コンテキストアウェア アクセスでビジネスを保護する

Google Workspace アプリ（コアサービス）

コアサービス アプリの場合、ポリシー評価は継続的に行われます。たとえば、ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。

下の表に、パソコンのウェブアプリ、モバイルアプリ、パソコンのネイティブ アプリ（組み込みのアプリ）のサポート対象のアプリをまとめました。

*モバイルアプリのサポートに関する注意事項:

• コンテキストアウェア アクセス ポリシーは、モバイルのサードパーティ製ネイティブ アプリ（Salesforce など）には適用できません。
• Chrome ウェブブラウザを使用してアクセスする SAML アプリにはコンテキストアウェア アクセス ポリシーを適用できます。
• モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。

その他の Google サービス

その他の Google サービスの場合、ポリシー評価は継続的に行われます。これらのサービスはウェブアプリ専用です。

• Looker Studio - データに基づいて、わかりやすいグラフとインタラクティブなレポートを作成。
• Google Play Console - 開発した Android アプリを、急増する Android ユーザーに提供。

SAML アプリ

SAML アプリの場合、ポリシー評価はアプリへのログイン時に行われます。

• Google を ID プロバイダとして使用するサードパーティの SAML アプリ。サードパーティの ID プロバイダ（IdP）を使用することも可能です（サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携）。詳しくは、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定をご覧ください。
• ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。

  例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセス ポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。

• デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス（ウェブブラウザを使用してログインするモバイルアプリを含む）がブロックされます。

アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー（IP、デバイス、アクセス元の地域、カスタム アクセスレベルなどの属性）を作成できます。カスタム アクセスレベルの作成でサポートされる属性および式のガイダンスと例については、カスタム アクセスレベルの仕様をご覧ください。

また、サポートされている BeyondCorp Alliance パートナーについて詳しくは、サードパーティ パートナーとの連携を設定するをご覧ください。

プラットフォームのサポート（デバイスの種類、オペレーティング システム、ブラウザ アクセスなど）は、ポリシーの種類によって異なります。

ポリシーの種類は次のとおりです。

• IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
• デバイス ポリシーとデバイスの OS - デバイスの特性（デバイスが暗号化されているか、パスワードを要求するかなど）を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
• アクセス元の地域 - 国や地域を指定します。この国や地域にいるユーザーはアプリにアクセスできます。

プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合

インターネット サービス プロバイダが地域によって IP アドレスを変更している場合、変更が有効になるまでには時間がかかります。この間、位置情報属性に基づくアクセスが適用されているユーザーは、コンテキストアウェア アクセスによってブロックされることがあります。

• デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
• オペレーティング システム:
  • パソコン - Mac、Windows、Chrome OS、Linux OS
  • モバイル - Android、iOS
• アクセス:
  • パソコンのウェブブラウザとパソコン版ドライブ
  • モバイルのウェブブラウザとファースト パーティのネイティブ アプリ
• ソフトウェア - エージェントは不要（Apple Private Relay が有効になっている Safari を除く）。iCloud で Apple Private Relay が構成されている場合、デバイスの IP アドレスは表示されません。Google Workspace は匿名の IP アドレスを受け取ります。この場合、コンテキストアウェア アクセスレベルが IP サブネットとして割り当てられていると、Safari でアクセスが拒否されます。この問題を解決するには、Private Relay を無効にするか、IP サブネットを含むアクセスレベルを削除します。

プラットフォームのサポート - ポリシーの種類が「デバイス」の場合

• デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
• オペレーティング システム:
  • パソコン - Mac、Windows、Chrome OS、Linux OS
  • モバイル - Android、iOS。6.0 以前の Android では、エンドポイントの確認のために Google エンドポイント管理を基本モードで使用する必要があります。
• 会社所有 - Android 12 以降が搭載され仕事用プロファイルが設定されているデバイスには対応していません。このようなデバイスは、会社所有のインベントリに登録されていてもユーザー所有のものとして報告されます。詳しくは、モバイル デバイスの詳細情報を確認するの「デバイスの詳細について」で、「デバイス情報」の表を下にスクロールして「所有権」の行をご覧ください。
• アクセス:
  • パソコンの Chrome ブラウザとパソコン版ドライブ
  • モバイルの Chrome ブラウザとファースト パーティのネイティブ アプリ
• ソフトウェア -
  • パソコン - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
  • モバイル - モバイル デバイスは Google エンドポイント管理（基本管理または詳細管理）を使用して管理する必要があります。

• 特権管理者
• 次の各権限を委任された管理者:
  • [データ セキュリティ] > [アクセスレベルの管理]
  • [データ セキュリティ] > [ルールの管理]
  • [管理 API の権限] > [グループ] > [読み取り]
  • [管理 API の権限] > [ユーザー] > [読み取り]