作成したアクセスレベルは、アプリに割り当てることができます。ユーザー ID、デバイスのセキュリティ ステータス、IP アドレス、地理的位置に基づいてアクセスを制御できます。また、アプリケーション プログラミング インターフェース(API)を介して、Google Workspace アプリへのアクセスを試みるアプリや Google Workspace データへのアクセスを試みるアプリに対するアクセスを管理することもできます。
アクセスレベルを割り当てると…
- アクセスレベルを選択すると、デフォルトで [モニター] モードに設定されます。これにより、アクセスレベルを有効にした場合に、誤ってユーザーをブロックするのを防ぐことができます。
- 選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます(リスト内のアクセスレベルの論理和(OR)です)。複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには(アクセスレベルの論理積(AND))、複数のアクセスレベルから成るアクセスレベルを作成します。アプリにアクセスレベルを 11 個以上割り当てる場合は、ネストしたアクセスレベルを使用します。
- モバイルアプリで統合型 Gmail を使用している場合、Gmail、Google Chat、Google Meet へのアクセス権をまとめて許可または拒否することができます。Chat と Meet が統合型 Gmail の一部としてではなく、別々のアプリとして実装されている場合は、アプリへのアクセス権をアプリごとに付与または拒否する必要があります。
- 一部のアプリは、正常に動作するために他のアプリへの API アクセスを必要とします。たとえば、Gmail はカレンダー、ドライブ、Meet の API にアクセスする必要があります。Google カレンダーには Tasks API が必要で、Gemini には Gmail API が必要です。アクセスレベルを割り当てる際は、アプリが意図したとおりに機能するよう、これらの依存関係を考慮してください。
- アプリにアクセスレベルを割り当てても、その API が自動的にブロックされることはありません。Gmail などのアプリをブロックすると、ユーザーはアプリに直接ログインできなくなります。ただし、他のアプリやサードパーティ製クライアントは、API 経由でアプリのデータにアクセスできる場合があります(例: Gmail API 経由のメール メッセージへのアクセス)。API 経由のすべてのアクセスを防止するには、アプリの API にもアクセスレベルを明示的に適用する必要があります。
アプリにアクセスレベルを割り当てる
始める前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] に移動します。データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] で、[アプリにアクセスレベルを割り当てる] をクリックします。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。
グループの設定は組織部門の設定をオーバーライドします。詳細
- 次のいずれかを選択します。
- アプリにカーソルを合わせ、[アクション] [割り当て] をクリックします。
- 複数のアプリの横にあるチェックボックスをオンにして、アプリのリストの上にある [割り当て] をクリックします。
- アプリにカーソルを合わせ、[アクション]
- [アクセスレベル] で [編集] をクリックします。
- [アクセスレベル] で、各アクセスレベルのオプションを選択します。
- 実際にアクセスをブロックせずにアクセスレベルの選択がユーザーに与える影響をテストするには、[モニタリング] チェックボックスをオンにします。
- アクセスレベルの適用を開始するには、[有効] チェックボックスをオンにします。
- [保存] をクリックします。
- [アクション] で [編集] をクリックします。
- サポートされているアプリで有効なアクセスレベル ポリシーが満たされていない場合に実行するアクションを指定するには、[警告] または [ブロック] を選択します。 サポートされているアプリについて詳しくは、このページのコンテキストアウェア アクセスに対応しているアプリをご覧ください。
- [保存] をクリックします。
- (省略可)アクセスレベルに選択したスコープを更新するには:
- [スコープ] で [編集] をクリックします。
- 変更を加えて、[保存] をクリックします。
- (省略可)アクセスレベルに選択したアプリを更新するには:
- [アプリ] で [編集] をクリックします。
- 変更を加えて、[保存] をクリックします。
- [ポリシー設定] で [編集] をクリックします。
- (推奨)[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスをオンにして、ネイティブのパソコン、Android アプリ、iOS アプリ、ウェブアプリのユーザーにアクセスレベルを適用します。選択したアクセスレベルの設定後に想定される動作について詳しくは、このページのアクセスレベルの設定に基づくアプリの動作をご覧ください。
- (省略可)公開 API を経由して Workspace データにアクセスしようとする他のアプリをブロックするには、[アクセスレベルの要件を満たしていない場合、選択したアプリに他のアプリが API を経由でアクセスできないようブロックする] チェックボックスをオンにします。
