限定公開のウェブアプリをデプロイする

限定公開のウェブ アプリケーションは、組織の内部ユーザー(従業員や請負業者など)向けに作成されます。これらのアプリは、Google 管理コンソールの Chrome Enterprise Premium を使用してデプロイできます。

アプリを Google Workspace アカウントに追加する

限定公開アプリは、Google Cloud、別のクラウド プロバイダ、オンプレミスのデータセンターでホストできます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。

  3. [アプリを追加] 次に [限定公開のウェブアプリを追加] をクリックします。
  4. [アプリケーションの詳細] で、ユーザーがアプリにアクセスするアプリ名と URL を入力します。
  5. アプリケーションがホストされている場所を指定します。
  6. [Add application] をクリックする。

Google Cloud でホストされているアプリの設定

Private Service Connect(PSC)URL を作成して、環境内の限定公開アプリを接続します。

PSC URL を設定するには、内部ロードバランサを作成し、内部 IP アドレスを使用するサービス アタッチメントを作成します。

内部ロードバランサを作成する

Google Workspace の限定公開アプリは、グローバル アクセスを有効にした内部ロードバランサの背後で公開する必要があります。詳しくは、自動承認でサービスを公開するをご覧ください。

コンピューティング リソースまたは GKE リソース用の内部ロードバランサを作成する

始める前に: 安全な HTTPS 通信を許可するには、ポート 443 でリクエストを処理するように構成されたインスタンス グループを設定します。[バックエンド] 構成タブでインスタンス グループが選択されます。

  1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。
  2. [ロードバランサを作成] をクリックします。
  3. [ネットワーク ロードバランサ(TCP/SSL)の構成を開始] をクリックし、以下を選択します。
    1. ロードバランサの種類 - [ネットワーク ロードバランサ(TCP/UDP/SSL)]を選択します。
    2. プロキシまたはパススルー - [パススルー] を選択しまます。
    3. インターネット接続可能または内部専用 - [内部] を選択します。
    4. [次へ] をクリックします。
    5. [続行] をクリックします。
  4. ロードバランサの名前を入力し、ロードバランサをデプロイするリージョンとネットワークを選択します。
    重要: ロードバランサ用に選択するネットワークは、インスタンス グループで使用されているネットワークと同じである必要があります。
  5. [バックエンドの構成] タブを選択します。
    1. プロトコル - [TCP] を選択します。
    2. IP スタックタイプ - [IPv4] を選択します。
    3. インスタンス グループを選択します。
      インスタンス グループを作成するには、インスタンス グループに移動します。
    4. リストからヘルスチェックを選択します。新しいヘルスチェックを作成するには:
      1. [ヘルスチェックを作成] を選択します。
      2. ヘルスチェックの名前を入力します(例: ping-port)。
      3. リージョン スコープを選択します。
      4. プロトコルに [HTTPS] を選択します。
      5. ポートは 443 のままにします。
      6. [プロキシのプロトコル] で [なし] を選択します。
      7. [リクエストパス] は「/」のままにします。
      8. ログを有効にします。
      9. ヘルス条件はデフォルト値のままにします。
  6. [フロントエンドの構成] タブを選択します。
    1. (省略可)フロントエンドの名前を入力します。
    2. [IP バージョン] で [IPv4] を選択します。
    3. サブネットワークを選択します。
    4. 内部 IP の目的として [共有しない] を選択します。
    5. [ポート] で [単一] を選択します。
    6. ポート番号 443 を入力します。
    7. [グローバル アクセス] で [有効] を選択します。
  7. [確認と完了] タブを選択して、ロードバランサの構成設定を確認します。
  8. [作成] をクリックします。

