設定グループで、組織単位ではなくユーザー グループに対してコンテキストアウェア アクセスのレベルを適用することができます。設定グループには、社内のどの組織部門のユーザーも追加できます。たとえば、契約社員のチームが社内ネットワークでのみ Gmail にアクセスできるようにすることも可能です。
設定グループの仕組み
- 設定グループには、組織内の任意のユーザーを含めることができます。また、アクセスレベルのコンテナとして機能する設定グループを作成してから、そちらにユーザー グループ(ネストされたグループ)を加えることもできます。
- 組織部門とは異なり、ユーザーは複数の設定グループに所属できます。その場合、管理者が指定した設定グループの優先値に基づき、ユーザーには、所属するグループのうち優先値の最も高いグループの設定が適用されます。
- アプリに対するユーザー グループのアクセスレベルは、組織部門のアクセスレベルよりも常に優先されます。
- アプリのアクセスレベルが設定グループで指定されていない場合、そのアプリではユーザーの組織部門で設定されているアクセスレベルが適用されます。
コンテキストアウェア アクセスで使用する設定グループを構成する
コンテキストアウェア アクセスに対する設定グループの仕組みは、他の Google Workspace 設定と多少異なります。グループとポリシーを設計する際は、以下の情報とヒントを参考にしてください。
設定グループのオプション
通常は、組織部門のアクセスレベルを定義してから、設定グループのカスタム アクセスレベルを決定します。たとえば、特定のユーザーのアクセスを迅速に許可または制限できるよう、「オープン アクセス」や「ロックダウン アクセス」といった設定グループを作成することができます。
通常は、次の設定グループを組み合わせて使用します。
既存のユーザー グループを使用する
ユーザー グループ内で各アプリ(Gmail や Google ドライブなど)のアクセスレベルを設定します。ユーザーが複数のグループに所属している場合は、そのユーザーの設定に使用するグループを指定します(詳しくは優先値 をご確認ください)。
次の場合は、ユーザー グループにアクセスレベルを直接適用する方法が効率的です。
- コンテキストアウェア アクセスをテストする場合。
- 特定のユーザー グループ(IT 担当者やリモート チームなど)のアクセス権を管理する場合
- ユーザー数が 50 人未満の組織や、アクセスレベルの数が少ない組織のアクセス権を管理する場合。グループを新たに作成する必要はなく、各ユーザー グループの設定を微調整して適用できます。
グループにアクセスレベルを割り当てることもできます。設定グループを作成して、1 つまたは複数のアプリにアクセスレベルを割り当てます。次に、ユーザー グループ を設定グループのメンバーとして追加します。
この方法は、大規模な組織でアクセス グループのポリシーや優先値を管理する場合に有効です(以下を参照)。
優先値とアクセスレベルの仕組み
ユーザーが複数の設定グループに所属している場合、設定グループの優先度を指定して、そのユーザーのアプリへのアクセスレベルを定めます。
Google 管理コンソールで、対応するグループ優先値リストを表示するには、まずアプリケーションを選択する必要があります。グループは、優先値の高い 順から低い 順に表示されます。新しい設定グループは、常に優先値が最も低く、設定グループのリストの一番下に追加されます。
コンテキストアウェア アクセスの優先値
ユーザーが所属するグループのうち、優先値の最も高いグループのアプリの設定がユーザーに適用されます。特定のアプリに対するアクセスレベルがそのグループで設定されていない場合、ユーザーの次に優先値の高いグループ のアクセスレベルが適用されます。
管理者は管理コンソールで、アプリに対するユーザーのアクセスレベルを指定しているグループや組織部門を確認できます。以下の例では、グループ「ドライブのセキュリティ」でユーザーのドライブへのアクセスが設定されています。
| ユーザーのアプリ | アクセスレベル | 継承元 |
|---|---|---|
 Google カレンダー |
会社のネットワーク | 組織部門: 営業 |
 ドライブ |
会社のネットワーク, デバイスのセキュリティ | グループ: ドライブのセキュリティ |
 Gmail |
デバイスのセキュリティ | 組織部門: 営業 |
 Google Vault |
<なし> | <なし> |
詳細に管理する場合は、次のようにグループを使用して各アプリのアクセスレベルをカスタマイズできます。
| ユーザーのアプリ | アクセスレベル | 継承元 |
|---|---|---|
|
カレンダー |
会社のネットワーク | 組織部門: 営業 |
|
ドライブ |
会社のネットワーク, デバイスのセキュリティ | グループ: ドライブのセキュリティ |
|
Gmail |
デバイスのセキュリティ, カナダ | グループ: 北米 |
|
[Vault] |
制限されたデバイス、会社のネットワーク | グループ: Vault 調査担当者 |
設定グループに優先値を適用する
- 重要な設定グループや機密性の高い設定グループの優先値を高くすることをおすすめします。たとえば、最優先グループは、アクセスを制限するすべてのグループより優先される「緊急アクセス」グループにするとよいかもしれません。
-
ユーザーが所属する複数のグループのアクセスレベルが、すべて適用されることはありません。この例では、ユーザーは 3 つのユーザー グループに所属していますが、最も優先値の高い「デバイス」設定グループのみでアクセスレベルが決まります。
設定グループの計画と設計
設定グループの構造の計画は、時間と見直しの手間が最もかかりがちな作業です。
グループの命名と検索
