ユースケース: 信頼できるサードパーティ製アプリをブロック対象から除外する

以下の例では、許可リストに登録されたアプリを除外して、割り当てられたアクセスレベルに関係なく、特定の Google サービスのアプリケーション プログラミング インターフェース（API）に常にアクセスできるようにする方法を説明します。

ユースケース 1: 公開 API によって信頼できるアプリがブロックされる

この例では、サードパーティの信頼できるアプリは除外されません。Google Keep では、[臨時職員] 組織部門に対して、[組織外ネットワーク アクセスの防止] アクセスレベルが設定されています。このため、組織のネットワーク外からの API を介して Google Keep にアクセスするすべてのアプリはブロックされます。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] にアクセスします。
3. [アクセスレベルの割り当て] をクリックします。
4. [臨時職員] 組織部門を選択します。
5. アプリのリストから [Google Keep] を選択し、[割り当て] をクリックします。
6. [組織外ネットワーク アクセスの防止] を選択し、[続行] をクリックします。
7. [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにします。
8. [アクセスレベルを満たしていない場合、他のアプリが API を介してアクセスできないようにする] チェックボックスをオンにします。
9. [続行] をクリックします。
10. 内容を確認して [完了] をクリックします。

ユースケース 2: サードパーティ製アプリを除外する

この例では、サードパーティ製アプリ Box を除外します。Google ドライブについては、[臨時職員] 組織部門に対して [組織外ネットワーク アクセスの防止] アクセスレベルを設定します。これにより、組織のネットワークの外部から API リクエストがあった場合でも、サードパーティ製アプリの Box が Google ドライブにアクセスできるようになります。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] にアクセスします。
3. [アクセスレベルの割り当て] をクリックします。
4. [臨時職員] 組織部門を選択します。
5. アプリのリストから [Google ドライブ] を選択し、[割り当て] をクリックします。
6. [組織外ネットワーク アクセスの防止] を選択し、[続行] をクリックします。
7. [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにします。
8. [アクセスレベルを満たしていない場合、他のアプリが API を介してアクセスできないようにする] チェックボックスをオンにします。
9. [許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。
   アプリのアクセス制御ページで [信頼できる] とマークしているサードパーティ製アプリはすべて、許可リストに登録されたアプリの表に表示されています。
10. [Box] を選択し、[続行] をクリックします。
11. 内容を確認して [完了] をクリックします。

ユースケース 3: 同じ組織部門内の別のサードパーティ製アプリを除外する

この例では、以前のユースケースの設定に Salesforce サードパーティ製アプリを追加します。

アプリ除外リストは、以前のコンテキストアウェア アクセスレベルの割り当てと新しいコンテキストアウェア アクセスレベルの割り当てで除外されていたすべてのサードパーティ製アプリに適用される、組織部門固有のリストです。アプリの除外リストは、リスト内で定義されている組織部門に固有のものです。したがって、組織部門には独自のアプリ除外リストがあります。

結果として、この例では、割り当てられたアクセスレベルにかかわらず Box と Salesforce の両方が Google ドライブと Gmail にアクセスできるようになります。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] にアクセスします。
3. [アクセスレベルの割り当て] をクリックします。
4. [臨時職員] 組織部門を選択します。
5. アプリのリストから [Gmail] を選択し、[割り当て] をクリックします。
6. アクセスレベルに [米国外からのアクセスを防止] を選択し、[続行] をクリックします。
7. [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにします。
8. [アクセスレベルを満たしていない場合、他のアプリが API を介してアクセスできないようにする] チェックボックスをオンにします。
9. [許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。
   アプリのアクセス制御ページで [信頼できる] とマークしているサードパーティ製アプリはすべて、許可リストに登録されたアプリの表に表示されています。
10. 対象のサードパーティ製アプリ [Salesforce] を選択し、[続行] をクリックします。
11. 内容を確認して [完了] をクリックします。

グループと組織部門の除外に関する動作

グループ ポリシーは組織部門ポリシーよりも優先されますが、グループレベルでコンテキストアウェア アクセスレベルを割り当てるときは、公開 API を介して信頼できるサードパーティ製アプリをブロック対象から除外することもできます。ただし、組織部門の場合と同様に、グループレベルの除外リストを定義することはできません。

• グループレベルのコンテキストアウェア アクセスレベルを割り当てる際、[許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにすると、グループ内の個々のユーザーには所属する組織部門レベルの除外リストが適用されます。ユーザーが異なる組織部門に属している場合は、それらの組織部門に対応する除外リストが適用されます。

• グループレベルのコンテキストアウェア アクセスレベルを割り当てているとき、[許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオフにすると、グループ内の個人に除外が適用されることはありません。グループ ポリシーは組織部門のポリシーよりも優先されるため、以前に作成したコンテキストアウェア アクセスレベルの除外は、このグループ内の個人には適用されません。