Cloud Run リソース用の内部ロードバランサを作成する

  1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。
  2. [ロードバランサを作成] をクリックします。
  3. [アプリケーション ロードバランサ(HTTP/S)の構成を開始] をクリックし、次のいずれかを選択します。
    1. ロードバランサの種類 - [アプリケーション ロードバランサ(HTTP/HTTPS)] を選択します。
    2. インターネット接続可能または内部専用 - [内部] を選択します。
    3. クロスリージョンまたは単一リージョンのデプロイ - [単一リージョン] を選択します。
    4. [次へ] をクリックします。
    5. [設定] をクリックします。
  4. ロードバランサの名前を入力し、ロードバランサをデプロイするリージョンとネットワークを選択します。
  5. [バックエンドの構成] タブを選択します。
    1. バックエンド サービスを作成または選択します。
    2. サービスを作成する場合は、バックエンド タイプとして [サーバーレス ネットワーク エンドポイント グループ] を選択し、ネットワーク エンドポイント グループを選択します。
    3. サーバーレス ネットワーク エンドポイントがない場合は、新しいエンドポイントを作成するオプションを選択します。
      サーバーレス ネットワーク エンドポイント グループを作成する前に、エンドポイント グループが参照する Cloud Run サービスを作成します。
  6. [フロントエンドの構成] タブを選択します。
    1. プロトコル - [HTTPS] を選択します。
    2. サブネットワークを選択します。
    3. サブネットを予約していない場合は、画面上の手順に沿ってサブネットを予約します。
    4. グローバル アクセスを有効にします。
    5. 新しい証明書を作成するか、既存の証明書を選択します。
  7. [作成] をクリックします。

サービス アタッチメントの URL を作成する

PSC の URL を設定するには、内部 IP アドレスを使用するサービス アタッチメントを作成します。

  1. Google Cloud コンソールで [Private Service Connect] ページに移動します。
  2. [サービスを公開] タブをクリックします。
  3. [サービスを公開] をクリックします。
  4. 公開するサービスのロードバランサの種類を選択します。
    • 内部パススルー ネットワーク ロードバランサ
    • リージョン内部プロキシ ネットワーク ロードバランサ
    • リージョン内部アプリケーション ロードバランサ
  5. 公開するサービスをホストする内部ロードバランサを選択します。
    選択した内部ロードバランサの詳細情報が [ネットワーク] フィールドと [リージョン] フィールドに挿入されます。
  6. [サービス名] に、サービス アタッチメントの名前を入力します。
  7. サービスに 1 つ以上のサブネットを選択します。新しいサブネットを追加する場合は、次の方法で作成します。
    • [新しいサブネットの予約] をクリックします。
    • サブネットの名前説明(省略可)を入力します。
    • サブネットのリージョンを選択します。
    • サブネットに使用する IP 範囲を入力し、[追加] をクリックします。
  8. [接続の設定] で、[すべての接続を自動的に受け入れる] を選択します。
  9. [サービスを追加] をクリックします。
  10. 公開済みのサービスをクリックします。[サービス アタッチメント] フィールドのサービス アタッチメント名を使用して、URL を作成します。
    https://googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
  11. Google Workspace で限定公開アプリを追加する際に URL を入力します。アプリを Workspace アカウントに追加するをご覧ください。

他のクラウド プロバイダやオンプレミスのデータセンターでホストされているアプリの設定

クラウドまたはオンプレミスのネットワークを Google Cloud に安全に接続するには、アプリコネクタを追加します。

アプリコネクタを使用すると、サイト間 VPN を使用せずに、アプリケーションを他のクラウドから Google に安全に接続できます。

Google 以外のネットワークに VM を作成する

専用の仮想マシン(VM)または Google 以外の環境の任意のベアメタル サーバーに、各アプリコネクタのリモート エージェントをインストールする必要があります。

  • VM を作成するには、ネットワーク管理者にサポートを依頼するか、クラウド プロバイダの指示に従ってください。
  • リモート エージェントを実行するには、各 VM またはサーバーで Docker を使用します。
  • リモート エージェント VM のネットワーク ファイアウォールで、IAP-TCP IP 範囲 35.235.240.0/20 のポート 443 で開始されたすべての送信トラフィックが許可されていることを確認します。リモート エージェント VM のファイアウォールで送信トラフィックの宛先として許可している他のドメインについては、 ファイアウォールの構成を確認するをご覧ください。

