ユーザーとデバイスのコンテキスト情報に基づいて、アプリへのアクセスを制御する

コンテキスト アウェア アクセスの概要

サポート対象エディション: Enterprise、Education Plus。  エディションの比較

コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御ポリシーを作成できます。

この機能により、ユーザーのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、そのユーザーがどのアプリにアクセスできるかを制御することが可能です。

組織部門またはグループのすべてのメンバーに 2 段階認証プロセスを適用するなどのアクセス ポリシーも引き続き設定できます。コンテキストアウェア アクセスを使用することで、さらにきめ細かく、コンテキストに応じてユーザーを制御することができます。

アプリへのアクセスは、アクセスが許可された後も継続的に評価されます。このルールの例外は、ログイン時に評価される SAML アプリです。

コンテキストアウェア アクセスのユースケースの例

コンテキスト アウェア アクセスは次のような場合に使用できます。

  • 会社支給のデバイスのみにアプリへのアクセスを許可する。
  • ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する。
  • 社外ネットワークからのアプリへのアクセスを制限する。

複数の条件を組み合わせて 1 つのポリシーを作成することもできます。これには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイス ストレージが暗号化されていること、OS のバージョンが最小要件を満たしていること)を定義します。

コンテキストアウェア アクセスのサポート

エディション

コンテキストアウェア アクセス ポリシーは、この記事の上部に記載されているエディションのいずれかを使用しているユーザーにのみ適用できます。

コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。

アプリ

コンテキストアウェア アクセス ポリシーは、パソコンのウェブアプリ、モバイルアプリ、パソコンのネイティブ アプリに適用できます。

コアサービス

コアサービス アプリの場合、ポリシー評価は継続的に行われます。たとえば、ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。

下の表に、パソコンのウェブアプリ、モバイルアプリ、パソコンのネイティブ アプリ(組み込みのアプリ)のサポート対象のアプリをまとめました。

コアサービス

ウェブアプリ(パソコンまたはモバイル)

モバイルのネイティブ アプリ*
(モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。)

パソコンのネイティブ アプリ

カレンダー

 

Cloud Search

 

ドライブとドキュメント(スプレッドシート、スライド、フォームを含む)

 

Gmail

 

Google Meet(Hangouts Meet を使用してアクセス制御ポリシーを Google Meet に適用可能)

 

Hangouts Meet

 

Google Vault

   

Google Currents(旧 Google+)

 

ビジネス向け Google グループ

   

Google Chat(Hangouts Chat を使用してアクセス制御ポリシーを Google Chat に適用可能)

 

Hangouts Chat

 

Jamboard サービス

 

Keep

 

Google サイト

   

ToDo リスト

 

パソコン版ドライブ

   

*モバイルアプリのサポートに関する注意事項:

  • コンテキストアウェア アクセス ポリシーは、モバイルのサードパーティ製ネイティブ アプリ(Salesforce など)には適用できません。
  • コンテキストアウェア アクセス ポリシーは、モバイルのウェブブラウザ(Safari と Chrome)を使用してアクセスする SAML アプリには適用できます。
  • モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。

SAML アプリ

SAML アプリの場合、ポリシー評価はアプリへのログイン時に行われます。

  • Google を ID プロバイダとして使用するサードパーティの SAML アプリ。サードパーティの ID プロバイダ(IdP)を使用することも可能です(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定をご覧ください。
  • ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。

    例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセス ポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。

  • デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。

プラットフォームの要件

アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域など)を作成できます。

プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。

ポリシーの種類

  • IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
  • デバイス ポリシーとデバイスの OS - デバイスの特性(デバイスが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
  • アクセス元の地域 - 国を指定します。この国にいるユーザーはアプリにアクセスできます。

プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合

  • デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム:
    • パソコン - Mac、Windows、Chrome OS、Linux OS
    • モバイル - Android、iOS
  • アクセス:
    • パソコンのウェブブラウザとパソコン版ドライブ
    • モバイルのウェブブラウザとファースト パーティのネイティブ アプリ
  • ソフトウェア: エージェント不要

