コンテキストアウェア アクセスの修正メッセージとカスタム メッセージを使用すると、ポリシーによりアプリにアクセスできない場合に、ユーザーが自分でブロックを解除できます。これらのメッセージを有効にするかどうかは任意(ただし推奨)ですが、ユーザーの生産性を高め、管理者への問い合わせを減らすのに役立ちます。
たとえば、修正メッセージが有効になっていると、日中はオフィスでモバイル デバイスから Gmail を問題なく使えていても、夜に自宅からアクセスしようとしてブロックされた場合に、ブロックの理由と対処方法が表示されます。
修正メッセージとカスタム メッセージは、基本モードで作成されたアクセスレベルにも、詳細モードで作成されたアクセスレベルにも対応しています。また、コアサービスにも SAML アプリにも対応しています。
修正メッセージとカスタム メッセージを使用してユーザーがブロックを解除できるようにする
ブロックされると、ユーザーには次のメッセージが表示されます。
- デフォルト メッセージ - 修正メッセージまたはカスタム メッセージを追加していない場合に表示されます。デフォルト メッセージの例: 組織のポリシーにより、このアプリへのアクセスはブロックされています。
- 修正メッセージ - デフォルト メッセージに代わって表示されます。メッセージはシステムにより生成され、どのポリシー違反によってユーザーがブロックされたかに応じて内容が異なります。
修正メッセージには複数の修正オプションが提示されることがあり、[他のオプションを表示] をクリックすると開くことができます。修正オプションが複数ある場合、利用可能なオプションのいずれか 1 つの手順を完了することでブロックを解除できます。 - カスタム メッセージ - ブロックの解除に関する追加のアドバイスや、役立つリンクなど、ユーザー向けの具体的なサポートを追加します。必要に応じてカスタム メッセージを追加してください。カスタム メッセージは、デフォルトのメッセージまたは修正メッセージと組み合わせて表示できます。
これらのメッセージの表示パターンは次のとおりです。
| 修正メッセージが有効になっているか? | カスタム メッセージを追加しましたか? | ユーザーに表示されるメッセージ |
|---|---|---|
| いいえ | いいえ | デフォルト メッセージのみ |
| はい | いいえ | 修正メッセージのみ。修正メッセージを生成できない場合は、デフォルト メッセージが表示されます。 |
| いいえ | はい | デフォルト メッセージとカスタム メッセージ |
| はい | はい | 修正メッセージとカスタム メッセージ |
属性に警告ポリシーを設定すると、その属性に対してのみ、修正メッセージが常に表示されます。これらのメッセージは、管理者もオフにできません。アクセスしようとしているアプリに関する警告通知を受け取ったユーザーは、修正オプションの詳細を確認できます。
修正メッセージについて
メッセージに記載される修正アクションは、アクセスが拒否される(ブロックされる)原因や、ユーザーに警告が表示される原因となっている各属性に対応しています。ある属性にブロック ポリシーが関連付けられている場合、修正メッセージには、そのアクションを実行できない理由と、ポリシーに準拠する方法が示されます。属性に警告ポリシーが関連付けられている場合は、ユーザーはアクションを実行できますが、ポリシーに準拠するための提案が表示されます。
属性が同じであっても、アクセスレベルの値によっては異なるメッセージが表示されます。たとえば、アクセスレベルが device.screen_lock_enabled == true の場合、メッセージは [デバイスで画面ロック パスワードを設定してください] です。アクセスレベルが device.screen_lock_enabled == false の場合、メッセージは [デバイスから画面ロック パスワードを削除してください] です。なお、画面ロック パスワードを削除すると安全性が低下するおそれがあるため、ユーザーはこの操作を管理者に確認する必要があります。
属性とタイプ別の修正メッセージの候補
実際のメッセージは、以下のメッセージと異なる場合があります。
| 属性 | ポリシータイプ | メッセージ |
|---|---|---|
| 管理者の承認 | ブロックして警告 | 組織で承認されているデバイスに切り替えてください。アクセス権がない場合は、管理者にお問い合わせください。 |
| ブロックして警告 | 組織に関連付けられていないデバイスに切り替えてください。なお、この操作を行うとセキュリティが低下する可能性があるため、管理者に確認することが必要になる場合もあります。 | |
| 会社所有デバイス | ブロックして警告 | 組織が所有するデバイスに切り替えてください。アクセス権がない場合は、管理者にお問い合わせください。 |
| ブロックして警告 | 組織が所有していないデバイスに切り替えてください。 | |
| CTS プロファイルの一致 | ブロックして警告 | デバイスを出荷時の設定にリセットします。 |
| ブロック | お使いのデバイスは OEM Android インストールを使ってこのアプリにアクセスすることはできません。詳しくは、管理者にお問い合わせください。 | |
| 警告 | OEM Android インストールを使ってこのアプリにアクセスすると、安全性が確保されません。詳しくは、管理者にお問い合わせください。 | |
| 暗号化 | ブロックして警告 | 暗号化ステータスが [ステータス 1、ステータス 2] のいずれかであるデバイスに切り替えてください。 |
| ブロックして警告 | 暗号化ステータスが [ステータス] 以外のデバイスに切り替えてください。 | |
| 有害な可能性があるアプリがある | ブロックして警告 | Google Play プロテクトで有害な可能性のあるアプリとして表示されたアプリをすべてアンインストールしてください。 |
| ブロック | お使いのデバイスは、現在インストールされているアプリを使ってこのアプリにアクセスすることはできません。詳しくは、管理者にお問い合わせください。 | |
