この機能に対応しているエディション: Enterprise、Education Standard、Education Plus、Cloud Identity Premium。 エディションの比較
コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御ポリシーを作成できます。
この機能により、ユーザーのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、そのユーザーがどのアプリにアクセスできるかを制御することが可能です。
組織部門またはグループのすべてのメンバーに 2 段階認証プロセスを適用するなどのアクセス ポリシーも引き続き設定できます。コンテキストアウェア アクセスを使用することで、さらにきめ細かく、コンテキストに応じてユーザーを制御することができます。
アプリへのアクセスは、アクセスが許可された後も継続的に評価されます。このルールの例外は、ログイン時に評価される SAML アプリです。
コンテキストアウェア アクセスのユースケースの例
コンテキスト アウェア アクセスは次のような場合に使用できます。
- 会社支給のデバイスのみにアプリへのアクセスを許可する。
- ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する。
- 社外ネットワークからのアプリへのアクセスを制限する。
複数の条件を組み合わせて 1 つのポリシーを作成することもできます。これには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイス ストレージが暗号化されていること、OS のバージョンが最小要件を満たしていること)を定義します。
コンテキストアウェア アクセスのサポート
コンテキストアウェア アクセス ポリシーは、この記事の上部に記載されているエディションのいずれかを使用しているユーザーにのみ適用できます。
コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。
Google Workspace アプリ(コアサービス)
コアサービス アプリの場合、ポリシー評価は継続的に行われます。たとえば、ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。
下の表に、パソコンのウェブアプリ、モバイルアプリ、パソコンのネイティブ アプリ(組み込みのアプリ)のサポート対象のアプリをまとめました。
|
コアサービス |
ウェブアプリ(パソコンまたはモバイル) |
モバイルのネイティブ アプリ* |
パソコンのネイティブ アプリ |
|
カレンダー |
✔ |
✔ |
|
|
Cloud Search |
✔ |
✔ |
|
|
ドライブとドキュメント(スプレッドシート、スライド、フォームを含む) |
✔ |
✔ |
|
|
Gmail |
✔ |
✔ |
|
|
Google Meet(Hangouts Meet を使用してアクセス制御ポリシーを Google Meet に適用可能) |
✔ |
✔ |
|
|
Hangouts Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
Google Currents(旧 Google+) |
✔ |
✔ |
|
|
ビジネス向け Google グループ |
✔ |
||
|
Google Chat(Hangouts Chat を使用してアクセス制御ポリシーを Google Chat に適用可能) |
✔ |
✔ |
|
|
Hangouts Chat |
✔ |
✔ |
|
|
Jamboard サービス |
✔ |
✔ |
|
|
Keep |
✔ |
✔ |
|
|
Google サイト |
✔ |
||
|
ToDo リスト |
✔ |
✔ |
|
|
パソコン版ドライブ |
✔ |
*モバイルアプリのサポートに関する注意事項:
- コンテキストアウェア アクセス ポリシーは、モバイルのサードパーティ製ネイティブ アプリ(Salesforce など)には適用できません。
- コンテキストアウェア アクセス ポリシーは、モバイルのウェブブラウザ(Safari と Chrome)を使用してアクセスする SAML アプリには適用できます。
- モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。
その他の Google サービス
その他の Google サービスの場合、ポリシー評価は継続的に行われます。これらのサービスはウェブアプリ専用です。
- Google データポータル - データに基づいて、わかりやすいグラフとインタラクティブなレポートを作成。
- Google Play Console - 開発した Android アプリを、急増する Android ユーザーに提供。
SAML アプリ
SAML アプリの場合、ポリシー評価はアプリへのログイン時に行われます。
- Google を ID プロバイダとして使用するサードパーティの SAML アプリ。サードパーティの ID プロバイダ(IdP)を使用することも可能です(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定をご覧ください。
- ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。
例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセス ポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。
-
デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。
アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域など)を作成できます。
プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。
ポリシーの種類
- IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
- デバイス ポリシーとデバイスの OS - デバイスの特性(デバイスが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
- アクセス元の地域 - 国を指定します。この国にいるユーザーはアプリにアクセスできます。
プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合
インターネット サービス プロバイダが地域によって IP アドレスを変更している場合、変更が有効になるまでには時間がかかります。この間、位置情報属性に基づくアクセスが適用されているユーザーは、コンテキストアウェア アクセスによってブロックされることがあります。
- デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム:
- パソコン - Mac、Windows、Chrome OS、Linux OS
- モバイル - Android、iOS
- アクセス:
- パソコンのウェブブラウザとパソコン版ドライブ
- モバイルのウェブブラウザとファースト パーティのネイティブ アプリ
- ソフトウェア: エージェント不要
プラットフォームのサポート - ポリシーの種類が「デバイス」の場合
- デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム:
- パソコン - Mac、Windows、Chrome OS、Linux OS
- モバイル - Android、iOS。6.0 以前の Android では、エンドポイントの確認のため Google エンドポイント管理を基本モードで使用する必要があります。
- 会社所有 - Android 12 以降が搭載され仕事用プロファイルが設定されているデバイスには対応していません。このようなデバイスは、会社所有のインベントリに登録されていてもユーザー所有のものとして報告されます。
- アクセス:
- パソコンのウェブブラウザとパソコン版ドライブ
- モバイルのウェブブラウザとファースト パーティのネイティブ アプリ
- ソフトウェア:
- パソコン - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
- モバイル - ほとんどの属性がサポート対象(ソフトウェアのインストールは不要)。いくつかの属性については、Device Policy アプリケーション(高度な MDM)が必要です。
- 特権管理者
- 次の各権限を委任された管理者:
- [データ セキュリティ] > [アクセスレベルの管理]
- [データ セキュリティ] > [ルールの管理]
- [管理 API の権限] > [グループ] > [読み取り]
- [管理 API の権限] > [ユーザー] > [読み取り]
コンテキストアウェア アクセス ポリシーの展開に関するおすすめの方法
コンテキストアウェア アクセス ポリシーを社内でスムーズに展開するためのおすすめの方法を以下に示します。これらのおすすめの方法はお客様からのフィードバックに基づいています。
従業員、パートナー、社外の協力者のアクセスをブロックしない
- 管理者とユーザーのコミュニケーションに使用される Google Workspace サービス(Gmail など)へのアクセスはブロックしないでください。
- パートナー、社外の協力者、クライアントが必要とする IP の範囲を特定します。
- Google フォームや Google サイトなど、一部の Google Workspace サービスにはモバイルアプリがないため、スマートフォンからのアクセスはブロックされます。
デバイス ポリシーを段階的に展開する
- 調査 - Google Workspace のデータにアクセスしている(または今後アクセスする)デバイスを把握するために、Endpoint Verification の使用を必須にします。各デバイスの情報(暗号化されているか、最新のオペレーティング システムを実行しているか、会社所有のデバイスか、個人用のデバイスかなど)を確認します。Endpoint Verification に自動インストールを指定し、アクセスキーを要求する必要があります。詳しくは、Endpoint Verification を有効または無効にする方法についての記事をご覧ください。
ユーザーが Endpoint Verification にログインする前に管理者がコンテキストアウェア デバイス ポリシーを適用すると、デバイスがコンテキストアウェア ポリシーの条件を満たしていても、ユーザーはアクセスを拒否されることがあります。これは、Endpoint Verification でデバイスの属性を同期するのに数秒かかる場合があるからです。この問題を回避するには、コンテキストアウェア デバイス ポリシーを適用する前に、ユーザーに Endpoint Verification にログインしてもらってください。 - 準備 - デバイス ポリシーを適用する準備として、ユーザーのデバイスを IT 部門の管理下におき、会社の基準に準拠させるようにします。これにより、ヘルプデスクのチケットおよびサポートへの電話を減らすことができます。
- 適用 - デバイスのコンテキストに基づいて、アプリへのアクセスを制限するポリシーを適用します。組織、下位組織、グループを特定し、デバイス ポリシーを段階的に適用します。各組織またはグループのデバイス構成に基づいて展開の計画を作成し、ヘルプデスクの十分なサポートを計画します。
