作成したアクセスレベルは、アプリに割り当てることができます。アクセスは、ユーザー ID、デバイスのセキュリティ ステータス、IP アドレス、地理的位置に基づいて管理できます。アプリケーション プログラミング インターフェース(API)を介して、Google Workspace アプリへのアクセスを試みるアプリや、Google Workspace データへのアクセスを試みるアプリに対するアクセスを管理することもできます。
アクセスレベルを割り当てると…
- アクセスレベルを選択すると、デフォルトで [モニター] モードに設定されます。これにより、アクセスレベルを有効にした場合に、誤ってユーザーをブロックするのを防ぐことができます。
- 選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます(リスト内のアクセスレベルの論理和(OR)です)。複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには(アクセスレベルの論理積(AND))、複数のアクセスレベルから成るアクセスレベルを作成します。アプリにアクセスレベルを 11 個以上割り当てる場合は、ネストしたアクセスレベルを使用します。
- モバイルアプリで統合型 Gmail を使用している場合、Gmail、Google Chat、Google Meet へのアクセス権をまとめて許可または拒否することができます。Chat と Meet が統合型 Gmail の一部としてではなく、別々のアプリとして実装されている場合は、アプリへのアクセス権をアプリごとに付与または拒否する必要があります。
アプリにアクセスレベルを割り当てる
始める前に: 必要に応じて、部門やグループに設定を適用する方法をご確認ください。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
メニュー アイコン
[セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェア アクセス] にアクセスします。
データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] で、[アプリにアクセスレベルを割り当てる] をクリックします。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。手順を見る
グループの設定は組織部門の設定をオーバーライドします。詳細
- 次のいずれかを行います。
- アプリにカーソルを合わせ、[アクション]
[割り当て] をクリックします。
- 複数のアプリの横にあるチェックボックスをオンにして、アプリのリストの上にある [割り当て] をクリックします。
- アプリにカーソルを合わせ、[アクション]
- [アクセスレベル] で、[編集] をクリックします。
- [アクセスレベル] で、各アクセスレベルのオプションを選択します。
- 実際にアクセスをブロックせずにアクセスレベルの選択がユーザーに与える影響をテストするには、[モニター] チェックボックスをオンにします。
- アクセスレベルの適用を開始するには、[アクティブ] チェックボックスをオンにします。
- [保存] をクリックします。
- [アクション] で、[編集] をクリックします。
- サポートされているアプリで有効なアクセスレベル ポリシーが満たされていない場合に実行するアクションを指定するには、[警告] または [ブロック] を選択します。
サポートされているアプリについて詳しくは、このページのコンテキストアウェア アクセスに対応しているアプリをご覧ください。 - [保存] をクリックします。
- (省略可)アクセスレベルに選択したスコープを更新するには:
- [スコープ] で [編集] をクリックします。
- 変更を加えて [保存] をクリックします。
- (省略可)アクセスレベルに選択したアプリを更新するには:
- [アプリ] で、[編集] をクリックします。
- 変更を加えて [保存] をクリックします。
- [ポリシー設定] で、[編集] をクリックします。
- (推奨)[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにして、ネイティブのパソコン、Android アプリ、iOS アプリ、ウェブアプリのユーザーにアクセスレベルを適用します。優先アクセスレベルの設定後に想定される動作について詳しくは、このページのアクセスレベルの設定に基づくアプリの動作をご覧ください。
- (省略可)公開 API を経由して Workspace データにアクセスしようとする他のアプリをブロックするには、[アクセスレベルの要件を満たしていない場合、選択したアプリに他のアプリが API を経由でアクセスできないようブロックする] チェックボックスをオンにします。
- (省略可)信頼できるアプリを、公開 API によってブロックされないように除外するには、[下で選択したアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。
