この機能に対応しているエディション: Enterprise、Education Standard、Education Plus、Cloud Identity Premium。 エディションの比較
コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御セキュリティ ポリシーを設定できます。
ユーザーのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、管理者がユーザーによるアクセスを制御します。
コンテキストアウェア アクセスの使用例
コンテキストアウェア アクセスは次のような用途に利用できます。
- 会社支給のデバイスのみにアプリへのアクセスを許可する。
- ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する
- 社内ネットワーク以外からのアプリへのアクセスを制限する
複数の条件を組み合わせて 1 つのポリシーを作成することもできます。それには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイスが暗号化されていること、オペレーティング システムのバージョンが最小要件を満たしていることなど)を定義します。
エディション、アプリ、プラットフォーム、管理者の種類のサポート
コンテキストアウェア アクセス ポリシーは、この記事の上部に記載されているエディションのいずれかを使用しているユーザーにのみ適用できます。
コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。
Google Workspace アプリ(コアサービス)
コアサービス アプリの場合、ポリシー評価は継続的に行われます。たとえば、ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。
下の表に、パソコンのウェブアプリ、モバイルアプリ、パソコンのネイティブ アプリ(組み込みのアプリ)のサポート対象のアプリをまとめました。
コアサービス |
ウェブアプリ(パソコンまたはモバイル) |
モバイルのネイティブ アプリ* |
パソコンのネイティブ アプリ |
カレンダー |
✔ |
✔ |
|
Cloud Search |
✔ |
✔ |
|
ドライブとドキュメント(スプレッドシート、スライド、フォームを含む) |
✔ |
✔ |
✔(パソコン版ドライブ) |
Gmail |
✔ |
✔ |
|
Google Meet |
✔ |
✔ |
|
Google Vault |
✔ |
||
Google Currents(旧 Google+) |
✔ |
✔ |
|
ビジネス向け Google グループ |
✔ |
||
Google Chat |
✔ |
✔ |
|
Jamboard サービス |
✔ |
✔ |
|
Keep |
✔ |
✔ |
|
Google サイト |
✔ |
||
ToDo リスト |
✔ |
✔ |
|
管理コンソール |
✔ | ✔ |
|
*モバイルアプリのサポートに関する注意事項:
- コンテキストアウェア アクセス ポリシーは、モバイルのサードパーティ製ネイティブ アプリ(Salesforce など)には適用できません。
- Chrome ウェブブラウザを使用してアクセスする SAML アプリにはコンテキストアウェア アクセス ポリシーを適用できます。
- モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。
その他の Google サービス
その他の Google サービスの場合、ポリシー評価は継続的に行われます。これらのサービスはウェブアプリ専用です。
- Looker Studio - データに基づいて、わかりやすいグラフとインタラクティブなレポートを作成。
- Google Play Console - 開発した Android アプリを、急増する Android ユーザーに提供。
SAML アプリ
SAML アプリの場合、ポリシー評価はアプリへのログイン時に行われます。
- Google を ID プロバイダとして使用するサードパーティの SAML アプリ。サードパーティの ID プロバイダ(IdP)を使用することも可能です(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定をご覧ください。
- ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。
例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセス ポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。
-
デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。
アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域、カスタム アクセスレベルなどの属性)を作成できます。カスタム アクセスレベルの作成でサポートされる属性および式のガイダンスと例については、カスタム アクセスレベルの仕様をご覧ください。
また、サポートされている BeyondCorp Alliance パートナーについて詳しくは、サードパーティ パートナーとの連携を設定するをご覧ください。
プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。
ポリシーの種類は次のとおりです。
- IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
- デバイス ポリシーとデバイスの OS - デバイスの特性(デバイスが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
- アクセス元の地域 - 国や地域を指定します。この国や地域にいるユーザーはアプリにアクセスできます。
プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合
インターネット サービス プロバイダが地域によって IP アドレスを変更している場合、変更が有効になるまでには時間がかかります。この間、位置情報属性に基づくアクセスが適用されているユーザーは、コンテキストアウェア アクセスによってブロックされることがあります。
- デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム:
- パソコン - Mac、Windows、Chrome OS、Linux OS
- モバイル - Android、iOS
- アクセス:
- パソコンのウェブブラウザとパソコン版ドライブ
- モバイルのウェブブラウザとファースト パーティのネイティブ アプリ
- ソフトウェア - エージェントは不要(Apple Private Relay が有効になっている Safari を除く)。iCloud で Apple Private Relay が構成されている場合、デバイスの IP アドレスは表示されません。Google Workspace は匿名の IP アドレスを受け取ります。この場合、コンテキストアウェア アクセスレベルが IP サブネットとして割り当てられていると、Safari でアクセスが拒否されます。この問題を解決するには、Private Relay を無効にするか、IP サブネットを含むアクセスレベルを削除します。
プラットフォームのサポート - ポリシーの種類が「デバイス」の場合
- デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム:
- パソコン - Mac、Windows、Chrome OS、Linux OS
- モバイル - Android、iOS。6.0 以前の Android では、エンドポイントの確認のために Google エンドポイント管理を基本モードで使用する必要があります。
- 会社所有 - Android 12 以降が搭載され仕事用プロファイルが設定されているデバイスには対応していません。このようなデバイスは、会社所有のインベントリに登録されていてもユーザー所有のものとして報告されます。詳しくは、モバイル デバイスの詳細情報を確認するの「デバイスの詳細について」で、「デバイス情報」の表を下にスクロールして「所有権」の行をご覧ください。
- アクセス:
- パソコンの Chrome ブラウザとパソコン版ドライブ
- モバイルの Chrome ブラウザとファースト パーティのネイティブ アプリ
- ソフトウェア -
- 特権管理者
- 次の各権限を委任された管理者:
- [データ セキュリティ] > [アクセスレベルの管理]
- [データ セキュリティ] > [ルールの管理]
- [管理 API の権限] > [グループ] > [読み取り]
- [管理 API の権限] > [ユーザー] > [読み取り]