ユーザーとデバイスのコンテキスト情報に基づいて、アプリへのアクセスを制御する

ソフトウェアを設定し、コンテキストアウェア アクセスレベルを作成する

コンテキスト アウェア アクセスを設定する最初のステップでは、ユーザーまたはデバイスのコンテキスト(状況)を定義する条件と値とを組み合わせてアクセスレベルを作成します。アクセスレベルでは、アプリへのアクセスを許可するユーザーのコンテキストを定義します。

たとえば、Gmail へのアクセスに関するアクセスレベルを作成し、特定の IP アドレスの範囲から接続していることと、デバイスが暗号化されていることをユーザーの条件として定義できます。 

社内でノートパソコンから Gmail を使用しているユーザーが、近所のカフェに移動して引き続き Gmail で作業しようとしている場合について考えてみましょう。管理者が社内の IP アドレス範囲からのみ Gmail への接続を許可している場合、カフェに移動して IP アドレスが変わると Gmail にはアクセスできなくなります。プライベート IP アドレスには対応していません。

ステップ 1: パソコンまたはモバイル デバイス用にソフトウェアを設定する

パソコンまたはモバイル デバイス用のソフトウェアの設定。

パソコンを設定する(エンドポイントの確認)

アクセスレベルでデバイス ポリシーを適用する場合、管理者とユーザーはエンドポイントの確認を設定する必要があります。エンドポイントの確認は管理コンソールで有効にすることができます。詳しくは、エンドポイントの確認を有効または無効にするをご確認ください。

エンドポイントの確認が設定されているデバイスを確認するには、管理コンソールのホームページで [デバイス] 次に [エンドポイント] に移動します。[フィルタを追加] をクリックし、[管理の種類] 次に [エンドポイントを確認] をオンにして、[適用] をクリックします。

モバイル デバイスを設定する(Google エンドポイント管理)

モバイル デバイスは Google エンドポイント管理を使用して管理する必要があります。

会社の所有権または暗号化に基づいてアクセスレベルを適用するには、デバイスのユーザーがモバイルの詳細管理の対象になっている必要があります。

承認またはパスワード ステータスに基づいてアクセスレベルを適用するには、デバイスのユーザーがモバイルの基本管理またはモバイルの詳細管理の対象になっている必要があります。

その他の手順

セクションを開く  |  すべて閉じて一番上に移動

会社所有デバイスのインベントリをアップロードする
会社所有デバイスであることを条件とするデバイス ポリシーを適用するには、会社所有デバイスのシリアル番号のリストが必要になります。

手順については、会社で所有しているデバイスをインベントリに追加するの「インベントリにデバイスを追加する」をご確認ください。
注: Android 12 以降を搭載したデバイスで仕事用プロファイルを設定している場合は、会社所有のインベントリに追加していても、常にユーザー所有として報告されます。こうしたデバイスの場合、アクセスレベルで会社所有であることが要求されるとアクションは実行されず、ユーザー所有であることが要求されるとアクションは実行されます。
デバイスを承認またはブロックする
承認済みのデバイスであることを条件とするデバイス ポリシーを適用するには、まずデバイスを承認またはブロックする必要があります。

ステップ 2: コンテキストアウェア アクセスを有効にする

コンテキストアウェア アクセスは、ロールアウト プロセス中のさまざまなタイミングで有効にすることができます。アクセスレベルを作成してアプリに割り当てる前に有効にしておくと、アプリに割り当てたアクセスレベルは直ちに適用されます。

また、コンテキストアウェア アクセスを有効にしなくても、初期設定や確認(アクセスレベルの作成、アクセスレベルの割り当て、エンドポイントの検証)を行うことができます。その間は、アクセスレベルの割り当ては適用されません。設定が完了したら、コンテキストアウェア アクセスを有効にできます。

コンテキストアウェア アクセスを有効にするには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン "" 次に "" [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] にアクセスします。
  3. コンテキスト アウェア アクセスが「オン(すべてのユーザー)」であることを確認します。オンになっていない場合は、[オンにする] をクリックします。

""

ステップ 3: アクセスレベルを作成する

アクセスレベルは管理者が定義する 1 つ以上の条件で構成され、ユーザーがアプリにアクセスするには、そうした条件を満たす必要があります。アクセスレベルの条件には、デバイス ポリシーや IP サブネットなどの属性を指定できるほか、別のアクセスレベルを含めることもできます。

アクセスレベルは、基本と詳細の 2 種類のモードで作成できます。基本モードでは、定義済みの属性のリストが表示されるので、そこから適切な属性を選択します。インターフェースに表示されない属性を使用する必要がある場合は、代わりに詳細モードでカスタム アクセスレベルを作成します。

セクションを開く  |  すべて閉じて一番上に移動

アクセスレベルを定義する - 基本モード

""

  1. [アクセスレベル] を選択します。
    定義済みのアクセスレベルのリストが表示されます。アクセスレベルは Google Workspace、Cloud Identity、Google Cloud 間でリソースとして共有されるため、自分が作成していないアクセスレベルがリストに掲載されている場合もあります。アクセスレベルを作成したチームがわかるように、アクセスレベルの名前の一部にプラットフォームを入れておくことをおすすめします。
  2. 右上の [アクセスレベルを作成] を選択します。
    デフォルトでは基本モードが選択されています。1 つ以上の条件を追加してアクセスレベルを定義した後、1 つ以上の属性を指定して各条件を定義します。

    なお、コンテキストアウェア アクセス インターフェース以外の方法でアクセスレベルの条件を追加すると(基本モードの場合)、[サポートされていない属性が Google Workspace で使用されています] というエラー メッセージが表示される場合があります。