管理コンソールでグループを選択することはできますが、設定グループではなく組織部門ごとに設定できます。詳しくは、ユースケース: 信頼できるサードパーティ製アプリをブロック対象から除外するをご覧ください。- 除外するアプリのリストまたは除外アプリが表示されない場合は、[アプリのアクセス制御に移動] をクリックして、アプリを信頼する手順を完了します。アプリのアクセス制御ページで [信頼できる] とマークしているすべてのサードパーティ製アプリ、内部アプリ、Google 所有アプリが、信頼できるアプリの表に表示されます。アプリが信頼できるものとしてマークされ、API 制限の適用対象外とされている場合は、あらかじめ選択されています。
注: Google アプリ(Google ドライブ、Google カレンダー、Google Apps Script など)を API のブロックから除外することはできません。これらのアプリはリストでグレー表示されます。 - 必要に応じて、API の適用から除外するアプリを選択し、[続行] をクリックします。
- 除外するアプリのリストまたは除外アプリが表示されない場合は、[アプリのアクセス制御に移動] をクリックして、アプリを信頼する手順を完了します。アプリのアクセス制御ページで [信頼できる] とマークしているすべてのサードパーティ製アプリ、内部アプリ、Google 所有アプリが、信頼できるアプリの表に表示されます。アプリが信頼できるものとしてマークされ、API 制限の適用対象外とされている場合は、あらかじめ選択されています。
- (省略可)信頼できるアプリを、公開 API によってブロックされないように除外するには、[下で選択したアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。
- [保存] をクリックします。
- [このポリシーの機能] で、新しいアクセスレベルが組織とそのアプリに与える影響を確認します。選択内容を更新するには、[アクセスレベル]、[アクション]、[スコープ]、[アプリ]、[ポリシー設定] の横にある [編集] をクリックします。
- [割り当て] をクリックします。
アプリの一覧ページに戻ります。[アクセスレベル] 列には、モニターモードとアクティブ モードの両方で各アプリに適用されたアクセスレベルの数が表示されます。
コンテキストアウェア アクセスに対応しているアプリ
| Google アプリ | ブロックモードのサポート | 警告モードのサポート |
|---|---|---|
| Gmail | ✔ | ✔ |
| ドライブ | ✔ | ✔ |
| Google ドキュメント(Google スプレッドシートと Google スライドを含む) | ✔ | ✔ |
| カレンダー | ✔ | ✔ |
| Meet | ✔ | ウェブと Android のみ |
| Chat | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Google ToDo リスト | ✔ | ✔ |
| Gemini | ✔ | ウェブのみ |
| 管理コンソール | ✔ | ウェブのみ |
| Google Vault | ✔ | |
| Google サイト | ✔ | ウェブのみ |
| Google Cloud Search | ✔ | |
| Google for Business | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play Console | ✔ | |
| NotebookLM | ✔ | ウェブのみ |
アクセスレベルの設定に基づくアプリの動作
次の表は、[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスのオンまたはオフと、Endpoint Verification のデプロイの有無に基づく動作をまとめたものです。
表内の用語:
- アクセスレベルを適用: - [コンテキストアウェア アクセス] で設定したアクセスレベルに基づいてアクセス権が付与されます。
- アクセスを許可 - コンテキストアウェア アクセスが適用されておらず、すべてのアクセスが許可されます。
- アクセスをブロック - コンテキストアウェア アクセスが設定されていないか、Endpoint Verification が有効になっていないため、アクセスがブロックされます。
|
アクセスレベル |
CAA が有効 |
許可 / ブロック(ネイティブとウェブ) |
||||
|
モバイル |
パソコン |
|||||
|
モバイル(ネイティブ) |
モバイル ウェブ |
PC ウェブ |
デスクトップ(ネイティブ) |
Endpoint Verification のデプロイの有無 |
||
|
IP / 地域属性のみを指定したアクセスレベル |
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオン |
アクセスレベルを適用 |
アクセスレベルを適用 |
不要 |
||
|
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ |
アクセスを許可 |
アクセスレベルを適用 |
アクセスレベルを適用 |
アクセスを許可 |
不要 |
|
|
デバイス属性を指定したアクセスレベル |
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオン |
アクセスレベルを適用 |
アクセスレベルを適用 |
○ |
||
|
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオン |
アクセスレベルを適用 |
アクセスをブロック |
× |
|||
