ユーザーとデバイスのコンテキスト情報に基づいて、アプリへのアクセスを制御する

ユーザーがコンテキストアウェアアクセスの修正メッセージでアプリのブロックを解除できるようにする

修正メッセージを使用してユーザーが自分でブロックを解除できるようにする

コンテキストアウェアアクセスの修正メッセージとカスタムメッセージを使用すると、ポリシーによりアプリにアクセスできない場合に、ユーザーが自分でブロックを解除できます。これらのメッセージを有効にするかどうかは任意（ただし推奨）ですが、ユーザーの生産性を高め、管理者への問い合わせを減らすのに役立ちます。

たとえば、日中のオフィスでは Gmail をモバイルデバイスから問題なく使用できているにもかかわらず、夜間に自宅からアクセスしようとするとブロックされる場合、修正メッセージが有効になっていると、ブロックの原因に対処する方法についてのガイダンスが表示されます。

修正メッセージとカスタムメッセージは、基本モードで作成されたアクセスレベルにも、詳細モードで作成されたアクセスレベルにも対応しています。また、コアサービスにも SAML アプリにも対応しています。

修正メッセージとカスタムメッセージを使用してユーザーがブロックを解除できるようにする

ブロックされると、ユーザーには次のメッセージが表示されます。

デフォルトメッセージ - 修正メッセージまたはカスタムメッセージを追加していない場合に表示されます。デフォルトメッセージの例: 組織のポリシーにより、このアプリへのアクセスはブロックされています。
修正メッセージ - デフォルトメッセージに代わって表示されます。メッセージはシステムにより生成され、どのポリシー違反によってユーザーがブロックされたかに応じて内容が異なります。
修正メッセージには複数の修正オプションが提示されることがあり、[他のオプションを表示] をクリックすると開くことができます。修正オプションが複数ある場合、利用可能なオプションのいずれか 1 つの手順を完了することでブロックを解除できます。
カスタムメッセージ - ブロックの解除に関する追加のアドバイスや、役立つリンクなど、ユーザー向けの具体的なサポートを追加します。必要に応じてカスタムメッセージを追加してください。カスタムメッセージは、デフォルトのメッセージまたは修正メッセージと組み合わせて表示できます。

これらのメッセージの表示パターンは次のとおりです。

修正メッセージ	カスタムメッセージ	ユーザーに表示されるメッセージ
無効	なし	デフォルトメッセージのみ
有効	なし	修正メッセージのみ。修正メッセージを生成できない場合は、デフォルトメッセージが表示されます。
無効	あり	デフォルトメッセージとカスタムメッセージ
有効	あり	修正メッセージとカスタムメッセージ

修正メッセージについて

メッセージに記載される修正操作は、アクセス拒否の原因属性ごとに異なります。以下の表は、ユーザーに表示される可能性のある修正メッセージをまとめたものです。メッセージは、違反したポリシーに基づいて規則的に作成されます。

属性が同じであっても、アクセスレベルの値によっては異なるメッセージが表示されます。たとえば、アクセスレベルが device.screen_lock_enabled == true の場合、メッセージは [デバイスで画面ロックパスワードを設定してください] です。アクセスレベルが device.screen_lock_enabled == false の場合、メッセージは [デバイスから画面ロックパスワードを削除してください] です。なお、画面ロックパスワードを削除すると安全性が低下するおそれがあるため、ユーザーはこの操作を管理者に確認する必要があります。

実際のメッセージは、以下のメッセージと異なる場合があります。

属性	メッセージ
管理者の承認	組織で承認されているデバイスに切り替えてください。アクセス権がない場合は、管理者にお問い合わせください。
管理者の承認	組織に関連付けられていないデバイスに切り替えてください。なお、この操作を行うとセキュリティが低下する可能性があるため、管理者に確認することが必要になる場合もあります。
会社所有デバイス	組織が所有するデバイスに切り替えてください。アクセス権がない場合は、管理者にお問い合わせください。
会社所有デバイス	組織が所有しないデバイスに切り替えてください。
CTS プロファイルの一致	デバイスを出荷時の設定にリセットしてください。
CTS プロファイルの一致	お使いのデバイスは OEM Android インストールを使ってこのアプリにアクセスすることはできません。詳しくは、管理者にお問い合わせください。
暗号化	暗号化ステータスが [ステータス 1、ステータス 2] のいずれかであるデバイスに切り替えてください。
暗号化	暗号化ステータスが [ステータス] 以外のデバイスに切り替えてください。
有害な可能性があるアプリがある	Google Play プロテクトで有害な可能性のあるアプリとして表示されたアプリをすべてアンインストールしてください。
有害な可能性があるアプリがある	お使いのデバイスは、現在インストールされているアプリを使ってこのアプリにアクセスすることはできません。詳しくは、管理者にお問い合わせください。
IP アドレス	現在の IP サブネットワークから、このアプリにアクセスすることはできません。詳しくは、管理者までお問い合わせください。
OS の種類	以下のいずれかを搭載したデバイスに切り替えてください: [OS1、OS2]
OS の種類	[OS1] を搭載していないデバイスに切り替えてください。
OS バージョン	デバイスを [OS バージョン X] 以降に更新してください。
OS バージョン	OS を [OS バージョン X] より前のバージョンにダウングレードしてください。
パートナー属性	デバイスに [パートナー名] をインストールします¹。
パートナー属性	デバイスが一部の要件を遵守していません（[パートナー名] からの情報に基づく）²。
地域コード	現在いる場所から、このアプリにアクセスすることはできません。詳しくは、管理者までお問い合わせください。
画面ロック	デバイスで画面ロックパスワードを設定してください。
画面ロック	デバイスから画面ロックパスワードを削除してください。なお、この操作を行うとセキュリティが低下する可能性があるため、管理者に確認することが必要になる場合もあります。
アプリの確認	デバイスで Google Play プロテクトを有効にしてください。
アプリの確認	デバイスで Google Play プロテクトを無効にしてください。
確認付きブート	デバイスメーカーの手順に沿ってブートローダーをロックしてください。
確認付きブート	デバイスメーカーの手順に沿ってブートローダーのロックを解除してください。
承認済みの Chrome OS	デバイスに検証済みの Chrome OS をインストールしてください。
承認済みの Chrome OS	検証済みの Chrome OS ではこのアプリにアクセスできません。

