维度网讯，谷歌于5月14日正式更新Google Workspace的上下文感知访问功能，新增面向SAML应用的默认策略分配能力。管理员现在可为所有SAML应用设置一套全局安全基线，未分配特定策略的SAML应用将被自动纳入保护范围，从而在组织层面建立“默认安全”的访问控制格局。这一更新已在Google Workspace官方博客上正式发布。

SAML应用是指通过安全断言标记语言协议与Google Workspace实现单点登录的第三方或内部应用。在大型组织中，此类应用数量往往达到数百个之多，覆盖人力资源系统、财务软件、项目管理工具等各类SaaS服务。按照以往的工作流程，管理员需要逐个为每个SAML应用手动配置访问策略，一旦遗漏某个应用，它便处于策略真空状态，成为攻击者可能利用的入口。新推出的默认策略正是针对这一安全管理缺口，IT团队在新应用接入时无需再单独配置规则，平台会自动将其纳入默认策略的管控范围，应用层面的特定策略仍可覆盖默认策略，允许在全局保护基础上进行精细调控。

谷歌在官方公告中明确解释了这一更新带来的管理收益：“该全局控制显著降低了对大规模应用进行安全管理的行政负担。管理员无需为每个单独的SAML应用手动配置规则，可以通过单一策略覆盖整个环境。”默认策略支持监控模式和活动模式两种执行方式。监控模式下管理员可先行观察策略对用户访问的影响，评估无误后再切换至活动模式正式执行，这一分阶段部署路径为生产环境的安全策略上线提供了缓冲空间。策略执行过程中系统会生成详细的审计日志，记录每一次访问被放行或被拦截的事件。当用户因不满足策略条件而被拒绝访问时，平台还会发送补救提示消息，帮助终端用户理解如何自行解决访问问题，减少对IT服务台的依赖。

操作层面，管理员在管理控制台“安全”菜单下的“上下文感知访问”通用设置中即可完成配置。该功能默认处于关闭状态，需管理员手动启用，可在组织单元或群组级别进行差异化部署，终端用户无法访问该设置。配置路径为：管理控制台 > 安全 > 上下文感知访问 > 通用设置。谷歌此次发布覆盖Rapid Release和Scheduled Release两类发布节奏的域，适用版本包括企业标准版/增强版、教育标准版/增强版、Frontline标准版/增强版、企业基础增强版以及Cloud Identity高级版。

CAA是Google Workspace零信任安全架构的关键组件。其核心逻辑是：在用户身份验证通过后，系统继续检查用户的设备状态、IP地址、地理位置、操作系统等上下文信息，基于预设条件决定是否放行对特定应用的访问。CAA可配置设备加密要求、操作系统版本限制、IP地址白名单、地理区域边界等条件，当用户从一个受信任的内部网络环境切换到一个公共Wi-Fi网络时，系统可以自动收紧访问权限。此次SAML默认策略的加入，将CAA的控制范围从Google原生应用扩展至通过SAML接入的所有第三方和企业自建应用，使零信任边界从Google自有生态延伸到整个应用环境。

在安全态势上，该更新回应了企业IT面临的一个现实问题：SaaS应用数量持续膨胀，而安全配置往往滞后于应用上线速度。根据谷歌此前的表述，Google Workspace的目标是让安全成为默认配置而非事后补救，此次SAML默认策略的设计延续了这一理念。该策略通过“默认安全”的立场将每个SAML应用从一开始就纳入CAA管控框架，无论管理员是否记得手动配置。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com