ユーザーとデバイスの状況に基づいてアプリへのアクセスを制御する

コンテキスト アウェア アクセスレベルを作成する

コンテキスト アウェア アクセスを設定する最初のステップでは、ユーザーまたはデバイスのコンテキスト(状況)を定義する条件と値とを組み合わせてアクセスレベルを作成します。アクセスレベルでは、アプリへのアクセスを許可するユーザーのコンテキストを定義します。

たとえば、Gmail へのアクセスに関するアクセスレベルを作成し、特定の IP アドレスの範囲から接続していることと、デバイスが暗号化されていることをユーザーの条件として定義できます。 

社内でノートパソコンから Gmail を使用しているユーザーが、近所のカフェに移動して引き続き Gmail で作業しようとしている場合について考えてみましょう。管理者が社内の IP アドレス範囲からのみ Gmail への接続を許可している場合、カフェに移動して IP アドレスが変わると Gmail にはアクセスできなくなります。プライベート IP アドレスには対応していません。

ステップ 1: Endpoint Verification を設定する

アクセスレベルでデバイス ポリシーを適用する場合、管理者とユーザーは Endpoint Verification を設定する必要があります。Endpoint Verification は管理コンソールで有効にすることができます。

監視対象のパソコンには、Chrome ブラウザ、Endpoint Verification 拡張機能、ネイティブ ヘルパー アプリ(Mac と Windows のみ)をインストールしておく必要があります。

Endpoint Verification を有効にする

  1. 管理コンソールで Endpoint Verification を有効にします
  2. Chrome の Endpoint Verification 拡張機能を会社のパソコンにデプロイします。または、Mac と Windows のユーザーに、Chrome ウェブストアから手動でインストールするように伝えます。
  3. 管理コンソールのホームページから、[デバイス管理] > [エンドポイントの管理] にアクセスします。
    Chrome の Endpoint Verification 拡張機能がインストールされたデバイスのリストが表示されます。

会社所有デバイスのインベントリをアップロードする

会社所有デバイスであることを条件とするデバイス ポリシーの適用を計画している場合は、会社所有デバイスのシリアル番号のリストが必要になります。

会社所有デバイスのインベントリページの「インベントリを管理する」の下にある「インベントリにデバイスを追加する」の手順に沿って操作します。会社所有デバイスのリストを取得する方法と、リストにデバイスを追加する方法をご確認ください。

デバイスを承認またはブロックする

承認済みのデバイスであることを条件とするデバイス ポリシーの適用を計画している場合は、最初に Endpoint Verification を使用してデバイスを承認またはブロックする必要があります。

ステップ 2: コンテキストアウェア アクセスを有効にする

コンテキストアウェア アクセスは、ロールアウト プロセス中のさまざまなタイミングで有効にすることができます。アクセスレベルを作成してアプリに割り当てる前に有効にしておくと、アプリに割り当てたアクセスレベルは直ちに適用されます。

また、コンテキストアウェア アクセスを有効にしなくても、初期設定や確認(アクセスレベルの作成、アクセスレベルの割り当て、エンドポイントの検証)を行うことができます。その間は、アクセスレベルの割り当ては適用されません。設定が完了したら、コンテキストアウェア アクセスを有効にできます。

コンテキストアウェア アクセスを有効にするには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [コンテキスト アウェア アクセス] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. コンテキスト アウェア アクセスが「オン(すべてのユーザー)」であることを確認します。オンになっていない場合は、[オンにする] をクリックします。

ステップ 3: アクセスレベルを作成する

アクセスレベルを定義する
アクセスレベルには、アプリにアクセスするユーザーが満たすべき条件を 1 つ以上指定します。アクセスレベルの条件には、デバイス ポリシーや IP サブネットなどの属性を指定できるほか、別のアクセスレベルを含めることもできます。
  1. アクセスレベルを選択します。
    定義済みのアクセスレベルのリストが表示されます。アクセスレベルは、Google Workspace、Cloud Identity、Google Cloud Platform(GCP)で共有されるリソースであるため、このリストで作成しなかったアクセスレベルも表示されることがあります。アクセスレベルを作成したチームがわかるように、アクセスレベルの名前の一部にプラットフォーム(「gcp」など)を入れておくことをおすすめします。
  2. 右上の [アクセスレベルを作成] を選択します。
    1 つ以上の条件を追加してアクセスレベルを定義した後、1 つ以上の属性を指定して各条件を定義します。
  3. 追加するアクセスレベルの各条件に対して、条件を満たすユーザーと条件に該当しないユーザーのどちらにアクセスを許可するのかを指定します。
    • 以下の条件を満たしている場合 - 条件に記載されているすべての属性を満たすユーザーにアクセスを許可します。
    • 以下の条件を満たしていない場合 - 条件に記載されているいずれの属性も満たさないユーザーにアクセスを許可します。
      このオプションは条件とは逆の状態を指定するもので、IP サブネット属性で最もよく使用されます。たとえば、IP サブネットの属性と「以下の条件を満たしていない場合」を指定した場合、指定した範囲外の IP アドレスからアクセスするユーザーのみが条件と一致することになります。
  4. [属性を追加] をクリックして、アクセスレベルの条件に 1 つ以上の属性を追加します。
    属性 オプション
    IP サブネット IPv4 もしくは IPv6 アドレス、または CIDR ブロック表記のルーティング プレフィックス(プライベート IP アドレスには対応していません)。
    デバイス ポリシー デバイス ポリシーのオプションを 1 つ以上選択
      デバイスのパスワードが必要(はい、いいえ)
      デバイスの暗号化(サポート対象外、暗号化なし、暗号化あり)
     

