ユーザーとデバイスの状況に基づいてアプリへのアクセスを制御する

ソフトウェアを設定し、コンテキストアウェア アクセスレベルを作成する

コンテキスト アウェア アクセスを設定する最初のステップでは、ユーザーまたはデバイスのコンテキスト(状況)を定義する条件と値とを組み合わせてアクセスレベルを作成します。アクセスレベルでは、アプリへのアクセスを許可するユーザーのコンテキストを定義します。

たとえば、Gmail へのアクセスに関するアクセスレベルを作成し、特定の IP アドレスの範囲から接続していることと、デバイスが暗号化されていることをユーザーの条件として定義できます。 

社内でノートパソコンから Gmail を使用しているユーザーが、近所のカフェに移動して引き続き Gmail で作業しようとしている場合について考えてみましょう。管理者が社内の IP アドレス範囲からのみ Gmail への接続を許可している場合、カフェに移動して IP アドレスが変わると Gmail にはアクセスできなくなります。プライベート IP アドレスには対応していません。

ステップ 1: パソコンまたはモバイル デバイス用にソフトウェアを設定する

パソコンまたはモバイル デバイス用のソフトウェアの設定。

パソコン用に設定する(Endpoint Verification)

アクセスレベルでデバイス ポリシーを適用する場合、管理者とユーザーは Endpoint Verification を設定する必要があります。Endpoint Verification は管理コンソールで有効にすることができます。

監視対象のパソコンには、Chrome ブラウザ、Endpoint Verification 拡張機能、ネイティブ ヘルパー アプリ(Mac、Windows、Linux)をインストールしておく必要があります。

パソコンに対して Endpoint Verification を有効にする

  1. 管理コンソールで Endpoint Verification を有効にします
  2. Chrome の Endpoint Verification 拡張機能を会社のパソコンにデプロイします。または、ユーザーに、Chrome ウェブストアから手動でインストールするように伝えます。
  3. 管理コンソールのホームページから、[デバイス] 次に [モバイルとエンドポイント] にアクセスします。
    Chrome の Endpoint Verification 拡張機能がインストールされたデバイスのリストが表示されます。

モバイル デバイス用に設定する(Google エンドポイント管理)

モバイル デバイスに対してエンドポイント管理を実装する

モバイル デバイスに Google エンドポイント管理を詳細モードまたは基本モードで実装する必要があります。

その他の手順

会社所有デバイスのインベントリをアップロードする

会社所有デバイスであることを条件とするデバイス ポリシーの適用を計画している場合は、会社所有デバイスのシリアル番号のリストが必要になります。

会社所有デバイスのインベントリページの「インベントリにデバイスを追加する」の手順に沿って操作します。会社所有デバイスのリストを取得する方法と、リストにデバイスを追加する方法をご確認ください。

デバイスを承認またはブロックする

承認済みのデバイスであることを条件とするデバイス ポリシーの適用を計画している場合は、最初に Endpoint Verification を使用してデバイスを承認またはブロックする必要があります。

ステップ 2: コンテキストアウェア アクセスを有効にする

コンテキストアウェア アクセスは、ロールアウト プロセス中のさまざまなタイミングで有効にすることができます。アクセスレベルを作成してアプリに割り当てる前に有効にしておくと、アプリに割り当てたアクセスレベルは直ちに適用されます。

また、コンテキストアウェア アクセスを有効にしなくても、初期設定や確認(アクセスレベルの作成、アクセスレベルの割り当て、エンドポイントの検証)を行うことができます。その間は、アクセスレベルの割り当ては適用されません。設定が完了したら、コンテキストアウェア アクセスを有効にできます。

コンテキストアウェア アクセスを有効にするには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [コンテキスト アウェア アクセス] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. コンテキスト アウェア アクセスが「オン(すべてのユーザー)」であることを確認します。オンになっていない場合は、[オンにする] をクリックします。

