設定グループでは、組織単位ではなくユーザー グループに対してコンテキストアウェア アクセスのレベルを適用することができます。設定グループには、社内のどの組織部門のユーザーも追加できます。たとえば、契約社員のチームが社内ネットワークでのみ Gmail にアクセスできるようにすることも可能です。
設定グループの仕組み
-
設定グループには、組織内のどのユーザーでも含めることができます。また、アクセスレベルのコンテナとして機能する設定グループを作成してから、そちらにユーザー グループ(ネストされたグループ)を加えることもできます。
-
組織部門とは異なり、ユーザーは複数の設定グループに所属することができます。その場合、管理者が指定した設定グループの優先値に基づき、ユーザーが所属するグループのうち最も優先値が高いグループの設定がそのユーザーに適用されます。
-
アプリに対するユーザー グループのアクセスレベルは、組織部門のアクセスレベルよりも常に優先されます。
-
アプリのアクセスレベルが設定グループで指定されていない場合、そのアプリではユーザーの組織部門で設定されているアクセスレベルが適用されます。
コンテキストアウェア アクセスで使用する設定グループを構成する
コンテキストアウェア アクセスに対する設定グループの仕組みは、他の Google Workspace 設定と多少異なります。グループとポリシーを設計する際の情報とヒントを以下に示します。
通常は、組織部門のアクセスレベルを定義してから、設定グループのカスタム アクセスレベルを決定します。たとえば、特定のユーザーのアクセスを迅速に許可または制限できるよう、「オープン アクセス」や「ロックダウン アクセス」といった設定グループを作成することができます。
通常は、次の設定グループを組み合わせて使用します。
既存のユーザー グループを使用する
ユーザー グループ内で各アプリ(Gmail や Google ドライブなど)のアクセスレベルを設定します。ユーザーが複数のグループに所属している場合は、そのユーザーの設定に使用するグループを指定します(詳しくは優先値をご確認ください)。
次の場合は、ユーザー グループにアクセスレベルを直接適用する方法が効率的です。
- コンテキストアウェア アクセスをテストする場合
- 特定のユーザー グループ(IT 担当者やリモート チームなど)のアクセス権を管理する場合
- 組織のユーザー数が 50 未満であるか、アクセスレベル数が少ない場合グループを新たに作成する必要はなく、各ユーザー グループの設定に細かな調整を加えて適用できます。
アクセスレベルに基づいて設定グループを作成する
グループにアクセスレベルを割り当てることもできます。設定グループを作成して、1 つまたは複数のアプリについてアクセスレベルを割り当てます。次に、ユーザー グループを設定グループのメンバーとして追加します。
この方法は、大規模な組織でアクセス グループのポリシーや優先値を管理する場合に有効です(以下を参照)。
ユーザーが複数の設定グループに所属している場合、設定グループの優先度を指定して、そのユーザーのアプリへのアクセスレベルを定めます。
管理コンソールでは、優先値の高いものから低いものの順にグループが表示されます。新しい設定グループは、常に優先値が最も低く、設定グループのリストの一番下に追加されます。
コンテキストアウェア アクセスの優先値
ユーザーが所属するグループのうち、優先値の最も高いグループのアプリの設定がユーザーに適用されます。特定のアプリに対するアクセスレベルがそのグループで設定されていない場合、次に優先値の高いグループのアクセスレベルが適用されます。
管理者は管理コンソールで、アプリに対するユーザーのアクセスレベルを指定しているグループや組織部門を確認できます。以下の例では、「ドライブのセキュリティ」グループによってユーザーのドライブへのアクセスレベルが決められています。
| ユーザーのアプリ | アクセスレベル | 継承元 |
|---|---|---|
| 会社のネットワーク | 組織部門: 営業 | |
| 会社のネットワーク, デバイスのセキュリティ | グループ: ドライブのセキュリティ | |
| デバイスのセキュリティ | 組織部門: 営業 | |
| <なし> | <なし> |
詳細に管理する場合は、次のようにグループを使用して各アプリのアクセスレベルをカスタマイズできます。
| ユーザーのアプリ | アクセスレベル | 継承元 |
|---|---|---|
| 会社のネットワーク | 組織部門: 営業 | |
| 会社のネットワーク, デバイスのセキュリティ | グループ: ドライブのセキュリティ | |
| デバイスのセキュリティ, カナダ | グループ: 北米 | |
| 制限されたデバイス、会社のネットワーク | グループ: Vault 調査担当者 |
設定グループを適用する
- 重要な設定グループや機密性の高い設定グループの優先値を高くすることをおすすめします。たとえば、最優先グループは、アクセスを制限するすべてのグループより優先される「緊急アクセス」グループにするとよいかもしれません。
-
ユーザーが所属する複数のグループのアクセスレベルが、すべて適用されることはありません。この例では、ユーザーは 3 つのユーザー グループに所属していますが、最も優先値の高い「デバイス」設定グループのみでアクセスレベルが決まります。
設定グループの構成の計画は、時間と見直しの手間が最もかかりがちな作業です。
グループの命名と検索
検索、優先値設定、監査を簡単に行えるよう、グループの命名規則を設定します。たとえば、コンテキストアウェア アクセスの設定グループであることを示すため、「caa」といった接頭辞を追加します。また、設定グループを追加するときは、小数位を使用することで、既存のグループ名を編集しないようにします。