    Windows のポリシー(OS の最小バージョン)

    空白: すべてのバージョンの Windows OS 搭載デバイスがアプリにアクセスできる(デフォルト)
    - (ハイフン): すべてのバージョンの Windows OS がブロックされ、Windows デバイスはアプリにアクセスできない

     

    Mac OS のポリシー(OS の最小バージョン)

    空白: すべてのバージョンの Mac OS 搭載デバイスがアプリにアクセスできる(デフォルト)
    - (ハイフン): すべてのバージョンの Mac OS がブロックされ、Apple デバイスはアプリにアクセスできない

     

    Chrome OS のポリシー(プラットフォームの最小バージョン)
    [設定] > [Chrome OS について] >
    [ビルド情報の詳細] > [プラットフォーム]
    例: 11151.113.0

    空白: すべてのバージョンの Chrome OS 搭載デバイスがアプリにアクセスできる(デフォルト)
    - (ハイフン): すべてのバージョンの Chrome OS がブロックされ、Chrome デバイスはアプリにアクセスできない

      承認済みの Chrome OS(必須、不要)
    必須にする場合、Chrome デバイスを登録し、アクセスを確認済みにしておく必要があります。
      会社所有デバイス(必須、不要)
    ステップ 1 の「会社所有デバイスのインベントリをアップロードする」をご覧ください。
    Chrome OS デバイスの場合は、登録しておく必要があります。
      管理者の承認(必須、不要)
    必須にする場合、デバイスを承認しておく必要があります。
    アクセス元の地域 Google Workspace サービスにアクセスするユーザーの所在国
    アクセスレベル 既存のアクセスレベル
  5. アクセスレベルに別の条件を追加するには、[条件を追加] をクリックして属性を追加します。
  6. ユーザーが満たす必要のある条件を指定します。
    • And - ユーザーは最初の条件と追加された条件を満たす必要があります。
    • Or - ユーザーはいずれか 1 つの条件を満たす必要があります。
  7. アクセスレベルの条件を追加したら、右下の [アクセスレベルを作成] を選択してアクセスレベルの定義を保存します。これで、アクセスレベルをアプリに割り当てることができるようになりました。

OS の最小バージョンを指定するデバイス ポリシーを使用してデバイスの種類をブロックする

特定の OS の最小バージョンを指定するデバイス ポリシーを設定できます(空白または「-」(ハイフン)を設定)。「-」に設定すると、特定の種類のデバイスを使用したアプリへのアクセスをすべてブロックします。たとえば、Mac デバイスや Chrome OS デバイスを使用したアクセスを許可する一方で、Windows デバイスを使用したすべてのアクセスをブロックできます。

すべての OS (Windows、Mac OS、Chrome OS)でこの設定を「-」にすると、システムが条件を評価する際にこれらの設定は無視されます。すべての OS でこの設定を「-」にした場合と、空白にした場合とで結果は同じになります。つまり、デバイスに搭載されている OS の種類が何であってもアプリへのアクセスが許可されます。

例 1

Windows、Mac、Chrome OS のどのデバイスでも、デバイスにパスワードが設定されていればアプリにアクセスできるようにするには、次のように指定します。

デバイスのパスワードが必要 = はい
Windows のポリシー = -
Mac OS のポリシー = -
Chrome OS のポリシー = -

例 2

Mac OS のバージョンが 10.14.0 以降で、パスワードが設定されている Mac デバイスのみがアプリにアクセスできるようにするには、次のように指定します。Windows と Chrome OS を搭載しているデバイスは(パスワードが設定されていても)ブロックされます。

デバイスのパスワードが必要 = はい
Windows のポリシー = -
Mac OS のポリシー = 10.14.0
Chrome OS のポリシー = -

アクセスレベルの例

次の例では、「corp_access」というアクセスレベルを示しています。Gmail に「corp_access」が適用されている場合、米国またはカナダにいるユーザーが暗号化された会社所有デバイスを使用した場合にだけ Gmail にアクセスできます。
アクセスレベルの名前 corp_access
ユーザーのアクセス条件 条件に記載されているすべての属性を満たす
条件 1 の属性

デバイス ポリシー
   デバイスの暗号化 = 暗号化あり
   会社所有デバイス = 必須

条件 1 と条件 2 の組み合わせ方法 AND
ユーザーのアクセス条件 条件に記載されているすべての属性を満たす
条件 2 の属性

アクセス元の地域
   国 = 米国、カナダ

 

その他の例については、コンテキスト アウェア アクセスの例をご覧ください。

次のステップ: アプリにアクセスレベルを割り当てる

 

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。