ユーザーとデバイスの状況に基づいてアプリへのアクセスを制御する

アプリにコンテキスト アウェア アクセス レベルを割り当てる

作成したアクセスレベルは、アプリに割り当てることができます。アクセスレベルは、アプリにアクセスできるユーザーの要件を定義するもので、これにより管理者は、ユーザー ID、デバイスのセキュリティ ステータス、IP アドレス、地理的な位置などのユーザー要件を指定できます。

コンテキスト アウェア アクセス ポリシーにスムーズに移行できるようにする

コンテキスト アウェア アクセス ポリシーのおすすめの展開方法を確認し、実践してください(アクセスレベルを割り当ててアプリへのアクセスを制限する前に行ってください)。

コンテキスト アウェア アクセス レベルを割り当てる

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [コンテキスト アウェア アクセス] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [割り当て]、[アクセスレベルの割り当て] の順にクリックします。
    アプリの一覧が表示されます。
  4. 左側で組織部門またはグループを選択します。詳しくは、組織部門またはグループにアクセスレベルを適用する方法に関する記事をご覧ください。 
  5. 目的のアプリを見つけ、右側の [割り当て] をクリックします。
    アクセスレベルの一覧が表示されます。アクセスレベルは Google Workspace、Cloud Identity、Google Cloud Platform 間でリソースとして共有されるため、自分が作成していないアクセスレベルがリストに掲載されている場合もあります。
  6. アプリに割り当てるアクセスレベルを選択します(複数選択可)。
    選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます(リスト内のアクセスレベルの論理和(OR)です)。
  7. 複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには(アクセスレベルの論理積(AND))、複数のアクセスレベルから成るアクセスレベルを作成します。
  8. [保存] をクリックします。選択した少なくとも 1 つのアクセスレベル内の条件をユーザーが満たしていれば、そのユーザーはこのアプリにアクセスできるようになります。選択したアクセスレベルの名前はアプリの横の割り当て済みアクセスレベルの一覧に表示されるようになります。

アクセスレベルは共有リソースです

アクセスレベルは Google Workspace、Cloud Identity、Google Cloud Platform 間で共有されます。管理者は、管理コンソール、Google Cloud Platform(コンソールと API)、Google Cloud SDK を使用してアクセスレベルを作成できます。

アクセスレベルは複数のプラットフォーム間で共有されるため、割り当て済みアクセスレベルの一覧に次のようなアイテムが表示される場合もあります。

  • 自分で作成していないアクセスレベル
  • 自分では削除していないのに「削除済み」とマークされたアクセスレベル

削除済みのアクセスレベルによりアプリへのアクセスがブロックされる場合

アクセスレベルは共有リソースであるため、管理コンソールまたは別のプラットフォームで削除することができます。管理コンソールでアクセスレベルを削除すると、そのアクセスレベルは削除済みとマークされ、管理コンソールでそのアクセスレベルに対して作成されたすべてのアプリの割り当てが削除(割り当て解除)されます。

アクセスレベルが別のプラットフォームで削除されると、そのアクセスレベルは削除済みとマークされます。ただし、アクセスレベルはアプリに割り当てられたままで、アプリへのアクセスがブロックされます。リストに削除済みとマークされたアクセスレベルが表示されている場合は、それらのアクセスレベルを削除(割り当て解除)して、アクセスのブロックを解除してください。

アクセスレベルを削除するには、特定の管理者権限が必要です。

すべてのアプリの削除済みアクセスレベルを削除する

削除済みとマークされたアクセスレベルを削除し、アプリへのアクセスのブロックを解除する最も簡単な方法は以下のとおりです。
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [コンテキスト アウェア アクセス] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 右上の [アクセスレベルの割り当てを解除] をクリックします。確認メッセージが表示されたら、[アクセスレベルの割り当てを解除] をもう一度クリックして確定します。
    これで、削除済みとマークされたアクセスレベルがすべてのアプリから削除され、アクセスがブロックされることはなくなります。

