サードパーティパートナーとの連携を設定する

この機能は Cloud Identity Premium でご利用いただけます。各エディションの比較

管理者は、サポートされているサードパーティパートナー（BeyondCorp Alliance に参加しているパートナー）のサービスを Google 管理コンソールで Google エンドポイント管理に統合できます。この統合により、Google Cloud サービスを保護するために、Google Workspace、Cloud Identity、Identity-Aware Proxy だけでなく、統一エンドポイント管理（UEM）プロバイダおよびモバイル上の脅威防御サービスも利用できるようになります。サービスとの接続を作成して組織部門に対して有効にすると、サードパーティサービスからデバイスに関する詳細情報が送信されてくるようになります。この情報をデバイスインベントリで確認して、コンテキストアウェアアクセスルールで使用できます。

注: Google は、サードパーティのパートナーが生成したデバイスデータの精度について責任を負いません。サードパーティパートナーによって Google に提供されたデータは、「現状のまま」保存されます。サードパーティパートナーから報告された不正確な内容や個人を特定できる情報（PII）についてはすべて、パートナーがのみが責任を負います。

サードパーティサービスとの接続を作成すると、組織内のすべての組織部門がそのサービスを利用できるようになります。ただし、組織部門に対してサードパーティサービスを有効にするまでは、そのサービスは適用されません。

BeyondCorp Alliance のパートナー

Check Point
CrowdStrike
Jamf
Lookout
Microsoft Intune（デスクトップデバイスのみ）
VMware（ベータ版）

要件

モバイルデバイスの場合は、モバイルの基本管理を設定するか、モバイルの詳細管理を有効にします。
パソコンの場合は、エンドポイントの確認を有効にします。

ステップ 1: BeyondCorp Alliance パートナーに接続する

Google 管理コンソールにログインします。
特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。
管理コンソールで、メニューアイコン [デバイス] [モバイルとエンドポイント] [設定] [サードパーティ統合] の順に移動します。
[セキュリティパートナーと MDM パートナー] [管理] をクリックします。
接続するパートナーの行で、[接続を開始] をクリックします。
パートナーのウェブサイトが開いたら、そのウェブサイトで接続プロセスを完了します。
- そのパートナーとのサブスクリプションがすでに設定されている場合、パートナーが接続を確認します。
- サブスクリプションが設定されていなければ、設定するよう指示されます。
管理コンソールで、[パートナー接続を管理] ダイアログを閉じて、設定ページに戻ります。接続したパートナーがリストに表示されています。

ステップ 2: 組織部門に対してパートナーのサービスを有効にする

開始する前に: 特定のユーザーに設定を適用するには、対象のユーザーのアカウントを組織部門に追加します。

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで、メニューアイコン [デバイス] [モバイルとエンドポイント] [設定] [サードパーティ統合] の順に移動します。
[セキュリティパートナーと MDM パートナー] をクリックします。
全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
有効にするサービスの提供元パートナーのチェックボックスをオンにします。複数選択することもできます。
[保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。

これで、パートナーのサービスが、選択した組織部門のアカウントに適用されます。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

手順 3. コンテキストアウェアアクセスレベルでサービスステータスデータを使用する

各サービスから、デバイスに関する Google データが送信されてきます。このデータを使用して、コンテキストアウェアアクセスレベルを定義できます。

注: iOS デバイスのユーザーに対して、サードパーティサービスから送信されたステータスに基づくコンテキストアウェアアクセスが適用されるのは、そのユーザーが職場や学校のアカウントで Chrome ブラウザ以外の Google アプリ（YouTube や Gmail など）にログインしている場合のみです。詳細

サードパーティサービスから Google に送信される値の内容については、該当するサービスのドキュメントをご覧ください。
Google Cloud コンソールで、パートナーの値に基づいてカスタムアクセスレベルを設定します。手順については、カスタムアクセスレベルの作成をご覧ください。
[条件] に値を入力するステップでは、ステータスの値に対応する device.vendors 属性を入力します。たとえば、device.vendors["some_vendor"].data["status_value"] == true の場合、some_vendor はパートナー名（Checkpoint または Lookout）で、status_value パートナーによって定義されているステータスキーです。詳しくは、こちらの参照表のベンダーセクションをご覧ください。
アプリにコンテキストアウェアアクセスレベルを割り当てます。

