【Google Workspace】コンテキストアウェアアクセス概要

今回は、Google Workspace機能である「コンテキストアウェアアクセス」について、設定手順の解説および動作の検証を実施します。

• コンテキストアウェアアクセスとは
• コンテキストアウェアアクセス使用例
• 管理コンソール設定
  • アクセスレベル作成
  • アクセスレベルの割り当て
  • 動作確認（アクセス失敗パターン）
  • 動作確認（アクセス成功パターン）
• おわりに

コンテキストアウェアアクセスとは

「コンテキストアウェアアクセス」を設定すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御をすることが可能となります。

※「コンテキストアウェアアクセス」を使用するには「Enterprise」以上のライセンスが必要となりますのでご注意ください。

コンテキストアウェアアクセス使用例

コンテキストアウェアを使用する例を以下に紹介します。

（舟越：↓箇条書きの構造を編集しました）

• 会社支給のデバイスのみGoogleアプリへのアクセスを許可する
  • Google Workspaceへデバイスを登録する必要がある
• 指定したIPアドレス（例：社内ネットワーク）のみGoogleアプリへのアクセスを許可する

上記に記載した使用例はあくまでも一部の使用例となります。

アクセス元の属性を組み合わせることで、様々なアクセスポリシーを構築することが可能となります。

管理コンソール設定

アクセスレベル作成

今回は使用例の2点目として紹介した「指定したIPアドレス以外からのGoogleアプリへのアクセスをブロックする」ポリシーを作成し、動作検証を実施します。

1. Google 管理コンソール（https://admin.google.com）に特権管理者アカウントでサインインします
   

   

2. 「セキュリティ」>「アクセスとデータ管理」>「コンテキストアウェアアクセス」をクリックします
   

   

3. 「アクセスレベルを作成」をクリックします
   

   

4. 「アクセスレベルの名前」、「説明」に任意の値を入力します

   

5. 「コンテキストの条件」に今回作成するポリシーの内容を設定します。「基本」タブの「属性を追加」をクリックし、「IPサブネット」を選択します
   ※属性は作成するポリシーに沿って変更してください
   

   

6. アクセスポリシーの条件を入力します
   ※今回は指定したIPセグメント以外からのアクセスをブロックします
   

   

7. 「作成」をクリックします
   

   

8. 「このアクセスラベルの使用方法を設定する」画面が表示されますが、一度「終了」をクリックします

アクセスレベルの割り当て

「アクセスレベル作成」で作成したポリシーをアプリに割り当てます。

1. Google 管理コンソールから、「セキュリティ」>「アクセスとデータ管理」>「コンテキストアウェアアクセス」に移動し、「アクセスレベルの割り当て」をクリックします

   

2. アクセス制御をするアプリ、組織部門を選択し、「割り当て」をクリックします
   ※今回はGmail、テスト用組織部門を選択します
   

   

3. 「アクセスレベル」で「アクセスレベル作成」で作成したポリシーを選択し、「続行」をクリックします
   ※「アクティブ」にチェックを入れると、ポリシーが即時反映されます。反映前に影響確認をしたい場合は「監視」のみにチェックしてください

   

4. 「その他の適用設定」では設定したい内容に沿ってチェックボックスを有効にして「続行」をクリックします
   

   項目	説明
   アクセスレベルの要件を満たしていない場合、ユーザーが Google のデスクトップ アプリやモバイルアプリにアクセスできないようブロックする	アクセス要件を満たしていない場合、デスクトップアプリ、Androidアプリ、iOSアプリへのアクセスをブロックする
   アクセスレベルの要件を満たしていない場合、選択したアプリに他のアプリが API を経由でアクセスできないようブロックする	アクセス要件を満たしていない場合、公開APIによってGoogle Workspaceデータへのアクセスを試みるアプリをブロックする
   許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする	許可リストに登録されているアプリは、アクセス要件を満たしていない場合でも、Google Workspaceデータへのアクセスはブロックされない

   

5. 設定内容を確認し、「割り当て」をクリックします

動作確認（アクセス失敗パターン）

作成したポリシーが期待した通り動作するか確認してみます。

まずは、アクセスを許可していないIPセグメントからアクセスし、アクセスがブロックされるかを確認します。

1. アクセスポリシーを適用した組織部門に属しているユーザーでGmailにログインします。
   

   

2. 許可されていないセグメントからのアクセスのため、アクセスがブロックされます
   

   

動作確認（アクセス成功パターン）

次に、アクセスを許可されたIPセグメントからアクセスし、アクセスが可能かを確認します。

1. アクセスポリシーを適用した組織部門に属しているユーザーでGmailにログインします
   

   

2. 正常にアクセスできることを確認します

   

おわりに

今回は、Google Workspaceのアクセス機能である「コンテキストアウェアアクセス」の概要について解説しました。

今回の動作検証ではIPアドレスによる制御を行いましたが、その他にも会社所有デバイス、アクセス元の地域、OS種別等の条件を組み合わせてポリシーを作成することが可能です。