アクセス承認を使用するには、Google Workspace の Assured Controls または Assured Controls Plus アドオンが必要です。詳しくは、 営業担当者までお問い合わせください。
Google Workspace のアクセス承認の設定では、Google スタッフに対して、サポート操作に関連するデータを閲覧する前に組織に承認をリクエストするよう求めることができます。
注:
- Google スタッフがお客様のデータにアクセスできるのは、サポート サービスを提供するのに必要な場合、契約上の義務および法的義務を果たすのに必要な場合、システムを保護または維持する場合に限られます。
- アクセス承認は、"アクセス管理とアクセス 承認の対象範囲の データで説明されている特定のコアサービスのデータに対応しています。"
アクセス承認を利用するための要件
アクセス承認を使用するには、 Google Workspace Assured Controls または Google Workspace Assured Controls Plus アドオンが必要です。アクセス承認のメリットを最大限に活かすため、Assured Controls に割り当てられているユーザーは、Assured Controls または Assured Controls Plus アドオンを利用している Workspace Frontline Plus または Enterprise Plus を使用している組織のメンバーである必要があります。アクセス承認イベントは、 アクセスの透明性ログに表示されます。
注: Frontline Plus または Enterprise Plus の管理者の場合、個々の組織部門に複数のサブスクリプション レベルのユーザーが含まれていることがあります。アクセス承認を使用して特定の組織部門に対してポリシーを設定した場合、そのポリシーは組織部門内の Assured Controls ライセンスを持つユーザーにのみ適用されます。詳しくは、複数の Google Workspace エディションを使用している場合をご覧ください。
アクセス承認を設定する
-
管理者アカウントで Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、Google 管理コンソールにアクセスできません。
- メニュー アイコン
[**データ**] [**コンプライアンス**]
[**アクセス承認**] に移動します。 - ドメイン全体に対してアクセス承認を設定するには、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門またはグループを選択します。
- [サポート サービスに必要なデータが表示される前に Google のスタッフの承認を要求する] オプションをオンにします。
最上位の組織部門を選択した場合は、[保存] をクリックします。
子組織部門またはグループに対してアクセス承認を設定する場合は、[オーバーライド] をクリックします。
注:
- サポートの応答時間は、Google Workspace サポートがお客様の承認を待つ間だけ長くなります。サービスの高可用性と Google Workspace サポートによる迅速な対応が必要になる場合は、アクセス承認を有効にすることの影響を十分に考慮することをおすすめします。
- 状況によっては(単独のユーザーに対するサービスの停止の修復や法的要請など)、時間的制約のため、アクセス承認ポリシーを省略してお客様のコンテンツにアクセスする必要がある場合があります。
アクセス承認リクエストの管理
アクセス承認リクエストを表示するには、アラート センターのアラートリストをフィルタします。
アクセス承認リクエストをフィルタする
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アラート センター**] に移動します。この操作を実施するには、特権管理者としてログインする必要があります。
- リストビューで [フィルタを追加] をクリックします。
- フィルタのリストから [アラートの種類] を選択します。
- [アラートの種類] のリストで、[アクセス承認リクエスト] オプションをオンにします。
- [適用] をクリックします。
詳しくは、 アラート センターを使用するをご覧ください。
アクセス承認のアラートの詳細
アクセス承認のアラートのリストで、リクエストをクリックするとアラートの詳細が表示されます。
管理者は、リクエストの重大度 とステータス を設定し、組織内の管理者にリクエストを割り当てることができます。管理者はアラートを削除することもできます。
- 重大度(高、中、低)
- ステータス(未開始、処理中、完了)