| 警告 | 現在インストールされているアプリを使ってこのアプリにアクセスすると、安全性が確保されません。詳しくは、管理者にお問い合わせください。 | |
| IP アドレス | ブロック | 現在の IP サブネットワークから、このアプリにアクセスすることはできません。詳しくは、管理者にお問い合わせください。 |
| 警告 | 現在の IP サブネットワークからこのアプリにアクセスすると、安全性が確保されません。詳しくは、管理者にお問い合わせください。 | |
| OS の種類 | ブロックして警告 | 以下のいずれかのオペレーティング システムを搭載したデバイスに切り替えてください: [os1、os2]。 |
| ブロックして警告 | os1 を搭載していないデバイスに切り替えてください。 | |
| OS バージョン | ブロックして警告 | デバイスを [OS バージョン X] 以降に更新してください。 |
| ブロックして警告 | OS を [OS バージョン X] より前のバージョンにダウングレードしてください。 | |
| パートナー属性 | ブロックして警告 | デバイスに [パートナー名] をインストールします。1 |
| ブロックして警告 | デバイスが一部の要件を遵守していません([パートナー名] からの情報に基づく)。2 | |
| 地域コード | ブロック | 現在いる場所から、このアプリにアクセスすることはできません。詳しくは、管理者にお問い合わせください。 |
| 警告 | 現在の場所からこのアプリにアクセスすると、安全性が確保されません。詳しくは、管理者にお問い合わせください。 | |
| 画面ロック | ブロックして警告 | デバイスで画面ロック パスワードを設定してください。 |
| ブロックして警告 | デバイスから画面ロック パスワードを削除してください。なお、この操作を行うとセキュリティが低下する可能性があるため、管理者に確認することが必要になる場合もあります。 | |
| アプリの確認 | ブロックして警告 | デバイスで Google Play プロテクトを有効にしてください。 |
| ブロックして警告 | デバイスで Google Play プロテクトを無効にしてください。 | |
| 確認付きブート | ブロックして警告 | デバイス メーカーの手順に沿ってブートローダーをロックしてください。 |
| ブロックして警告 | デバイス メーカーの手順に沿ってブートローダーのロックを解除してください。 | |
| 承認済みの Chrome OS | ブロックして警告 | デバイスに検証済みの Chrome OS をインストールしてください。 |
| ブロックして警告 | 検証済みの Chrome OS ではこのアプリにアクセスできません。 | |
| 制限解除したデバイス | ブロックして警告 | デバイス メーカーの手順に沿ってデバイスを出荷時の設定にリセットしてください。 |
| ブロック | お使いのデバイスは、現在のデバイス状態ではこのアプリにアクセスできません。詳しくは、管理者にお問い合わせください。 | |
| 警告 | 現在のデバイス状態でこのアプリにアクセスすると、安全性が確保されません。詳しくは、管理者にお問い合わせください。 |
1パートナーのセキュリティ アプリ(Lookout など)がデバイスにインストールされていることを確認してください。インストールしているにもかかわらずこのメッセージが表示される場合は、デバイスがパートナーのモバイル デバイス管理(MDM)に正しく登録されていない可能性があります。これに該当するかどうかは、パートナー ダッシュボードで確認してください。必要に応じて、パートナーに問い合わせて問題を解決してください。
2詳しくは、デバイスでパートナー アプリをご確認ください。必要に応じて、パートナーに問い合わせて問題を解決してください。
修正メッセージとサードパーティ パートナー サービスとの統合について
管理者は、サポートされているサードパーティ パートナー(BeyondCorp Alliance に参加しているパートナー)のサービスを Google 管理コンソールで Google エンドポイント管理に統合できます。修正メッセージのインターフェースには、パートナーのメッセージが表示される旨の説明が示されます。
たとえば、Lookout の場合は次のようになります。
詳しくは、サードパーティ パートナーとの連携を設定するをご覧ください。
修正メッセージまたはカスタム メッセージをユーザーに表示する前に解決すべき一般的なエラー
ユーザーに修正メッセージを表示するには、次のエラーを解決しておく必要があります。
デバイスを認識できません。デバイスの種類に応じて手順が異なることがあります。
ログイン デバイスが認識されていません。修正手順はプラットフォームによって異なります。
- デスクトップ デバイス - ユーザーは Endpoint Verification 拡張機能をインストールして Chrome プロファイルを使用する必要があります。シークレット モード、ゲスト プロファイル、個人用プロファイルを使用して Google Workspace アプリにログインすることはできません。なお、ユーザーが初めて新しいデバイスにログインしようとしたときに、このエラー メッセージが表示されることがあります。この場合、ユーザーは Endpoint Verification 拡張機能を使用して同期し、ブラウザを更新する必要があります。
- モバイル デバイス - デバイスが CAA で認識されるためには、Google エンドポイント管理(基本管理または詳細管理)で管理されている必要があります。詳しくは、Google エンドポイント管理でデバイスを管理するをご覧ください。また、Google がログインの発生場所を認識するには、その前にデバイスの同期が必要になることがあります。詳しくは、デバイスを同期するをご覧ください。
デバイスを同期する