  3. アクセスレベルの名前を追加し、必要に応じて説明を入力します。
  4. 追加するアクセスレベルの各条件に対して、条件を満たすユーザーと条件に該当しないユーザーのどちらにアクセスを許可するのかを指定します。
    • 属性に該当する - 条件に記載されているすべての属性に該当するユーザーにアクセスを許可します。
    • 属性に該当しない - 条件に記載されているいずれの属性にも該当しないユーザーにアクセスを許可します。このオプションは条件とは逆の状態を指定するもので、IP サブネット属性で最もよく使用されます。たとえば、IP サブネットの属性と「以下の条件を満たしていない場合」を指定した場合、指定した範囲外の IP アドレスからアクセスするユーザーのみが条件と一致することになります。
  5. [属性を追加] をクリックして、アクセスレベルの条件に 1 つ以上の属性を追加します。以下の属性を追加できます。
    • IP サブネット - IPv4 アドレスか IPv6 アドレス、または CIDR のブロック表記のルーティング プレフィックス。プライベート IP アドレスには対応していません。
    • アクセス元の地域 - Google Workspace サービスにアクセスするユーザーが所在する国または地域。
    • デバイス ポリシー(実装する必要のあるデバイス ポリシーのみを選択)
      • 管理者の承認を必須とする(必須にする場合、デバイスを承認しておく必要があります)
      • 会社所有デバイスを必須とする
      • 画面ロックを必須とする
      • デバイスの暗号化(サポート対象外、暗号化なし、暗号化あり)
    • デバイスの OS(ユーザーは管理者が選択したオペレーティング システムでのみ Google Workspace にアクセスできます。オペレーティング システムの最小バージョンを選択するか、すべてのバージョンを許可します。オペレーティング システムのバージョンには「メジャー.マイナー.パッチ」の形式を使用します) -
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • アクセスレベル(既存のアクセスレベルの要件を満たしている必要があります)
  6. アクセスレベルに別の条件を追加するには、[条件を追加] をクリックして属性を追加します。
  7. ユーザーが満たす必要のある条件を指定します。
    • And - ユーザーは最初の条件と追加された条件を満たす必要があります。
    • Or - ユーザーはいずれか 1 つの条件を満たす必要があります。
  8. アクセスレベルの条件を追加したら、[保存] をクリックしてアクセスレベルの定義を保存します。以上で、このアクセスレベルをアプリに割り当てられるようになります。

アクセスレベルの例 - 基本モードで作成

次の例は「corp_access」というアクセスレベルを示しています。Gmail に「corp_access」が適用されている場合、米国またはカナダにいるユーザーが暗号化された会社所有デバイスを使用した場合に限り Gmail にアクセスできます。

アクセスレベルの名前 corp_access
ユーザーのアクセス条件 条件に記載されているすべての属性を満たす
条件 1 の属性

デバイス ポリシー
   デバイスの暗号化 = 暗号化あり
   会社所有デバイス = 必須

条件 1 と条件 2 の組み合わせ方法 AND
ユーザーのアクセス条件 条件に記載されているすべての属性を満たす
条件 2 の属性

アクセス元の地域
   国 = アメリカ合衆国、カナダ

 

その他の例については、基本モードでのコンテキストアウェア アクセスの例をご覧ください。

アクセスレベルを定義する - 詳細モード

""

このモードを使用すると、コンテキストアウェア アクセス インターフェースの条件作成ツールで作成できないアクセスレベルを作成できます。次のような場合が該当します。

  • サードパーティと連携するためのベンダー条件を含むアクセスレベルを作成する必要がある。
  • 一部の詳細な属性に基本モードの条件インターフェースからではアクセスできない(証明書ベースの認証を使用する機能など)。

このモードでは、Common Expression Language(CEL)を使用して、編集ウィンドウでカスタム アクセスレベルを作成します。

詳細モードを使用してアクセスレベルを定義するには:

  1. [アクセスレベル] を選択します。
    定義済みのアクセスレベルのリストが表示されます。アクセスレベルは Google Workspace、Cloud Identity、Google Cloud 間でリソースとして共有されるため、自分が作成していないアクセスレベルがリストに掲載されている場合もあります。アクセスレベルを作成したチームがわかるように、アクセスレベルの名前の一部にプラットフォームを入れておくことをおすすめします。
  2. [アクセスレベルを作成] を選択します。
  3. [詳細] を選択します。
  4. アクセスレベルの名前を追加し、必要に応じて説明を入力します。
    アクセスレベルを定義するには、CEL 式を記述します。
  5. CEL 式エディタでカスタム アクセスレベルを作成します。
    この操作には CEL の使用経験が必要です。カスタム アクセスレベルの作成でサポートされる式のガイダンスと例については、カスタム アクセスレベルの仕様をご確認ください。
  6. [保存] をクリックします。
    式がコンパイルされ、構文エラーがあれば報告されます。
    • 構文エラーがない場合は、カスタム アクセスレベルが保存されるので、それをアプリに割り当てることができます。
    • 構文エラーがある場合は、作成した式に固有のコンパイラ エラー(英語表示のみ)とともに、[エラーを修正して続行] というメッセージが表示されます。エラーを修正して、再度保存できます。エラーのない保存済みのカスタム アクセスレベルは、アプリに割り当てることができます。

アクセスレベルの例 - 詳細モードで作成

次に示すアクセスレベルの例では、リクエストを承認するために以下の条件が満たされる必要があります。

  • リクエストの送信元デバイスが暗号化されている。
  • 次のうち 1 つ以上に該当する。
    • リクエストの送信元が米国である。
    • リクエストの送信元のデバイスがドメイン管理者によって承認されている。

 device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

その他の例については、詳細モードでのコンテキストアウェア アクセスの例をご確認ください。

次のステップ: アプリにアクセスレベルを割り当てる


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false
false