| グループ アドレスで検索 | |||
| グループのリストを表示 | |||
- グループを検索: 次のように設定名と優先値を含む命名規則を設定することをおすすめします。
caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com
- グループを表示: [グループ] パネルには、グループ名(最大 37 文字)が優先値順に表示されます。グループにカーソルを合わせると、そのフルネームが表示されます。次に例を示します。
CAA p0.0 - Unrestricted access all apps
CAA p1.0 - Lockdown access
CAA p3.0 - Gmail IP corp & device security
CAA p3.1 - Gmail IP corp
グループの優先値を設定する
優先値と設定を管理するには:
- 適用対象のユーザー数が最も少ないグループ、または重要なポリシー(「ロックダウン アクセス」や「すべてのアクセス」など)を定義しているグループの優先値を最も高くすることをおすすめします。
- グループの構成に応じて適切に優先値を設定するようにしましょう。特に下層に深くネストされたグループには注意が必要です。ネストが深いものは、設定の際に漏れる可能性があります。
グループを作成する
使用する設定グループは、管理コンソール、Directory API、または Google Cloud Directory Sync で作成したグループである必要があります。Google グループで作成したグループは、設定グループとして使用することはできません(グループが Google グループで作成されたかどうかは、管理コンソールには表示されません)。
設定グループはどのツールでも管理できます。ユーザーの追加または削除に関して厳格な権限を設定したり、グループへの投稿を無効にしたり、グループからの退会を禁止したり(Group API でのみ可能)することができます。
設定グループを設定する
始める前に: コンテキストアウェア アクセスのレベルを定義して、設定グループ(できれば 1 つまたは 2 つのテスト アカウントを含める)を作成します。
グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[アクセスとデータ管理]
- [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
- [コンテキストアウェア アクセス] で [グループ] をクリックします。
- 次のいずれかを選択します。
- アプリをクリックします。アプリにアクセスレベルが割り当てられている既存の設定グループが、優先度順に一覧表示されます。
- [グループを検索] をクリックすると、設定グループだけでなく、すべてのグループのリストを確認できます。テキストを入力して結果をフィルタできます。
- 目的のグループをクリックします。 アプリケーション テーブルに、割り当てられたアクセスレベルとともにすべてのアプリケーションが一覧表示されます。
- グループが見つからない場合、そのグループは Google グループで作成されたものである可能性があります。設定グループは、管理コンソール、Directory API、Google Cloud Directory Sync のいずれかで作成する必要があります。
- 優先値の高いものから低いものの順に設定グループを追加します。新しく追加したグループは、自動的に一番下の優先値で追加されます。
- グループが見つからない場合、そのグループは Google グループで作成されたものである可能性があります。設定グループは、管理コンソール、Directory API、Google Cloud Directory Sync のいずれかで作成する必要があります。
- 1 つ以上のアプリを選択し、[割り当て] をクリックします。
- グループのアプリに適用するアクセスレベルを選択して [保存] をクリックします。デフォルトでは、新しいグループにはアクセスレベルが割り当てられていません。
複数の種類の Google Workspace ライセンスがある組織の場合: グループのアクセスレベルは、コンテキストアウェア アクセス制御が利用可能な Google Workspace のエディションに割り当てられたユーザーにのみ適用されます。
グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。
-
-
管理コンソールで、メニュー アイコン
- 管理コンソールで、アプリの設定ページに移動します。
- 左上の [ユーザー] をクリックします。
- [ユーザーを選択] をクリックし、ユーザーのアドレス(名前ではなく)を入力します。
- アプリの設定を確認するユーザーを選択します。[継承元] 列には、ユーザーの設定に使用された設定グループまたは組織部門が表示されます。
- アプリにカーソルを合わせて [表示] をクリックすると、ユーザーのアクセスレベルの詳細を確認できます。
注: 組織部門では、[継承] レベルは組織部門の設定のみに基づいており、設定グループには基づいていないように表示されています。
グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。
-
-
管理コンソールで、メニュー アイコン
- [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
