ユーザーとデバイスのコンテキスト情報に基づいて、アプリへのアクセスを制御する

ユースケース: 信頼できるサードパーティ製アプリをブロック対象から除外する

以下の例では、許可リストに登録されたアプリを除外して、割り当てられたアクセスレベルに関係なく、特定の Google サービスのアプリケーション プログラミング インターフェース(API)に常にアクセスできるようにする方法を説明します。

ユースケース 1: 公開 API によって信頼できるアプリがブロックされる

この例では、サードパーティの信頼できるアプリは除外されません。Google Keep では、[臨時職員] 組織部門に対して、[組織外ネットワーク アクセスの防止] アクセスレベルが設定されています。このため、組織のネットワーク外からの API を介して Google Keep にアクセスするすべてのアプリはブロックされます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] にアクセスします。
  3. [アクセスレベルの割り当て] をクリックします。
  4. [臨時職員] 組織部門を選択します。
  5. アプリのリストから [Google Keep] を選択し、[割り当て] をクリックします。
  6. [組織外ネットワーク アクセスの防止] を選択し、[続行] をクリックします。
  7. [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにします。
  8. [アクセスレベルを満たしていない場合、他のアプリが API を介してアクセスできないようにする] チェックボックスをオンにします。
  9. [続行] をクリックします。
  10. 内容を確認して [完了] をクリックします。

ユースケース 2: サードパーティ製アプリを除外する

この例では、サードパーティ製アプリ Box を除外します。Google ドライブについては、[臨時職員] 組織部門に対して [組織外ネットワーク アクセスの防止] アクセスレベルを設定します。これにより、組織のネットワークの外部から API リクエストがあった場合でも、サードパーティ製アプリの BoxGoogle ドライブにアクセスできるようになります。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] にアクセスします。
  3. [アクセスレベルの割り当て] をクリックします。
  4. [臨時職員] 組織部門を選択します。
  5. アプリのリストから [Google ドライブ] を選択し、[割り当て] をクリックします。
  6. [組織外ネットワーク アクセスの防止] を選択し、[続行] をクリックします。
  7. [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにします。
  8. [アクセスレベルを満たしていない場合、他のアプリが API を介してアクセスできないようにする] チェックボックスをオンにします。
  9. [許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。
    アプリのアクセス制御ページで [信頼できる] とマークしているサードパーティ製アプリはすべて、許可リストに登録されたアプリの表に表示されています。
  10. [Box] を選択し、[続行] をクリックします。
  11. 内容を確認して [完了] をクリックします。

ユースケース 3: 同じ組織部門内の別のサードパーティ製アプリを除外する

この例では、以前のユースケースの設定に Salesforce サードパーティ製アプリを追加します。

アプリ除外リストは、以前のコンテキストアウェア アクセスレベルの割り当てと新しいコンテキストアウェア アクセスレベルの割り当てで除外されていたすべてのサードパーティ製アプリに適用される、組織部門固有のリストです。アプリの除外リストは、リスト内で定義されている組織部門に固有のものです。したがって、組織部門には独自のアプリ除外リストがあります。

結果として、この例では、割り当てられたアクセスレベルにかかわらず BoxSalesforce の両方が Google ドライブGmail にアクセスできるようになります。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] にアクセスします。
  3. [アクセスレベルの割り当て] をクリックします。
  4. [臨時職員] 組織部門を選択します。
  5. アプリのリストから [Gmail] を選択し、[割り当て] をクリックします。
  6. アクセスレベルに [米国外からのアクセスを防止] を選択し、[続行] をクリックします。
  7. [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにします。
  8. [アクセスレベルを満たしていない場合、他のアプリが API を介してアクセスできないようにする] チェックボックスをオンにします。
  9. [許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。
    アプリのアクセス制御ページで [信頼できる] とマークしているサードパーティ製アプリはすべて、許可リストに登録されたアプリの表に表示されています。
  10. 対象のサードパーティ製アプリ [Salesforce] を選択し、[続行] をクリックします。
  11. 内容を確認して [完了] をクリックします。

グループと組織部門の除外に関する動作

グループ ポリシーは組織部門ポリシーよりも優先されますが、グループレベルでコンテキストアウェア アクセスレベルを割り当てるときは、公開 API を介して信頼できるサードパーティ製アプリをブロック対象から除外することもできます。ただし、組織部門の場合と同様に、グループレベルの除外リストを定義することはできません。

  • グループレベルのコンテキストアウェア アクセスレベルを割り当てる際、[許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにすると、グループ内の個々のユーザーには所属する組織部門レベルの除外リストが適用されます。ユーザーが異なる組織部門に属している場合は、それらの組織部門に対応する除外リストが適用されます。
  • グループレベルのコンテキストアウェア アクセスレベルを割り当てているとき、[許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオフにすると、グループ内の個人に除外が適用されることはありません。グループ ポリシーは組織部門のポリシーよりも優先されるため、以前に作成したコンテキストアウェア アクセスレベルの除外は、このグループ内の個人には適用されません。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー