コンテキストアウェア アクセスを適切に導入することで、正当なユーザーがブロックされないようにしながら、Workspace データをリスクのあるユーザーから保護できます。多数のユーザーがブロックされるリスクを軽減するために、ロールアウトに関する次の推奨事項をご検討ください。
モニターモードを使用してアクセスレベルをテストする
アクセスレベルは、最初はアクティブ モードではなく、モニターモードで割り当てることができます。モニターモードでは、ユーザーのアクセスを実際にブロックすることなく、アクセスレベルを適用した場合の効果をシミュレートできます。
新しいアクセスレベルを適用するときは、少なくとも 1 週間はモニターモードのままにしておくことをおすすめします。その期間中、コンテキストアウェア アクセスのログに記録されたイベントには、アクセスレベルがアクティブ モードであった場合にブロックされるユーザーが示されます。アクセスレベルが意図したとおりに機能していることを確認したら、アクセスレベルをアクティブ モードに切り替えて実際の適用を有効にできます。
モニターモードの使用方法について詳しくは、アプリにコンテキストアウェア アクセスレベルを割り当てるをご覧ください。
ロールアウトに関するその他の推奨事項
- 段階的にロールアウトを実施します。まず試験運用グループとして 1 つの組織部門またはグループから開始して、ポリシーの挙動を確認します。これらのユーザーがアプリに正常にアクセスできた場合は、次のユーザー グループに導入します。問題がなければ、すべてのユーザーにアクセス ポリシーを実装します。
- 一部のアプリにアクセス ポリシーを割り当てます。お使いの環境であまり使用されないアプリにポリシーをデプロイします。その挙動を確認してから、より使用頻度の高いアプリにポリシーを適用していきます。
- ユーザーまたはパートナーがアクセスできなくなることを回避します。ユーザーとのコミュニケーションに使用している Gmail などの Google Workspace サービス(および管理者とのコミュニケーションに必要なサービス)へのアクセスはブロックしないでください。ユーザーとパートナーが必要とする IP の範囲を特定します。
- Workspace のみを使用しているお客様は、Google Cloud Platform(GCP)を使用してアクセスレベルを追加または変更しないでください。コンテキストアウェア アクセスのインターフェース以外の方法でアクセスレベルを追加または変更すると、「Google Workspace でサポートされていない属性が使用されているため、ユーザーがブロックされる可能性があります」というエラー メッセージが表示されることがあります。
- ロールアウト中に支援が必要と思われるユーザー向けのヘルプデスクのサポートを計画します。
ロールアウトをモニタリングする
どの実装方法を使用する場合でも、ユーザーからのフィードバックを確認し、コンテキストアウェア アクセスのログイベントを調べて拒否されたユーザーの記録がないか調べて、実装の結果をモニタリングします。
デプロイの準備
円滑にデプロイするには、新しいアクセス ポリシーを作成または実装する前に、次の手順を行います。
1. ユーザーに知らせる
ユーザーが業務環境でどのような保護を必要としているかを聞き取り調査します。コンテキストアウェア アクセスの実装は組織部門またはグループ単位で行うため、組織のユーザーごとにニーズが異なる場合があります。ポリシーを作成して割り当てることでどのような問題が発生するか(さまざまな理由により、異なるタイミングでブロックされる可能性があることなど)をユーザーに知らせてください。事前にコミュニケーションをとることで、ユーザーに受け入れてもらいやすくなります。
2. ユーザーを適切な組織部門やグループに整理する
アクセスレベルは組織部門ごとに割り当てることができます。あるいは、他の目的の組織部門がすでにある場合は、設定グループを作成して、その設定グループにアクセスレベルを割り当てることができます。いずれの場合も、アクセス権を付与する対象ユーザーが適切な組織部門またはグループに所属していることを確認します。
3. 企業向けデバイスに関するアンケート
デバイスベースのポリシーを実装する前に、社内のデバイスに適切な IT 管理が適用され、会社の基準を遵守していることを確認してください。デバイスが暗号化されているか、最新のオペレーティング システムで動作しているか、会社所有のデバイスか、個人用のデバイスかを確認します。
4. エンドポイント管理を使用してモバイル デバイスを登録する
モバイル デバイスは Google エンドポイント管理(基本的な管理または詳細な管理)を使用して管理する必要があります。
5. ポリシーを作成する前に Endpoint Verification を適用する
