作成したアクセスレベルは、アプリに割り当てることができます。ユーザー ID、デバイスのセキュリティ ステータス、IP アドレス、地理的位置に基づいてアクセスを制御できます。また、アプリケーション プログラミング インターフェース(API)を介して、Google Workspace アプリへのアクセスを試みるアプリや Google Workspace データへのアクセスを試みるアプリに対するアクセスを管理することもできます。
アクセスレベルを割り当てると…
- アクセスレベルを選択すると、デフォルトでモニターモードに設定されます。モニターモードでは、ユーザーのアクセスを実際にブロックすることなく、アクセスレベルを適用した場合の効果をシミュレートできます。モニターモードについて詳しくは、コンテキストアウェア アクセスを実装するをご覧ください。
- 選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます(リスト内のアクセスレベルの論理和(OR)です)。複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには(アクセスレベルの論理積(AND))、複数のアクセスレベルから成るアクセスレベルを作成します。アプリにアクセスレベルを 11 個以上割り当てる場合は、ネストしたアクセスレベルを使用します。
- モバイルアプリで統合型 Gmail を使用している場合、Gmail、Google Chat、Google Meet へのアクセス権をまとめて許可または拒否することができます。Chat と Meet が統合型 Gmail の一部としてではなく、別々のアプリとして実装されている場合は、アプリへのアクセス権をアプリごとに付与または拒否する必要があります。
- 一部のアプリは、正しく動作するために他のアプリへの API アクセスを必要とします。たとえば、Gmail はカレンダー、ドライブ、Meet の API へのアクセスを必要とします。Google カレンダーには Tasks API が必要で、Gemini には Gmail API が必要です。アクセスレベルを割り当てる際は、アプリが意図したとおりに機能するよう、これらの依存関係を考慮してください。
- アプリにアクセスレベルを割り当てても、その API が自動的にブロックされることはありません。Gmail などのアプリをブロックすると、ユーザーはアプリに直接ログインできなくなります。ただし、他のアプリやサードパーティ製クライアントは、API 経由でアプリのデータにアクセスできる場合があります(例: Gmail API 経由のメール メッセージへのアクセス)。API 経由のすべてのアクセスを防止するには、アプリの API にもアクセスレベルを明示的に適用する必要があります。
アプリにアクセスレベルを割り当てる
始める前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アクセスとデータ管理**]
[**コンテキストアウェア アクセス**] に移動します。データ セキュリティのアクセスレベルとルールの管理権限、Admin API グループとユーザーの読み取り権限が必要です。
- [**アクセスレベルの割り当て**] で、[**アプリにアクセスレベルを割り当てる**] をクリックします。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。
グループの設定は組織部門の設定をオーバーライドします。詳細
- オプションを選択します。
- アプリにカーソルを合わせ、[操作] [割り当て] をクリックします。
- 複数のアプリの横にあるチェックボックスをオンにして、アプリリストの上にある [割り当て] をクリックします。
- アプリにカーソルを合わせ、[操作]
- [**アクセスレベル**] で [**編集**] をクリックします。
- [**アクセスレベル**] で、各アクセスレベルのオプションを選択します。
- 実際にアクセスをブロックせずにアクセスレベルの選択がユーザーに与える影響をテストするには、[モニタリング] チェックボックスをオンにします。
- アクセスレベルの適用を開始するには、[アクティブ] チェックボックスをオンにします。
- [保存] をクリックします。
- [アクション] で [編集] をクリックします。
- サポートされているアプリで有効なアクセスレベル ポリシーが満たされていない場合に実行するアクションを指定するには、[警告] または [ブロック] を選択します。サポートされているアプリについて詳しくは、このページのコンテキストアウェア アクセスに対応しているアプリをご覧ください。
- [保存] をクリックします。
- (省略可)アクセスレベルに選択したスコープを更新するには、次の手順を実施します。
- [**スコープ**] で [**編集**] をクリックします。
- 変更を加えて [保存] をクリックします。
- (省略可)アクセスレベルに選択したアプリを更新するには、次の手順を実施します。
- [アプリ] で [編集] をクリックします。
- 変更を加えて [保存] をクリックします。
- [**ポリシー設定**] で [**編集**] をクリックします。
- (推奨)[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリと モバイルアプリへのアクセスをブロックする] チェックボックスをオンにして、ネイティブのパソコン、Android アプリ、iOS アプリ、ウェブアプリの ユーザーにアクセスレベルを適用します。選択したアクセスレベルの設定後に想定される動作について詳しくは、このページのアクセスレベルの設定に基づくアプリの動作をご覧ください。
(省略可) 公開 API を経由して Workspace データにアクセスしようとする他のアプリをブロックするには、[ アクセスレベルの要件を満たしていない場合、選択したアプリに他のアプリが API を経由でアクセスできないようブロックする] チェックボックスをオンにします。
