サードパーティ パートナーとの連携を設定する

この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Cloud Identity Premium。 エディションを比較する

管理者は、サポートされているサードパーティ パートナー( BeyondCorp Alliance に参加しているパートナー)のサービスを Google 管理コンソールで Google エンドポイント管理に統合できます。このインテグレーションにより、Google Cloud サービスを保護するために、Google Workspace、Cloud Identity、Identity-Aware Proxy だけでなく、統合エンドポイント管理(UEM)プロバイダおよびモバイル上の脅威防御サービスも利用できるようになります。サービスとの接続を作成して組織部門に対して有効にすると、サードパーティ サービスからデバイスに関する詳細情報が送信されてくるようになります。この情報をデバイス インベントリで確認して、コンテキストアウェア アクセス ルールで使用できます。

注: Google は、サードパーティ パートナーによって生成されたデバイスデータの正確性について責任を負いません。サードパーティ パートナー事業者によって Google に提供されたデータは、「現状のまま」保存されます。サードパーティ パートナー事業者から報告された不正確な内容や個人を特定できる情報(PII)についてはすべて、パートナー事業者がのみが責任を負います。

サードパーティ サービスとの接続を作成すると、組織内のすべての組織部門がそのサービスを利用できるようになります。ただし、組織部門に対してサードパーティ サービスを有効にするまでは、そのサービスは適用されません。

BeyondCorp Alliance のパートナー

  • Check Point
  • CrowdStrike
  • Jamf
  • Lookout
  • Microsoft Intune(デスクトップ デバイスのみ)
  • Omnissa

要件

ステップ 1: BeyondCorp Alliance パートナーに接続する

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [サードパーティ統合] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [セキュリティ パートナーと MDM パートナー] 次に [管理] をクリックします。
  3. 接続するパートナーの行で [接続を開始] をクリックします。
  4. パートナーのウェブサイトが開いたら、接続プロセスを完了します。
    • そのパートナーとのサブスクリプションがすでにある場合は、パートナーが接続を確認します。
    • サブスクリプションが設定されていなければ、設定するよう指示されます。
  5. 管理コンソールで、[パートナー接続を管理] ダイアログを閉じて、設定ページに戻ります。接続したパートナーがリストに表示されています。

ステップ 2: 組織部門に対してパートナーのサービスを有効にする

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [サードパーティ統合] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [セキュリティ パートナーと MDM パートナー] をクリックします。
  3. (省略可)設定を部門やチームに適用するには、横で組織部門 を選択します。
  4. 有効にするサービスの提供元パートナーのチェックボックスをオンにします。複数選択できます。
  5. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承値を復元するには、[継承] をクリックします。

これで、パートナーのサービスが、選択した組織部門のアカウントに適用されます。

変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

ステップ 3:コンテキストアウェア アクセスレベルでサービス ステータス データを使用する

各サービスから、デバイスに関する Google データが送信されてきます。このデータを使用して、コンテキストアウェア アクセスレベルを定義できます。

注: iOS デバイスのユーザーに対して、サードパーティ サービスから送信されたステータスに基づくコンテキストアウェア アクセスが適用されるのは、そのユーザーが職場や学校のアカウントで Chrome ブラウザ以外の Google アプリ(YouTube や Gmail など)にログインしている場合のみです。詳細

  1. サードパーティ サービスから Google に送信される値を確認するには、サービスのドキュメントをご覧ください。

  2. Google Cloud コンソールで、パートナーの値に基づいてカスタム アクセスレベルを設定します。手順については、カスタム アクセスレベルを作成するをご覧ください。

    level.

    [条件] に値を入力するステップでは、ステータスの値に対応する device.vendors 属性を入力します。たとえば、 device.vendors["some_vendor"].data["status_value"] == true と入力します。ここで、 some_vendor はパートナー名(Checkpoint または Lookout)、 status_value はパートナーによって定義されたステータスキーです。詳しくは、このリファレンス

    テーブルのベンダーのセクションをご覧ください。

  3. アプリに コンテキストアウェア アクセスレベルを割り当てます

サードパーティ サービスの統合に関する問題を解決する

統合が想定どおりに機能しない場合は、次の手順に沿って問題の特定を試みてください。

ステップ 1: Google とパートナーからの接続を確認する

Google から

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [サードパーティ統合] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [セキュリティ パートナーと MDM パートナー] をクリックします。
  3. [パートナー] の横にある [管理] をクリックします。
  4. 該当するパートナーの行で、利用可能なアクションが [接続を終了] になっていることを確認します。アクションが [接続を開始] になっている場合は、このアクションをクリックして、ステップ 1: BeyondCorp Alliance パートナーに接続するの手順に従います。

パートナーから

パートナーのドキュメントを確認し、パートナー サービスが統合可能な状態であることを確認します。

ステップ 2: 該当するユーザーが、接続が有効にされている組織部門に所属していることを確認する

ユーザーに対して接続が設定されていることを確認します。接続は組織部門ごとに有効にされます。接続が有効にされている組織部門に所属するユーザーのみが、その接続を利用できます。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [サードパーティ統合] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [セキュリティ パートナーと MDM パートナー] をクリックします。
  3. 左側で、ユーザーが所属する組織部門をクリックします。
  4. [セキュリティ パートナーと MDM パートナー] の横に示されている、その組織部門に対して有効になっているアプリ統合を確認します。
  5. 統合が示されていない場合は、[セキュリティ パートナーと MDM パートナー] をクリックし、該当するパートナーの横にあるチェックボックスをオンにします。該当するパートナーが示されていない場合は、まず接続を開始する必要があります。手順については、ステップ 1: BeyondCorp Alliance パートナーに接続するをご確認ください。

