ユーザーとデバイスのコンテキスト情報に基づいて、アプリへのアクセスを制御する

コンテキストアウェア アクセスでビジネスを保護する

この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較

コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御セキュリティ ポリシーを設定できます。

ユーザーのデバイスが IT ポリシーに準拠しているかどうかなどのコンテキストに基づいて、ユーザー アクセスを制御できます。

コンテキストアウェア アクセスの使用例

コンテキストアウェア アクセスは次のような用途に利用できます。

  • 会社支給のデバイスのみにアプリへのアクセスを許可する。
  • ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する
  • 社内ネットワーク以外からのアプリへのアクセスを制限する

複数の条件を組み合わせて 1 つのポリシーを作成することもできます。それには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイスが暗号化されていること、オペレーティング システムのバージョンが最小要件を満たしていることなど)を定義します。

注: コンテキストアウェア アクセス ポリシーで制御できるのは、エンドユーザー アカウントからのアプリアクセスのみです。サービス アカウントからの Google API へのアクセスは制限されません。

エディション、アプリ、プラットフォーム、管理者の種類のサポート

セクションを開く  |  すべて閉じて一番上に移動

エディション

コンテキストアウェア アクセス ポリシーは、この記事の上部に記載されているエディションのライセンスを持つユーザーにのみ適用できます。

コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。

アプリ
コンテキストアウェア アクセス ポリシーは、パソコンのウェブアプリ、モバイルアプリ、パソコンの組み込みアプリに適用できます。アプリへのアクセスは、アクセスが許可された後も継続的に評価されます。ただし SAML アプリは例外で、ログイン時に評価されます。

Google Workspace アプリ(コアサービス)

コアサービス アプリの場合、ポリシー評価は継続的に行われます。たとえば、ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。

下の表に、パソコンのウェブアプリ、モバイルアプリ、パソコンの組み込みアプリのサポート対象のアプリをまとめました。

コアサービス

ウェブアプリ(パソコンまたはモバイル)

モバイルの組み込みアプリ*
(モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。)

組み込みパソコンのアプリ

Google カレンダー

 

Google Cloud Search

 

Google ドライブと Google ドキュメント(スプレッドシート、スライド、フォームを含む)

(パソコン版 Google ドライブ)
Gemini    

Gmail

 

Google Meet

 

Google Vault

   

ビジネス向け Google グループ

   

Google Chat

 

Jamboard サービス

 

Google Keep

 

Google サイト

   

Google ToDo リスト

 

Google 管理コンソール

 

*モバイルアプリのサポートに関する注意事項:

  • コンテキストアウェア アクセス ポリシーは、モバイルのサードパーティ製組み込みアプリ(Salesforce など)には適用できません。
  • Chrome ウェブブラウザを使用してアクセスする SAML アプリにはコンテキストアウェア アクセス ポリシーを適用できます。
  • モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。

その他の Google サービス

その他の Google サービスの場合、ポリシー評価は継続的に行われます。これらのサービスはウェブアプリ専用です。

  • Looker Studio - データに基づいて、わかりやすいグラフとインタラクティブなレポートを作成。
  • Google Play Console - 開発した Android アプリを、急増する Android ユーザーに提供。

SAML アプリ

SAML アプリの場合、ポリシー評価はアプリへのログイン時に行われます。

  • これには、Google を ID プロバイダとして使用するサードパーティの SAML アプリが含まれます。また、サードパーティの ID プロバイダ(IdP)も使用できます(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、SSO についてをご覧ください。
  • ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。

    : ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセス ポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。

  • アクセスレベルでデバイス ポリシーが適用されている場合、ユーザーは、Endpoint Verification が有効になっている Chrome ブラウザを介してサードパーティの SAML アプリによってのみ承認されます。

  • デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。

プラットフォームの要件

アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域、カスタム アクセスレベルなどの属性)を作成できます。カスタム アクセスレベルの作成でサポートされる属性および式のガイダンスと例については、カスタム アクセスレベルの仕様をご覧ください。

また、サポートされている BeyondCorp Alliance パートナーについて詳しくは、サードパーティ パートナーとの連携を設定するをご覧ください。

プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。

ポリシーの種類は次のとおりです。

  • IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
  • デバイス ポリシーとデバイスの OS - デバイスの特性(デバイスが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
  • アクセス元の地域 - 国や地域を指定します。この国や地域にいるユーザーはアプリにアクセスできます。

プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合

インターネット サービス プロバイダ(ISP)が地域によって IP アドレスを変更している場合、変更が有効になるまでには時間がかかります。この間、位置情報属性に基づくアクセスが適用されているユーザーは、コンテキストアウェア アクセスによってブロックされることがあります。

  • デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム
    • パソコン - Mac、Windows、ChromeOS、Linux OS
    • モバイル - Android、iOS
  • アクセス
    • パソコンのウェブブラウザとパソコン版ドライブ
    • モバイルのウェブブラウザとファースト パーティの組み込みアプリ
  • ソフトウェア - エージェントは不要(Apple Private Relay が有効になっている Safari を除く)。iCloud で Apple Private Relay が構成されている場合、デバイスの IP アドレスは表示されません。Google Workspace は匿名の IP アドレスを受け取ります。この場合、コンテキストアウェア アクセスレベルが IP サブネットとして割り当てられていると、Safari でアクセスが拒否されます。この問題を解決するには、Apple Private Relay を無効にするか、IP サブネットを含むアクセスレベルを削除します。

プラットフォームのサポート - ポリシーの種類が「デバイス」の場合

  • デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム
    • パソコン - Mac、Windows、ChromeOS、Linux OS
    • モバイル - Android、iOS。6.0 以前の Android では、エンドポイントの確認のために Google エンドポイント管理を基本モードで使用する必要があります。
  • 会社所有 - Android 12 以降が搭載され仕事用プロファイルが設定されているデバイスには対応していません。このようなデバイスは、会社所有のインベントリに登録されていてもユーザー所有のものとして報告されます。詳しくは、モバイル デバイスの詳細情報を確認するの「デバイスの詳細について」で、「デバイス情報」の表を下にスクロールして「所有権」の行をご覧ください。
  • アクセス
    • パソコンの Chrome ブラウザとパソコン版ドライブ
    • モバイルの組み込みファースト パーティ アプリ用の Chrome ブラウザ
  • ソフトウェア
    • パソコン - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
    • モバイル - Google エンドポイント管理(基本管理または詳細管理)を使用してモバイル デバイスを管理します。
管理者の要件
以下の管理者は、コンテキスト アウェア アクセス ポリシーを設定できます。
  • 特権管理者
  • 次の各権限を持つ管理者:
    • [データ セキュリティ] > [アクセスレベルの管理]
    • [データ セキュリティ] > [ルールの管理]
    • [管理 API の権限] > [グループ] > [読み取り]
    • [管理 API の権限] > [ユーザー] > [読み取り] 


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
メインメニュー
5430567780345474674
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false