この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションを比較する
コンテキストアウェア アクセスを使用すると、ユーザー ID、地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づく、アプリに対するきめ細かなアクセス制御セキュリティ ポリシーを作成できます。ポリシーは、個人用デバイスや管理対象デバイスでアプリにアクセスするユーザーに適用されます。デバイスが IT ポリシーに準拠しているかどうかなどのコンテキストに基づいて、ユーザー アクセスを制御できます。
コンテキストアウェア アクセスの使用例
コンテキストアウェア アクセスは次のような用途に利用できます。
- 会社支給のデバイスのみにアプリへのアクセスを許可する
- ユーザーのストレージ デバイスが暗号化されている場合にのみ、ドライブへのアクセスを許可する
- 社外ネットワークからのアプリへのアクセスを制限する
複数の条件を組み合わせて 1 つのポリシーを作成することもできます。たとえば、アクセスレベルを作成し、アプリへのアクセス条件(例: 会社所有のデバイスであること、デバイスが暗号化されていること、オペレーティング システムのバージョンが最小要件を満たしていることなど)を定義します。
注: コンテキストアウェア アクセス ポリシーで制御できるのは、エンドユーザー アカウントからのアプリアクセスのみです。サービス アカウントからの Google API へのアクセスは制限されません。
エディション、アプリ、プラットフォーム、管理者の種類のサポート
エディションについて
コンテキストアウェア アクセス ポリシーは、この記事の上部に記載されているエディションのライセンスを持つユーザーにのみ適用できます。
コンテキストアウェア アクセス ポリシーを同じ組織部門またはグループ内のすべてのユーザーに適用しても、上記以外のエディションを使用しているユーザーは通常どおりアプリにアクセスできます。サポート対象のエディションを使用していないユーザーは、組織部門またはグループに適用されるコンテキストアウェア アクセス ポリシーの対象になりません。
アプリ
コンテキストアウェア アクセス ポリシーは、パソコンのウェブアプリ、モバイルアプリ、パソコンの組み込みアプリに適用できます。アプリへのアクセスは、アクセスが許可された後も継続的に評価されます。ただし SAML アプリは例外で、ログイン時に評価されます。
Google Workspace アプリ(コアサービス)
コアサービス アプリの場合、ポリシー評価は継続的に行われます。たとえば、ユーザーがオフィスでコアサービスにログインした後で喫茶店に移動すると、そのサービスのコンテキストアウェア アクセス ポリシーが再確認されます。
アプリのポリシーは、パソコンアプリとモバイルアプリの両方に設定できます。モバイル デバイスのポリシーを設定すると、Android と iOS の両方のプラットフォームに自動的に適用されます。
下の表に、パソコンのウェブアプリ、モバイルアプリ、パソコンの組み込みアプリのサポート対象のアプリをまとめました。
|
コアサービス |
ウェブアプリ(パソコンまたはモバイル) |
モバイルの組み込みアプリ* |
デスクトップの組み込みアプリ |
|
Google カレンダー |
✔ |
✔ |
|
|
Google Cloud Search |
✔ |
✔ |
|
|
Google ドライブと Google ドキュメント(スプレッドシート、スライド、フォームを含む) |
✔ |
✔ |
✔(パソコン版 Google ドライブ) |
| Gemini | ✔ | ✔ | |
|
Gmail |
✔ |
✔ |
|
|
Google Meet |
✔ |
✔ |
|
|
Google Vault |
✔ |
||
|
ビジネス向け Google グループ |
✔ |
||
|
Google Chat |
✔ |
✔ |
|
|
Google Keep |
✔ |
✔ |
|
|
Google サイト |
✔ |
||
|
Google ToDo リスト |
✔ |
✔ |
|
|
Google 管理コンソール |
✔ | ✔ | |
| NotebookLM | ✔ | ✔ | |
| Workspace Studio | ✔ |
*モバイルアプリのサポートに関する注意事項:
- コンテキストアウェア アクセス ポリシーは、モバイルのサードパーティ製組み込みアプリ(Salesforce など)には適用できません。
- Chrome ウェブブラウザを使用してアクセスする SAML アプリにはコンテキストアウェア アクセス ポリシーを適用できます。
- モバイル デバイスは、Google エンドポイントの基本管理または詳細管理を使用して管理されます。基本管理では、デバイスの OS バージョンと暗号化ステータスの同期に数日かかることがあります。この間にコンテキストアウェア アクセスを使用した場合、対象のデバイスから Google Workspace サービスへのアクセスが影響を受ける可能性があります。
- NotebookLM モバイルアプリは、Google ドライブに対する組織のコンテキスト アウェア アクセス ポリシーに準拠しています。ポリシー ルールを満たしていない場合、ドライブから接続されたコンテンツへのアクセスはブロックされます。
- Gemini モバイルアプリでは、ブロックされたコンテンツの処理方法が異なります。クエリがポリシーに違反した場合、アプリにはポップアップ ウィンドウではなく、アクセスが拒否されたことを示す返信メッセージが表示されます。ポリシー違反があってもユーザーがアプリの使用を続行できる警告モード機能は、Gemini モバイルアプリでは利用できません。
その他の Google サービス
その他の Google サービスの場合、ポリシー評価は継続的に行われます。これらのサービスはウェブアプリ専用です。
- Looker Studio - データに基づいて、わかりやすいグラフとインタラクティブなレポートを作成。
- Google Play Console - 開発した Android アプリを、急増する Android ユーザーに提供。
SAML アプリ
SAML アプリの場合、ポリシー評価はアプリへのログイン時に行われます。