検索、優先値設定、監査を簡単に行えるよう、グループの命名規則を設定します。たとえば、コンテキストアウェア アクセスの設定グループであることを示すため、「caa」といった接頭辞を追加します。また、設定グループを追加するときは、小数位を使用することで、既存のグループ名を編集しないようにします。
 |
|
グループ アドレスで検索
グループのリストを表示- グループを検索: 次のように設定名と優先値を含む命名規則を設定することをおすすめします。
caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com
- グループを表示: [グループ] パネルには、グループ名 (最大 37 文字)が優先値順に表示されます。グループにカーソルを合わせると、そのフルネームが表示されます。例:
CAA p0.0 - Unrestricted access all apps
CAA p1.0 - Lockdown access
CAA p3.0 - Gmail IP corp & device security
CAA p3.1 - Gmail IP corp
グループの順序
優先値と設定を管理するには:
- 適用対象のユーザー数が最も少ないグループ、または重要なポリシー(「ロックダウン アクセス」や「すべてのアクセス」など)を定義しているグループの優先値を最も高くすることをおすすめします。
- グループの構成に応じて適切に優先値を設定するようにしましょう。特に下層に深くネストされたグループには注意が必要です。ネストが深いものは、設定の際に漏れる可能性があります。
グループの作成
使用する設定グループは、管理コンソール、Directory API、または Google Cloud Directory Sync で作成したグループである必要があります。Google グループで作成したグループを設定グループとして使用することはできません(グループが Google グループで作成されたかどうかは、管理コンソールには表示されません)。
設定グループはどのツールでも管理できます。ユーザーの追加や削除に厳格な権限を設定したり、グループへの投稿を無効にしたり、ユーザーのグループからの退会を禁止(Group API でのみ可能)したりできます。
設定グループをセットアップする
始める前に: コンテキストアウェア アクセスのレベルを定義して、設定グループ(できれば 1 つまたは 2 つのテスト アカウントを含める)を作成します。
ステップ 1. 設定グループを適用する
グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アクセスとデータ管理**]
[**コンテキストアウェア アクセス**] に移動します。データ セキュリティのアクセスレベルとルールの管理権限、Admin API グループとユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
- [コンテキストアウェア アクセス] 欄で [グループ] をクリックします。
- 次のいずれかを行います。
- アプリをクリックします。アプリにアクセスレベルが割り当てられている既存の設定グループが、優先度順に一覧表示されます。
- [グループを検索] をクリックすると、設定グループだけでなくすべてのグループのリストを確認できます。テキストを入力して結果を絞り込むことができます。
- 目的のグループをクリックします。 アプリケーション テーブルに、割り当てられたアクセスレベルとともにすべてのアプリケーションが一覧表示されます。
- グループが見つからない場合、そのグループは Google グループで作成されたものである可能性があります。設定グループの作成は、管理コンソール、Directory API、または Google Cloud Directory Sync で行う必要があります。
- 優先値の高い 順に設定グループを追加します。アプリに新しいグループポリシーを追加すると、優先値順で一番下に挿入されます。
- 1 つ以上のアプリを選択し、[割り当て] をクリックします。
- グループのアプリに適用するアクセスレベルを選択して [保存]をクリックします。デフォルトでは、新しいグループにはアクセスレベルが割り当てられていません。
複数の種類の Google Workspace ライセンスを所有する組織の場合: グループ アクセスレベルは、コンテキストアウェア アクセス制御を含む Google Workspace エディションに割り当てられたユーザーにのみ適用されます。
ステップ 2. ユーザーのアクセスレベルを確認する
グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アクセスとデータ管理**]
[**コンテキストアウェア アクセス**] に移動します。データ セキュリティのアクセスレベルとルールの管理権限、Admin API グループとユーザーの読み取り権限が必要です。
- 管理コンソールで、アプリの設定ページに移動します。
- 左上の [ユーザー] をクリックします。
- [ユーザーを選択] をクリックして、ユーザーのアドレス(名前ではない)を入力します。
- アプリの設定を確認するユーザーを選択します。[継承元] 列には、ユーザーの設定に使用された設定グループまたは組織部門が表示されます。
- アプリにカーソルを合わせて [表示] をクリックすると、ユーザーのアクセスレベルの詳細を確認できます。
注: 組織部門では、[継承] レベルは組織部門の設定のみに基づいており、設定グループには基づいていないように表示されています。
設定グループを削除する
グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アクセスとデータ管理**]