- (省略可)信頼できるアプリを、公開 API によってブロックされないように除外するには、[許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。管理コンソールでグループを選択することはできますが、このオプションは設定グループではなく組織部門ごとに設定できます。詳しくは、ユースケース: 信頼できるサードパーティ製アプリをブロック対象から除外するをご覧ください。
- アプリのリストまたは除外するアプリが表示されない場合は、[アプリのアクセス制御に移動] をクリックして、アプリを信頼する手順を完了します。アプリのアクセス制御ページで [信頼できる] とマークしているすべてのアプリが、信頼できるアプリの表に表示されます。アプリが信頼できるものとしてマークされ、API 制限の適用対象外とされている場合は、あらかじめ選択されています。
- 必要に応じて、API の適用から除外するアプリを選択し、[続行] をクリックします。
- (省略可)信頼できるアプリを、公開 API によってブロックされないように除外するには、[許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。管理コンソールでグループを選択することはできますが、このオプションは設定グループではなく組織部門ごとに設定できます。詳しくは、ユースケース: 信頼できるサードパーティ製アプリをブロック対象から除外するをご覧ください。
- [保存] をクリックします。
- [このポリシーの内容] で、新しいアクセスレベルが組織とそのアプリに与える影響を確認します。選択内容を更新するには、[アクセスレベル]、[アクション]、[スコープ]、[アプリ]、[ポリシー設定] の横にある [編集] をクリックします。
- [割り当て] をクリックします。
アプリの一覧ページに戻ります。[アクセスレベル] 列には、モニターモードとアクティブ モードの両方で各アプリに適用されたアクセスレベルの数が表示されます。
コンテキストアウェア アクセスに対応しているアプリ
| Google アプリ | ブロックモードに対応 | 警告モードに対応 |
|---|---|---|
| Gmail | ✔ | ✔ |
| ドライブ | ✔ | ✔ |
| Google ドキュメント(Google スプレッドシートと Google スライドを含む) | ✔ | ✔ |
| カレンダー | ✔ | ✔ |
| Meet | ✔ | ウェブと Android のみ |
| チャット | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Google ToDo リスト | ✔ | ✔ |
| Gemini | ✔ | ウェブのみ |
| 管理コンソール | ✔ | ウェブのみ |
| Google Vault | ✔ | |
| Google サイト | ✔ | ウェブのみ |
| Google Cloud Search | ✔ | |
| Google for Business | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play Console | ✔ | |
| NotebookLM | ✔ | ウェブのみ |
アクセスレベルの設定に基づくアプリの動作
次の表は、[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスのオンまたはオフと、Endpoint Verification のデプロイの有無に基づく動作をまとめたものです。
表内の用語:
- アクセスレベルを適用: - [コンテキストアウェア アクセス] で設定したアクセスレベルに基づいてアクセス権が付与されます。
- アクセスを許可 - コンテキストアウェア アクセスが適用されておらず、すべてのアクセスが許可されます。
- アクセスをブロック中 - コンテキストアウェア アクセスが設定されていないか、エンドポイントの確認が有効になっていないため、アクセスがブロックされます。
|
アクセスレベル |
CAA が有効 |
許可/ブロック(ネイティブとウェブ) |
||||
|
モバイル |
パソコン |
|||||
|
モバイル(ネイティブ) |
モバイルウェブ |
PC ウェブ |
デスクトップ(ネイティブ) |
Endpoint Verification のデプロイの有無 |
||
|
IP/地域属性のみを指定したアクセスレベル |
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオン* |
アクセスレベルを適用 |
アクセスレベルを適用 |
不要 |
||
|
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ |
アクセスが許可されている |
アクセスレベルを適用 |
アクセスレベルを適用 |
アクセスが許可されている |
不要 |
|
|
デバイス属性を指定したアクセスレベル |
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオン* |
アクセスレベルを適用 |
アクセスレベルを適用 |
はい |
||
|
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオン |
アクセスレベルを適用 |
アクセスをブロック |
いいえ |
|||
| [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ |
アクセスが許可されている |
アクセスレベルを適用 |
アクセスレベルを適用 |
アクセスが許可されている |
はい |
|
| [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ | アクセスが許可されている | アクセスレベルを適用 | アクセスをブロック | アクセスが許可されている | いいえ | |
* 推奨される設定
注: Gemini モバイルアプリでは、ブロックされたコンテンツの処理方法が異なります。クエリがアクセスレベルに違反した場合、アプリには標準のポップアップ ウィンドウではなく、アクセスが拒否されたことを示す返信メッセージが表示されます。挨拶などの単純なクエリでは、この挙動は発生しません。
割り当てられたアクセスレベルを確認または変更する
この設定はローカルで変更を適用する場合に使用します。継承した割り当ては表示されません。
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] に移動します。データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] で、[アプリにアクセスレベルを割り当てる] をクリックします。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。
グループの設定は組織部門の設定をオーバーライドします。詳細
- 次のいずれかを選択します。
- アプリにカーソルを合わせ、[アクション] [割り当て] をクリックします。
- 複数のアプリの横にあるチェックボックスをオンにして、アプリのリストの上にある [割り当て] をクリックします。
- アプリにカーソルを合わせ、[アクション]
- [アクセスレベル] で [編集] をクリックします。
- [アクセスレベル] で、各アクセスレベルのオプションを選択します。
- 実際にアクセスをブロックせずにアクセスレベルの選択がユーザーに与える影響をテストするには、[モニタリング] チェックボックスをオンにします。
- アクセスレベルの適用を開始するには、[有効] チェックボックスをオンにします。
- [保存] をクリックします。
- [アクション] で [編集] をクリックします。
- 選択したアクセスレベルを確認し、アクセスレベルの条件が満たされていない場合に、目的のアクションがトリガーされるように設定されているかどうかを確認します。
- ブロック - アプリへのアクセスをブロックする
- 警告 - 警告を表示してアプリへのアクセスを許可する
- [保存] をクリックします。
- (省略可)アクセスレベルに選択したスコープを確認または更新するには、次の手順を実施します。
- [スコープ] で [編集] をクリックします。
- 変更を加えて、[保存] をクリックします。
- (省略可)アクセスレベルに選択したアプリを確認または更新するには、次の手順を実施します。
- [アプリ] で [編集] をクリックします。
- 変更を加えて、[保存] をクリックします。
- [ポリシー設定] で [編集] をクリックします。
- 選択したポリシーが、正しいアプリをブロックするように設定されているかどうかを確認します。このポリシーでは、選択したアプリのパソコン版とモバイル版へのアクセスをブロックしたり、他のアプリが API を使用して選択したアプリにアクセスすることをブロックしたり、許可リストに登録済みのアプリを除外したりできます。
- [保存] をクリックします。
- [このポリシーの内容] で、新しいコンテキストアウェア アクセスレベルが組織とそのアプリに与える影響を確認します。選択内容を更新するには、[アクセスレベル]、[アクション]、[スコープ]、[アプリ]、[ポリシー設定] の横にある [編集] をクリックします。
- [割り当て] をクリックします。
アクセスレベルのログに記録されたイベントを表示する
[レポートを表示] オプションを使用して、割り当てられたアクセスレベルが正しく機能しているかどうかをトラッキングして、アプリへのユーザー アクセスを管理します。モニタリング モードまたはアクティブ モードに設定されたアクセスレベルでイベントが生成され、コンテキストアウェア アクセスのログに記録されます。
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] に移動します。データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] で、[アプリにアクセスレベルを割り当てる] をクリックします。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。
グループの設定は組織部門の設定をオーバーライドします。詳細
- アプリにカーソルを合わせ、[アクション] [レポートを表示] をクリックします。
- サイドバーでセキュリティ調査ツールへのリンクをクリックすると、選択したアプリのコンテキストアウェア アクセスのログイベントの検索が自動的に実行されます。
検索結果には次の情報が含まれます。
- [アクセス拒否(モニターモード)] イベントには、このアクセスレベルを適用した場合にブロックされるであろうユーザーが表示されます。
- [アクター] 列には、ブロック中のユーザーが表示されます。
- 適用されている、条件を満たしている(アクセス条件が満たされている)、条件を満たしていない(アクセス条件が満たされていない)アクセスレベルがそれぞれ表示されます。
詳細については、コンテキストアウェア アクセスのログイベントをご覧ください。