コンテキストアウェア アクセスをデプロイする

コンテキストアウェア アクセスのスムーズなロールアウトのために準備を行う

コンテキストアウェア アクセスを適切に導入することで、正当なユーザーがブロックされないようにしながら、Workspace データをリスクのあるユーザーから保護できます。多数のユーザーがブロックされるリスクを軽減するために、ロールアウトに関する次の推奨事項をご検討ください。

モニターモードを使用してアクセスレベルをテストする

アクセスレベルは、最初はアクティブ モードではなく、モニターモードで割り当てることができます。モニターモードでは、ユーザーのアクセスを実際にブロックすることなく、アクセスレベルを適用した場合の効果をシミュレートできます。

新しいアクセスレベルを適用するときは、少なくとも 1 週間はモニターモードのままにしておくことをおすすめします。その期間中、コンテキストアウェア アクセスのログに記録されたイベントには、アクセスレベルがアクティブ モードであった場合にブロックされるユーザーが示されます。アクセスレベルが意図したとおりに機能していることを確認したら、アクセスレベルをアクティブ モードに切り替えて実際の適用を有効にできます。

モニターモードの使用方法について詳しくは、アプリにコンテキストアウェア アクセスレベルを割り当てるをご覧ください。

ロールアウトに関するその他の推奨事項

  • 段階的にロールアウトを実施します。まず試験運用グループとして 1 つの組織部門またはグループから開始して、ポリシーの挙動を確認します。これらのユーザーがアプリに正常にアクセスできた場合は、次のユーザー グループに導入します。問題がなければ、すべてのユーザーにアクセス ポリシーを実装します。
  • 一部のアプリにアクセス ポリシーを割り当てます。お使いの環境であまり使用されないアプリにポリシーをデプロイします。その挙動を確認してから、より使用頻度の高いアプリにポリシーを適用していきます。
  • ユーザーまたはパートナーがアクセスできなくなることを回避します。ユーザーとのコミュニケーションに使用している Gmail などの Google Workspace サービス(および管理者とのコミュニケーションに必要なサービス)へのアクセスはブロックしないでください。ユーザーとパートナーが必要とする IP の範囲を特定します。
  • Workspace のみを使用しているお客様は、Google Cloud Platform(GCP)を使用してアクセスレベルを追加または変更しないでください。コンテキストアウェア アクセスのインターフェース以外の方法でアクセスレベルを追加または変更すると、「Google Workspace でサポートされていない属性が使用されているため、ユーザーがブロックされる可能性があります」というエラー メッセージが表示されることがあります。
  • ロールアウト中に支援が必要と思われるユーザー向けのヘルプデスクのサポートを計画します。

ロールアウトをモニタリングする

どの実装方法を使用する場合でも、ユーザーからのフィードバックを確認し、コンテキストアウェア アクセスのログイベントを調べて拒否されたユーザーの記録がないか調べて、実装の結果をモニタリングします。

デプロイの準備

円滑にデプロイするには、新しいアクセス ポリシーを作成または実装する前に、次の手順を行います。

1. ユーザーに知らせる

ユーザーが業務環境でどのような保護を必要としているかを聞き取り調査します。コンテキストアウェア アクセスの実装は組織部門またはグループ単位で行うため、組織のユーザーごとにニーズが異なる場合があります。ポリシーを作成して割り当てることでどのような問題が発生するか(さまざまな理由により、異なるタイミングでブロックされる可能性があることなど)をユーザーに知らせてください。事前にコミュニケーションをとることで、ユーザーに受け入れてもらいやすくなります。

2. ユーザーを適切な組織部門やグループに整理する

アクセスレベルは組織部門ごとに割り当てることができます。あるいは、他の目的の組織部門がすでにある場合は、設定グループを作成して、その設定グループにアクセスレベルを割り当てることができます。いずれの場合も、アクセス権を付与する対象ユーザーが適切な組織部門またはグループに所属していることを確認します。

3. 企業向けデバイスに関するアンケート

デバイスベースのポリシーを実装する前に、社内のデバイスに適切な IT 管理が適用され、会社の基準を遵守していることを確認してください。デバイスが暗号化されているか、最新のオペレーティング システムで動作しているか、会社所有のデバイスか、個人用のデバイスかを確認します。

4. エンドポイント管理を使用してモバイル デバイスを登録する

モバイル デバイスは Google エンドポイント管理(基本管理または詳細管理)を使用して管理する必要があります。

基本管理では、デバイスの OS バージョンと暗号化ステータスの同期に数日かかることがあります。この間にコンテキストアウェア アクセスを使用した場合、対象のデバイスから Google Workspace サービスへのアクセスが影響を受ける可能性があります。

