus adaptée.
- Déployer et configurer le Context Aware Access pour une sécurité sur mesure.
- Renforcer la posture de sécurité de tous vos appareils et utilisateurs.
- Former vos équipes pour une utilisation optimale et sécurisée de Google Workspace.
Ne laissez pas la complexité des outils vous freiner. Avec Work Live, transformez votre sécurité et assurez la conformité de votre organisation. 🔒
👉 Envie de renforcer la sécurité de votre entreprise ? Discutons de vos enjeux et découvrez comment nous pouvons vous accompagner !
---
Besoin d'un conseil ? Un diagnostic ? Une intervention technique ? D'optimiser vos licences ?
Cliquez ici pour nous contacter