ユースケース: パブリック IP アドレスの適用

この例では、コンテキストアウェア アクセスレベルを作成して、企業の IP アドレス適用ポリシーをサポートし、このポリシーをアプリに割り当てる方法を示します。

: Workspace のみを使用している場合、Google Cloud Platform(GCP)Console を使用してコンテキストアウェア アクセスレベルを追加または変更しないことをおすすめします。そうしないと、「 サポートされていない属性が Google Workspace で使用されています 」というエラーが発生して、ユーザーがブロックされる可能性があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**アクセスとデータ管理**] 次に [**コンテキストアウェア アクセス**] に移動します。

    データ セキュリティのアクセスレベルとルールの管理権限Admin API グループとユーザーの読み取り権限が必要です。

  2. アクセスレベルを選択します。
  3. [アクセスレベルを作成] をクリックします。
  4. アクセスレベルの名前(この例では「パブリック IP アドレスの適用 」など)と、必要に応じて説明を追加します。
  5. [属性に該当する] を選択します。つまり、ユーザーがアプリにアクセスするには、条件の属性を満たす必要があります。
  6. [属性を追加] をクリックして、アクセスレベルの条件を作成します。デフォルトでは基本モードが選択されています。
  7. [IP サブネット] [(パブリック)] を選択して、パブリック IP アドレスを追加します。これは、IPv4 アドレス、IPv6 アドレス、またはクラスレス ドメイン間ルーティング(CIDR)形式のルーティング プレフィックスです。
    • 静的 IP アドレスに対応しています。
    • 動的 IP アドレスを使用するには、アクセスレベルに静的 IP サブネット(パブリック)を定義する必要があります。動的 IP アドレスの範囲がわかっており、アクセスレベルで定義された静的 IP アドレスがその範囲に対応している場合は、アクセスが許可されます。定義された静的 IP サブネット(パブリック)にその動的 IP アドレスが含まれていない場合は、アクセスが拒否されます。
  8. [保存] をクリックします。以上で、このアクセスレベルをアプリに割り当てられるようになります。
  9. [アプリに割り当て] をクリックします。このリンクは、アクセスレベルを作成した直後に表示されます。後でアクセスレベルを割り当てる場合は、 [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] に移動し、[アクセスレベルの割り当て] を選択してください。
  10. 組織部門を選択します。組織部門のユーザーとは、指定したアプリへのアクセス権を持ち、作成したアクセスレベルで定義されたレベルを持つユーザーのことです。たとえば、ヨーロッパのユーザーのグループへのアクセスを許可するには、[ヨーロッパの組織部門] を選択します。
  11. ユーザーがアクセスするアプリを選択します。たとえば、ドライブとドキュメント、Gmail、Google Chat などです。
  12. [割り当て] をクリックします。目的のアプリの [割り当て] ボタンを表示させるには、スクロールしなければならない場合があります。正しいアプリにアクセスレベルを割り当ててください。管理コンソールにはアクセスレベルを割り当てないようにしてください。

  13. 使用するアクセスレベルを選択します。この場合、[Public IP アドレスの適用] を選択してください。

    必要に応じて、複数のアクセスレベルを選択できます。選択したアクセスレベル内のどれか 1 つの条件でもユーザーが満たしていれば、そのユーザーにこのアプリへのアクセス権が付与されます(リスト内のアクセスレベルの論理和(OR)です)。

    複数のアクセスレベル内の条件を満たしているユーザーにのみアクセス権を付与するには(アクセスレベルの論理積(AND))、複数のアクセスレベルから成るアクセスレベルを作成します。

    : [Google のデスクトップ アプリとモバイルアプリに適用する] チェックボックスはオンのままにしてください。

  14. [保存] をクリックします。多数のユーザーが所属する組織部門またはグループにアクセスレベルを割り当てた場合、アクセスレベルの割り当てが表示されるまでに最長で 24 時間ほどかかることがあります。

  15. 適切に割り当てられていることを確認するには、次の点を確認します。

    • 組織部門名の横に灰色の点が表示されているかどうか。
    • アプリにアクセスレベルの名前のリストが表示されているかどうか。

  16. アプリへのアクセスがブロックされた場合に表示されるメッセージをカスタマイズするには、 [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] に移動し、[ユーザー メッセージ] をクリックします。次のようなユーザー メッセージがあります。

    • 修正メッセージ—システムにより生成されるメッセージで、 ユーザーがブロックされた原因となった特定のポリシー違反に対応しています。修正メッセージには修正方法が表示されるため、ユーザーはアプリのアクセスのブロックを解除できます。
    • カスタム メッセージ \- ブロック解除のための追加アドバイスや、役立つリンクなど、 特定のヘルプを提示するメッセージです。

    • デフォルトのメッセージ—デフォルトのメッセージの例: 組織の ポリシーにより、このアプリへのアクセスはブロックされています。このメッセージは、 修正メッセージまたはカスタム メッセージを指定していない場合に表示されます。

      詳しくは、コンテキストアウェア アクセスの修正メッセージを使ってアプリのブロックを解除できるようにする方法をご覧ください。