ユースケース: 管理対象の Chrome ブラウザの適用

この例では、管理対象の Chrome ブラウザの社内ポリシーに対応したコンテキストアウェア アクセスレベルを作成して、このポリシーをアプリに割り当てる方法を示します。

始める前に

  • (Workspace のみを使用している場合)コンテキストアウェア アクセスのレベルを追加または変更する際に、Google Cloud コンソールを使用しないことをおすすめします。そうしないと、「 サポートされていない属性が Google Workspace で使用されています 」というエラーが発生して、ユーザーがブロックされる可能性があります。
  • (Windows を使用している場合)Chrome データのセキュリティを強化するため、アプリ バインド暗号化で Google Chrome Elevation Service がオンになっていることを確認してください。

コンテキストアウェア アクセスのレベルを構成する

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**アクセスとデータ管理**]次に[**コンテキストアウェア アクセス**] にアクセスします。

    データ セキュリティのアクセスレベルの管理権限とルールの管理権限管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

  2. [**アクセスレベル**] を選択します。
  3. [アクセスレベルを作成] をクリックします。
  4. アクセスレベルの名前(この例では、管理対象の Chrome ブラウザ のような名前)と説明(省略可)を追加します。
  5. [**Advanced**] タブをクリックします。このタブでは、Common Expressions Language(CEL)を使用して、編集ウィンドウでカスタム アクセスレベルを作成します。詳しくは、コンテキストアウェア アクセスレベルを作成するアクセスレベルを定義する - 詳細モードをご覧ください。

  6. アクセスレベルのコードを追加します。

    device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED && device.chrome.versionAtLeast("94.0.4606.81").

  7. [Create] をクリックします。以上で、このアクセスレベルをアプリに割り当てられるようになります。

  8. [**アプリにアクセスレベルを割り当てる**] をクリックします。このリンクは、アクセスレベルを作成した後に表示されます。後でアクセスレベルを割り当てる場合は、[セキュリティ]次に[アクセスとデータ管理]次に[コンテキストアウェア アクセス] に移動し、[アプリにアクセスレベルを割り当てる] を選択してください。

  9. 組織部門を選択します。組織部門のユーザーとは、指定したアプリへのアクセス権を持ち、作成したアクセスレベルで定義されたレベルを持つユーザーのことです。たとえば、人事ユーザーのグループにアクセス権を付与するには、[HR] を選択します。

  10. ユーザーがアクセスするアプリを選択します。たとえば、ドライブとドキュメント、Gmail、Google Chat などです。

  11. [Assign] をクリックします。目的のアプリの [割り当て] ボタンを表示させるには、スクロールしなければならない場合があります。正しいアプリにアクセスレベルを割り当ててください。管理コンソールにはアクセスレベルを割り当てないようにしてください。

  12. 使用するアクセスレベルを選択します。この例では、[管理対象の Chrome ブラウザ] を選択します。

    必要に応じて、複数のアクセスレベルを選択できます。選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます(リスト内のアクセスレベルの論理和(OR)です)。

    複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには(アクセスレベルの論理積(AND))、複数のアクセスレベルから成るアクセスレベルを作成します。

    : [Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスはオンのままにしてください。

  13. [**保存**] をクリックします。多数のユーザーが所属する組織部門またはグループにアクセスレベルを割り当てた場合、アクセスレベルの割り当てが表示されるまでに最長で 24 時間ほどかかることがあります。

  14. 適切に割り当てられていることを確認するには、次の点を確認します。

    • 組織部門名の横に灰色の点が表示されているかどうか。
    • アプリにアクセスレベルの名前が表示されているかどうか。

  15. アプリへのアクセスがブロックされた場合に表示されるメッセージをカスタマイズするには、[セキュリティ]次に[アクセスとデータ管理]次に[コンテキストアウェア アクセス] に移動し、[ユーザー メッセージ] をクリックします。次のようなユーザー メッセージがあります。

    • 修正メッセージ \- システムにより生成されるメッセージで、ユーザーがブロックされた原因となった特定のポリシー違反に対応しています。修正メッセージには修正方法が表示されるため、ユーザーはアプリのアクセスのブロックを解除できます。
    • カスタム メッセージ \- ブロック解除のための追加アドバイスや、役立つリンクなど、特定のヘルプを提示するメッセージです。

    • デフォルトのメッセージ—デフォルトのメッセージの例: 組織のポリシーにより、このアプリへのアクセスはブロックされています。このメッセージは、修正メッセージまたはカスタム メッセージを指定していない場合に表示されます。

      詳しくは、ユーザーがコンテキストアウェア アクセスの修正メッセージでアプリのブロックを解除できるようにするをご覧ください。