プラットフォームのサポート - ポリシーの種類が「デバイス」の場合

  • デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
  • オペレーティング システム:
    • パソコン - Mac、Windows、Chrome OS、Linux OS
    • モバイル - Android、iOS。6.0 以前の Android では、エンドポイントの確認のため Google エンドポイント管理を基本モードで使用する必要があります。
  • アクセス:
    • パソコンのウェブブラウザとパソコン版ドライブ
    • モバイルのウェブブラウザとファースト パーティのネイティブ アプリ
  • ソフトウェア:
    • パソコン - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
    • モバイル - ほとんどの属性がサポート対象(ソフトウェアのインストールは不要)。いくつかの属性については、Device Policy アプリケーション(高度な MDM)が必要です。
管理者の要件
以下の管理者は、コンテキスト アウェア アクセス ポリシーを設定できます。
  • 特権管理者
  • 次の各権限を委任された管理者:
    • [データ セキュリティ] > [アクセスレベルの管理]
    • [データ セキュリティ] > [ルールの管理]
    • [管理 API の権限] > [グループ] > [読み取り]
    • [管理 API の権限] > [ユーザー] > [読み取り]

ユーザー エクスペリエンス

アクセスレベルの条件を満たさないユーザーがアプリにアクセスしようとしたときに表示されるエラー メッセージは、管理者がカスタマイズできます。
メッセージには、アクセス権を取得するための連絡先の情報を記載する必要があります。このメッセージは、組織部門内のユーザーが使用するすべてのアプリに適用されます。組織部門によって管理者の連絡先情報が異なる場合は、組織部門ごとに別途メッセージを作成します。

コンテキストアウェア アクセス ポリシーの展開に関するおすすめの方法

コンテキスト アウェア アクセス ポリシーを社内でスムーズに展開するためのおすすめの方法を以下に示します。これらのおすすめの方法はお客様からのフィードバックに基づいています。

従業員、パートナー、社外の協力者のアクセスをブロックしない

  • 管理者とユーザーのコミュニケーションに使用される Google Workspace サービス(Gmail など)へのアクセスはブロックしないでください。
  • パートナー、社外の協力者、クライアントが必要とする IP の範囲を特定します。
  • Google フォームや Google サイトなど、一部の Google Workspace サービスにはモバイルアプリがないため、スマートフォンからのアクセスはブロックされます。

デバイス ポリシーを段階的に展開する

  • 調査 - Google Workspace のデータにアクセスしている(または今後アクセスする)デバイスを把握するために、Endpoint Verification の使用を必須にします。各デバイスの情報(暗号化されているか、最新のオペレーティング システムを実行しているか、会社所有のデバイスか、個人用のデバイスかなど)を確認します。

    ユーザーが Endpoint Verification にログインする前に管理者がコンテキストアウェア デバイス ポリシーを適用すると、デバイスがコンテキストアウェア ポリシーの条件を満たしていても、ユーザーはアクセスを拒否されることがあります。これは、Endpoint Verification でデバイスの属性を同期するのに数秒かかる場合があるからです。この問題を回避するには、コンテキストアウェア デバイス ポリシーを適用する前に、ユーザーに Endpoint Verification にログインしてもらってください。  
  • 準備 - デバイス ポリシーを適用する準備として、ユーザーのデバイスを IT 部門の管理下におき、会社の基準に準拠させるようにします。これにより、ヘルプデスクのチケットおよびサポートへの電話を減らすことができます。
  • 適用 - デバイスのコンテキストに基づいて、アプリへのアクセスを制限するポリシーを適用します。組織、下位組織、グループを特定し、デバイス ポリシーを段階的に適用します。各組織またはグループのデバイス構成に基づいて展開の計画を作成し、ヘルプデスクの十分なサポートを計画します。

次のステップ: アクセスレベルを作成する

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false