設定グループでコンテキストアウェア アクセスを使用する

設定グループで、組織単位ではなくユーザー グループに対してコンテキストアウェア アクセスのレベルを適用することができます。設定グループには、社内のどの組織部門のユーザーも追加できます。たとえば、契約社員のチームが社内ネットワークでのみ Gmail にアクセスできるようにすることも可能です。

構成グループの仕組み

  • 設定グループには、組織内の任意のユーザーを含めることができます。また、アクセスレベルのコンテナとして機能する設定グループを作成してから、そちらにユーザー グループ(ネストされたグループ)を追加することもできます。
  • 組織部門とは異なり、ユーザーは複数の設定グループに所属できます。その場合、管理者が指定した設定グループの優先値に基づき、ユーザーには、所属するグループのうち優先値の最も高いグループの設定が適用されます。
  • アプリに対するユーザー グループのアクセスレベルは、組織部門のアクセスレベルよりも常に優先されます。
  • アプリのアクセスレベルが設定グループで指定されていない場合、そのアプリではユーザーの組織部門で設定されているアクセスレベルが適用されます。

コンテキストアウェア アクセスで使用する設定グループを構成する

コンテキストアウェア アクセスに対する設定グループの仕組みは、他の Google Workspace 設定と多少異なります。グループとポリシーを設計する際は、以下の情報とヒントを参考にしてください。

設定グループのオプション

通常は、組織部門のアクセスレベルを定義してから、設定グループのカスタム アクセスレベルを決定します。たとえば、特定のユーザーのアクセスを迅速に許可または制限できるよう、「オープン アクセス」や「ロックダウン アクセス」といった設定グループを作成することができます。

通常は、次の設定グループを組み合わせて使用します。

既存のユーザー グループを使用する

ユーザー グループ内で各アプリ(Gmail や Google ドライブなど)のアクセスレベルを設定します。ユーザーが複数のグループに属している場合は、そのユーザーの設定に使用するグループを指定します(詳しくは優先値をご確認ください)。

次のような場合は、ユーザー グループにアクセスレベルを直接適用する方法が効率的です。

  • コンテキストアウェア アクセスをテストする場合。
  • 特定のユーザー グループ(IT 担当者やリモート チームなど)のアクセス権を管理する場合
  • ユーザー数が 50 人未満またはアクセスレベルの数が少ない組織のアクセスを管理する場合。グループを新たに作成する必要はなく、各ユーザー グループの設定を微調整して適用できます。

アクセスレベルに基づいて設定グループを作成する

グループにアクセスレベルを割り当てることもできます。設定グループを作成して、1 つまたは複数のアプリにアクセスレベルを割り当てます。次に、ユーザー グループを設定グループのメンバーとして追加します。

この方法は、大規模な組織でアクセス グループのポリシーや優先値を管理する場合に有効です(以下を参照)。

優先値とアクセスレベルの仕組み

ユーザーが複数の設定グループに所属している場合、設定グループの優先度を指定して、そのユーザーのアプリへのアクセスレベルを定めます。

Google 管理コンソールで、対応するグループ優先値リストを表示するには、まずアプリケーションを選択する必要があります。グループは、優先値の高い順に表示されます。新しい設定グループは、常に優先値が最も低く、設定グループのリストの一番下に追加されます。

コンテキストアウェア アクセスの優先値

ユーザーが所属するグループのうち、優先値の最も高いグループのアプリの設定がユーザーに適用されます。特定のアプリに対するアクセスレベルがそのグループで設定されていない場合、次に優先値の高いグループのアクセスレベルが適用されます。

管理者は管理コンソールで、アプリに対するユーザーのアクセスレベルを指定しているグループや組織部門を確認できます。以下の例では、「ドライブのセキュリティグループによってユーザーのドライブへのアクセスレベルが決められています。

ユーザーのアプリ アクセスレベル 継承元
Google カレンダー 会社のネットワーク 組織部門: 営業
ドライブ 会社のネットワーク, デバイスのセキュリティ グループ: ドライブのセキュリティ
Gmail デバイスのセキュリティ 組織部門: 営業
Google Vault <なし> <なし>

詳細に管理する場合は、次のようにグループを使用して各アプリのアクセスレベルをカスタマイズできます。

ユーザーのアプリ アクセスレベル 継承元
カレンダー 会社のネットワーク 組織部門: 営業
ドライブ 会社のネットワーク, デバイスのセキュリティ グループ: ドライブのセキュリティ
Gmail デバイスのセキュリティ, カナダ グループ: 北米
Vault 制限されたデバイス、会社のネットワーク グループ: Vault 調査担当者

設定グループに優先値を適用する

  • 重要な設定グループや機密性の高い設定グループの優先値を高くすることをおすすめします。たとえば、最優先グループは、アクセスを制限するすべてのグループより優先される「緊急アクセス」グループにするとよいかもしれません。

  • ユーザーが所属する複数のグループのアクセスレベルが、すべて適用されることはありません。この例では、ユーザーは 3 つのユーザー グループに所属していますが、最も優先値の高い「デバイス」設定グループのみでアクセスレベルが決まります。

設定グループの計画と設計

設定グループの構造の計画は、時間と見直しの手間が最もかかりがちな作業です。

グループの命名と検索

検索、優先値設定、監査を簡単に行えるよう、グループの命名規則を設定します。たとえば、コンテキストアウェア アクセスの設定グループであることを示すため、「caa」といった接頭辞を追加します。また、設定グループを追加するときは、小数位を使用することで、既存のグループ名を編集しないようにします。

1. グループ アドレスで検索する
2. グループのリストを表示する 
<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>


