ユーザーとデバイスの状況に基づいてアプリへのアクセスを制御する

コンテキスト アウェア アクセスの概要

この機能は、G Suite Enterprise、G Suite Enterprise for Education、Drive Enterprise、Cloud Identity Premium でご利用いただけます。


コンテキスト アウェア アクセスを使用すると、ユーザー ID、アクセス元の場所、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御ポリシーを作成できます。

この機能により、ユーザーのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、そのユーザーがどのアプリにアクセスできるかを制御することが可能です。

組織部門のすべてのメンバーに 2 段階認証プロセスを適用するなどのアクセス ポリシーも引き続き設定できます。コンテキスト アウェア アクセスを使用することで、さらにきめ細かく、コンテキストに応じてユーザーを制御することができます。

コンテキスト アウェア アクセスのユースケースの例

コンテキスト アウェア アクセスは次のような場合に使用できます。

  • 会社支給のデバイスのみにアプリへのアクセスを許可する。
  • ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する。
  • 社外ネットワークからのアプリへのアクセスを制限する。

複数の条件を組み合わせて 1 つのポリシーを作成することもできます。これには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイス ストレージが暗号化されていること、OS のバージョンが最小要件を満たしていること)を定義します。

コンテキスト アウェア アクセスのサポート

エディション

コンテキスト アウェア アクセス ポリシーは、次のいずれかのエディションをご使用のユーザーのみに適用できます。

  • G Suite Enterprise

  • Cloud Identity Premium

  • G Suite Enterprise for Education

  • Drive Enterprise(ドメインの所有権を証明済みの場合のみ)

コンテキスト アウェア アクセス ポリシーを同じ組織部門内またはグループ内のすべてのユーザーに適用しても、他の種類のエディション(G Suite Basic や G Suite Business など)をご使用のユーザーは従来どおりアプリにアクセスできます。サポート対象のエディションをご使用でないユーザーは、組織部門またはグループに適用されるコンテキスト アウェア アクセス ポリシーの対象になりません。

アプリ

次のサービスにコンテキスト アウェア アクセス ポリシーを適用できます。
  • カレンダー
  • Cloud Search
  • ドライブとドキュメント(スプレッドシート、スライド、フォームを含む)
  • Gmail
  • Google ハングアウト
  • Google Vault
  • Google+
  • ビジネス向け Google グループ
  • Hangouts Chat
  • Jamboard サービス
  • Keep
  • Google サイト
  • ToDo リスト
次のサービスには、コンテキスト アウェア アクセス ポリシーを適用できません。
  • Gmail アプリや Apple Mail アプリなどのモバイルアプリ
  • ドライブ ファイル ストリームなどのデスクトップ アプリ
プラットフォームの要件

アプリへのアクセスを制御するために、さまざまな種類のコンテキスト アウェア アクセス ポリシー(IP、デバイス、アクセス元の地域など)を作成できます。

プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。

ポリシーの種類

  • IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
  • デバイス - デバイスの特性(デバイス ストレージが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
  • アクセス元の地域 - 国を指定します。この国にいるユーザーはアプリにアクセスできます。

プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合

  • デバイスの種類 - デスクトップ パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム - Mac、Windows、Chrome
  • アクセス - ウェブブラウザのみ
  • ソフトウェア - すべてのブラウザ

プラットフォームのサポート - ポリシーの種類が「デバイス」の場合

  • デバイスの種類 - デスクトップ パソコン、ノートパソコン
  • オペレーティング システム - Mac、Windows、Chrome
  • アクセス - ウェブブラウザのみ
  • ソフトウェア - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
管理者の要件
以下の管理者は、コンテキスト アウェア アクセス ポリシーを設定できます。
  • 特権管理者
  • 次の各権限を委任された管理者:
    • [データ セキュリティ] > [アクセスレベルの管理]
    • [データ セキュリティ] > [ルールの管理]
    • [管理 API の権限] > [グループ] > [読み取り]
    • [管理 API の権限] > [ユーザー] > [読み取り]

ユーザー エクスペリエンス

アクセスレベルの条件を満たさないユーザーがアプリにアクセスしようとしたときに表示されるエラー メッセージは、管理者がカスタマイズできます。

メッセージには、アクセス許可を取得するための連絡先の情報を含める必要があります。このメッセージは、組織部門内のユーザーが使用するすべてのアプリに適用されます。組織部門によって管理者の連絡先情報が異なる場合は、組織部門ごとに異なるメッセージを作成します。

たとえば、管理者が Gmail へのアクセスに関するデバイス ポリシーを定義して、デスクトップ パソコンかノートパソコン上の Chrome ブラウザを使用するユーザーにのみアプリへのアクセスを許可したとします(モバイル デバイスからのアクセスは許可しない)。その後、ユーザーが Mac または iPhone の Safari ブラウザから Gmail にアクセスしようとすると、このメッセージが表示されます。プラットフォームの要件をご覧ください。

コンテキスト アウェア アクセス ポリシーの展開に関するおすすめの方法

コンテキスト アウェア アクセス ポリシーを社内でスムーズに展開するためのおすすめの方法を以下に示します。これらのおすすめの方法はお客様からのフィードバックに基づいています。

従業員、パートナー、社外の協力者のアクセスをブロックしない

  • これらのユーザーからの G Suite サービス(管理者とユーザーがコミュニケーションをとるために使用する Gmail など)へのアクセスをブロックしないようにします。
  • パートナー、社外の協力者、クライアントが必要とする IP の範囲を特定します。
  • 一部の G Suite サービス(Google フォームや Google サイトなど)はモバイルアプリに対応していないため、スマートフォンからのアクセスはブロックされますのでご注意ください。

デバイス ポリシーを段階的に展開する

  • 調査 - G Suite のデータにアクセスしているデバイスを管理者が把握できるようにするために、Endpoint Verification 拡張機能の使用をユーザーに強制します。各デバイスの情報(暗号化されているか、最新のオペレーティング システムを実行しているか、会社所有のデバイスか、個人用のデバイスかなど)を確認します。
     
  • 準備 - デバイス ポリシーを適用する準備として、ユーザーのデバイスを IT 部門の管理下におき、会社の基準に準拠させるようにします。これにより、ヘルプデスクのチケットおよびサポートへの電話を減らすことができます。
     
  • 適用 - デバイスのコンテキストに基づいて、アプリへのアクセスを制限するポリシーを適用します。組織、下位組織、グループを特定し、デバイス ポリシーを段階的に適用します。各組織またはグループのデバイス構成に基づいて展開の計画を作成し、ヘルプデスクの十分なサポートを計画します。

次のステップ: アクセスレベルを作成する

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。