[**コンテキストアウェア アクセス**] に移動します。データ セキュリティのアクセスレベルとルールの管理権限、Admin API グループとユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
- 左側の [グループ] をクリックします。
- 削除するグループをクリックします。
- まず、グループのアプリからすべてのアクセスレベルの割り当てを解除します。[アプリ] パネルで、各アプリケーションを 1 つずつ確認して、すべてのアクセスレベルが割り当て解除されている状態にします。
- [割り当て] をクリックします。
- [すべてオフ] をクリックします。
- [保存] をクリックします。
設定グループを編集する
グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**アクセスとデータ管理**]
[**コンテキストアウェア アクセス**] に移動します。データ セキュリティのアクセスレベルとルールの管理権限、Admin API グループとユーザーの読み取り権限が必要です。
- [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
- 左側の [グループ] をクリックします。
- 編集するグループを検索します。
- 右側で、編集、追加、削除するアプリを選択します。
- [割り当て] をクリックします。
- グループのレベルの割り当てを更新します。
- [保存] をクリックします。
トラブルシューティング
グループリストに設定グループが表示されない
- グループが Google グループで作成されている可能性があります。グループを管理コンソールで再度作成してください。
- グループの名前ではなくメールアドレスを検索してください。
- 設定ページを更新してみてください。 変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細
- グループに対する管理者権限があることを確認してください。
ユーザーに適切なアクセスレベルが適用されていない
- ユーザーの所属グループを確認してください。変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細
- ユーザーの設定に適用される設定グループをご確認ください。ユーザーが複数の設定グループに所属している場合は、いずれかのグループの優先値またはユーザーの所属グループの変更が必要なこともあります。
- 該当する機能のサービス ライセンスをユーザーが持っていない可能性があります。コンテキストアウェア アクセスは、Google Workspace の特定のエディションでのみご利用いただけます。
- ユーザーがアプリにアクセスできない場合、以前に削除されたアクセスレベルがアプリに割り当てられている可能性があります。削除済みのアクセスレベルを削除するをご確認ください。
監査ログで変更を確認する
設定グループの設定に加えられた変更は、管理コンソールの監査ログの次のイベントで確認できます。
イベント: コンテキストアウェア アクセスレベルのアプリ固有の割り当ての変更
|
設定グループを適用または削除するときにログに記録します。イベントではグループ名を使用するため、グループの名前とアドレスの両方に、同様の命名規則を使用することをおすすめします。 グループ イベントに含まれるデータは以下のようになります。
たとえば、設定グループ「CAA.02 local access 」をアプリに適用します。
アプリから設定グループを削除する場合は、以下のようになります。
|
組織部門、グループの継承、設定グループについて
子組織部門またはグループでローカルのアクセスレベルに変更を加えると、その子組織またはグループにはローカルのアクセスレベルのみが適用され、親組織部門のアクセスレベルは一切継承されません。
ローカルに割り当てられたアクセスレベルをすべて削除して、元々継承していたアクセスレベルを復元すると、子組織部門には元々継承していたアクセスレベルのみが適用されます。
たとえば、最上位の組織部門で 1 個のアプリに 3 つのアクセスレベルが割り当てられている場合、継承によって子組織部門の同じアプリにも同じ 3 つのアクセスレベルが割り当てられます(子組織部門にローカルの割り当てがない場合)。ただし、子組織部門でアクセスレベルを 1 つ追加すると、この子組織部門ではそれが唯一のアクセスレベルとなります。
継承したアクセスレベルの割り当てを無効ポリシーでオーバーライドする
たとえば、子組織部門でユーザー アクセスを一切ブロックしない(アクセスレベルを割り当てない)場合は、 高度な式「true 」を使用してアクセスレベルを作成できます。詳しくは、アクセスレベルを定義する - 詳細 モードをご覧ください。
アクセスレベルの割り当てを設定グループでオーバーライドする
設定グループを使用すると、組織部門ではなく一部のユーザー グループにアクセスレベルを割り当てることができます。ユーザー グループのアクセスレベルは、ユーザーの組織部門のアクセスレベルを常にオーバーライドします。グループには、アカウント内のどの組織部門のユーザーを追加することもできます。
たとえば、あるユーザーが組織部門とグループ 1 に属しているとします。この組織部門は親組織部門であり、Gmail とカレンダーの両方についてアクセスレベル X が割り当てられています。グループ 1 の Gmail に対するアクセスレベルの割り当てはありません。 グループ 1 のカレンダーにはアクセスレベル Y が割り当てられています。この場合、ユーザーの Gmail にはアクセスレベル X が割り当てられ(継承を介して)、カレンダーにはアクセスレベル Y が割り当てられます(ローカル ポリシーのオーバーライドによって)。