<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>


<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>


<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>


<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>


<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

設定グループを設定する

始める前に: コンテキストアウェア アクセスのレベルを定義して、設定グループ(できれば 1 つまたは 2 つのテスト アカウントを含める)を作成します。

ステップ 1. 設定グループを適用する

グループ、組織部門(最上位)、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [コンテキストアウェア アクセス] に移動します。

    データ セキュリティのアクセスレベルの管理権限とルールの管理権限管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

  2. [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
  3. [コンテキストアウェア アクセス] セクションで、[グループ] をクリックします。
  4. 次のいずれかを行います。
    • アプリをクリックします。アプリにアクセスレベルが割り当てられている既存の設定グループが、優先度順に一覧表示されます。
    • [グループを検索] をクリックすると、設定グループだけでなくすべてのグループのリストを確認できます。テキストを入力して結果を絞り込むことができます。
  5. グループをクリックします。アプリケーション テーブルに、割り当てられたアクセスレベルとともにすべてのアプリケーションが一覧表示されます。
    • グループが見つからない場合、そのグループは Google グループで作成されたものである可能性があります。設定グループの作成は、管理コンソール、Directory API、または Google Cloud Directory Sync で行う必要があります。
    • 優先値の高い順に設定グループを追加します。アプリに新しいグループポリシーを追加すると、優先値順で一番下に挿入されます。
  6. 1 つ以上のアプリを選択し、[割り当て] をクリックします。
  7. グループのアプリに適用するアクセスレベルを選択して [保存] をクリックします。デフォルトでは、新しいグループにはアクセスレベルが割り当てられていません。



    複数の種類の Google Workspace ライセンスがある組織の場合: グループ アクセスレベルは、コンテキストアウェア アクセス制御を含む Google Workspace エディションに割り当てられたユーザーにのみ適用されます。

ステップ 2. ユーザーのアクセスレベルを確認する

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.





Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

  • 管理コンソールで、アプリの設定ページに移動します。
  • 左上の [ユーザー] をクリックします。
  • [ユーザーを選択] をクリックし、ユーザーのアドレス(名前ではなく)を入力します。
  • アプリの設定を確認するユーザーを選択します。[継承元] 列には、ユーザーの設定に使用された設定グループまたは組織部門が表示されます。
  • アプリにカーソルを合わせて [表示] をクリックすると、ユーザーのアクセスレベルの詳細を確認できます。

    •   <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

    構成グループを削除する

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
  • 左側の [グループ] をクリックします。
  • 削除するグループをクリックします。
  • まず、グループのアプリからすべてのアクセスレベルの割り当てを解除します。[アプリ] パネルで、各アプリケーションを 1 つずつ確認して、すべてのアクセスレベルが割り当て解除されている状態にします。

  • [割り当て] をクリックします。
  • [すべてオフ] をクリックします。
  • [保存] をクリックします。

    • 設定グループが [グループ] リストに表示されなくなります。変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

    設定グループを編集する

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
  • 左側の [グループ] をクリックします。
  • 編集するグループを検索します。
  • 右側で、編集、追加、削除するアプリを選択します。
  • [割り当て] をクリックします。
  • グループのレベルの割り当てを更新します。
  • [保存] をクリックします。

    •   <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

    トラブルシューティング

    <div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>


      <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

    監査ログで変更を確認する

    <div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>


            <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>


            <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

    組織部門、グループの継承、設定グループについて

    子組織部門またはグループでローカルのアクセスレベルに変更を加えると、その子組織またはグループにはローカルのアクセスレベルのみが適用され、親組織部門のアクセスレベルは一切継承されません。

    ローカルに割り当てられたアクセスレベルをすべて削除して、元々継承していたアクセスレベルを復元すると、子組織部門には元々継承していたアクセスレベルのみが適用されます。

    たとえば、最上位の組織部門で 1 個のアプリに 3 つのアクセスレベルが割り当てられている場合、継承によって子組織部門の同じアプリにも同じ 3 つのアクセスレベルが割り当てられます(子組織部門にローカルの割り当てがない場合)。ただし、子組織部門でアクセスレベルを 1 つ追加すると、この子組織部門ではそれが唯一のアクセスレベルとなります。

    継承したアクセスレベルの割り当てを無効ポリシーでオーバーライドする

    たとえば、子組織部門でユーザー アクセスを一切ブロックしない(アクセスレベルを割り当てない)場合は、[制限なし] というアクセスレベルを 2 つの IP サブネット条件で作成し、それらの条件を OR で結合します。

    • IPv4 サブネット範囲 0.0.0.0/0
      または
    • IPv6 サブネット範囲 0::/0

    これで、組織内のユーザーは任意の IPv4 または IPv6 アドレスからアクセスできるようになります。

    アクセスレベルの割り当てを設定グループでオーバーライドする

    設定グループを使用すると、組織部門ではなく一部のユーザー グループにアクセスレベルを割り当てることができます。ユーザー グループのアクセスレベルは、ユーザーの組織部門のアクセスレベルを常にオーバーライドします。グループには、アカウント内のどの組織部門のユーザーを追加することもできます。

    たとえば、あるユーザーが組織部門とグループ 1 に属しているとします。この組織部門は親組織部門であり、Gmail とカレンダーの両方についてアクセスレベル X が割り当てられています。グループ 1 の Gmail に対するアクセスレベルの割り当てはありません。グループ 1 のカレンダーにはアクセスレベル Y が割り当てられています。この場合、ユーザーの Gmail にはアクセスレベル X が割り当てられ(継承を介して)、カレンダーにはアクセスレベル Y が割り当てられます(ローカル ポリシーのオーバーライドによって)。