- [割り当て先](リクエスト内の組織の管理者のメールアドレス)を入力します。
リクエストの詳細は、[キーの詳細] パネルで確認できます。
- データ アクセスのスコープ(Google スタッフがアクセスする必要があるデータが含まれる組織または子組織)
- リソースの種類(Gmail やドライブなどのプライマリ データ)
- アクセス リージョン(データにアクセスする場所)
- アクセス期間(5 日、15 日、30 日)
- アクセス権の満了日(データアクセス権の有効期限が切れる日時)
- ステータス(保留中、承認済み、拒否済み、承認取り消し済み)
- リクエスト ID(自動生成)
すべてのアクションは [アラート履歴] に表示されます。アクセス権を承認、拒否、取り消す際に、アクションの理由を入力できます。この理由は履歴に保存されます。
アクセス承認リクエストを承認または拒否する
リクエストを承認または拒否するには、管理者にアクセス承認リクエストの管理権限が必要です。
[利用可能なアクション] タスクは、[キーの詳細] のリクエスト ステータスに対応しています。
ステータスが [保留中] の場合は、[対応] をクリックして次の操作を行います。
- 5 日、15 日、30 日間のアクセス権を承認する。
このアクセス リクエストを却下する。
注: リクエストを拒否しても、以前に承認したアクセス承認リクエストによって付与されたアクセス権は維持されます。
レスポンスの説明を追加する。
リクエストのステータスが [期限切れ] の場合、利用できる操作はありません。
承認を取り消す
[キーの詳細] のリクエスト ステータスが [承認済み] で、アクセス期間がまだ経過していない場合、管理者はアクセス権を取り消すことができます。
- 承認済みのリクエストを表示し、[この承認を取り消す] をクリックします。
- フォームに説明を入力し、[この承認を取り消す] をクリックします。
注: 承認済みのリクエストに対するアクセス権を取り消しても、同じスコープを対象とする、以前に承認された別のアクセス承認リクエストを通じて付与されたアクセス権が取り消されることはありません。
アクセス承認リクエストに対するレスポンスを確認する
監査と調査またはセキュリティ調査ツールを使用すると、アクセス承認リクエストに対する過去の回答を確認できます。
注: セキュリティ調査ツールにアクセスできるかどうかは、Google Workspace のエディション、検索対象のデータソース、管理者権限によって異なります。詳細については、セキュリティ調査ツールのデータソース をご覧ください。
セキュリティ調査ツールで検索するには:
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**セキュリティ センター**]
[**調査ツール**] に移動します。調査ツールを開くには、セキュリティ センターの管理者権限が必要です。
- [**データソース**]
をクリックし、
[**管理ログイベント**] を選択します。 - [条件を追加] をクリックします。
- [Attribute] をクリックし、
[Event] を選択します。
- 演算子の後で [イベント] をクリックし、
テキスト検索でアクセス承認を見つけて [アクセス承認]
に関する管理者の操作 を選択します。
- [検索] をクリックします。
- 検索結果を確認します。[説明] 列に、組織内のアクセス承認リクエストに対する過去のレスポンス(承認または拒否)が表示されます。[アクター] 列には、アクセス アラートの詳細でこのリクエストに割り当てられた管理者が表示されます。
セキュリティ調査ツールを使用して過去の 管理ログイベントの履歴を確認する方法について詳しくは、管理ログイベント: セキュリティ調査 ツールをご覧ください。
[監査と調査] ページから検索するには:
-
Google 管理コンソールで、メニュー アイコン
[**レポート**]
[**監査と調査**]
[**管理ログイベント**] に移動します。アクセスするには、監査と調査の管理者権限が必要です。
- [フィルタを追加] をクリックし、[イベント] を選択します。
- [イベント] リストで [アクセス承認に関する管理者の操作] を選択します。
- [適用] をクリックします。
- [検索] をクリックします。
- ページ下部の表で検索結果を確認します。[説明] 列に、組織内のアクセス承認リクエストのステータス(承認または拒否)が表示されます。
[監査と調査] ページを使用して過去の 管理ログイベントを確認する方法について詳しくは、管理ログイベント: [監査と調査] ページをご覧ください。
アクセス承認メールの管理
管理者は、新たに保留されたアクセス承認リクエストをメールで受け取ることができます。メール通知は、 アクセス承認リクエスト ルールで構成できます。