アプリにコンテキストアウェア アクセスレベルを割り当てる

作成したアクセスレベルは、アプリに割り当てることができます。アクセスは、ユーザー ID、デバイスのセキュリティ ステータス、IP アドレス、地理的位置に基づいて管理できます。アプリケーション プログラミング インターフェース（API）を介して、Google Workspace データへのアクセスを試みるアプリに対するアクセスを管理することもできます。

アクセスレベルを割り当てると…

• アクセスレベルを選択すると、デフォルトで [モニター] モードに設定されます。これにより、アクセスレベルを有効にした場合に、誤ってユーザーをブロックするのを防ぐことができます。
• 選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます（リスト内のアクセスレベルの論理和（OR）です）。複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには（アクセスレベルの論理積（AND））、複数のアクセスレベルから成るアクセスレベルを作成します。アプリにアクセスレベルを 11 個以上割り当てる場合は、ネストしたアクセスレベルを使用します。
• モバイルアプリで統合型 Gmail を使用している場合、Gmail、Google Chat、Google Meet へのアクセス権をまとめて許可または拒否することができます。Google Chat と Google Meet が統合型 Gmail の一部としてではなく、別々のアプリとして実装されている場合は、アプリへのアクセス権をアプリごとに付与または拒否する必要があります。

アプリにコンテキストアウェア アクセスレベルを割り当てる

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. メニュー アイコン   [セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェア アクセス] にアクセスします。

   データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

   
3. [アクセスレベルの割り当て] をクリックします。アプリの一覧が表示されます。
4. （省略可）設定を一部のユーザーにのみ適用するには、左側で組織部門（主に部門に使用）または設定 [グループ]（詳細）を選択します。手順を見る

   グループ設定は組織部門よりも優先されます。詳細

   
   
5. アプリにカーソルを合わせ、[割り当て] をクリックします。
   複数のアプリに同じアクセスレベルを一度に割り当てるには、各アプリの横にあるチェックボックスをオンにして、上部の [割り当て] をクリックします。
   
6. 左側で、アクセスレベルを 1 つ以上（最大 10 個）クリックして選択します。選択したアクセスレベルが右側に表示され、デフォルトで [モニター] モードに設定されます。
   • 実際にアクセスをブロックせずにアクセスレベルの選択がユーザーに与える影響をテストするには、設定を [モニター] モードのままにします。
   • アクセスレベル設定のテストが完了し、その設定を適用する準備ができたら、設定を [アクティブ] に変更します。
7. [続行] をクリックします。
8. （推奨）[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにして、ネイティブのパソコン、Android アプリ、iOS アプリ、ウェブアプリのユーザーにアクセスレベルを適用します。 下記のアクセスレベル設定に基づくアプリの動作をご覧ください。
9. （省略可）[アクセスレベルの要件を満たしていない場合、選択したアプリに他のアプリが API を経由でアクセスできないようブロックする] チェックボックスをオンにして、公開 API によって Google Workspace データへのアクセスを試行するアプリをブロックします。
10. （省略可）信頼できるアプリを、公開 API によってブロックされないように除外する手順は次のとおりです。
    管理コンソールでグループを選択することはできますが、設定グループではなく組織部門ごとに設定できます。詳しくは、 ユースケース: 信頼できるサードパーティ製アプリをブロックしないようにするをご覧ください。 
    1. [許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。
    2. 除外するアプリのリストまたは除外アプリが表示されない場合は、[アプリのアクセス制御に移動] をクリックして、アプリを信頼する手順を完了します。
       アプリのアクセス制御ページで [信頼できる] とマークしているすべてのサードパーティ製アプリが、許可リストに登録されたアプリの表に表示されます。信頼できるとマークして、API 適用から除外する場合に、すでに選択されているアプリもあります。
    3. Google アプリ（ドライブ、カレンダー、Apps Script など）を API のブロックから除外することはできません。これらのアプリはリストでグレー表示されます。
    4. 必要に応じて、API の適用から除外するアプリを選択し、[続行] をクリックします。
11. [続行] をクリックします。
12. 選択したスコープ、選択したアプリと選択したアクセスレベル、アクセスレベルのモード（モニターまたはアクティブ）を確認します。
13. [割り当て] をクリックします。

アプリの一覧ページに戻ります。[アクセスレベル] 列には、モニターモードとアクティブ モードの両方で各アプリに適用されたアクセスレベルの数が表示されます。

アクセスレベルの設定に基づくアプリの動作

割り当てられたアクセスレベルを確認または変更する

この設定はローカルで変更を適用する場合に使用します。継承した割り当ては表示されません。

1. アプリにカーソルを合わせて [割り当て] をクリックします。

   選択したアクセスレベルが右側に表示されます。

2. 次のいずれかの操作を行います。
   • 左側の [削除] をクリックして、アクセスレベルの割り当てを解除します。
   • 右側で、割り当てられたアクセスレベルを [モニター] から [アクティブ] に、またはその逆に変更します。
   • 追加のアクセスレベルを割り当てるには、左側で目的のレベルを探して [選択] をクリックします。
3. [続行] をクリックしてポリシーを設定または変更します（上記のアプリにアクセスレベルを割り当てるの手順 8～13 をご覧ください）。

アクセスレベルのログに記録されたイベントを表示する

[レポートを表示] オプションを使用して、割り当てられたアクセスレベルが正しく機能しているかどうかをトラッキングして、アプリへのユーザー アクセスを管理します。モニタリング モードまたはアクティブ モードに設定されたアクセスレベルでイベントが生成され、コンテキストアウェア アクセスのログに記録されます。

1. [アクセスレベルの割り当て] をクリックします。
2. 以下のように、結果を確認する組織部門またはグループを選択します。

   アプリリストの [アクセスレベル] 列に、各アプリに適用されているアクティブなアクセスレベルとモニターのアクセスレベルの数が表示されます。

   

3. アプリにカーソルを合わせ、右側の [レポートを表示] をクリックします。

4. 右側のサイドバーで [セキュリティ調査ツールにリンク] をクリックすると、選択したアプリケーションのコンテキストアウェア アクセス ログイベントの検索が自動的に実行されます。

検索結果には次の情報が含まれます。

• [アクセス拒否（モニターモード）] イベントには、このアクセスレベルを適用した場合にブロックされるであろうユーザーが表示されます。
• [アクター] 列には、ブロック中のユーザーが表示されます。
• 適用されている、条件を満たしている（アクセス条件が満たされている）、条件を満たしていない（アクセス条件が満たされていない）アクセスレベルが表示されます。

詳しくは、コンテキストアウェア アクセスのログイベントをご覧ください。