通知

Duet AI は Gemini for Google Workspace になりました。詳細

ユーザーとデバイスのコンテキスト情報に基づいて、アプリへのアクセスを制御する

コンテキストアウェア アクセスでビジネスを保護する

この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。 エディションの比較

コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御セキュリティ ポリシーを設定できます。

ユーザーのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、管理者がユーザーによるアクセスを制御します。

コンテキストアウェア アクセスの使用例

コンテキストアウェア アクセスは次のような用途に利用できます。

  • 会社支給のデバイスのみにアプリへのアクセスを許可する。
  • ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する
  • 社内ネットワーク以外からのアプリへのアクセスを制限する

複数の条件を組み合わせて 1 つのポリシーを作成することもできます。それには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイスが暗号化されていること、オペレーティング システムのバージョンが最小要件を満たしていることなど)を定義します。

エディション、アプリ、プラットフォーム、管理者の種類のサポート

セクションを開く  |  すべて閉じて一番上に移動

エディション

コンテキストアウェア アクセス ポリシーは、この記事の上部に記載されているエディションのいずれかを使用しているユーザーにのみ適用できます。

コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。

アプリ
コンテキストアウェア アクセス ポリシーは、パソコンのウェブアプリ、モバイルアプリ、パソコンのネイティブ アプリに適用できます。アプリへのアクセスは、アクセスが許可された後も継続的に評価されます。ただし SAML アプリは例外で、ログイン時に評価されます。

Google Workspace アプリ(コアサービス)

コアサービス アプリの場合、ポリシー評価は継続的に行われます。たとえば、ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。

下の表に、パソコンのウェブアプリ、モバイルアプリ、パソコンのネイティブ アプリ(組み込みのアプリ)のサポート対象のアプリをまとめました。

コアサービス

ウェブアプリ(パソコンまたはモバイル)

モバイルのネイティブ アプリ*
(モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。)

パソコンのネイティブ アプリ

カレンダー

 

Cloud Search

 

ドライブとドキュメント(スプレッドシート、スライド、フォームを含む)

(パソコン版ドライブ)

Gmail

 

Google Meet

 

Google Vault

   

ビジネス向け Google グループ

   

Google Chat

 

Jamboard サービス

 

Keep

 

Google サイト

   

ToDo リスト

 

管理コンソール

 

*モバイルアプリのサポートに関する注意事項:

  • コンテキストアウェア アクセス ポリシーは、モバイルのサードパーティ製ネイティブ アプリ(Salesforce など)には適用できません。
  • Chrome ウェブブラウザを使用してアクセスする SAML アプリにはコンテキストアウェア アクセス ポリシーを適用できます。
  • モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。

その他の Google サービス

その他の Google サービスの場合、ポリシー評価は継続的に行われます。これらのサービスはウェブアプリ専用です。

  • Looker Studio - データに基づいて、わかりやすいグラフとインタラクティブなレポートを作成。
  • Google Play Console - 開発した Android アプリを、急増する Android ユーザーに提供。

SAML アプリ

SAML アプリの場合、ポリシー評価はアプリへのログイン時に行われます。

  • Google を ID プロバイダとして使用するサードパーティの SAML アプリ。サードパーティの ID プロバイダ(IdP)を使用することも可能です(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定をご覧ください。
  • ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。

    例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセス ポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。

  • デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。

プラットフォームの要件

アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域、カスタム アクセスレベルなどの属性)を作成できます。カスタム アクセスレベルの作成でサポートされる属性および式のガイダンスと例については、カスタム アクセスレベルの仕様をご覧ください。

また、サポートされている BeyondCorp Alliance パートナーについて詳しくは、サードパーティ パートナーとの連携を設定するをご覧ください。

プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。

ポリシーの種類は次のとおりです。

  • IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
  • デバイス ポリシーとデバイスの OS - デバイスの特性(デバイスが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
  • アクセス元の地域 - 国や地域を指定します。この国や地域にいるユーザーはアプリにアクセスできます。

プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合

インターネット サービス プロバイダが地域によって IP アドレスを変更している場合、変更が有効になるまでには時間がかかります。この間、位置情報属性に基づくアクセスが適用されているユーザーは、コンテキストアウェア アクセスによってブロックされることがあります。

  • デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム:
    • パソコン - Mac、Windows、Chrome OS、Linux OS
    • モバイル - Android、iOS
  • アクセス:
    • パソコンのウェブブラウザとパソコン版ドライブ
    • モバイルのウェブブラウザとファースト パーティのネイティブ アプリ
  • ソフトウェア - エージェントは不要(Apple Private Relay が有効になっている Safari を除く)。iCloud で Apple Private Relay が構成されている場合、デバイスの IP アドレスは表示されません。Google Workspace は匿名の IP アドレスを受け取ります。この場合、コンテキストアウェア アクセスレベルが IP サブネットとして割り当てられていると、Safari でアクセスが拒否されます。この問題を解決するには、Private Relay を無効にするか、IP サブネットを含むアクセスレベルを削除します。

プラットフォームのサポート - ポリシーの種類が「デバイス」の場合

  • デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム:
    • パソコン - Mac、Windows、Chrome OS、Linux OS
    • モバイル - Android、iOS。6.0 以前の Android では、エンドポイントの確認のために Google エンドポイント管理を基本モードで使用する必要があります。
  • 会社所有 - Android 12 以降が搭載され仕事用プロファイルが設定されているデバイスには対応していません。このようなデバイスは、会社所有のインベントリに登録されていてもユーザー所有のものとして報告されます。詳しくは、モバイル デバイスの詳細情報を確認するの「デバイスの詳細について」で、「デバイス情報」の表を下にスクロールして「所有権」の行をご覧ください。
  • アクセス:
    • パソコンの Chrome ブラウザとパソコン版ドライブ
    • モバイルの Chrome ブラウザとファースト パーティのネイティブ アプリ
  • ソフトウェア -
    • パソコン - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
    • モバイル - モバイル デバイスは Google エンドポイント管理(基本管理または詳細管理)を使用して管理する必要があります。
管理者の要件
以下の管理者は、コンテキスト アウェア アクセス ポリシーを設定できます。
  • 特権管理者
  • 次の各権限を委任された管理者:
    • [データ セキュリティ] > [アクセスレベルの管理]
    • [データ セキュリティ] > [ルールの管理]
    • [管理 API の権限] > [グループ] > [読み取り]
    • [管理 API の権限] > [ユーザー] > [読み取り]

次のステップ: 実装について理解する

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー