アプリにアクセスレベルを割り当てる場合、通常はアプリ内のすべてのものに対するアクセス権を付与するか、何も付与しないかのいずれかになります。ただし、アプリ内の特定の操作には、他の操作よりも注意が必要な場合があります。Google ドライブでは、ドキュメントのダウンロードは単に閲覧するよりも注意が必要なことがあります。
管理者は、コンテキストアウェア アクセスの条件とデータ損失防止(DLP)ルールを組み合わせることで、特定の操作のセキュリティを強化できます。たとえば、個人用デバイスまたは Bring Your Own Device(BYOD)デバイス上のドライブにファイルをダウンロードすることを制限できます。ユーザーとデバイスに基づいて、組織のデータへのアクセス方法を制御できます。
例: 個人用デバイスでドライブ ファイルのダウンロードをブロックする
-
管理者アカウントで Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [アクセスとデータ管理] [コンテキストアウェア アクセス] に移動します。データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [アクセスレベルを作成] をクリックします。必要に応じて、先に [アクセスレベル] をクリックします。
- 新しいアクセスレベルの名前(「BYOD デバイス」など)と説明を入力します。
- [コンテキストの条件] で、[条件を追加] をクリックします。
- [1 つ以上の属性と一致しない(OR)] を選択します。
- [属性を選択] で [デバイス] を選択します。
- [条件を選択] で、[会社所有] を選択します。
- [作成] をクリックします。これで、このアクセスレベルを使用して DLP ルールを作成できるようになりました。
- [ルールを作成] をクリックします。
- [名前] をクリックし、ルールの名前を入力します。必要に応じて説明を入力します。
- [範囲] で、次のいずれかを選択します。
- 組織内のすべてのユーザーに適用するには、[<組織名>内のすべてのユーザー] を選択します。
- 特定の組織部門またはグループに適用するには、[組織部門またはグループ] を選択し、必要に応じて追加または除外します。
- [続行] をクリックします。
- [アプリ] の [Google ドライブ] で、[ドライブ ファイル] チェックボックスをオンにして、[続行] をクリックします。
- [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
- [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
- [コンテキストの条件] セクションで、[アクセスレベルを選択する] 先ほど作成したアクセスレベル(BYOD デバイスなど)を選択します。アクセスレベルの条件が満たされると、ルールが適用されます。この例では、BYOD デバイスのアクセスレベルは True にする必要があります。
- [続行] をクリックします。
- Google ドライブの場合は、[操作] をクリックし、[ダウンロード、印刷、コピーを無効にする] [コメント投稿者と閲覧者のみ] を選択します。
- (省略可)アラートの重要度を設定してアラート通知を送信するには、オプションを選択します。
- [続行] をクリックします。
- ルールの詳細を確認し、[ルールのステータス] で、ルールをすぐに実行する場合は [有効] を選択し、後で有効にする場合は [無効] を選択します。
- [作成] をクリックします。