サポート対象エディション: Enterprise、Education Plus。 エディションの比較
コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の場所、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御ポリシーを作成できます。
この機能により、ユーザーのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、そのユーザーがどのアプリにアクセスできるかを制御することが可能です。
組織部門またはグループのすべてのメンバーに 2 段階認証プロセスを適用するなどのアクセス ポリシーも引き続き設定できます。コンテキストアウェア アクセスを使用することで、さらにきめ細かく、コンテキストに応じてユーザーを制御することができます。
コンテキスト アウェア アクセスのユースケースの例
コンテキスト アウェア アクセスは次のような場合に使用できます。
- 会社支給のデバイスのみにアプリへのアクセスを許可する。
- ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する。
- 社外ネットワークからのアプリへのアクセスを制限する。
複数の条件を組み合わせて 1 つのポリシーを作成することもできます。これには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイス ストレージが暗号化されていること、OS のバージョンが最小要件を満たしていること)を定義します。
コンテキスト アウェア アクセスのサポート
コンテキストアウェア アクセス ポリシーは、次のいずれかのエディションをご使用のユーザーのみに適用できます。
- Enterprise
- Cloud Identity Premium
- Enterprise for Education
コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。
アプリ
- コアサービス(継続的なポリシー評価)
例: ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。
- カレンダー
- Cloud Search
- ドライブとドキュメント(スプレッドシート、スライド、フォームを含む)
- Gmail
- Google Meet(Hangouts Meet を使用してアクセス制御ポリシーを Google Meet に適用できます)
- Hangouts Meet
- Google Vault
- Google+
- ビジネス向け Google グループ
- Google Chat(Hangouts Chat を使用してアクセス制御ポリシーを Google Chat に適用できます)
- Hangouts Chat
- Jamboard サービス
- Keep
- Google サイト
- ToDo リスト
- SAML アプリ(ログイン時にポリシー評価)
- Google を ID プロバイダとして使用するサードパーティの SAML アプリ。サードパーティの ID プロバイダ(IdP)を使用することも可能です(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定をご覧ください。
- ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。
例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセスポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。
-
デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。
- Gmail アプリ、Apple Mail アプリなどのモバイルアプリ(すべてのアクセスが許可される)
- ドライブ ファイル ストリームなどのデスクトップ アプリ(すべてのアクセスが許可される)
アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域など)を作成できます。
プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。
ポリシーの種類
- IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
- デバイス - デバイスの特性(デバイス ストレージが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
- アクセス元の地域 - 国を指定します。この国にいるユーザーはアプリにアクセスできます。
プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合
- デバイスの種類 - デスクトップ パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム - Mac、Windows、Chrome
- アクセス - ウェブブラウザのみ
- ソフトウェア - すべてのブラウザ
プラットフォームのサポート - ポリシーの種類が「デバイス」の場合
- デバイスの種類 - デスクトップ パソコン、ノートパソコン
- オペレーティング システム - Mac、Windows、Chrome
- アクセス - ウェブブラウザのみ
- ソフトウェア - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
- 特権管理者
- 次の各権限を委任された管理者:
- [データ セキュリティ] > [アクセスレベルの管理]
- [データ セキュリティ] > [ルールの管理]
- [管理 API の権限] > [グループ] > [読み取り]
- [管理 API の権限] > [ユーザー] > [読み取り]
ユーザー エクスペリエンス
コンテキスト アウェア アクセス ポリシーの展開に関するおすすめの方法
コンテキスト アウェア アクセス ポリシーを社内でスムーズに展開するためのおすすめの方法を以下に示します。これらのおすすめの方法はお客様からのフィードバックに基づいています。
従業員、パートナー、社外の協力者のアクセスをブロックしない
- 管理者とユーザーのコミュニケーションに使用される Google Workspace サービス(Gmail など)へのアクセスはブロックしないでください。
- パートナー、社外の協力者、クライアントが必要とする IP の範囲を特定します。
- Google フォームや Google サイトなど、一部の Google Workspace サービスにはモバイルアプリがないため、スマートフォンからのアクセスはブロックされます。
デバイス ポリシーを段階的に展開する
- 調査 - Google Workspace のデータにアクセスしている(または今後アクセスする)デバイスを把握するために、Endpoint Verification の使用を必須にします。各デバイスの情報(暗号化されているか、最新のオペレーティング システムを実行しているか、会社所有のデバイスか、個人用のデバイスかなど)を確認します。
ユーザーが Endpoint Verification にログインする前に管理者がコンテキストアウェア デバイス ポリシーを適用すると、デバイスがコンテキストアウェア ポリシーの条件を満たしていても、ユーザーはアクセスを拒否されることがあります。これは、Endpoint Verification でデバイスの属性を同期するのに数秒かかる場合があるからです。この問題を回避するには、コンテキストアウェア デバイス ポリシーを適用する前に、ユーザーに Endpoint Verification にログインしてもらってください。 - 準備 - デバイス ポリシーを適用する準備として、ユーザーのデバイスを IT 部門の管理下におき、会社の基準に準拠させるようにします。これにより、ヘルプデスクのチケットおよびサポートへの電話を減らすことができます。
- 適用 - デバイスのコンテキストに基づいて、アプリへのアクセスを制限するポリシーを適用します。組織、下位組織、グループを特定し、デバイス ポリシーを段階的に適用します。各組織またはグループのデバイス構成に基づいて展開の計画を作成し、ヘルプデスクの十分なサポートを計画します。