- デスクトップ デバイス - ユーザーは Endpoint Verification 拡張機能を使用して同期する必要があります。
モバイル デバイス - 詳細管理の対象となっているデバイスは、Device Policy アプリを使用して同期できます。基本管理対象のデバイスは、デバイスの自動同期を待つか、ユーザーが任意の Google アプリに再ログインすることで同期できます。デバイスの同期には時間がかかることをユーザーに伝えてください。
iOS デバイス - さまざまなアプリケーションの Google セッションが、Safari のセッションまたはトークンによってトラッキングされます。Safari のトークンが削除された場合(ユーザーが手動で削除または Apple ITP による削除)、それ以降のログインは、ログイン中の元のデバイスにマッピングできなくなります。これにより、修復が有効になっている場合は、「デバイスを認識できません。デバイスの種類に応じて手順が異なることがあります」というメッセージで新しいログインがブロックされることがあります。この問題は、基本管理対象デバイスと詳細管理対象デバイスの両方で発生する可能性があります。
ブロックを解除するには、ユーザー自身が次の手順を行う必要があります。
- すべての Google アプリケーションから Google の企業アカウントを削除します。Safari で Google アカウントからログアウトし、そのアカウントを使用している可能性のある Google 以外のアプリケーションからアカウントを削除します。
- Safari の Cookie とキャッシュを削除します。
- Google ドライブや Gmail など、任意の Google アプリケーションにログインします。
- 残りの Google アプリケーションすべてにアクセスして、アクセス権があることを確認します。
- Google 以外のアプリケーションにアクセスする必要がある場合は、Google アプリケーションにログインしてから数日以内にログインします。手順 3 から 30 日以内にログインせず、アプリケーションがブロックされている場合は、手順 1 からやり直してください。
修正メッセージまたはカスタム メッセージを実装する
修正メッセージを有効にする
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] に移動します。データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [ユーザーへのメッセージ] をクリックします。
- [修正メッセージ] で [オフ] をクリックし、[修正メッセージ] をオンにします。
- [保存] をクリックします。
この時点でカスタム メッセージを追加することもできます。
カスタム メッセージを追加する
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] に移動します。データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [ユーザーへのメッセージ] をクリックします。
- [追加のカスタム メッセージ] で、[追加のメッセージ] をクリックしてメッセージを入力します。
- (省略可)ユーザーに表示される内容を確認するには、[メッセージをプレビュー] をクリックします。
- [保存] をクリックします。
修正メッセージとカスタム メッセージの表示パターン
デフォルト メッセージのみ
修正メッセージまたはカスタム メッセージを設定していない場合、次のようにメッセージが表示されます。
デフォルト メッセージとカスタム メッセージ
修正メッセージを設定せず、カスタム メッセージを設定した場合、次のようにメッセージが表示されます。
修正メッセージのみ
修正メッセージを設定し、カスタム メッセージを設定しない場合、次のようにメッセージが表示されます。ユーザーが [他のオプションを表示] をクリックすると、他の修正手順が表示されます。
修正メッセージとカスタム メッセージ
修正メッセージとカスタム メッセージの両方を設定している場合、次のようにメッセージが表示されます。ユーザーが [他のオプションを表示] をクリックすると、他の修正手順が表示されます。
コンテキストアウェア アクセスの修正メッセージとカスタム メッセージに関するよくある質問
修正により、追加のアクセス拒否のケースが発生する可能性はありますか?
修正メッセージに最新のポリシーが反映されていないのはなぜですか?
ユーザーが修正操作を終えてからアクセスできるようになるまでにどれくらいかかりますか?
アクセスできるようになるのは、デバイスが Google のサーバーと同期された後です。次のような方法で、強制的に同期を試みることができます。
- パソコン - Chrome の Endpoint Verification 拡張機能から同期する
- モバイル(詳細管理) - Device Policy アプリから同期する
- モバイル(基本管理) - 基本管理対象デバイスで再ログインする
また、デバイスが BeyondCorp Alliance パートナーに準拠していない場合は、パートナー アプリケーションから同期してみてください。場合によっては、手動同期が機能しないことがあるため、ユーザーは同期が完了するまで待つ必要があります。
修正操作を完了したにもかかわらず、同じ修正方法が表示されるのはなぜですか?
デバイスに対して何も行っていないにもかかわらず、修正メッセージのオプションが変更されるのはなぜですか?
修正メッセージが有効になっていても表示されないのはなぜですか?
修正メッセージが有効になっている場合、ユーザーにカスタム メッセージは表示されますか?
デバイス ポリシーの修正を有効にするにはどうすればよいですか?
Endpoint Verification 拡張機能の同期中に、「デバイスを認識できません」という修正メッセージが表示されるのはなぜですか?
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。