コンテキスト アウェア アクセスレベルを作成する

1. [アクセスレベル] を選択します。
   定義済みのアクセスレベルのリストが表示されます。アクセスレベルは、Google Workspace と Google Cloud の間でリソースとして共有されるため、自分が作成していないアクセスレベルがリストに表示される場合もあります。アクセスレベルを作成したチームがわかるように、アクセスレベルの名前の一部にプラットフォームを入れておくことをおすすめします。
2. 右上の [アクセスレベルを作成] を選択します。
   デフォルトでは基本モードが選択されています。1 つ以上の条件を追加してアクセスレベルを定義した後、1 つ以上の属性を指定して各条件を定義します。

   注: Google Workspace のみを使用しているお客様には、コンテキストアウェア アクセスレベルを追加または変更する場合に、Google Cloud Platform（GCP）のインターフェースを使用しないことをおすすめします。コンテキストアウェア アクセスのインターフェース以外の方法でアクセスレベルを追加または変更すると、「サポートされていない属性が Google Workspace で使用されています」というエラー メッセージが表示され、ユーザーがブロックされる可能性があります。

3. アクセスレベルの名前を追加し、必要に応じて説明を入力します。
4. 追加するアクセスレベルの各条件に対して、条件を満たすユーザーと条件に該当しないユーザーのどちらにアクセスを許可するのかを指定します。
   • 属性に該当する - 条件に記載されているすべての属性に該当するユーザーにアクセスを許可します。
   • 属性に該当しない - 条件に記載されているいずれの属性にも該当しないユーザーにアクセスを許可します。このオプションは条件とは逆の状態を指定するもので、IP サブネット属性で最もよく使用されます。たとえば、IP サブネットの属性と「以下の条件を満たしていない場合」を指定した場合、指定した範囲外の IP アドレスからアクセスするユーザーのみが条件と一致することになります。
5. [属性を追加] をクリックして、アクセスレベルの条件に 1 つ以上の属性を追加します。以下の属性を追加できます。
   • IP サブネット - IPv4 もしくは IPv6 アドレス、または CIDR のブロック表記のルーティング プレフィックス。
     • プライベート IP アドレスには対応していません（ユーザーのホーム ネットワークを含む）。
     • 静的 IP アドレスに対応しています。
     • 動的 IP アドレスを使用するには、アクセスレベルに静的 IP サブネットを定義する必要があります。動的 IP アドレスの範囲がわかっていて、アクセスレベルで定義された静的 IP アドレスがその範囲に対応している場合は、アクセスが許可されます。定義された静的 IP サブネットに動的 IP アドレスが含まれない場合は、アクセスが拒否されます。
   • ロケーション - Google Workspace サービスにアクセスするユーザーが所在する国または地域。内部 IP アドレスを持つデバイスはグローバルに一意ではないため、サポートされません。
   • デバイス ポリシー（実装する必要のあるデバイス ポリシーのみを選択） -
     • 管理者の承認を必須とする（必須にする場合、デバイスを承認しておく必要があります）
     • 会社所有デバイスを必須とする
     • 画面ロックを必須とする
     • デバイスの暗号化（サポート対象外、暗号化なし、暗号化あり）
   • デバイスの OS（ユーザーは管理者が選択したオペレーティング システムでのみ Google Workspace にアクセスできます。オペレーティング システムの最小バージョンを選択するか、すべてのバージョンを許可します。オペレーティング システムのバージョンには「メジャー.マイナー.パッチ」の形式を使用します） -
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • アクセスレベル（既存のアクセスレベルの要件を満たしている必要があります）
6. アクセスレベルに別の条件を追加するには、[条件を追加] をクリックして属性を追加します。
7. ユーザーが満たす必要のある条件を指定します。
   • And - ユーザーは最初の条件と追加された条件を満たす必要があります。
   • Or - ユーザーはいずれか 1 つの条件を満たす必要があります。
8. アクセスレベルの条件を追加したら、[保存] をクリックしてアクセスレベルの定義を保存します。
9. アクセスレベルで何を行うかを選択します。
   • このアクセスレベルをアプリに割り当てる。
   • このアクセスレベルでデータ保護ルールを作成する。この操作を行うと、ルール作成ウィザードが起動します。詳しくは、データ保護ルールとコンテキストアウェア アクセスレベルを組み合わせる方法をご覧ください。

アクセスレベルの例 - 基本モードで作成

次の例は「corp_access」というアクセスレベルを示しています。Gmail に「corp_access」が適用されている場合、米国またはカナダにいるユーザーが暗号化された会社所有デバイスを使用した場合に限り Gmail にアクセスできます。

アクセスレベルの名前	corp_access
ユーザーのアクセス条件	条件に記載されているすべての属性を満たす
条件 1 の属性	デバイス ポリシー    デバイスの暗号化 = 暗号化あり    会社所有デバイス = 必須
条件 1 と条件 2 の組み合わせ方法	AND
ユーザーのアクセス条件	条件に記載されているすべての属性を満たす
条件 2 の属性	アクセス元の地域    国 = アメリカ合衆国、カナダ

その他の例については、基本モードでのコンテキストアウェア アクセスの例をご覧ください。

このモードを使用すると、コンテキストアウェア アクセス インターフェースの条件作成ツールで作成できないアクセスレベルを作成できます。次のような場合が該当します。

• サードパーティと連携するためのベンダー条件を含むアクセスレベルを作成する必要がある。
• 一部の詳細な属性に基本モードの条件インターフェースからではアクセスできない（証明書ベースの認証を使用する機能など）。

このモードでは、Common Expression Language（CEL）を使用して、編集ウィンドウでカスタム アクセスレベルを作成します。

詳細モードを使用してアクセスレベルを定義するには:

1. [アクセスレベル] を選択します。
   定義済みのアクセスレベルのリストが表示されます。アクセスレベルは Google Workspace、Cloud Identity、Google Cloud 間でリソースとして共有されるため、自分が作成していないアクセスレベルがリストに掲載されている場合もあります。アクセスレベルを作成したチームがわかるように、アクセスレベルの名前の一部にプラットフォームを入れておくことをおすすめします。
2. [アクセスレベルを作成] を選択します。
3. [詳細] を選択します。
4. アクセスレベルの名前を追加し、必要に応じて説明を入力します。
   アクセスレベルを定義するには、CEL 式を記述します。
5. CEL 式エディタでカスタム アクセスレベルを作成します。
   この操作には CEL の使用経験が必要です。カスタム アクセスレベルの作成でサポートされる式のガイダンスと例については、カスタム アクセスレベルの仕様をご確認ください。
6. [保存] をクリックします。
   式がコンパイルされ、構文エラーがあれば報告されます。
   • 構文エラーがない場合は、カスタム アクセスレベルが保存されるので、それをアプリに割り当てることができます。
   • 構文エラーがある場合は、作成した式に固有のコンパイラ エラー（英語表示のみ）とともに、[エラーを修正して続行] というメッセージが表示されます。エラーを修正して、再度保存できます。エラーのない保存済みのカスタム アクセスレベルは、アプリに割り当てることができます。

アクセスレベルの例 - 詳細モードで作成

次に示すアクセスレベルの例では、リクエストを承認するために以下の条件が満たされる必要があります。

• 送信元デバイスが暗号化されている。
• 次のうち 1 つ以上に該当する。
  • リクエストの送信元が米国である。
  • リクエストの送信元のデバイスがドメイン管理者によって承認されている。

 device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

その他の例については、詳細モードでのコンテキストアウェア アクセスの例をご確認ください。