ステップ 3: アクセスレベルを作成する

アクセスレベルを定義する
アクセスレベルには、アプリにアクセスするユーザーが満たすべき条件を 1 つ以上指定します。アクセスレベルの条件には、デバイス ポリシーや IP サブネットなどの属性を指定できるほか、別のアクセスレベルを含めることもできます。
  1. アクセスレベルを選択します。
    定義済みのアクセスレベルの一覧が表示されます。アクセスレベルは Google Workspace、Cloud Identity、Google Cloud Platform(GCP)間でリソースとして共有されるため、自分が作成していないアクセスレベルがリストに掲載されている場合もあります。アクセスレベルを作成したチームがわかるように、アクセスレベルの名前の一部にプラットフォーム(「gcp」など)を入れておくことをおすすめします。
  2. 右上の [アクセスレベルを作成] を選択します。
    1 つ以上の条件を追加してアクセスレベルを定義した後、1 つ以上の属性を指定して各条件を定義します。
  3. アクセスレベルの名前を追加し、必要に応じて説明を入力します。
  4. 追加するアクセスレベルの各条件に対して、条件を満たすユーザーと条件に該当しないユーザーのどちらにアクセスを許可するのかを指定します。
    • 属性に該当する - 条件に記載されているすべての属性に該当するユーザーにアクセスを許可します。
    • 属性に該当しない - 条件に記載されているいずれの属性にも該当しないユーザーにアクセスを許可します。このオプションは条件とは逆の状態を指定するもので、IP サブネット属性で最もよく使用されます。たとえば、IP サブネットの属性と「以下の条件を満たしていない場合」を指定した場合、指定した範囲外の IP アドレスからアクセスするユーザーのみが条件と一致することになります。
  5. [属性を追加] をクリックして、アクセスレベルの条件に 1 つ以上の属性を追加します。以下の属性を追加できます。
    • IP サブネット - IPv4 もしくは IPv6 アドレス、または CIDR のブロック表記のルーティング プレフィックス。プライベート IP アドレスには対応していません。
    • アクセス元の地域 - Google Workspace サービスにアクセスするユーザーの所在国。
    • デバイス ポリシー(実装する必要のあるデバイス ポリシーのみを選択) -
      • 管理者の承認を必須とする(必須にする場合、デバイスを承認しておく必要があります)
      • 会社所有デバイスを必須とする
      • 画面ロックを必須とする
      • デバイスの暗号化(サポート対象外、暗号化なし、暗号化あり)
    • デバイスの OS(ユーザーは管理者が選択したオペレーティング システムでのみ Google Workspace にアクセスできます。オペレーティング システムの最小バージョンを選択するか、すべてのバージョンを許可します。オペレーティング システムのバージョンには「メジャー.マイナー.パッチ」の形式を使用します) -
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • アクセスレベル(既存のアクセスレベルの要件を満たしている必要があります)
  6. アクセスレベルに別の条件を追加するには、[条件を追加] をクリックして属性を追加します。
  7. ユーザーが満たす必要のある条件を指定します。
    • And - ユーザーは最初の条件と追加された条件を満たす必要があります。
    • Or - ユーザーはいずれか 1 つの条件を満たす必要があります。
  8. アクセスレベルの条件を追加したら、[保存] をクリックしてアクセスレベルの定義を保存します。以上で、このアクセスレベルをアプリに割り当てられるようになります。

アクセスレベルの例

次の例では、「corp_access」というアクセスレベルを示しています。Gmail に「corp_access」が適用されている場合、米国またはカナダにいるユーザーが暗号化された会社所有デバイスを使用した場合にだけ Gmail にアクセスできます。
アクセスレベルの名前 corp_access
ユーザーのアクセス条件 条件に記載されているすべての属性を満たす
条件 1 の属性

デバイス ポリシー
   デバイスの暗号化 = 暗号化あり
   会社所有デバイス = 必須

条件 1 と条件 2 の組み合わせ方法 AND
ユーザーのアクセス条件 条件に記載されているすべての属性を満たす
条件 2 の属性

アクセス元の地域
   国 = 米国、カナダ

 

その他の例については、コンテキスト アウェア アクセスの例をご覧ください。

次のステップ: アプリにアクセスレベルを割り当てる

 

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false