アプリにコンテキストアウェア アクセスレベルを割り当てる

作成したアクセスレベルは、アプリに割り当てることができます。アクセスレベルは、アプリにアクセスできるユーザーの要件を定義するもので、これにより管理者は、ユーザー ID、デバイスのセキュリティ ステータス、IP アドレス、地理的な位置などのユーザー要件を指定できます。

コンテキストアウェア アクセス ポリシーにスムーズに移行できるようにする

コンテキストアウェア アクセス ポリシーのおすすめの展開方法を確認し、実践してください（アクセスレベルを割り当ててアプリへのアクセスを制限する前に行ってください）。

コンテキストアウェア アクセスレベルを割り当てる

1. Google 管理コンソール にログインします。

   管理者アカウント（末尾が @gmail.com でないアカウント）でログインしてください。

2. 管理コンソールのホームページから、[セキュリティ] [コンテキスト アウェア アクセス] にアクセスします。

   
3. [割り当て]、[アクセスレベルの割り当て] の順にクリックします。アプリの一覧が表示されます。
4. 左側で組織部門またはグループを選択します。 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門または設定グループを選択します。

   

5. 目的のアプリを見つけ、右側の [割り当て] をクリックします。

   

   複数のアプリに同じアクセスレベルを一度に割り当てるには、各アプリの横にあるチェックボックスをオンにして、リストの上部にある [割り当て] をクリックします。

   

   アクセスレベルの一覧が表示されます。アクセスレベルは Google Workspace、Cloud Identity、Google Cloud Platform 間でリソースとして共有されるため、自分が作成していないアクセスレベルがリストに掲載されている場合もあります。

6. アプリに割り当てるアクセスレベルを選択します（複数選択可）。

   選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます（リスト内のアクセスレベルの論理和（OR）です）。複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには（アクセスレベルの論理積（AND））、複数のアクセスレベルから成るアクセスレベルを作成します。

   モバイルアプリに関する注意事項: Gmail、Google Chat、Google Meet が含まれる統合型 Gmail の場合、3 つすべてのサービスへのアクセス権を一括で付与または拒否することができます。統合型 Gmail を設定するには、Gmail で Meet と Chat を有効にします。統合型 Gmail について詳しくは、組織向けに統合型 Gmail を設定するをご覧ください。Google Chat と Google Meet が統合型 Gmail の一部としてではなく、別々のアプリとして実装されている場合は、アプリへのアクセス権をアプリごとに付与または拒否する必要があります。

7. デスクトップ アプリ、Android アプリ、iOS アプリ（ブラウザでご利用の場合も含む）のユーザーにアクセスレベルを適用するには、[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスをオンにします。この設定は、ネイティブ アプリにのみ適用されます。

   セキュリティ上の観点から、アプリにアクセスレベルを割り当てるときは必ずこのチェックボックスをオンにし、Endpoint Verification を常にデプロイすることをおすすめします。

   以下の表は、[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスのオン / オフと、Endpoint Verification のデプロイの有無に基づく挙動をまとめたものです。下線の付いた太字の行がおすすめの設定です。

   表内の用語:

   • アクセスレベルを適用: [コンテキストアウェア アクセス] で設定したアクセスレベルに基づいてアクセス権が付与されます。
   • アクセスを許可: コンテキストアウェア アクセスが適用されておらず、すべてのアクセスが許可されます。
   • アクセスをブロック: コンテキストアウェア アクセスが設定されていないか、Endpoint Verification が有効になっていないため、アクセスがブロックされます。

   アクセスレベル	CAA が有効	許可 / ブロック（ネイティブとウェブ）
   		モバイル		パソコン
   		モバイル（ネイティブ）	モバイル（ウェブ）	デスクトップ（ウェブ）	デスクトップ（ネイティブ）	Endpoint Verification のデプロイの有無
   IP / 地域属性のみを指定したアクセスレベル	[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオン	アクセスレベルを適用		アクセスレベルを適用		不要
   	[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオフ	アクセスを許可	アクセスレベルを適用	アクセスレベルを適用	アクセスを許可	不要
   デバイス属性を指定したアクセスレベル	[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオン	アクセスレベルを適用		アクセスレベルを適用		有
   	[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオン	アクセスレベルを適用		アクセスをブロック		無
   	[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオフ	アクセスを許可	アクセスレベルを適用	アクセスレベルを適用	アクセスを許可	有
   	[Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスがオフ	アクセスを許可	アクセスレベルを適用	アクセスをブロック	アクセスを許可	無

8. [保存] をクリックします。選択した少なくとも 1 つのアクセスレベル内の条件をユーザーが満たしていれば、そのユーザーはこのアプリにアクセスできるようになります。選択したアクセスレベルの名前はアプリの横の割り当て済みアクセスレベルの一覧に表示されるようになります。

アクセスレベルは共有リソースです

アクセスレベルは Google Workspace、Cloud Identity、Google Cloud Platform 間で共有されます。管理者は、管理コンソール、Google Cloud Platform（コンソールと API）、Google Cloud SDK を使用してアクセスレベルを作成できます。

アクセスレベルは複数のプラットフォーム間で共有されるため、割り当て済みアクセスレベルの一覧に次のようなアイテムが表示される場合もあります。

• 自分で作成していないアクセスレベル
• 自分では削除していないのに「削除済み」とマークされたアクセスレベル

アクセスレベルを削除、割り当て解除する

アクセスレベルは共有リソースであるため、管理コンソールまたは別のプラットフォームで削除することができます。管理コンソールでアクセスレベルを削除すると、そのアクセスレベルは削除済みとマークされ、管理コンソールでそのアクセスレベルに対して作成されたすべてのアプリの割り当てが削除（割り当て解除）されます。

アクセスレベルが別のプラットフォームで削除されると、そのアクセスレベルは削除済みとマークされます。ただし、アクセスレベルはアプリに割り当てられたままで、アプリへのアクセスがブロックされます。リストに削除済みとマークされたアクセスレベルが表示されている場合は、それらのアクセスレベルを削除（割り当て解除）して、アクセスのブロックを解除してください。

アクセスレベルを削除するには、特定の管理者権限が必要です。

コンテキストアウェア アクセスがオンになっている場合のアクセスレベルの継承

子組織でローカルのアクセスレベルに変更を加えると、当該の子組織にはそのローカルのアクセスレベルのみが適用され、親組織のアクセスレベルは継承されません。

たとえば、最上位の組織で 1 個のアプリに 3 つのアクセスレベルが割り当てられている場合、継承によって子組織の同じアプリにも同じ 3 つのアクセスレベルが割り当てられます。ただし、子組織でアクセスレベルを 1 つ追加すると、この子組織ではそれが唯一のアクセスレベルとなります。

関連情報

• コンテキストアウェア アクセスの概要
• ソフトウェアを設定し、コンテキストアウェア アクセスレベルを作成する
• グループによるコンテキストアウェア アクセスのカスタマイズ
• 基本モードでのコンテキストアウェア アクセスの例
• 詳細モードでのコンテキストアウェア アクセスの例
• コンテキストアウェア アクセスの監査ログ