ユーザーとデバイスの状況に基づいてアプリへのアクセスを制御する

コンテキスト アウェア アクセスの概要

Supported editions for this feature: Enterprise; Enterprise for Education.  各エディションの比較

コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の場所、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御ポリシーを作成できます。

この機能により、ユーザーのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、そのユーザーがどのアプリにアクセスできるかを制御することが可能です。

組織部門またはグループのすべてのメンバーに 2 段階認証プロセスを適用するなどのアクセス ポリシーも引き続き設定できます。コンテキストアウェア アクセスを使用することで、さらにきめ細かく、コンテキストに応じてユーザーを制御することができます。

コンテキスト アウェア アクセスのユースケースの例

コンテキスト アウェア アクセスは次のような場合に使用できます。

  • 会社支給のデバイスのみにアプリへのアクセスを許可する。
  • ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する。
  • 社外ネットワークからのアプリへのアクセスを制限する。

複数の条件を組み合わせて 1 つのポリシーを作成することもできます。これには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイス ストレージが暗号化されていること、OS のバージョンが最小要件を満たしていること)を定義します。

コンテキスト アウェア アクセスのサポート

エディション

コンテキストアウェア アクセス ポリシーは、次のいずれかのエディションをご使用のユーザーのみに適用できます。

  • Enterprise
  • Cloud Identity Premium
  • Enterprise for Education

コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。

アプリ

次のサービスにコンテキストアウェア アクセス ポリシーを適用できます。
  • コアサービス(継続的なポリシー評価)

    例: ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。

    • カレンダー
    • Cloud Search
    • ドライブとドキュメント(スプレッドシート、スライド、フォームを含む)
    • Gmail
    • Google Meet(Hangouts Meet を使用してアクセス制御ポリシーを Google Meet に適用できます)
    • Hangouts Meet
    • Google Vault
    • Google+
    • ビジネス向け Google グループ
    • Google Chat(Hangouts Chat を使用してアクセス制御ポリシーを Google Chat に適用できます)
    • Hangouts Chat
    • Jamboard サービス
    • Keep
    • Google サイト
    • ToDo リスト
  • SAML アプリ(ログイン時にポリシー評価)
    • Google を ID プロバイダとして使用するサードパーティの SAML アプリ。サードパーティの ID プロバイダ(IdP)を使用することも可能です(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定をご覧ください。
    • ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。

      例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセスポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。

    • デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。

次のサービスには、コンテキストアウェア アクセス ポリシーを適用できません。
  • Gmail アプリ、Apple Mail アプリなどのモバイルアプリ(すべてのアクセスが許可される)
  • ドライブ ファイル ストリームなどのデスクトップ アプリ(すべてのアクセスが許可される)
プラットフォームの要件

アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域など)を作成できます。

プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。

ポリシーの種類

  • IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
  • デバイス - デバイスの特性(デバイス ストレージが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
  • アクセス元の地域 - 国を指定します。この国にいるユーザーはアプリにアクセスできます。

プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合

  • デバイスの種類 - デスクトップ パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム - Mac、Windows、Chrome
  • アクセス - ウェブブラウザのみ
  • ソフトウェア - すべてのブラウザ

プラットフォームのサポート - ポリシーの種類が「デバイス」の場合

  • デバイスの種類 - デスクトップ パソコン、ノートパソコン
  • オペレーティング システム - Mac、Windows、Chrome
  • アクセス - ウェブブラウザのみ
  • ソフトウェア - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
管理者の要件
以下の管理者は、コンテキスト アウェア アクセス ポリシーを設定できます。
  • 特権管理者
  • 次の各権限を委任された管理者:
    • [データ セキュリティ] > [アクセスレベルの管理]
    • [データ セキュリティ] > [ルールの管理]
    • [管理 API の権限] > [グループ] > [読み取り]
    • [管理 API の権限] > [ユーザー] > [読み取り]

ユーザー エクスペリエンス

アクセスレベルの条件を満たさないユーザーがアプリにアクセスしようとしたときに表示されるエラー メッセージは、管理者がカスタマイズできます。
メッセージには、アクセス権を取得するための連絡先の情報を記載する必要があります。このメッセージは、組織部門内のユーザーが使用するすべてのアプリに適用されます。組織部門によって管理者の連絡先情報が異なる場合は、組織部門ごとに別途メッセージを作成します。
たとえば、管理者が Gmail へのアクセスに関するデバイス ポリシーを定義して、デスクトップ パソコンまたはノートパソコン上の Chrome ブラウザを使用するユーザーにのみアプリへのアクセスを許可したとします(モバイル デバイスからのアクセスは許可しない)。この場合、Mac または iPhone の Safari ブラウザから Gmail にアクセスしようとしたユーザーには、このメッセージが表示されます。プラットフォームの要件をご覧ください。

コンテキスト アウェア アクセス ポリシーの展開に関するおすすめの方法

コンテキスト アウェア アクセス ポリシーを社内でスムーズに展開するためのおすすめの方法を以下に示します。これらのおすすめの方法はお客様からのフィードバックに基づいています。

従業員、パートナー、社外の協力者のアクセスをブロックしない

  • 管理者とユーザーのコミュニケーションに使用される Google Workspace サービス(Gmail など)へのアクセスはブロックしないでください。
  • パートナー、社外の協力者、クライアントが必要とする IP の範囲を特定します。
  • Google フォームや Google サイトなど、一部の Google Workspace サービスにはモバイルアプリがないため、スマートフォンからのアクセスはブロックされます。

デバイス ポリシーを段階的に展開する

  • 調査 - Google Workspace のデータにアクセスしている(または今後アクセスする)デバイスを把握するために、Endpoint Verification の使用を必須にします。各デバイスの情報(暗号化されているか、最新のオペレーティング システムを実行しているか、会社所有のデバイスか、個人用のデバイスかなど)を確認します。

    ユーザーが Endpoint Verification にログインする前に管理者がコンテキストアウェア デバイス ポリシーを適用すると、デバイスがコンテキストアウェア ポリシーの条件を満たしていても、ユーザーはアクセスを拒否されることがあります。これは、Endpoint Verification でデバイスの属性を同期するのに数秒かかる場合があるからです。この問題を回避するには、コンテキストアウェア デバイス ポリシーを適用する前に、ユーザーに Endpoint Verification にログインしてもらってください。  
  • 準備 - デバイス ポリシーを適用する準備として、ユーザーのデバイスを IT 部門の管理下におき、会社の基準に準拠させるようにします。これにより、ヘルプデスクのチケットおよびサポートへの電話を減らすことができます。
  • 適用 - デバイスのコンテキストに基づいて、アプリへのアクセスを制限するポリシーを適用します。組織、下位組織、グループを特定し、デバイス ポリシーを段階的に適用します。各組織またはグループのデバイス構成に基づいて展開の計画を作成し、ヘルプデスクの十分なサポートを計画します。

次のステップ: アクセスレベルを作成する

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。