特権管理者または販売パートナーは、Google 管理コンソールにコンテキストアウェア アクセスレベルを割り当てることで、他の管理者が管理コンソールにアクセスできるコンテキスト(環境や状況)を定義できます。
注: 他の管理者による管理コンソールへのアクセスを制限する必要がある場合を除き、管理コンソールにはアクセスレベルを割り当てないでください。アプリにアクセスレベルを割り当てる方法について詳しくは、アプリにコンテキストアウェア アクセスレベルを割り当てるをご覧ください。
この記事では、以下の方法の概要を示します。
- アクセスレベルの割り当てと更新を行う。
- 自分自身または他の管理者が誤って管理コンソールからロックアウトされるのを防ぐ。
- ロックアウトが発生した場合に対応する。
始める前に
次のような状況でロックアウトが発生する可能性があります。
- 管理者が他のユーザーの IP サブネットへのアクセスレベルを誤って設定し、次にそのアクセスレベルを管理コンソールに適用した場合。
- 管理コンソールに古いアクセスレベルを適用した場合。こうした状況は、アクセスレベルで会社所有デバイスが必要とされるときに、管理者がいずれかの会社所有デバイスの使用を個人用デバイスに切り替えた場合に発生する可能性があります。
ロックアウトを回避する
- 管理コンソールに適用するアクセスレベルを確認します。1 人以上の管理者がアクセス条件を満たしていることを確認します。
- 必要な場合は新しいアクセスレベルを作成します。アクセス条件が満たされるようにするため、条件を満たすことがわかっているアクセスレベルを選びます。
- 管理コンソールでアクセスレベルを追加または編集するときに表示されるメッセージを確認します。そうしたメッセージは、ロックアウトを避けるための次のステップを判断する際に役立ちます。
-
アクセスレベルのコンテナとして機能する設定グループにポリシーを適用します。
- 設定グループを作成して、アプリのアクセスレベルを割り当てます。
- 次に、ロックアウトの原因となっているポリシーが適用されていない設定グループのメンバーとしてユーザー グループを追加します。
詳しくは、グループのコンテキストアウェア アクセスのカスタマイズをご確認ください。
ロックアウトが発生した場合にサポートにアクセスできるようにする
最初に、指定された特権管理者またはサポートの連絡先となっている管理者が Google カスタマーケア ポータルにアクセスできることを確認します。
必要に応じて、ユーザーにカスタマーケア ポータルへのアクセス権を付与する手順を実施します。
セキュリティを強化するため、カスタマーケア ポータルにアクセスできる管理者には 2 段階認証プロセスを使用します。詳しくは、2 段階認証プロセスでビジネスを保護するをご確認ください。
管理コンソールのアクセスレベルを操作する
次の作業を行うときは、管理者のロックアウトが自動的に防止されます。
-
- 管理コンソールのホームページから、[セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェア アクセス] にアクセスします。
- リストから [管理コンソール] を探し、[割り当て] をクリックします。
- 管理コンソールについて 1 つ以上のアクセスレベルを選択します。
次で指定した条件が満たされると、管理コンソールにアクセス権が付与されます。- 選択したアクセスレベルのいずれか 1 つ - リスト内のアクセスレベルの論理 OR です。
- 複数のアクセスレベル - 論理 AND を使用して、複数のアクセスレベルを含むアクセスレベルを作成します。
- [保存] をクリックします。
アクセスレベルの条件によって管理者がロックアウトされないことが確認されると、進行状況バーが表示されます。条件を満たしているかいないかで、次のことを意味します。- 選択したアクセスレベルの少なくとも 1 つの条件を満たしている - アクセスレベルが正しく適用されました。[アクセスレベルの割り当て] ページに、そのアクセスレベルが適用されていることが示されます。
- 選択したアクセスレベルの少なくとも 1 つの条件を満たしていない - アクセスレベルは適用されません。[保存] をクリックした後、システムで検証が行われると、[現在、これらのいずれの条件も満たしていないため、これらのアクセスレベルを割り当てることができず、管理コンソールにアクセスできなくなります] というメッセージが表示されます。
管理コンソールに割り当てられたアクセスレベルを編集するときには、以下のような制限があります。
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[アクセスとデータ管理]
- [アクセスレベル] をクリックします。
- 既存のアクセスレベルをクリックします。
管理コンソールに割り当てられたアクセスレベルを編集する場合、その名前と説明は編集できますが、条件は編集できません。条件を編集しようとすると、[このアクセスレベルの条件は編集できません。このアクセスレベルは現在管理コンソールに割り当てられており、変更すると別の管理者によるアクセスに影響する可能性があるためです。条件を編集するには、まず管理コンソールで割り当てを解除してください] というエラー メッセージが表示されます。
アクセスレベルを削除できるのは、そうすることでアクセスがブロックされない場合に限られます。
-
-
管理コンソールで、メニュー アイコン
- [アクセスレベル] をクリックします。
- 既存のアクセスレベルをクリックします。
- [アクセスレベルの削除] をクリックします。
システムによる検証中、[アクセスレベルを削除しますか?管理コンソール(および該当する場合は Google Cloud と Cloud SDK)で利用できなくなります。現在割り当てられているすべてのアプリからも削除されます。このアクセスレベルを削除すると、別の管理者による管理コンソールへのアクセスに影響する場合があります] というメッセージが表示されます。- アクセスレベルを削除できる場合 - 削除するには、[確認] をクリックします。
- アクセスレベルを削除できない場合 - 削除すると、管理コンソールにアクセスできなくなります。システムによる検証後、[アクセスレベルを削除できません] というメッセージが表示されます。
特権管理者ではない管理者がアクセスレベルを削除しようとすると、[管理コンソールに割り当てられているアクセスレベルを削除できるのは特権管理者のみです] というメッセージが表示されます。その場合は、アクセスレベルの削除について特権管理者または販売パートナーにお問い合わせください。
システムの設計上、グループの優先順位の変更は防止されるようになっており、変更処理によって管理コンソールへのアクセスに影響が生じることがないように配慮されています。グループを並べ替えようとするとき、その操作によって管理コンソールへのアクセスに影響が生じる場合は、[グループの並び順を変更すると管理コンソールにアクセスする権限が取り消されるため、変更できません] というメッセージが表示されます。
特権管理者以外の管理者がグループを並べ替えようとすると、[グループの順序を変更するには、追加の管理者権限が必要です] というメッセージが表示されます。その場合は、グループの並べ替えについて特権管理者または販売パートナーにお問い合わせください。
ロックアウトされた場合にサポートに連絡する
完全にロックアウトされた場合は、カスタマーケア ポータルから Google サポートにお問い合わせください。
アクセスを復元するため、管理コンソールに適用されているコンテキストアウェア アクセス ポリシーが Google サポートによって削除されます。この操作は、他のアプリケーション(Gmail や Google カレンダーなど)のコンテキストアウェア アクセス ポリシーには影響しません。
重要: サポートによってポリシーが削除された後は、すぐにポリシーを再適用してください。