1 個のアプリに割り当てられている削除済みアクセスレベルを削除する

削除済みとマークされたアクセスレベルによって、どのアプリへのアクセスがブロックされているのかを確認するには、この方法を使用します。削除済みとマークされたアクセスレベルを削除する場合は、組織部門と設定グループごとにアプリを 1 つずつ削除する必要があります。

たとえば、削除済みとマークされたアクセスレベルが最上位の組織に 1 個、子組織に 3 個、設定グループに 2 個あるとします。この場合は、最上位の組織から削除済みアクセスレベルを削除するだけでなく、子組織と設定グループからも当該の削除済みアクセスレベルを削除する必要があります。
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [コンテキスト アウェア アクセス] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [割り当て]、[アクセスレベルの割り当て] の順にクリックします。
    アプリの一覧が表示されます。
  4. 組織部門を選択します。アプリの一覧と、各アプリに割り当てられているアクセスレベルが表示されます。削除済みのアクセスレベルが割り当てられているアプリには、アプリ名の横のボックスに赤い三角が表示されます。
  5. 削除済みとマークされたアクセスレベルが割り当てられているアプリにカーソルを合わせます。
  6. アプリが表示されている行の右側の [割り当て] をクリックします。アクセスレベルの一覧が表示されます。このアプリに割り当てられているアクセスレベルのチェックボックスがすべてオンになっています。削除済みアクセスレベルは赤い文字で表示され、削除済みとマークされています。
  7. [保存] をクリックし、削除済みとマークされたアクセスレベルをこのアプリから削除します。これで、このアプリへのアクセスがブロックされることはなくなり、割り当て済みアクセスレベルの一覧にも当該の削除済みアクセスレベルが表示されることはなくなります。
  8. 必要に応じて、設定グループからアプリを削除します。

コンテキスト アウェア アクセスがオンになっている場合のアクセスレベルの継承

子組織でローカルのアクセスレベルに変更を加えると、当該の子組織にはそのローカルのアクセスレベルのみが適用され、親組織のアクセスレベルは継承されません。

たとえば、最上位の組織で 1 個のアプリに 3 つのアクセスレベルが割り当てられている場合、継承によって子組織の同じアプリにも同じ 3 つのアクセスレベルが割り当てられます。ただし、子組織でアクセスレベルを 1 つ追加すると、この子組織ではそれが唯一のアクセスレベルとなります。

ローカルのアクセスレベルに変更を加えた場合

ローカルのアクセスレベルに変更を加えると、継承したあらゆるアクセスレベルがオーバーライドされます。
  • 元々継承していたアクセスレベルを子組織で再割り当て(再選択)して追加すると、変更を加えたローカルのアクセスレベルと元々継承していたアクセスレベルの 両方が、子組織に適用されます。
  • ローカルに割り当てられたアクセスレベルをすべて削除して、元々継承していたアクセスレベルを復元すると、子組織には元々継承していたアクセスレベルのみが適用されます。

継承したアクセスレベルの割り当てを無効ポリシーでオーバーライドする

たとえば、子組織でユーザー アクセスを一切ブロックしない(アクセスレベルを割り当てない)場合は、[制限なし] というアクセスレベルを 2 つの IP サブネット条件で作成し、それらの条件を OR で結合します。
  • IPv4 サブネット範囲 0.0.0.0/0
    or
  • IPv6 サブネット範囲 0::/0
これで、組織内のユーザーは任意の IPv4 または IPv6 アドレスからアクセスできるようになります。

アクセスレベルの割り当てを設定グループでオーバーライドする

設定グループを使用すると、組織部門ではなく一部のユーザー グループにアクセスレベルを割り当てることができます。ユーザー グループのアクセスレベルは、ユーザーの組織部門のアクセスレベルを常にオーバーライドします。グループには、アカウント内のどの組織部門のユーザーを追加することもできます。詳しくは、設定グループの使い方に関する記事をご覧ください。

関連情報

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。