(省略可)信頼できるアプリを、公開 API によってブロックされないように除外するには、[許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする] チェックボックスをオンにします。
このオプションは、管理コンソールでグループを選択できる場合でも、 設定グループではなく組織部門ごとに設定できます。 詳しくは、ユースケース: 信頼できるサードパーティ製アプリ をブロック対象から除外するをご覧ください。
- アプリのリストまたは除外するアプリが表示されない場合は、[アプリのアクセス制御に移動] をクリックして、アプリを信頼する手順を完了します。アプリのアクセス制御ページで [信頼できる] とマークしているアプリは、信頼できるアプリの表に表示されます。アプリが信頼できるものとしてマークされ、API 制限の適用対象外とされている場合は、あらかじめ選択されています。
- 必要に応じて、API の適用から除外するアプリを選択し、[続行] をクリックします。
[保存] をクリックします。
[**このポリシーの内容**] で、新しいアクセス レベルが組織とそのアプリに与える影響を確認します。選択内容を更新するには、 [アクセスレベル]、[アクション]、[スコープ]、[アプリ]、または[ポリシー 設定]の横にある [編集]をクリックします。
[割り当て] をクリックします。
アプリリストのページに戻ります。[アクセスレベル] 列には、モニターモードとアクティブ モードの両方で各アプリに適用されたアクセスレベルの数が表示されます。
コンテキストアウェア アクセスに対応しているアプリ
| Google アプリ | ブロックモードに対応 | 警告モードに対応 |
|---|---|---|
| Gmail | ✔ | ✔ |
| ドライブ | ✔ | ✔ |
| Google ドキュメント(Google スプレッドシートと Google スライドを含む) | ✔ | ✔ |
| カレンダー | ✔ | ✔ |
| Meet | ✔ | ウェブと Android のみ |
| Chat | ✔ | ✔ |
| Google Keep | ✔ | ✔ |
| Google ToDo リスト | ✔ | ✔ |
| Gemini | ✔ | ウェブのみ |
| 管理コンソール | ✔ | ウェブのみ |
| Google Vault | ✔ | |
| Google サイト | ✔ | ウェブのみ |
| Google Cloud Search | ✔ | |
| Google for Business | ✔ | |
| Google Cloud | ✔ | |
| Google Looker Studio | ✔ | |
| Google Play Console | ✔ | |
| NotebookLM | ✔ | ウェブのみ |
アクセスレベルの設定に基づくアプリの動作
次の表は、[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスのオンまたはオフと、エンドポイントの確認のデプロイの有無に基づく動作をまとめたものです。
表内の用語:
- [アクセスレベルを適用] : - [コンテキストアウェア アクセス] で設定したアクセスレベルに基づいてアクセス権が付与されます。
- アクセスを許可 - コンテキストアウェア アクセスが適用されておらず、すべてのアクセスが許可されます。
- アクセスをブロック中 - コンテキストアウェア アクセスが設定されていないか、エンドポイントの確認が有効になっていないため、アクセスがブロックされます。
|
アクセスレベル |
コンテキストアウェア アクセスが有効 |
許可/ブロック(ネイティブとウェブ) |
||||
|
モバイル |
パソコン |
|||||
|
モバイル(ネイティブ) |
モバイル ウェブ |
PC ウェブ |
デスクトップ(ネイティブ) |
エンドポイントの確認のデプロイ |
||
|
IP/地域属性のみを指定したアクセスレベル |
[**アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする**] チェックボックスはオン* |
アクセスレベルを適用 |
アクセスレベルを適用 |
不要 |
||
|
[アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ |
アクセスを許可 |
アクセスレベルを適用 |
アクセスレベルを適用 |
アクセスを許可 |
不要 |
|
|
デバイス属性を指定したアクセスレベル |
[**アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする**] チェックボックスはオン* |
アクセスレベルを適用 |
アクセスレベルを適用 |
はい |
||
|
[**アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする**] チェックボックスはオン |
アクセスレベルを適用 |
アクセスをブロック |
いいえ |
|||
| [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ |
アクセスを許可 |
アクセスレベルを適用 |
アクセスレベルを適用 |
アクセスを許可 |
はい |
|
| [アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする] チェックボックスはオフ | アクセスを許可 | アクセスレベルを適用 | アクセスをブロック | アクセスを許可 | × | |
* 推奨される設定
注:
- Gemini モバイルアプリでは、ブロックされたコンテンツの処理方法が異なります。クエリがアクセスレベルに違反した場合、アプリには標準のポップアップ ウィンドウではなく、アクセスが拒否されたことを示す返信メッセージが表示されます。挨拶などの単純なクエリでは、この挙動は発生しません。