- これには、Google を ID プロバイダとして使用するサードパーティの SAML アプリが含まれます。また、サードパーティの ID プロバイダ(IdP)も使用できます(サードパーティの IdP は Google Cloud Identity と連携し、Google Cloud Identity は SAML アプリと連携)。詳しくは、SSO についてをご覧ください。
- ユーザーが SAML アプリにログインすると、コンテキストアウェア アクセス ポリシーが適用されます。
例: ユーザーがオフィスで SAML アプリにログインした後で喫茶店に移動しても、その SAML アプリのコンテキストアウェア アクセス ポリシーは再確認されません。SAML アプリでは、ユーザー セッションが終了して再度ログインしたときにのみ、ポリシーが再確認されます。
-
アクセスレベルでデバイス ポリシーが適用されている場合、ユーザーは、エンドポイントの確認が有効になっている Chrome ブラウザを使用したサードパーティの SAML アプリによってのみ承認されます。
-
デバイス ポリシーを適用すると、モバイル デバイスからウェブブラウザへのアクセス(ウェブブラウザを使用してログインするモバイルアプリを含む)がブロックされます。
プラットフォームの要件
アプリへのアクセスを制御するために、さまざまな種類のコンテキストアウェア アクセス ポリシー(IP、デバイス、アクセス元の地域、カスタム アクセスレベルなどの属性)を作成できます。カスタム アクセスレベルの作成でサポートされる属性および式のガイダンスと例については、カスタム アクセスレベルの仕様をご覧ください。
また、サポートされている BeyondCorp Alliance パートナーについて詳しくは、サードパーティ パートナーとの連携を設定するをご覧ください。
プラットフォームのサポート(デバイスの種類、オペレーティング システム、ブラウザ アクセスなど)は、ポリシーの種類によって異なります。
ポリシーの種類は次のとおりです。
- IP - IP アドレスの範囲を指定します。この範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。
- デバイス ポリシーとデバイスの OS - デバイスの特性(デバイスが暗号化されているか、パスワードを要求するかなど)を指定します。この特性に該当するデバイスを使用するユーザーはアプリにアクセスできます。
- アクセス元の地域 - 国や地域を指定します。この国や地域にいるユーザーはアプリにアクセスできます。
プラットフォームのサポート - ポリシーの種類が「IP」および「アクセス元の地域」の場合
インターネット サービス プロバイダ(ISP)が地域によって IP アドレスを変更している場合、変更が有効になるまでには時間がかかります。この間、位置情報属性に基づくアクセスが適用されているユーザーは、コンテキストアウェア アクセスによってブロックされることがあります。
- デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム
- パソコン - Mac、Windows、ChromeOS、Linux OS
- モバイル - Android、iOS(iPadOS を含む)
- アクセス
- パソコンのウェブブラウザとパソコン版ドライブ
- モバイルのファースト パーティの組み込みアプリ(Chrome ブラウザのインストールが必要)
- ソフトウェア - エージェントは不要(Apple Private Relay が有効になっている Safari を除く)。iCloud で Apple Private Relay が構成されている場合、デバイスの IP アドレスは表示されません。Google Workspace は匿名の IP アドレスを受け取ります。この場合、コンテキストアウェア アクセスレベルが IP サブネットとして割り当てられていると、Safari でアクセスが拒否されます。この問題を解決するには、Apple Private Relay を無効にするか、IP サブネットを含むアクセスレベルを削除します。
デバイス ポリシーのプラットフォーム サポート
- デバイスの種類: パソコン、ノートパソコン、モバイル デバイス
- オペレーティング システム
- (パソコン)Mac、Windows、ChromeOS、Linux OS
- (モバイル)Android、iOS(iPadOS を含む)。6.0 以前の Android では、エンドポイントの確認のために Google エンドポイント管理を基本モードで使用する必要があります。
- 会社所有 - Android 12 以降が搭載され仕事用プロファイルが設定されているデバイスには対応していません。このようなデバイスは、会社所有のインベントリに登録されていてもユーザー所有のものとして報告されます。詳しくは、モバイル デバイスの詳細情報を確認するの「デバイスの詳細について」で、「デバイス情報」の表を下にスクロールして「所有権」の行をご覧ください。
- アクセス
- パソコンの Chrome ブラウザとパソコン版ドライブ
- モバイルのファースト パーティの組み込みアプリ(Chrome ブラウザのインストールが必要)
- ソフトウェア
- (パソコン)Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能
- (モバイル)Google エンドポイント管理(基本管理または詳細管理)を使用してモバイル デバイスを管理します。
- (Windows をご利用の場合)Chrome データのセキュリティを強化するため、App-Bound Encryption で Google Chrome Elevation Service が有効になっていることを確認してください。
管理者の要件
以下の管理者は、コンテキスト アウェア アクセス ポリシーを設定できます。
- 特権管理者
- 次の各権限を持つ管理者:
- [データ セキュリティ] > [アクセスレベルの管理]
- [データ セキュリティ] > [ルールの管理]
- [管理 API の権限] > [グループ] > [読み取り]
- [管理 API の権限] > [ユーザー] > [読み取り]
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。