アプリコネクタを追加してリモート エージェントをインストールする

  1. アプリコネクタを追加する:
    1. Google 管理コンソールログインします。

      管理者アカウント(末尾が @gmail.com でないもの)でログインします。

    2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。

    3. [BeyondCorp Enterprise(BCE)コネクタ] タブをクリックします。
    4. [コネクタを追加] をクリックします。
    5. コネクタの名前を入力してください(例: connect-myapp)。
    6. Google 以外の環境に近いリージョンを選択します。
    7. [コネクタを追加] をクリックします。
    8. ステータスを表示するには、右上の 次に [タスク] をクリックします。
  2. リモート エージェントをホストする VM インスタンスを作成します。
    ネットワーク管理者またはクラウド プロバイダの指示に従います。Google 以外のネットワークで VM を作成するをご覧ください。
  3. リモート エージェントをインストールします。
    1. アプリコネクタ名をクリックします。
    2. [リモート エージェントをインストールする] をクリックします。
    3. Google 以外の環境でリモート エージェントをインストールします。
      • リモート エージェントをホストする仮想マシン(VM)インスタンスを作成します。ネットワーク管理者またはクラウド プロバイダの指示に従ってください。
      • リモート エージェントの実行に必要な Docker をインストールします。手順については、オンライン ドキュメントで Docker Engine のインストール方法をご覧ください。
      • Google Workspace のアプリコネクタ ページに表示される CLI コマンドを使用して、リモート エージェントをインストールして登録します。
      • リモート エージェントの登録後に表示される公開鍵をコピーして貼り付けます。
    4. [保存] をクリックします。

アプリコネクタのページに、公開鍵が正常に追加されたことが表示されます。

アクセスと認証を制限する

アプリを作成した管理者は、ユーザーがアプリにアクセスできる条件を決定できます。たとえば、特定のドメインのユーザーのアクセスを制限したり、特定の時間帯や曜日にのみアクセスを許可したりできます。アクセスが拒否されると、ユーザーは特定のページにリダイレクトされます。
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。

  3. [アプリ] タブをクリックし、アプリをクリックして詳細ページを開きます。
  4. [詳細設定] をクリックします。
  • 403 ランディング ページ - ユーザーがアプリへのアクセスを拒否された場合のリダイレクト先となるウェブアドレスを入力します。https://<url> の形式を使用します。
  • 認証ドメイン - 組織のシングル サインオン(SSO)URL を入力すると、ユーザーは組織の認証情報を使用してログインできるようになります。また、Google Workspace ドメインの有効な認証情報を持っていないユーザーのアクセスも拒否されます。sso.your.org.com の形式を使用してください
  • 許可されたドメイン - [許可されたドメインを有効にする] チェックボックスをオンにして、指定したドメインのみにユーザーのアクセスを制限します。エントリはカンマで区切ってください。(例: test.your.org.com, prod.your.org.com)。
  • 再認証 - 一定期間後にユーザーに再認証を要求するには、これらのオプションを使用します。たとえば、タッチ式セキュリティ キーや 2 段階認証プロセスなどです。
    • ログイン: ログインしてから指定された時間が経過すると、ユーザーにユーザー名とパスワードによる再認証を要求します。
    • セキュアキー: ユーザーにセキュリティ キーを使用した再認証を要求します。
    • 登録済みの 2 要素: 2 段階認証プロセス(2FA)方式を使用してユーザーに再認証を要求します。

詳細については、IAP の再認証をご覧ください。

コンテキストアウェア アクセス制御を割り当てる

コンテキストアウェア アクセスを使用すると、ユーザーのデバイスが IT ポリシーに準拠しているかどうかなどの状況に基づいて、ユーザーがアクセスできる限定公開アプリを制御できます。

たとえば、ユーザー ID、場所、デバイスのセキュリティ ステータス、IP アドレスなどの属性に基づいて、Google Workspace データにアクセスするアプリに対する詳細なアクセス制御ポリシーを作成できます。

詳しくは、限定公開アプリへのアクセスレベルの割り当てをご覧ください。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
10522712006598373107
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false