高度な保護機能プログラムに関するよくある質問

はい。高度な保護機能プログラムは、SAML を使用して IdP 経由で連携するアカウントでご利用いただけます。これらのアカウントをご利用のユーザーが高度な保護機能プログラムに登録すると、IdP へのログイン後にセキュリティ キーの使用を求められます。SAML ユーザーは、[デバイスを記憶する] を選択して、ブラウザやデバイスに本人確認を再び表示しないようにすることができます。

より安心してご利用いただくため、2 つのセキュリティ キーが必要です。1 つ目のキーが紛失または破損しても、2 つ目のキーでアカウントへのアクセスを復元できます。

ログインの仕様は、高度な保護機能プログラムに登録していないユーザーに対するものと同じです。一般的に、Google Workspace へのログインに使用したことのあるデバイスまたはブラウザにはそのユーザーが記憶され、以降に同じブラウザまたはデバイスでログインするときには 2 段階認証プロセスは求められません。また、ユーザーがセキュリティ キーを使用できないようにする管理者権限もあります。

モバイル デバイスと通信して Google アカウントを認証するには、Bluetooth Low Energy（BLE）セキュリティ キーを使用できます。ログイン処理中に、Apple の App Store から Google SmartLock アプリをダウンロードして使用するよう求められます。SmartLock は、BLE セキュリティ キーと通信するために必要です。

ウェブベースの認証に対応し、セキュリティ キーがネイティブでサポートされているブラウザ、アプリケーション、サービスは増えていますが、セキュリティ キーを使用できない事例も多くあります。たとえば、Internet Explorer などの従来のプラットフォームや、埋め込まれた WebView を使用する従来のネイティブ モバイルアプリなどがこれに該当します。また、リモートのワークステーションで Chrome リモート デスクトップを使用している場合、リモートの USB ポートにセキュリティ キーを挿入できないことがあります。

このようなケースを踏まえ、セキュリティ コードがサポートされています。セキュリティ コードは、対応するプラットフォームでユーザーがセキュリティ キーを使用して生成できる 1 回限り使用可能なコードです。

ユーザーは高度な保護機能プログラムの登録を行った同じ場所から、セキュリティ コードを任意で選択できます。ただし、セキュリティ コードを使用するよりも、セキュリティ キーを直接使用したほうが安全です。管理者がユーザーにセキュリティ コードの使用を許可する場合は、注意が必要です。

デフォルトでは、Gmail と Google ドライブに対するハイリスク アクセスを必要とするアプリは自動的にブロックされます。例外は、すべての Google アプリ、Apple のネイティブ iOS アプリ、Mozilla Thunderbird メール クライアントです。

ユーザーは、アプリにハイリスク アクセスを与えてしまう恐れがあります。高度な保護機能プログラムはハイリスク ユーザーの保護を目的としているため、このようなアプリに対するフィッシング脅威が管理されます。

管理者は特定の接続済みアプリのアクセスを承認できます。管理者が作成した承認済みアプリのリストが適用され、リスクが高いとみなされるアプリ（上記を参照）と管理者が承認していないアプリはブロックされます。

GCDS や GSPS などの Google が提供するアプリは、管理者が操作することなく自動的にアクセスが許可されます。

適切なライセンスがある高度な保護機能プログラム ユーザーに対しては、強化型の配信前スキャンとセキュリティ サンドボックスが有効になります。強化型の配信前スキャンはすべてのエディションでご利用いただけますが、セキュリティ サンドボックスは Enterprise エディションのユーザーにのみご利用いただけます。