アプリにアクセスレベルを割り当てる場合、通常はアプリ内のすべてのものに対するアクセス権を付与するか、何も付与しないかのいずれかになります。ただし、アプリ内の特定の操作には、他の操作よりも注意が必要な場合があります。Google ドライブでは、ドキュメントのダウンロードは単に閲覧するよりも注意が必要なことがあります。
管理者は、コンテキストアウェア アクセスの条件とデータ損失防止(DLP)ルールを組み合わせることで、特定の操作のセキュリティを強化できます。たとえば、個人用デバイスまたは Bring Your Own Device(BYOD)デバイス上のドライブにファイルをダウンロードすることを制限できます。ユーザーとデバイスに基づいて、組織のデータへのアクセス方法を制御できます。
例: 個人用デバイスでドライブ ファイルのダウンロードをブロックする
-
管理者アカウント で Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アクセスとデータ管理**]
[**コンテキストアウェア アクセス**] に移動します。データ セキュリティのアクセスレベルとルールの管理権限、Admin API グループとユーザーの読み取り権限が必要です。
- [アクセスレベルを作成] をクリックします。必要に応じて、先に [アクセスレベル] をクリックします
- 新しいアクセスレベルの名前(「BYOD デバイス」など)と説明を入力します。
- [**コンテキストの条件**] で、[**条件を追加**] をクリックします。
- [**1 つ以上の属性と一致しない(OR)**] を選択します。
- [属性を選択] で [デバイス] を選択します。
- [条件を選択] で、[会社所有] を選択します。
- [作成] をクリックします。これで、このアクセスレベルを使用して DLP ルールを作成できるようになりました。
- [ルールを作成] をクリックします。
- [名前] をクリックして、ルールの名前を入力します。必要に応じて、説明を入力します。
- [**範囲**] で、次のいずれかを選択します。
- 組織内のすべてのユーザーに適用するには、[組織] [内] [のすべて] を選択します。
- 特定の組織部門またはグループに適用するには、[組織部門またはグループ] を選択し、必要に応じて追加または除外します。
- [続行] をクリックします。
- [アプリ] の [Google ドライブ] で、[ドライブ ファイル] チェックボックスをオンにして、 [続行] をクリックします。
- [**スキャンするコンテンツの種類**] で [**すべてのコンテンツ**] を選択します。
- [**スキャン対象**] で、DLP スキャンのタイプを選択し、属性を選択します。使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
- [コンテキストの条件] セクションで、[アクセスレベルを選択する]
先ほど作成したアクセスレベル(BYOD デバイスなど)を選択します。アクセスレベルの条件が満たされると、ルールが適用されます。この例では、BYOD デバイスのアクセスレベルは True にする必要があります。
- [続行] をクリックします。
- [Google ドライブ] の場合は、[操作] をクリックし、[ダウンロード、
印刷、コピーを無効にする] [コメント投稿者と閲覧者のみ] を選択します。
- (省略可)アラートの重要度を設定してアラート通知を送信するには、オプションを選択します。
- [続行] をクリックします。
- ルールの詳細を確認し、[ルールのステータス] で、ルールを すぐに実行する場合は [有効] を選択し、後で有効にする場合は [無効] を選択します。
- [作成] をクリックします。