ユーザーとデバイスの状況に基づいてアプリへのアクセスを制御する

コンテキスト アウェア アクセスの概要

この機能は、G Suite Enterprise、G Suite Enterprise for Education、G Suite Enterprise Essentials、Cloud Identity Premium の各エディションでご利用いただけます。

コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の場所、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御ポリシーを作成できます。

この機能により、ユーザーのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、そのユーザーがどのアプリにアクセスできるかを制御することが可能です。

組織部門またはグループのすべてのメンバーに 2 段階認証プロセスを適用するなどのアクセス ポリシーも引き続き設定できます。コンテキストアウェア アクセスを使用することで、さらにきめ細かく、コンテキストに応じてユーザーを制御することができます。

コンテキスト アウェア アクセスのユースケースの例

コンテキスト アウェア アクセスは次のような場合に使用できます。

  • 会社支給のデバイスのみにアプリへのアクセスを許可する。
  • ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する。
  • 社外ネットワークからのアプリへのアクセスを制限する。

複数の条件を組み合わせて 1 つのポリシーを作成することもできます。これには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイス ストレージが暗号化されていること、OS のバージョンが最小要件を満たしていること)を定義します。

コンテキスト アウェア アクセスのサポート

エディション

コンテキスト アウェア アクセス ポリシーは、次のいずれかのエディションをご使用のユーザーのみに適用できます。

  • G Suite Enterprise
  • Cloud Identity Premium
  • G Suite Enterprise for Education
  • G Suite Enterprise Essentials(ドメインの所有権証明済み)

コンテキスト アウェア アクセス ポリシーを同じ組織部門内またはグループ内のすべてのユーザーに適用しても、他の種類のエディション(G Suite Basic や G Suite Business など)をご使用のユーザーは従来どおりアプリにアクセスできます。サポート対象のエディションをご使用でないユーザーは、組織部門またはグループに適用されるコンテキスト アウェア アクセス ポリシーの対象になりません。

アプリ

次のサービスにコンテキストアウェア アクセス ポリシーを適用できます。
  • G Suite のコアサービス(継続的なポリシー評価)

    例: ユーザーがオフィスで G Suite のコアサービスにログインし、喫茶店に行ったとします。ユーザーが移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。

    • カレンダー
    • Cloud Search
    • ドライブとドキュメント(スプレッドシート、スライド、フォームを含む)
    • Gmail
    • Google Meet
    • Google Vault
    • Google+
    • ビジネス向け Google グループ
    • Google Chat
    • Jamboard サービス
    • Keep
    • Google サイト
    • ToDo リスト
  • (ベータ版)SAML アプリ(ログイン時にポリシー評価)
    • サードパーティSAML アプリ(Google を ID プロバイダとして使用)
    • ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセスポリシーが適用されます。

      例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセスポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。

    • SAML アプリのデバイス ポリシーは作成しないことをおすすめします。現在、CAA はモバイル デバイスの情報を収集していません。ユーザーがログインにウェブブラウザを使用するモバイル デバイスで SAML アプリにログインすると、アクセスがブロックされます。

次のサービスには、コンテキストアウェア アクセス ポリシーを適用できません。
  • Gmail などの G Suite モバイルアプリ、または Apple Mail アプリ(すべてのアクセスが許可されている状態)
  • ドライブ ファイル ストリームなどのデスクトップ アプリ(すべてのアクセスが許可されている状態)
  • (ベータ版)ログインにウェブブラウザを使用する SAML モバイルアプリ(すべてのアクセスが拒否されている状態)
プラットフォームの要件

アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域など)を作成できます。

プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。

ポリシーの種類

  • IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
  • デバイス - デバイスの特性(デバイス ストレージが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
  • アクセス元の地域 - 国を指定します。この国にいるユーザーはアプリにアクセスできます。

プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合

  • デバイスの種類 - デスクトップ パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム - Mac、Windows、Chrome
  • アクセス - ウェブブラウザのみ
  • ソフトウェア - すべてのブラウザ

プラットフォームのサポート - ポリシーの種類が「デバイス」の場合

  • デバイスの種類 - デスクトップ パソコン、ノートパソコン
  • オペレーティング システム - Mac、Windows、Chrome
  • アクセス - ウェブブラウザのみ
  • ソフトウェア - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
管理者の要件
以下の管理者は、コンテキスト アウェア アクセス ポリシーを設定できます。
  • 特権管理者
  • 次の各権限を委任された管理者:
    • [データ セキュリティ] > [アクセスレベルの管理]
    • [データ セキュリティ] > [ルールの管理]
    • [管理 API の権限] > [グループ] > [読み取り]
    • [管理 API の権限] > [ユーザー] > [読み取り]

ユーザー エクスペリエンス

アクセスレベルの条件を満たさないユーザーがアプリにアクセスしようとしたときに表示されるエラー メッセージは、管理者がカスタマイズできます。
メッセージには、アクセス権を取得するための連絡先の情報を記載する必要があります。このメッセージは、組織部門内のユーザーが使用するすべてのアプリに適用されます。組織部門によって管理者の連絡先情報が異なる場合は、組織部門ごとに別途メッセージを作成します。
たとえば、管理者が Gmail へのアクセスに関するデバイス ポリシーを定義して、デスクトップ パソコンまたはノートパソコン上の Chrome ブラウザを使用するユーザーにのみアプリへのアクセスを許可したとします(モバイル デバイスからのアクセスは許可しない)。この場合、Mac または iPhone の Safari ブラウザから Gmail にアクセスしようとしたユーザーには、このメッセージが表示されます。プラットフォームの要件をご覧ください。

コンテキスト アウェア アクセス ポリシーの展開に関するおすすめの方法

コンテキスト アウェア アクセス ポリシーを社内でスムーズに展開するためのおすすめの方法を以下に示します。これらのおすすめの方法はお客様からのフィードバックに基づいています。

従業員、パートナー、社外の協力者のアクセスをブロックしない

  • これらのユーザーからの G Suite サービス(管理者とユーザーがコミュニケーションをとるために使用する Gmail など)へのアクセスをブロックしないようにします。
  • パートナー、社外の協力者、クライアントが必要とする IP の範囲を特定します。
  • 一部の G Suite サービス(Google フォームや Google サイトなど)はモバイルアプリに対応していないため、スマートフォンからのアクセスはブロックされますのでご注意ください。

デバイス ポリシーを段階的に展開する

  • 調査 - G Suite のデータにアクセスしているデバイスを管理者が把握できるようにするために、Endpoint Verification 拡張機能の使用をユーザーに強制します。各デバイスの情報(暗号化されているか、最新のオペレーティング システムを実行しているか、会社所有のデバイスか、個人用のデバイスかなど)を確認します。
  • 準備 - デバイス ポリシーを適用する準備として、ユーザーのデバイスを IT 部門の管理下におき、会社の基準に準拠させるようにします。これにより、ヘルプデスクのチケットおよびサポートへの電話を減らすことができます。
  • 適用 - デバイスのコンテキストに基づいて、アプリへのアクセスを制限するポリシーを適用します。組織、下位組織、グループを特定し、デバイス ポリシーを段階的に適用します。各組織またはグループのデバイス構成に基づいて展開の計画を作成し、ヘルプデスクの十分なサポートを計画します。

次のステップ: アクセスレベルを作成する

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。