管理コンソールにコンテキストアウェア アクセスレベルを割り当てる

特権管理者または販売パートナーは、Google 管理コンソールにコンテキストアウェア アクセスレベルを割り当てることで、他の管理者が管理コンソールにアクセスできるコンテキスト(環境や状況)を定義できます。

注: 他の管理者による管理コンソールへのアクセスを制限する必要がある場合を除き、管理コンソールにはアクセスレベルを割り当てないでください。アプリにアクセスレベルを割り当てる方法について 詳しくは、アプリにコンテキストアウェア アクセスレベルを割り当てる をご覧ください

この記事では、以下の方法の概要を示します。

  • アクセスレベルの割り当てと更新を行う。
  • 自分自身または他の管理者が誤って管理コンソールからロックアウトされるのを防ぐ。
  • ロックアウトが発生した場合に対応する。

始める前に

次のような状況でロックアウトが発生する可能性があります。

  • 管理者が他のユーザーの IP サブネットへのアクセスレベルを誤って設定し、次にそのアクセスレベルを管理コンソールに適用した場合。
  • 管理コンソールに古いアクセスレベルを適用した場合。こうした状況は、アクセスレベルで会社所有デバイスが必要とされるときに、管理者がいずれかの会社所有デバイスの使用を個人用デバイスに切り替えた場合に発生する可能性があります。

ロックアウトを回避する

  • 管理コンソールに適用するアクセスレベルを確認します。少なくとも 1 人の管理者がアクセス条件を満たしていることを確認してください。
  • 必要な場合は新しいアクセスレベルを作成します。条件を満たしていることがわかっているアクセスレベルをキュレートすることで、アクセス条件が満たされるようにすることができます。
  • 管理コンソールでアクセスレベルを追加または編集するときに表示されるメッセージを確認します。これらのメッセージは、鍵開けを回避するための次のステップを判断するのに役立ちます。

  • アクセスレベルのコンテナとして機能する設定グループにポリシーを適用します。

ロックアウトが発生した場合にサポートにアクセスできるようにする

最初に、指定された特権管理者またはサポートの連絡先となっている管理者が サポートの連絡先となっている管理者が Google カスタマーケア ポータルにアクセスできることを確認します。

必要に応じて、ユーザーにカスタマーケア ポータルへのアクセス権を付与するの手順に沿って操作します。

セキュリティを強化するため、カスタマーケア ポータルにアクセスできる管理者には 2 段階認証プロセスを使用します。詳しくは、2 段階認証プロセスでビジネスを保護する をご確認ください。

管理コンソールのアクセスレベルを操作する

次のタスクを実行または試行すると、管理者がロックアウトされないようにシステムが動作します。

アクセスレベルを割り当てる

  1. 管理コンソールのホームページから、[セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェア アクセス] にアクセスします。
  2. アプリのリストの上部にある [管理コンソール] を探し、[割り当て] をクリックします。
  3. 管理コンソールについて 1 つ以上のアクセスレベルを選択します。
    次で指定した条件が満たされると、管理コンソールにアクセス権が付与されます。
    • 選択したアクセスレベルのいずれか 1 つ—リスト内のアクセスレベルの論理 OR です。
    • 複数のアクセスレベル—論理 AND を使用して、複数のアクセスレベルを含むアクセスレベルを作成します。
  4. [保存] をクリックします。
    アクセスレベルの条件によって管理者がロックアウトされないことが確認されると、進行状況バーが表示されます。次のような場合:
    • 選択したアクセスレベルの少なくとも 1 つの条件を満たしている \- アクセスレベルが正しく適用されました。[アクセスレベルの割り当て] ページに、そのアクセスレベルが適用されていることが示されます。
    • 選択したアクセスレベルの少なくとも 1 つの条件を満たしていない \- アクセスレベルは適用されません。[保存] をクリックした後、システムで検証が行われると、[現在、これらのいずれの条件も満たしていないため、これらのアクセスレベルを割り当てることができず、管理コンソールにアクセスできなくなります] というメッセージが表示されます。

アクセスレベルを編集する

管理コンソールに割り当てられたアクセスレベルを編集するときには、以下のような制限があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**アクセスとデータ管理**] 次に [**コンテキストアウェア アクセス**] に移動します。

    データ セキュリティのアクセスレベルとルールの管理権限Admin API グループとユーザーの読み取り権限が必要です。

  2. [アクセスレベル] をクリックします。
  3. 既存のアクセスレベルをクリックします。
    管理コンソールに割り当てられたアクセスレベルを編集する場合、その名前と説明は編集できますが、条件は編集できません。条件を編集しようとすると、次のエラー メッセージが表示されます: このアクセスレベルの条件は編集できません。このアクセスレベルは現在管理コンソールに割り当てられており、変更すると別の管理者によるアクセスに影響する可能性があるためです。条件を編集するには、まず管理コンソールで割り当てを解除してください] というエラー メッセージが表示されます。

アクセスレベルを削除する

アクセスレベルを削除できるのは、そうすることでアクセスがブロックされない場合に限られます。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**アクセスとデータ管理**] 次に [**コンテキストアウェア アクセス**] に移動します。

    データ セキュリティのアクセスレベルとルールの管理権限Admin API グループとユーザーの読み取り権限が必要です。

  2. [アクセスレベル] をクリックします。
  3. 既存のアクセスレベルをクリックします。
  4. [アクセスレベルの削除] をクリックします。
    検証中に次のメッセージが表示されます。アクセスレベルを削除しますか?管理コンソール(および該当する場合は Google Cloud と Cloud SDK)で利用できなくなります。現在割り当てられているすべてのアプリからも削除されます。このアクセスレベルを削除すると、別の管理者による管理コンソールへのアクセスに影響する場合があります というメッセージが表示されます。
    • アクセスレベルを削除できる場合 - 削除するには、[確認] をクリックします。
    • アクセスレベルを削除できない場合 - 削除すると、管理コンソールにアクセスできなくなります。検証後に次のメッセージが表示されます。アクセスレベルを削除できません。

特権管理者ではない管理者がアクセスレベルを削除しようとすると、[管理コンソールに割り当てられているアクセスレベルを削除できるのは特権管理者のみです] というメッセージが表示されます。その場合は、アクセスレベルの削除について特権管理者または販売パートナーにお問い合わせください。

グループの優先順位を変更する

システムの設計上、グループの優先順位の変更は防止されるようになっており、変更処理によって管理コンソールへのアクセスに影響が生じることがないように配慮されています。グループを並べ替えようとするとき、その操作によって管理コンソールへのアクセスに影響が生じる場合は、[グループの並び順を変更すると管理コンソールにアクセスする権限が取り消されるため、変更できません] というメッセージが表示されます。

特権管理者以外の管理者がグループを並べ替えようとすると、[グループの順序を変更するには、追加の管理者権限が必要です] というメッセージが表示されます。その場合は、グループの並べ替えについて特権管理者または販売パートナーにお問い合わせください。

ロックアウトされた場合はサポートにお問い合わせください

完全にロックアウトされた場合は、カスタマー ケア ポータルから Google サポートにお問い合わせください。

アクセスを復元するため、管理コンソールに適用されているコンテキストアウェア アクセス ポリシーが Google サポートによって削除されます。この操作は、他のアプリケーション(Gmail や Google カレンダーなど)のコンテキストアウェア アクセス ポリシーには影響しません。

重要: サポートによってポリシーが削除された後は、すぐにポリシーを再適用してください。