- 左側の [グループ] をクリックします。優先値の高い順に設定グループが一覧表示されます。
- 削除するグループをクリックします。
- まず、グループのアプリからすべてのアクセスレベルの割り当てを解除します。[アプリ] パネルで、各アプリケーションを 1 つずつ確認して、すべてのアクセスレベルが割り当て解除されている状態にします。
- [割り当て] をクリックします。
- [すべてオフ] をクリックします。
- [保存] をクリックします。
グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。
-
-
管理コンソールで、メニュー アイコン
- [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
- 左側の [グループ] をクリックします。優先値の高い順に設定グループが一覧表示されます。
- 編集するグループをクリックします。
- 右側で、編集、追加、削除するアプリを選択します。
- [割り当て] をクリックします。
- グループのレベルの割り当てを更新します。
- [保存] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
グループリストに設定グループが表示されない
- グループが Google グループで作成されている可能性があります。グループを管理コンソールで再度作成してください。
- グループの名前ではなく、メールアドレスを検索してください。
- 設定ページを更新してみてください。変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
- グループに対する管理者権限があることを確認してください。
ユーザーに適切なアクセスレベルが適用されていない
- ユーザーのグループ メンバーシップを確認してください。変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
- ユーザーの設定に適用される設定グループをご確認ください。ユーザーが複数の設定グループに所属している場合は、いずれかのグループの優先値またはユーザーの所属グループの変更が必要なこともあります。
- 該当する機能のサービス ライセンスをユーザーが持っていない可能性があります。コンテキストアウェア アクセスは、Google Workspace の特定のエディションでのみご利用いただけます。
- ユーザーがアプリにアクセスできない場合、以前に削除されたアクセスレベルがアプリに割り当てられている可能性があります。削除済みのアクセスレベルを削除するをご確認ください。
設定グループの設定に加えられた変更は、管理コンソールの監査ログの次のイベントで確認できます。
イベント: コンテキストアウェア アクセスレベルのアプリ固有の割り当ての変更
|
設定グループを適用または削除するときにログに記録します。イベントではグループ名を使用するため、グループの名前とアドレスの両方に、同様の命名規則を使用することをおすすめします。 グループ イベントに含まれるデータは以下のようになります。
たとえば、設定グループ「CAA.02 local access」をアプリに適用します。
アプリから設定グループを削除する場合は、以下のようになります。
|
組織部門、グループの継承、設定グループについて
子組織部門またはグループでローカルのアクセスレベルに変更を加えると、その子組織またはグループにはローカルのアクセスレベルのみが適用され、親組織部門のアクセスレベルは一切継承されません。
ローカルに割り当てられたアクセスレベルをすべて削除して、元々継承していたアクセスレベルを復元すると、子組織には元々継承していたアクセスレベルのみが適用されます。
たとえば、最上位の組織部門で 1 個のアプリに 3 つのアクセスレベルが割り当てられている場合、継承によって子組織の同じアプリにも同じ 3 つのアクセスレベルが割り当てられます(子組織にローカルの割り当てがない場合)。ただし、子組織でアクセスレベルを 1 つ追加すると、この子組織ではそれが唯一のアクセスレベルとなります。
継承したアクセスレベルの割り当てを無効ポリシーでオーバーライドする
たとえば、子組織でユーザー アクセスを一切ブロックしない(アクセスレベルを割り当てない)場合は、[制限なし] というアクセスレベルを 2 つの IP サブネット条件で作成し、それらの条件を OR で結合します。
- IPv4 サブネット範囲 0.0.0.0/0
or - IPv6 サブネット範囲 0::/0
これで、組織内のユーザーは任意の IPv4 または IPv6 アドレスからアクセスできるようになります。
アクセスレベルの割り当てを設定グループでオーバーライドする
設定グループを使用すると、組織部門ではなく一部のユーザー グループにアクセスレベルを割り当てることができます。ユーザー グループのアクセスレベルは、ユーザーの組織部門のアクセスレベルを常にオーバーライドします。グループには、アカウント内のどの組織部門のユーザーを追加することもできます。
たとえば、あるユーザーが組織部門とグループ 1 に属しているとします。この組織部門には親組織部門があり、親組織部門では Gmail とカレンダーの両方についてアクセスレベル X が割り当てられています。グループ 1 の Gmail に対するアクセスレベルの割り当てはありません。グループ 1 のカレンダーにはアクセスレベル Y が割り当てられています。この場合、ユーザーの Gmail にはアクセスレベル X が割り当てられ(継承を介して)、カレンダーにはアクセスレベル Y が割り当てられます(ローカル ポリシーのオーバーライドによって)。