Google Workspace のデータにアクセスしている(または今後アクセスする)デバイスを把握するために、Endpoint Verification の使用を必須にします。Chrome 拡張機能で Endpoint Verification の自動インストールを指定し、アクセスキーを要求する必要があります。詳しくは、Endpoint Verification の設定についての記事をご覧ください。
Endpoint Verification を設定し、コンテキストアウェア アクセスを有効にする
パソコンまたはモバイル デバイス用にソフトウェアを設定します。
Endpoint Verification を設定する
アクセスレベルでデバイス ポリシーを適用する場合、管理者とユーザーは Endpoint Verification を設定する必要があります。Endpoint Verification は管理コンソールで有効にすることができます。詳しくは、エンドポイントの確認を有効または無効にするをご確認ください。
注: ユーザーが Endpoint Verification にログインする前に管理者がコンテキストアウェア デバイス ポリシーを適用すると、デバイスがコンテキストアウェア ポリシーの条件を満たしていても、ユーザーはアクセスを拒否されることがあります。これは、Endpoint Verification でデバイスの属性を同期するのに数秒かかる場合があるからです。これを回避するには、コンテキストアウェア デバイス ポリシーを適用する前に、ユーザーに Endpoint Verification にログインしてブラウザページを更新するよう伝えてください。
エンドポイントの確認が設定されているデバイスを確認する
-
-
メニュー アイコン [デバイス] [概要] の順に移動します。
- [エンドポイント] をクリックします。
- [フィルタを追加] をクリックします。
- [管理の種類] [エンドポイントの確認] を選択します。
- [Apply](適用)をクリックします。
モバイル デバイスを設定する(Google エンドポイント管理)
モバイル デバイスにアクセスレベルを適用するには、デバイスのユーザーがモバイルの基本管理またはモバイルの詳細管理で管理されている必要があります。
その他の手順
会社所有デバイスのインベントリをアップロードする手順については、会社で所有しているデバイスをインベントリに追加するの「インベントリにデバイスを追加する」をご覧ください。
注: Android 12 以降を搭載したデバイスで仕事用プロファイルを設定している場合は、会社所有のインベントリに追加していても、常にユーザー所有として報告されます。こうしたデバイスでは、会社所有であることを条件とするアクセスレベルの場合はアクションが実行されず、ユーザー所有であることを条件とするアクセスレベルの場合はアクションが実行されます。詳しくは、モバイル デバイスの詳細情報を確認するの「デバイスの詳細について」で、「デバイス情報」の表を下にスクロールして「所有権」の行をご覧ください。
コンテキストアウェア アクセスの有効と無効を切り替える
コンテキストアウェア アクセスは、ロールアウト プロセス中のさまざまなタイミングで有効にすることができます。アクセスレベルを作成してアプリに割り当てる前に有効にしておくと、アプリに割り当てたアクセスレベルは直ちに適用されます。
また、コンテキストアウェア アクセスを有効にしなくても、初期設定や確認(アクセスレベルの作成、アクセスレベルの割り当て、エンドポイントの検証)を行うことができます。その間は、アクセスレベルの割り当ては適用されません。設定が完了したら、コンテキストアウェア アクセスを有効にできます。
ユーザー側に問題があり、アプリを一時停止して、その間に問題の原因となっているポリシーを特定したい場合は、コンテキストアウェア アクセスを無効にします。問題の原因となっているアクセスレベルを特定したら、特定の組織部門またはグループで、必要に応じてポリシーを変更または削除します。
コンテキストアウェア アクセスを有効にするには
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] にアクセスします。
- コンテキストアウェア アクセスが有効になっていることを確認します。有効になっていない場合は、[有効にする] をクリックします。
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] にアクセスします。
- [無効にする] をクリックします。
次のステップ
アクセスレベルを作成して割り当てる
以下の記事では、アクセスレベルを作成してアプリに割り当てる手順について説明しています。
使用例を確認する
以下の記事では、実際の環境にコンテキストアウェア アクセスを実装する際の一般的な使用例について説明しています。