作成したアクセスレベルは、アプリに割り当てることができます。アクセスレベルは、アプリにアクセスできるユーザーの要件を定義するもので、これにより管理者は、ユーザー ID、デバイスのセキュリティ ステータス、IP アドレス、地理的な位置などのユーザー要件を指定できます。
注: アクセスレベルを割り当てるときは、管理コンソールではなく、アプリに割り当ててください。管理コンソールにアクセスレベルを割り当てる機能は別にあります。アクセスレベルの割り当てを確認し、誤ってアクセスレベルを管理コンソールに割り当てないようにしてください。
コンテキストアウェア アクセスレベルを割り当てる
開始する前に: 特定のユーザーに設定を適用するには、対象のユーザーのアカウントを組織部門に追加します(部門ごとに設定する場合)。または、対象のユーザーのアカウントを設定グループに追加します(部門をまたがってユーザーのアクセスを管理する場青)。
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[アクセスとデータ管理]
[コンテキストアウェア アクセス] にアクセスします。
- [割り当て]、[アクセスレベルの割り当て] の順にクリックします。アプリの一覧が表示されます。
- 左側で組織部門またはグループを選択します。 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門または設定グループを選択します。
- 目的のアプリを見つけ、右側の [割り当て] をクリックします。目的のアプリの [割り当て] ボタンを表示させるには、スクロールしなければならない場合があります。また、意図せず管理コンソールにアクセスレベルを割り当ててしまわないように注意してください。
複数のアプリに同じアクセスレベルを一度に割り当てるには、各アプリの横にあるチェックボックスをオンにして、リストの上部にある [割り当て] をクリックします。
アクセスレベルの一覧が表示されます。アクセスレベルは Google Workspace と Google Cloud の間で共有されるリソースであるため、自分が作成していないアクセスレベルがリストに表示される場合もあります。
- アプリのアクセスレベルを 1 つ以上(最大 10 個)選択します。
選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます(リスト内のアクセスレベルの論理和(OR)です)。複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには(アクセスレベルの論理積(AND))、複数のアクセスレベルから成るアクセスレベルを作成します。アプリにアクセスレベルを 11 個以上割り当てる場合は、ネストしたアクセスレベルを使用します。
モバイルアプリに関する注意事項: Gmail、Google Chat、Google Meet が含まれる統合型 Gmail の場合、3 つすべてのサービスへのアクセス権を一括で付与または拒否することができます。統合型 Gmail を設定するには、Gmail で Meet と Chat を有効にします。統合型 Gmail について詳しくは、組織向けに統合型 Gmail を設定するをご覧ください。Google Chat と Google Meet が統合型 Gmail の一部としてではなく、別々のアプリとして実装されている場合は、アプリへのアクセス権をアプリごとに付与または拒否する必要があります。
- デスクトップ アプリ、Android アプリ、iOS アプリ(ブラウザでご利用の場合も含む)のユーザーにアクセスレベルを適用するには、[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスをオンにします。この設定は、ネイティブ アプリにのみ適用されます。
セキュリティ上の観点から、アプリにアクセスレベルを割り当てるときは必ずこのチェックボックスをオンにし、Endpoint Verification を常にデプロイすることをおすすめします。
以下の表は、[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスのオン / オフと、Endpoint Verification のデプロイの有無に基づく挙動をまとめたものです。下線の付いた太字の行がおすすめの設定です。
表内の用語:
- アクセスレベルを適用: [コンテキストアウェア アクセス] で設定したアクセスレベルに基づいてアクセス権が付与されます。
- アクセスを許可: コンテキストアウェア アクセスが適用されておらず、すべてのアクセスが許可されます。
- アクセスをブロック: コンテキストアウェア アクセスが設定されていないか、Endpoint Verification が有効になっていないため、アクセスがブロックされます。
アクセスレベル
CAA が有効
許可 / ブロック(ネイティブとウェブ)
モバイル
パソコン
モバイル(ネイティブ)
モバイル(ウェブ)
デスクトップ(ウェブ)
デスクトップ(ネイティブ)
Endpoint Verification のデプロイの有無
IP / 地域属性のみを指定したアクセスレベル
[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオン
アクセスレベルを適用
アクセスレベルを適用
不要
[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオフ
アクセスを許可
アクセスレベルを適用
アクセスレベルを適用
アクセスを許可
不要
デバイス属性を指定したアクセスレベル
[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオン
アクセスレベルを適用
アクセスレベルを適用
有
[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオン
アクセスレベルを適用
アクセスをブロック
無
[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオフ
アクセスを許可
アクセスレベルを適用
アクセスレベルを適用
アクセスを許可
有
[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオフ アクセスを許可 アクセスレベルを適用 アクセスをブロック アクセスを許可 無 - [保存] をクリックします。選択した少なくとも 1 つのアクセスレベル内の条件をユーザーが満たしていれば、そのユーザーはこのアプリにアクセスできるようになります。選択したアクセスレベルの名前はアプリの横の割り当て済みアクセスレベルの一覧に表示されるようになります。
アクセスレベル(共有リソース)を削除する
アクセスレベルは Google Workspace と Google Cloud の間で共有されます。管理者は、管理コンソール、Google Cloud(コンソールと API)、Google Cloud SDK を使用してアクセスレベルを作成できます。
アクセスレベルは複数のプラットフォーム間で共有されるため、割り当て済みアクセスレベルの一覧に次のようなアイテムが表示される場合もあります。
- 自分で作成していないアクセスレベル
- 自分では削除していないのに「削除済み」とマークされたアクセスレベル
推奨事項: Workspace のみを使用している場合は、Google Cloud Platform(GCP)コンソールを使用してコンテキストアウェア アクセスレベルを追加または変更することは避けてください。コンテキストアウェア アクセス インターフェース以外のなんらかの方法でコンテキストアウェア アクセスレベルを追加または変更することも避けてください。そうしないと、「サポートされていない属性が Google Workspace で使用されています」というエラーが発生して、ユーザーがブロックされる可能性があります。
アクセスレベルを削除、割り当て解除する
アクセスレベルは共有リソースであるため、管理コンソールまたは別のプラットフォームで削除することができます。管理コンソールでアクセスレベルを削除すると、そのアクセスレベルに対して管理コンソールで作成されたすべてのアプリの割り当てが削除(割り当て解除)されます。
別のプラットフォーム(Google Cloud Platform コンソールなど)でアクセスレベルが削除されると、そのアクセスレベルは削除済みとマークされます。ただし、アクセスレベルはアプリに割り当てられたままで、アプリへのアクセスがブロックされます。リストに削除済みとマークされたアクセスレベルが表示されている場合は、それらのアクセスレベルを削除(割り当て解除)して、アクセスのブロックを解除してください。削除したアクセスレベルが管理コンソールに割り当てられている場合は、直ちに管理コンソールにアクセスできなくなります。再度アクセスするには Google サポートチームに連絡する必要があります。
アクセスレベルを削除するには、特定の管理者権限が必要です。
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[アクセスとデータ管理]
[コンテキストアウェア アクセス] にアクセスします。
- 右上の [アクセスレベルの割り当てを解除] をクリックします。確認メッセージが表示されたら、[アクセスレベルの割り当てを解除] をもう一度クリックして確定します。
これで、削除済みとマークされたアクセスレベルがすべてのアプリから削除され、アクセスがブロックされることはなくなります。