今回は、Google Workspace機能である「コンテキストアウェアアクセス」について、設定手順の解説および動作の検証を実施します。
コンテキストアウェアアクセスとは
「コンテキストアウェアアクセス」を設定すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御をすることが可能となります。
※「コンテキストアウェアアクセス」を使用するには「Enterprise」以上のライセンスが必要となりますのでご注意ください。
コンテキストアウェアアクセス使用例
コンテキストアウェアを使用する例を以下に紹介します。
(舟越:↓箇条書きの構造を編集しました)
- 会社支給のデバイスのみGoogleアプリへのアクセスを許可する
- Google Workspaceへデバイスを登録する必要がある
- 指定したIPアドレス(例:社内ネットワーク)のみGoogleアプリへのアクセスを許可する
上記に記載した使用例はあくまでも一部の使用例となります。
アクセス元の属性を組み合わせることで、様々なアクセスポリシーを構築することが可能となります。
管理コンソール設定
アクセスレベル作成
今回は使用例の2点目として紹介した「指定したIPアドレス以外からのGoogleアプリへのアクセスをブロックする」ポリシーを作成し、動作検証を実施します。
- Google 管理コンソール(https://admin.google.com)に特権管理者アカウントでサインインします
- 「セキュリティ」>「アクセスとデータ管理」>「コンテキストアウェアアクセス」をクリックします
- 「アクセスレベルを作成」をクリックします
- 「アクセスレベルの名前」、「説明」に任意の値を入力します
- 「コンテキストの条件」に今回作成するポリシーの内容を設定します。「基本」タブの「属性を追加」をクリックし、「IPサブネット」を選択します
※属性は作成するポリシーに沿って変更してください
- アクセスポリシーの条件を入力します
※今回は指定したIPセグメント以外からのアクセスをブロックします
- 「作成」をクリックします
- 「このアクセスラベルの使用方法を設定する」画面が表示されますが、一度「終了」をクリックします
アクセスレベルの割り当て
「アクセスレベル作成」で作成したポリシーをアプリに割り当てます。
- Google 管理コンソールから、「セキュリティ」>「アクセスとデータ管理」>「コンテキストアウェアアクセス」に移動し、「アクセスレベルの割り当て」をクリックします
- アクセス制御をするアプリ、組織部門を選択し、「割り当て」をクリックします
※今回はGmail、テスト用組織部門を選択します
-
「アクセスレベル」で「アクセスレベル作成」で作成したポリシーを選択し、「続行」をクリックします
※「アクティブ」にチェックを入れると、ポリシーが即時反映されます。反映前に影響確認をしたい場合は「監視」のみにチェックしてください - 「その他の適用設定」では設定したい内容に沿ってチェックボックスを有効にして「続行」をクリックします
項目
説明
アクセスレベルの要件を満たしていない場合、ユーザーが Google のデスクトップ アプリやモバイルアプリにアクセスできないようブロックする
アクセス要件を満たしていない場合、デスクトップアプリ、Androidアプリ、iOSアプリへのアクセスをブロックする アクセスレベルの要件を満たしていない場合、選択したアプリに他のアプリが API を経由でアクセスできないようブロックする
アクセス要件を満たしていない場合、公開APIによってGoogle Workspaceデータへのアクセスを試みるアプリをブロックする 許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする
許可リストに登録されているアプリは、アクセス要件を満たしていない場合でも、Google Workspaceデータへのアクセスはブロックされない - 設定内容を確認し、「割り当て」をクリックします
動作確認(アクセス失敗パターン)
作成したポリシーが期待した通り動作するか確認してみます。
まずは、アクセスを許可していないIPセグメントからアクセスし、アクセスがブロックされるかを確認します。
- アクセスポリシーを適用した組織部門に属しているユーザーでGmailにログインします。
- 許可されていないセグメントからのアクセスのため、アクセスがブロックされます
動作確認(アクセス成功パターン)
次に、アクセスを許可されたIPセグメントからアクセスし、アクセスが可能かを確認します。
- アクセスポリシーを適用した組織部門に属しているユーザーでGmailにログインします
- 正常にアクセスできることを確認します
おわりに
今回は、Google Workspaceのアクセス機能である「コンテキストアウェアアクセス」の概要について解説しました。
今回の動作検証ではIPアドレスによる制御を行いましたが、その他にも会社所有デバイス、アクセス元の地域、OS種別等の条件を組み合わせてポリシーを作成することが可能です。