ステップ 3: Google がサードパーティ サービスからユーザーのデバイスデータを取得していることを確認する

統合パートナーは、ユーザーのデバイスに関するデータを Google に送信します。管理コンソールで、Google がそのデータを取得していることを確認できます。

  1. Google 管理コンソールで、メニュー アイコン 次に [**デバイス**] 次に [**モバイルとエンドポイント**] 次に [**デバイス**] に移動します。

    アクセスするには、モバイル デバイス管理の管理者権限が必要です。

  2. ユーザーのデバイスを見つけます。リストをフィルタするには、検索バーにユーザーのメールアドレスを入力し、デバイスの種類で絞り込むフィルタを追加します。
  3. デバイスをクリックして詳細ページを開きます。
  4. [サードパーティ サービス] セクションを見つけます。これが見つからない場合は、パートナーとの接続が正しく構成されていない可能性があります。最初の 2 つのトラブルシューティングの手順を確認してください。
  5. パートナー サービスの行を探し、[健全性スコア]、[管理のステータス]、[コンプライアンスのステータス] の値が [指定なし] になっていないことを確認します。値が想定と異なる場合は、パートナーにお問い合わせください。

ステップ 4: カスタム アクセスレベルが正しく定義されていることを確認する

  1. Google Cloud コンソールで、Access Context Manager に移動します。
  2. カスタム アクセスレベルを見つけて、次の点を確認します。
    1. 条件に、正しいサードパーティ名が使用されていることを確認します。正しい名前は、サードパーティのドキュメントで指定されているものです。
    2. 条件に、サードパーティから受け取った値と一致する値が使用されていることを確認します。

以上の値が正しくない場合は、コンテキストアウェア アクセスレベルでサービス ステータス データを使用する方法を確認してください。

ステップ 5: カスタム アクセスレベルが適切な Google Workspace サービスまたは Google Cloud リソースに適用されていることを確認する

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**アクセスとデータ管理**] 次に [**コンテキストアウェア アクセス**] に移動します。

    データ セキュリティのアクセスレベルとルールの管理権限Admin API グループとユーザーの読み取り権限が必要です。

  2. [**割り当て**]、[**アクセスレベルの割り当て**] の順にクリックします。
    アプリのリストが表示されます。
  3. カスタム アクセスレベルが適用されているアプリとサービスを確認します。

(iOS デバイスのみ)サードパーティ デバイスのレポートに BeyondCorp Alliance を使用したことで発生したデバイス エントリの重複を回避して削除する

サードパーティ サービス パートナーを使用してデバイスを登録すると、管理コンソールで同じデバイスのエントリが重複することがあります。これにより、コンテキストアウェア アクセス ルールによって、管理対象デバイスが Google サービスにアクセスできなくなることがあります。

デバイス エントリの重複を回避するには、デバイスで Safari が有効になっていることを確認する必要があります。

重複するデバイス エントリを削除する手順は次のとおりです。

  1. Google 管理コンソールで、メニュー アイコン 次に [ディレクトリ 次に ユーザー] に移動します。

    アクセスするには、適切なユーザー管理権限が必要です。適切な権限がない場合は、これらの手順を完了するのに必要な設定が一部表示されません。

  2. 重複するデバイスのユーザーを見つけて、ユーザー名をクリックして [ユーザーの詳細] ページを開きます。
  3. [セキュリティ] タブで [接続されているアプリケーション] をクリックします。
  4. 表示されているすべてのアプリケーションを削除します。

ユーザーのデバイスで:

  1. すべての Google アカウントからログアウトして削除します。
  2. Safari で Google サービスのウェブページ(gmail.com など)にアクセスし、ユーザーがログインしていないことを確認します。
  3. Gmail やドライブなどの Google アプリケーションを再インストールしてログインします(Safari のウェブページから Google アプリケーションにアクセスしないでください)。

    コンテキストアウェア アクセス ルールによって Google アプリへのアクセスがブロックされ、アプリのブロックを解決するためのリンクが表示されます。

  4. 修復リンクをクリックし、手順に沿ってデバイスをサービス パートナーに再登録します。
  5. Google サービスを閉じてから再度開きます。アクセスがブロックされなくなります。

サードパーティ サービスの統合設定を変更する

組織部門に対してパートナーを無効にする

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [サードパーティ統合] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [セキュリティ パートナーと MDM パートナー] をクリックします。
  3. (省略可)設定を部門やチームに適用するには、横で組織部門 を選択します。
  4. 無効にするパートナーのチェックボックスをオフにします。
  5. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承値を復元するには、[継承] をクリックします。

パートナーとの接続を解除する

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [サードパーティ統合] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [セキュリティ パートナーと MDM パートナー] 次に [管理] をクリックします。
  3. パートナーの行で [接続を終了] をクリックします。パートナーのサービスは、組織内のどのデバイスにも適用されなくなります。また、そのパートナーは有効にできるオプションとして表示されなくなります。

パートナーとの接続を終了した後、再び接続を開始すると、パートナーが有効にされていた組織部門で自動的にパートナーのサービスが再び有効になります。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。