- Google カレンダーまたはドライブで [他のアプリが API 経由でアクセスを試みた場合に適用する] が有効になっている場合、Gemini アプリもブロックされます。これは、Gemini アプリがデータではなく Google カレンダーとドライブのスコープへのアクセスを必要とするためです。この設定を有効にするには、[ポリシー設定] セクションで [アクセスレベルの要件を満たしていない場合、選択したアプリに他のアプリが API を経由でアクセスできないようブロックする] チェックボックスをオンにします。
割り当てられたアクセスレベルを確認または変更する
この設定はローカルで変更を適用する場合に使用します。継承した割り当ては表示されません。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アクセスとデータ管理**]
[**コンテキストアウェア アクセス**] に移動します。データ セキュリティのアクセスレベルとルールの管理権限、Admin API グループとユーザーの読み取り権限が必要です。
- [**アクセスレベルの割り当て**] で、[**アプリにアクセスレベルを割り当てる**] をクリックします。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。
グループの設定は組織部門の設定をオーバーライドします。詳細
- オプションを選択します。
- アプリにカーソルを合わせ、[操作] [割り当て] をクリックします。
- 複数のアプリの横にあるチェックボックスをオンにして、アプリリストの上にある [割り当て] をクリックします。
- アプリにカーソルを合わせ、[操作]
- [**アクセスレベル**] で [**編集**] をクリックします。
- [**アクセスレベル**] で、各アクセスレベルのオプションを選択します。
- 実際にアクセスをブロックせずにアクセスレベルの選択がユーザーに与える影響をテストするには、[モニタリング] チェックボックスをオンにします。
- アクセスレベルの適用を開始するには、[アクティブ] チェックボックスをオンにします。
- [保存] をクリックします。
- [アクション] で [編集] をクリックします。
- 選択したアクセスレベルを確認し、アクセスレベルの条件が満たされていない場合に目的のアクションがトリガーされるように設定されているかどうかを確認します。
- ブロック - アプリへのアクセスをブロックします。
- 警告 - アプリへのアクセスを許可し、ユーザーがアプリを使用しているときにアプリ内で警告通知を送信します。ユーザーがアプリを積極的に使用し続けると、48 時間ごとに新しい通知が届きます。同じアクセスレベルで保護されているアプリが複数ある場合、ユーザーに通知が届きすぎないように、最初のアクセス試行でのみ通知がトリガーされます。
- [保存] をクリックします。
- (省略可)アクセスレベルに選択したスコープを確認または更新するには、次の手順を実施します。
- [**スコープ**] で [**編集**] をクリックします。
- 変更を加えて [保存] をクリックします。
- (省略可)アクセスレベルに選択したアプリを確認または更新するには、次の手順を実施します。
- [アプリ] で [編集] をクリックします。
- 変更を加えて [保存] をクリックします。
- [**ポリシー設定**] で [**編集**] をクリックします。
- 選択したポリシーが、正しいアプリをブロックするように設定されているかどうかを確認します。このポリシーでは、選択したアプリのパソコン版とモバイル版へのアクセスをブロックしたり、他のアプリが API を使用して選択したアプリにアクセスすることをブロックしたり、許可リストに登録済みのアプリを除外したりできます。
- [保存] をクリックします。
- [**このポリシーの内容**] で、新しい コンテキストアウェア アクセスレベルが組織とそのアプリに与える影響を確認します。選択内容を更新するには、[アクセスレベル]、[アクション]、[スコープ]、[アプリ]、または [ポリシー設定]の横にある [編集]をクリックします。
- [割り当て] をクリックします。
アクセスレベルのログに記録されたイベントを表示する
[レポートを表示] オプションを使用して、割り当てられたアクセスレベルが正しく機能しているかどうかをトラッキングして、アプリへのユーザー アクセスを管理します。モニタリング モードまたはアクティブ モードに設定されたアクセスレベルでイベントが生成され、コンテキストアウェア アクセスのログに記録されます。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アクセスとデータ管理**]
[**コンテキストアウェア アクセス**] に移動します。データ セキュリティのアクセスレベルとルールの管理権限、Admin API グループとユーザーの読み取り権限が必要です。
- [**アクセスレベルの割り当て**] で、[**アプリにアクセスレベルを割り当てる**] をクリックします。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。
グループの設定は組織部門の設定をオーバーライドします。詳細
- アプリにカーソルを合わせ、[操作] [レポートを表示] をクリックします。
- サイドバーでセキュリティ調査ツールへのリンクをクリックすると、選択したアプリのコンテキストアウェア アクセスのログイベントの検索が自動的に実行されます。
検索結果には次の情報が含まれます。
- [アクセス拒否(モニターモード)] イベントには、このアクセスレベルを適用した場合にブロックされるであろうユーザーが表示されます。
- [アクター] 列には、ブロック中のユーザーが表示されます。
- 適用されている、条件を満たしている(アクセス条件が満たされている)、条件を満たしていない(アクセス条件が満たされていない)アクセスレベルがそれぞれ表示されます。
詳しくは、コンテキストアウェア アクセスのログ イベントをご覧ください。