¹パートナーのセキュリティアプリ（Lookout など）がデバイスにインストールされていることを確認してください。インストールしているにもかかわらずこのメッセージが表示される場合は、デバイスがパートナーのモバイルデバイス管理（MDM）に正しく登録されていない可能性があります。これに該当するかどうかは、パートナーダッシュボードで確認してください。必要に応じて、パートナーに問い合わせて問題を解決してください。

²詳しくは、デバイスでパートナーアプリをご確認ください。必要に応じて、パートナーに問い合わせて問題を解決してください。

修正メッセージとサードパーティパートナーサービスとの統合について

管理者は、サポートされているサードパーティパートナー（BeyondCorp Alliance に参加しているパートナー）のサービスを Google 管理コンソールで Google エンドポイント管理に統合できます。修正メッセージのインターフェースには、パートナーのメッセージが表示される旨の説明が示されます。

たとえば、Lookout の場合は次のようになります。

詳しくは、サードパーティパートナーとの連携を設定するをご覧ください。

修正メッセージまたはカスタムメッセージをユーザーに表示する前に解決すべき一般的なエラー

ユーザーに修正メッセージを表示するには、次のエラーを解決しておく必要があります。

デバイスを認識できません。デバイスの種類に応じて手順が異なることがあります。

ログインデバイスが認識されていません。修正手順はプラットフォームによって異なります。

デスクトップデバイス - ユーザーは Endpoint Verification 拡張機能をインストールして Chrome プロファイルを使用する必要があります。シークレットモード、ゲストプロファイル、個人用プロファイルを使用して Google Workspace アプリにログインすることはできません。なお、ユーザーが初めて新しいデバイスにログインしようとしたときに、このエラーメッセージが表示されることがあります。この場合、ユーザーは Endpoint Verification 拡張機能を使用して同期し、ブラウザを更新する必要があります。
モバイルデバイス - デバイスが CAA で認識されるためには、Google エンドポイント管理（基本管理または詳細管理）で管理されている必要があります。詳しくは、Google エンドポイント管理でデバイスを管理するをご覧ください。また、Google がログインの発生場所を認識するには、その前にデバイスの同期が必要になることがあります。詳しくは、デバイスを同期するをご覧ください。

デバイスを同期してください

デスクトップデバイス - ユーザーは Endpoint Verification 拡張機能を使用して同期する必要があります。
デスクトップデバイス - 詳細管理の対象となっているデバイスは、Device Policy アプリを使用して同期できます。基本管理対象のデバイスは、デバイスの自動同期を待つか、ユーザーが任意の Google アプリに再ログインすることができます。デバイスの同期に時間がかかることをお客様にお伝えください。
- iOS デバイス - さまざまなアプリケーションの Google セッションが、Safari のセッションまたはトークンによってトラッキングされます。Safari のトークンが削除された場合（ユーザーが手動で削除または Apple ITP による削除）、それ以降のログインは、ログイン中の元のデバイスにマッピングできなくなります。これにより、修復が有効になっている場合は、「デバイスを認識できません。デバイスの種類に応じて手順が異なることがあります」というメッセージで新しいログインがブロックされることがあります。この問題は、基本管理対象デバイスと詳細管理対象デバイスの両方で発生する可能性があります。
  
  ブロックを解除するには、ユーザー自身が次の手順を行う必要があります。
  1. すべての Google アプリケーションから Google の企業アカウントを削除します。
    Safari で Google アカウントからログアウトし、そのアカウントを使用している可能性のある Google 以外のアプリケーションからアカウントを削除します。
  2. Safari の Cookie とキャッシュを削除します。
  3. Google ドライブや Gmail など、任意の Google アプリケーションにログインします。
  4. 残りの Google アプリケーションすべてにアクセスして、アクセス権があることを確認します。
  5. Google 以外のアプリケーションにアクセスする必要がある場合は、Google アプリケーションにログインしてから数日以内にログインします。
    手順 3 から 30 日以内にログインせず、アプリケーションがブロックされている場合は、手順 1 からやり直してください。

