この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較
コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御セキュリティ ポリシーを設定できます。
ユーザーのデバイスが IT ポリシーに準拠しているかどうかなどのコンテキストに基づいて、ユーザー アクセスを制御できます。
コンテキストアウェア アクセスの使用例
コンテキストアウェア アクセスは次のような用途に利用できます。
- 会社支給のデバイスのみにアプリへのアクセスを許可する。
- ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する
- 社内ネットワーク以外からのアプリへのアクセスを制限する
複数の条件を組み合わせて 1 つのポリシーを作成することもできます。それには、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイスが暗号化されていること、オペレーティング システムのバージョンが最小要件を満たしていることなど)を定義します。
注: コンテキストアウェア アクセス ポリシーで制御できるのは、エンドユーザー アカウントからのアプリアクセスのみです。サービス アカウントからの Google API へのアクセスは制限されません。
エディション、アプリ、プラットフォーム、管理者の種類のサポート
コンテキストアウェア アクセス ポリシーは、この記事の上部に記載されているエディションのライセンスを持つユーザーにのみ適用できます。
コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。
Google Workspace アプリ(コアサービス)
コアサービス アプリの場合、ポリシー評価は継続的に行われます。たとえば、ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。
下の表に、パソコンのウェブアプリ、モバイルアプリ、パソコンの組み込みアプリのサポート対象のアプリをまとめました。
|
コアサービス |
ウェブアプリ(パソコンまたはモバイル) |
モバイルの組み込みアプリ* |
組み込みパソコンのアプリ |
|
Google カレンダー |
✔ |
✔ |
|
|
Google Cloud Search |
✔ |
✔ |
|
|
Google ドライブと Google ドキュメント(スプレッドシート、スライド、フォームを含む) |
✔ |
✔ |
✔ (パソコン版 Google ドライブ) |
| Gemini | ✔ | ||
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
ビジネス向け Google グループ |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Jamboard サービス |
✔ |
✔ |
|
|
Google Keep |
✔ |
✔ |
|
|
Google サイト |
✔ |
||
|
Google ToDo リスト |
✔ |
✔ |
|
|
Google 管理コンソール |
✔ | ✔ |
|
*モバイルアプリのサポートに関する注意事項:
- コンテキストアウェア アクセス ポリシーは、モバイルのサードパーティ製組み込みアプリ(Salesforce など)には適用できません。
- Chrome ウェブブラウザを使用してアクセスする SAML アプリにはコンテキストアウェア アクセス ポリシーを適用できます。
- モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。
その他の Google サービス
その他の Google サービスの場合、ポリシー評価は継続的に行われます。これらのサービスはウェブアプリ専用です。
- Looker Studio - データに基づいて、わかりやすいグラフとインタラクティブなレポートを作成。
- Google Play Console - 開発した Android アプリを、急増する Android ユーザーに提供。
SAML アプリ
SAML アプリの場合、ポリシー評価はアプリへのログイン時に行われます。
- これには、Google を ID プロバイダとして使用するサードパーティの SAML アプリが含まれます。また、サードパーティの ID プロバイダ(IdP)も使用できます(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、SSO についてをご覧ください。
- ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。
例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセス ポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。
-
アクセスレベルでデバイス ポリシーが適用されている場合、ユーザーは、Endpoint Verification が有効になっている Chrome ブラウザを介してサードパーティの SAML アプリによってのみ承認されます。
-
デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。
アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域、カスタム アクセスレベルなどの属性)を作成できます。カスタム アクセスレベルの作成でサポートされる属性および式のガイダンスと例については、カスタム アクセスレベルの仕様をご覧ください。
また、サポートされている BeyondCorp Alliance パートナーについて詳しくは、サードパーティ パートナーとの連携を設定するをご覧ください。
プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。
ポリシーの種類は次のとおりです。
- IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
- デバイス ポリシーとデバイスの OS - デバイスの特性(デバイスが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
- アクセス元の地域 - 国や地域を指定します。この国や地域にいるユーザーはアプリにアクセスできます。
プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合
インターネット サービス プロバイダ(ISP)が地域によって IP アドレスを変更している場合、変更が有効になるまでには時間がかかります。この間、位置情報属性に基づくアクセスが適用されているユーザーは、コンテキストアウェア アクセスによってブロックされることがあります。
- デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム
- パソコン - Mac、Windows、ChromeOS、Linux OS
- モバイル - Android、iOS
- アクセス
- パソコンのウェブブラウザとパソコン版ドライブ
- モバイルのウェブブラウザとファースト パーティの組み込みアプリ
- ソフトウェア - エージェントは不要(Apple Private Relay が有効になっている Safari を除く)。iCloud で Apple Private Relay が構成されている場合、デバイスの IP アドレスは表示されません。Google Workspace は匿名の IP アドレスを受け取ります。この場合、コンテキストアウェア アクセスレベルが IP サブネットとして割り当てられていると、Safari でアクセスが拒否されます。この問題を解決するには、Apple Private Relay を無効にするか、IP サブネットを含むアクセスレベルを削除します。
プラットフォームのサポート - ポリシーの種類が「デバイス」の場合
- デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム
- パソコン - Mac、Windows、ChromeOS、Linux OS
- モバイル - Android、iOS。6.0 以前の Android では、エンドポイントの確認のために Google エンドポイント管理を基本モードで使用する必要があります。
- 会社所有 - Android 12 以降が搭載され仕事用プロファイルが設定されているデバイスには対応していません。このようなデバイスは、会社所有のインベントリに登録されていてもユーザー所有のものとして報告されます。詳しくは、モバイル デバイスの詳細情報を確認するの「デバイスの詳細について」で、「デバイス情報」の表を下にスクロールして「所有権」の行をご覧ください。
- アクセス
- パソコンの Chrome ブラウザとパソコン版ドライブ
- モバイルの組み込みファースト パーティ アプリ用の Chrome ブラウザ
- ソフトウェア
- 特権管理者
- 次の各権限を持つ管理者:
- [データ セキュリティ] > [アクセスレベルの管理]
- [データ セキュリティ] > [ルールの管理]
- [管理 API の権限] > [グループ] > [読み取り]
- [管理 API の権限] > [ユーザー] > [読み取り]
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