| [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ |
アクセスを許可 |
アクセスレベルを適用 |
アクセスレベルを適用 |
アクセスを許可 |
○ |
|
| [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ | アクセスを許可 | アクセスレベルを適用 | アクセスをブロック | アクセスを許可 | × | |
* 推奨される設定
注: ユーザーがブロックされている場合、Gemini モバイルアプリのユーザー エクスペリエンスは異なります。標準のポップアップ ウィンドウではなく、アクセスが拒否されたことを説明する返信メッセージがアプリから送信されます。これは、クエリがアクセスレベルに違反する方法でデータにアクセスしようとした場合に発生します。挨拶などの簡単なクエリでは発生しません。
割り当てられたアクセスレベルを確認または変更する
この設定はローカルで変更を適用する場合に使用します。継承した割り当ては表示されません。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
メニュー アイコン
データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] で、[アプリにアクセスレベルを割り当てる] をクリックします。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。手順を見る
グループの設定は組織部門の設定をオーバーライドします。詳細
<
- 次のいずれかを行います。
- アプリにカーソルを合わせ、[アクション]
- 複数のアプリの横にあるチェックボックスをオンにして、アプリのリストの上にある [割り当て] をクリックします。
- アプリにカーソルを合わせ、[アクション]
- [アクセスレベル] で、[編集] をクリックします。
- [アクセスレベル] で、各アクセスレベルのオプションを選択します。
- 実際にアクセスをブロックせずにアクセスレベルの選択がユーザーに与える影響をテストするには、[モニター] チェックボックスをオンにします。
- アクセスレベルの適用を開始するには、[アクティブ] チェックボックスをオンにします。
- [保存] をクリックします。
- [アクション] で、[編集] をクリックします。
- 選択したアクセスレベルを確認して、アクセスレベル条件が満たされていない場合に目的のアクションがトリガーされるように設定されているかどうかを確認します。
- ブロック - アプリへのアクセスをブロックします。
- 警告 - 警告を表示してアプリへのアクセスを許可します。
- [保存] をクリックします。
- (省略可)アクセスレベルに選択したスコープを確認または更新するには:
- [スコープ] で [編集] をクリックします。
- 変更を加えて [保存] をクリックします。
- (省略可)アクセスレベルに選択したアプリを確認または更新するには:
- [アプリ] で、[編集] をクリックします。
- 変更を加えて [保存] をクリックします。
- [ポリシー設定] で、[編集] をクリックします。
- 選択したポリシーを確認して、正しいアプリをブロックするように設定されているかどうかを確認します。このポリシーでは、選択したアプリのパソコン版とモバイル版へのアクセスをブロックしたり、他のアプリが API を使用して選択したアプリにアクセスすることをブロックしたり、許可リストに登録済みのアプリを除外したりできます。
- [保存] をクリックします。
- [このポリシーの動作] で、新しいコンテキストアウェア アクセスレベルが組織とそのアプリに与える影響を確認します。選択内容を更新するには、[アクセスレベル]、[アクション]、[スコープ]、[アプリ]、[ポリシー設定] の横にある [編集] をクリックします。
- [割り当て] をクリックします。
アクセスレベルのログに記録されたイベントを表示する
[レポートを表示] オプションを使用して、割り当てられたアクセスレベルが正しく機能しているかどうかをトラッキングして、アプリへのユーザー アクセスを管理します。モニタリング モードまたはアクティブ モードに設定されたアクセスレベルでイベントが生成され、コンテキストアウェア アクセスのログに記録されます。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
メニュー アイコン
データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] で、[アプリにアクセスレベルを割り当てる] をクリックします。
- アプリにカーソルを合わせ、[アクション]
- サイドバーでセキュリティ調査ツールへのリンクをクリックすると、選択したアプリのコンテキストアウェア アクセス ログイベントの検索が自動的に実行されます。
検索結果には次の情報が含まれます。
- [アクセス拒否(モニターモード)] イベントには、このアクセスレベルを適用した場合にブロックされるであろうユーザーが表示されます。
- [アクター] 列には、ブロック中のユーザーが表示されます。
- 適用されている、条件を満たしている(アクセス条件が満たされている)、条件を満たしていない(アクセス条件が満たされていない)アクセスレベルが表示されます。
詳しくは、コンテキストアウェア アクセスのログイベントをご覧ください。