修正メッセージまたはカスタムメッセージを実装する

修正メッセージを有効にする

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールのホームページから [セキュリティ] [アクセスとデータ管理] [コンテキストアウェアアクセス] に移動します。
[ユーザーへのメッセージ] を選択します。
[修正メッセージ] で [オフ] をクリックし、右にスライドしてメッセージを [オン] にします。チェックマークがオンになるのを確認します。
[保存] をクリックします。
この時点でカスタムメッセージを追加することもできます。

カスタムメッセージを追加する

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールのホームページから [セキュリティ] [アクセスとデータ管理] [コンテキストアウェアアクセス] に移動します。
[ユーザーへのメッセージ] を選択します。
[追加のカスタムメッセージ] にメッセージを入力します。
[プレビュー] をクリックして、ユーザーに表示される内容を確認します。
[保存] をクリックします。

修正メッセージとカスタムメッセージの表示パターン

デフォルトメッセージのみ

修正メッセージまたはカスタムメッセージを設定していない場合、次のようにメッセージが表示されます。

デフォルトメッセージとカスタムメッセージ

修正メッセージを設定せず、カスタムメッセージを設定した場合、次のようにメッセージが表示されます。

修正メッセージのみ

修正メッセージを設定し、カスタムメッセージを設定しない場合、次のようにメッセージが表示されます。ユーザーが [他のオプションを表示] をクリックすると、他の修正手順が表示されます。

修正メッセージとカスタムメッセージ

修正メッセージとカスタムメッセージの両方を設定している場合、次のようにメッセージが表示されます。ユーザーが [他のオプションを表示] をクリックすると、他の修正手順が表示されます。

コンテキストアウェアアクセスの修正メッセージとカスタムメッセージに関するよくある質問

すべて開く | すべて閉じる

修正により、追加のアクセス拒否のケースが発生する可能性はありますか？

いいえ。修正メッセージが有効か無効かは、アクセスステータスとは無関係です。修正メッセージが生成されない場合、既存の画面にはデフォルトメッセージが表示されます。

修正メッセージに最新のポリシーが反映されていないのはなぜですか？

ポリシーが適切に反映されない場合は、管理コンソールでポリシーを変更してから数分お待ちください。修正メッセージに新しいアクセスレベルや修正設定が反映されるまで、数分かかることがあります。

ユーザーが修正操作を終えてからアクセスできるようになるまでにどれくらいかかりますか？

アクセスできるようになるのは、デバイスが Google のサーバーと同期された後です。次のような方法で、強制的に同期を試みることができます。

パソコン - Chrome の Endpoint Verification 拡張機能から同期する
モバイル（詳細管理） - Device Policy アプリから同期する
モバイル（基本管理） - 基本管理対象デバイスで再ログインする

また、デバイスが Beyondcorp Alliance パートナーに準拠していない場合は、パートナーアプリケーションから同期してみてください。場合によっては、手動同期が機能しないことがあるため、ユーザーは同期が完了するまで待つ必要があります。

修正操作を完了したにもかかわらず、同じ修正方法が表示されるのはなぜですか？

デバイスが同期されるまでは、同じ修正方法が表示されます。同期方法については、1 つ前の質問の回答をご覧ください。

デバイスに対して何も行っていないにもかかわらず、修正メッセージのオプションが変更されるのはなぜですか？

通常は発生しませんが、アクセスレベルが複雑な場合は、同じデバイス状態に対して異なる修正オプションが表示されることがあります。また、アクセスレベルや修正オプションが最近更新された場合は、更新後の設定が完全に反映されるまでに数分かかることがあり、その過程で、ブラウザの更新時に修正オプションが自動的に変更されることがあります。

修正メッセージが有効になっていても表示されないのはなぜですか？

アクセスレベルの設定が不適切である可能性があります（例: os = 'windows' && os = 'mac'）。

修正メッセージが有効になっている場合、ユーザーにカスタムメッセージは表示されますか？

カスタムメッセージは、管理者により有効にされた場合にのみ表示されます。有効になっている場合、修正メッセージオプションの下にユーザー向けのカスタムメッセージが表示されます。

デバイスポリシーの修正を有効にするにはどうすればよいですか？

デバイスポリシーによるアクセス拒否は、修正メッセージの対象外です。コンテキストアウェアアクセスポリシーに関する修正のみが表示されます。

Endpoint Verification 拡張機能の同期中に、「デバイスを認識できません」という修正メッセージが表示されるのはなぜですか？

アプリへのアクセスに使用しているアカウントが Endpoint Verification 拡張機能で同期中のアカウントであることを確認します。Chrome プロファイルが他のユーザーのものである場合、Endpoint Verification はそのユーザーと同期している可能性があります。

_{Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。}

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。

ユーザーとデバイスのコンテキスト情報に基づいて、アプリへのアクセスを制御する

ユーザーがコンテキストアウェアアクセスの修正メッセージでアプリのブロックを解除できるようにする