サードパーティサービスの統合に関するトラブルシューティング

統合が期待どおりに機能しない場合は、次の手順に沿って問題を特定します。

セクションを開く | すべて閉じて一番上に移動

1. Google からの接続とパートナーからの接続を確認する

Google からの接続

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで、メニューアイコン [デバイス] [モバイルとエンドポイント] [設定] [サードパーティ統合] の順に移動します。
[セキュリティパートナーと MDM パートナー] をクリックします。
[パートナー] の横にある [管理] をクリックします。
該当するパートナーの行で、利用可能なアクションが [接続を終了] になっていることを確認します。アクションが [接続を開始] になっている場合は、このアクションをクリックして、ステップ 1: BeyondCorp Alliance パートナーに接続するの手順に従います。

パートナーからの接続

パートナーのドキュメントを確認し、パートナーサービスが統合可能な状態であることを確認します。

2. 該当するユーザーが、接続が有効にされている組織部門に所属していることを確認します。

ユーザーに対して接続が設定されていることを確認します。接続は組織部門ごとに有効にされます。接続が有効にされている組織部門に所属するユーザーのみが、その接続を利用できます。

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで、メニューアイコン [デバイス] [モバイルとエンドポイント] [設定] [サードパーティ統合] の順に移動します。
[セキュリティパートナーと MDM パートナー] をクリックします。
左側で、ユーザーが所属する組織部門をクリックします。
[セキュリティパートナーと MDM パートナー] の横に示されている、その組織部門に対して有効になっているアプリ統合を確認します。
統合が示されていない場合は、[セキュリティパートナーと MDM パートナー] をクリックし、該当するパートナーの横にあるチェックボックスをオンにします。該当するパートナーが示されていない場合は、まず接続を開始する必要があります。手順については、ステップ 1: BeyondCorp Alliance パートナーに接続するをご確認ください。

3. Google がサードパーティサービスからユーザーのデバイスデータを取得していることを確認する

統合パートナーは、ユーザーのデバイスに関するデータを Google に送信します。管理コンソールで、Google がそのデータを取得していることを確認できます。

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで [メニュー] [デバイス][モバイルとエンドポイント][デバイス] の順に移動します。
ユーザーのデバイスを見つけます。リストをフィルタするには、検索バーにユーザーのメールアドレスを入力し、デバイスの種類で絞り込むフィルタを追加します。
デバイスをクリックして詳細ページを開きます。
[サードパーティサービス] セクションを見つけます。これが見つからない場合は、パートナーとの接続が正しく構成されていない可能性があります。最初の 2 つのトラブルシューティングの手順を確認してください。
パートナーサービスの行を探し、[健全性スコア]、[管理のステータス]、[コンプライアンスのステータス] の値が [指定なし] になっていないことを確認します。値が想定と異なる場合は、パートナーにお問い合わせください。

4. カスタムアクセスレベルが正しく定義されていることを確認する

Google Cloud コンソールで、Access Context Manager に移動します。
カスタムアクセスレベルを見つけて、次の点を確認します。
1. 条件に、正しいサードパーティ名が使用されていることを確認します。正しい名前は、サードパーティのドキュメントで指定されているものです。
2. 条件に、サードパーティから受け取った値と一致する値が使用されていることを確認します。

以上の値が正しくない場合は、コンテキストアウェアアクセスレベルでサービスステータスデータを使用する方法を確認してください。

5. カスタムアクセスレベルが適切な Google Workspace サービスまたは Google Cloud リソースに適用されていることを確認する

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで、メニューアイコン [セキュリティ] [アクセスとデータ管理] [コンテキストアウェアアクセス] にアクセスします。
[割り当て]、[アクセスレベルの割り当て] の順にクリックします。
アプリの一覧が表示されます。
カスタムアクセスレベルが適用されているアプリとサービスを確認します。

サードパーティサービス統合の設定を変更する

セクションを開く | すべて閉じて一番上に移動

組織部門に対してパートナーを無効にする

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで、メニューアイコン [デバイス] [モバイルとエンドポイント] [設定] [サードパーティ統合] の順に移動します。
[セキュリティパートナーと MDM パートナー] をクリックします。
更新する組織部門をクリックします。
無効にするパートナーのチェックボックスをオフにします。
[保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。

パートナーとの接続を解除する

Google 管理コンソールにログインします。
特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。
管理コンソールで、メニューアイコン [デバイス] [モバイルとエンドポイント] [設定] [サードパーティ統合] の順に移動します。
[セキュリティパートナーと MDM パートナー] [管理] をクリックします。
パートナーの行で [接続を終了] をクリックします。パートナーのサービスは、組織内のどのデバイスにも適用されなくなります。また、そのパートナーは有効にできるオプションとして表示されなくなります。

パートナーとの接続を終了した後、再び接続を開始すると、パートナーが有効にされていた組織部門で自動的にパートナーのサービスが再び有効になります。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。

サードパーティ パートナーとの連携を設定する