管理コンソールにコンテキストアウェア アクセスレベルを割り当てる

特権管理者または販売パートナーは、Google 管理コンソールにコンテキストアウェア アクセスレベルを割り当てることで、他の管理者が管理コンソールにアクセスできるコンテキスト(環境や状況)を定義できます。

注: 他の管理者による管理コンソールへのアクセスを制限する必要がある場合を除き、管理コンソールにはアクセスレベルを割り当てないでください。アプリにアクセスレベルを割り当てる方法について詳しくは、アプリにコンテキストアウェア アクセスレベルを割り当てるをご覧ください。

この記事では、次の方法について説明します。

  • これらのアクセスレベルを割り当てて更新する。
  • 自分自身または他の管理者が誤って管理コンソールからロックアウトされるのを防ぐ。
  • ロックアウトが発生した場合に対応する。

始める前に

ロックアウトが発生する可能性があるシナリオを把握します。

  • 管理者が他のユーザーの IP サブネットへのアクセスレベルを誤って設定し、次にそのアクセスレベルを管理コンソールに適用した場合。
  • 管理コンソールに古いアクセスレベルを適用した場合。こうした状況は、アクセスレベルで会社所有デバイスが必要とされるときに、管理者がいずれかの会社所有デバイスの使用を個人用デバイスに切り替えた場合に発生する可能性があります。

ロックアウトを回避する

  • 管理コンソールに適用するアクセスレベルを確認します。少なくとも 1 人の管理者がアクセス条件を満たしていることを確認してください。
  • 必要に応じて、新しいアクセスレベルを作成します。条件を満たしていることがわかっているアクセスレベルを管理することで、アクセス条件が満たされるようにすることができます。
  • 管理コンソールでアクセスレベルを追加または編集するときに表示されるメッセージを確認します。これらのメッセージは、ロックアウトを回避するための次のステップを判断するのに役立ちます。

  • アクセスレベルのコンテナとして機能する設定グループにポリシーを適用します。

    • 設定グループを作成し、アプリのアクセスレベルを割り当てます。
    • 次に、ロックアウトの原因となっているポリシーが適用されていない設定グループのメンバーとしてユーザー グループを追加します。

    詳しくは、グループを使用してコンテキストアウェア アクセスをカスタマイズするをご覧ください。

ロックアウトが発生した場合にサポートにアクセスできるようにする

最初に、指定された特権管理者またはサポートの連絡先となっている管理者が Google カスタマーケア ポータル にアクセスできることを確認します。

必要に応じて、ユーザーにカスタマーケア ポータルへのアクセス権を付与するの手順に沿って操作します。

セキュリティを強化するため、カスタマーケア ポータルにアクセスできる管理者には 2 段階認証プロセスを使用します。詳しくは、2 段階認証プロセスでビジネスを保護するをご確認ください。

管理コンソールのアクセスレベルを操作する

次のタスクを実行または試行すると、管理者がロックアウトされないようにシステムが動作します。

アクセスレベルを割り当てる

  1. 管理コンソールのホームページから、[セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェア アクセス] にアクセスします。
  2. アプリのリストの上部にある [**管理コンソール**] を探し、[**割り当て**] をクリックします。
  3. 管理コンソールについて 1 つ以上のアクセスレベルを選択します。
    次で指定した条件が満たされると、管理コンソールにアクセス権が付与されます。
    • 選択したアクセスレベルのいずれか 1 つ - リスト内のアクセスレベルの論理 OR です。
    • 複数のアクセスレベル - 論理 AND を使用して、複数のアクセスレベルを含むアクセスレベルを作成します。
  4. [**保存**] をクリックします。
    アクセスレベルの条件によって管理者がロックアウトされないことが確認されると、進行状況バーが表示されます。次の場合:
    • 選択したアクセスレベルの少なくとも 1 つの条件を満たしている 場合 - アクセス権が正常に適用されました。[アクセスレベルを割り当てる] ページに、アクセスレベルが適用されていることが表示されます。
    • 選択したアクセスレベルの少なくとも 1 つの条件を満たしていない 場合 - アクセスレベルは適用されません。[保存] をクリックした後、システムで検証が行われると、[現在、これらのいずれの条件も満たしていないため、これらのアクセスレベルを割り当てることができず、管理コンソールにアクセスできなくなります] というメッセージが表示されます。

アクセスレベルを編集する

管理コンソールに割り当てられたアクセスレベルを編集するときには、以下のような制限があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**アクセスとデータ管理**]次に[**コンテキストアウェア アクセス**] にアクセスします。

    データ セキュリティのアクセスレベルの管理権限とルールの管理権限管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

  2. [**アクセスレベル**] をクリックします。
  3. 既存のアクセスレベルをクリックします。
    管理コンソールに割り当てられたアクセスレベルを編集する場合、その名前と説明は編集できますが、条件は編集できません。条件を編集しようとすると、次のエラー メッセージが表示されます: このアクセスレベルの条件は編集できません。このアクセスレベルは現在管理コンソールに割り当てられており、変更すると別の管理者によるアクセスに影響する可能性があるためです。条件を編集するには、まず管理コンソールで割り当てを解除してください

アクセスレベルを削除する

アクセスレベルを削除できるのは、削除してもアクセスがブロックされない場合に限ります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**アクセスとデータ管理**]次に[**コンテキストアウェア アクセス**] にアクセスします。

    データ セキュリティのアクセスレベルの管理権限とルールの管理権限管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

  2. [**アクセスレベル**] をクリックします。
  3. 既存のアクセスレベルをクリックします。
  4. [**アクセスレベルを削除**] をクリックします。
    検証中に次のメッセージが表示されます。アクセスレベルを削除しますか?管理コンソール(および該当する場合は Google Cloud と Cloud SDK)で利用できなくなります。現在割り当てられているすべてのアプリからも削除されます。このアクセスレベルを削除すると、別の管理者による管理コンソールへのアクセスに影響する場合があります
    • アクセスレベルを削除できる場合 __- 削除するには、[確認] をクリックします。
    • アクセスレベルを削除できない場合 - 削除すると、管理コンソールにアクセスできなくなります。検証後に次のメッセージが表示されます。アクセスレベルを削除できません。

特権管理者ではない管理者がアクセスレベルを削除しようとすると、[管理コンソールに割り当てられているアクセスレベルを削除できるのは特権管理者のみです] というメッセージが表示されます。その場合は、アクセスレベルの削除について特権管理者または販売パートナーにお問い合わせください。

グループの優先順位を変更する

システムの設計上、グループの優先順位の変更は防止されるようになっており、変更処理によって管理コンソールへのアクセスに影響が生じることがないように配慮されています。グループを並べ替えようとするとき、その操作によって管理コンソールへのアクセスに影響が生じる場合は、[グループの並び順を変更すると管理コンソールにアクセスする権限が取り消されるため、変更できません] というメッセージが表示されます。

特権管理者以外の管理者がグループを並べ替えようとすると、[グループの順序を変更するには、追加の管理者権限が必要です] というメッセージが表示されます。その場合は、グループの並べ替えについて特権管理者または販売パートナーにお問い合わせください。

ロックアウトされた場合はサポートにお問い合わせください

完全にロックアウトされた場合は、カスタマーケア ポータルから Google サポートにお問い合わせください。

アクセスを復元するため、管理コンソールに適用されているコンテキストアウェア アクセス ポリシーが Google サポートによって削除されます。この操作は、他のアプリケーション(Gmail や Google カレンダーなど)のコンテキストアウェア アクセス ポリシーには影響しません。

重要: サポートによってポリシーが削除されたら、すぐにポリシーを再適用してください。