5. ポリシーを作成する前に Endpoint Verification を適用する

Google Workspace のデータにアクセスしている(または今後アクセスする)デバイスを把握するために、エンドポイントの確認の使用を必須にします。Chrome 拡張機能で Endpoint Verification の自動インストールを指定し、アクセスキーを要求する必要があります。詳しくは、Endpoint Verification を設定するをご覧ください。

エンドポイントの確認を設定し、コンテキストアウェア アクセスを有効にする

パソコンまたはモバイル デバイス用にソフトウェアを設定します。

Endpoint Verification を設定する

アクセスレベルでデバイス ポリシーを適用する場合、管理者とユーザーはエンドポイントの確認を設定する必要があります。エンドポイントの確認は管理コンソールで有効にすることができます。詳しくは、エンドポイントの確認を有効または無効にするをご覧ください。

注: ユーザーがエンドポイントの確認にログインする前にコンテキストアウェア デバイス ポリシーを適用すると、デバイスが適用されたコンテキストアウェア ポリシーの条件を満たしていても、ユーザーはアクセスを拒否されることがあります。これは、エンドポイントの確認でデバイスの属性を同期するのに数秒かかる場合があるからです。これを回避するには、コンテキストアウェア デバイス ポリシーを適用する前に、ユーザーにエンドポイントの確認にログインしてブラウザページを更新するよう伝えてください。

エンドポイントの確認が設定されているデバイスを確認する

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [概要] に移動します。

    共有デバイス設定の管理者権限が必要です。

  2. [エンドポイント] をクリックします。
  3. [フィルタを追加] をクリックします。
  4. [管理の種類] 次に [エンドポイントの確認] を選択します。
  5. [適用] をクリックします。

モバイル デバイスを設定する(Google エンドポイント管理)

モバイル デバイスにアクセスレベルを適用するには、デバイスのユーザーがモバイルの基本管理またはモバイルの詳細管理で管理されている必要があります。

その他の手順

会社所有デバイスのインベントリをアップロードする

会社所有デバイスであることを条件とするデバイス ポリシーを適用するには、会社所有デバイスのシリアル番号のリストが必要になります。

手順については、会社で所有しているデバイスをインベントリに追加するの「インベントリにデバイスを追加する」をご覧ください。

: Android 12 以降を搭載したデバイスで仕事用プロファイルを設定している場合は、会社所有のインベントリに追加していても、常にユーザー所有として報告されます。こうしたデバイスでは、会社所有であることを条件とするアクセスレベルの場合はアクションが実行されず、ユーザー所有であることを条件とするアクセスレベルの場合はアクションが実行されます。詳しくは、モバイル デバイスの詳細情報を確認するの「デバイスの詳細について」で、「デバイス情報」の表を下にスクロールして「所有権」の行をご覧ください。

デバイスを承認またはブロックする

承認済みのデバイスであることを条件とするデバイス ポリシーを適用するには、まずデバイスを承認またはブロックする必要があります。

コンテキストアウェア アクセスの有効と無効を切り替える

コンテキストアウェア アクセスは、ロールアウト プロセス中のさまざまなタイミングで有効にすることができます。アクセスレベルを作成してアプリに割り当てる前に有効にしておくと、アプリに割り当てたアクセスレベルは直ちに適用されます。

また、コンテキストアウェア アクセスを有効にしなくても、初期設定や確認(アクセスレベルの作成、アクセスレベルの割り当て、エンドポイントの確認)を行うことができます。その間は、アクセスレベルの割り当ては適用されません。設定が完了したら、コンテキストアウェア アクセスを有効にできます。

ユーザー側に問題があり、アプリを一時停止して、その間に問題の原因となっているポリシーを特定したい場合は、コンテキストアウェア アクセスを無効にします。問題の原因となっているアクセスレベルを特定したら、特定の組織部門またはグループで、必要に応じてポリシーを変更または削除します。

重要: コンテキストアウェア アクセスをオフにしてから完全に無効になるまで、最長で 24 時間かかることがあります。この間、ユーザーには引き続き以前のアクセスレベルが適用される可能性があります。削除済みのアクセスレベルはすぐに適用されなくなります。

コンテキストアウェア アクセスを有効にするには

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] に移動します。

    データ セキュリティのアクセスレベルの管理権限とルールの管理権限管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

  2. コンテキストアウェア アクセスが有効になっていることを確認します。有効になっていない場合は、[有効にする] をクリックします。

コンテキストアウェア アクセスを無効にするには

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] に移動します。

    データ セキュリティのアクセスレベルの管理権限とルールの管理権限管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

  2. [無効にする] をクリックします。

次のステップ

アクセスレベルを作成して割り当てる

以下の記事では、アクセスレベルを作成してアプリに割り当てる手順について説明しています。

使用例を確認する

以下の記事では、実際の環境にコンテキストアウェア アクセスを実装する際の一般的なユースケースについて説明しています。