アクセス承認を使用するには、Google Workspace の Assured Controls アドオンが必要です。詳しくは、営業担当者までお問い合わせください。
Google Workspace のアクセス承認の設定では、Google スタッフに対して、サポート操作に関連するデータを閲覧する前に組織に承認をリクエストするよう求めることができます。
注:
- Google スタッフがお客様のデータにアクセスできるのは、サポート サービスを提供するのに必要な場合、契約上の義務および法的義務を果たすのに必要な場合、システムを保護または維持する場合に限られます。
- アクセス承認は、アクセス管理とアクセス承認の対象範囲のデータで説明されている特定のコアサービスのデータに対応しています。
アクセス承認を利用するための要件
アクセス承認を使用するには、Google Workspace の Assured Controls アドオンが必要です。アクセス承認のメリットを最大限に活かすため、Assured Controls に割り当てられるユーザーは、Workspace Enterprise Plus を使用している組織(Assured Controls アドオンを利用)のメンバーである必要があります。アクセス承認イベントは、アクセスの透明性ログに表示されます。
注: Enterprise Plus の管理者に対し、個々の組織部門には複数のサブスクリプション レベルのユーザーが混在している可能性があります。アクセス承認を使用して特定の組織部門に対してポリシーを設定した場合、そのポリシーは組織部門内の Assured Controls ライセンスを持つユーザーにのみ適用されます。詳しくは、複数の Google Workspace エディションを使用している場合をご覧ください。
アクセス承認を設定する
-
特権管理者アカウントで Google 管理コンソール にログインします。
特権管理者アカウントを使用していない場合は、この手順を完了できません。
-
管理コンソールで、メニュー アイコン
を開いて、[アカウント]
[アカウント設定]
-
ドメイン全体に対してアクセス承認を設定するには、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門またはグループを選択します。
- [サポート サービスに必要なデータが表示される前に Google のスタッフの承認を要求する] オプションをオンにします。
- 最上位の組織部門を選択した場合は、[保存] をクリックします。
子組織部門またはグループに対してアクセス承認を設定する場合は、[オーバーライド] をクリックします。
注:
- サポートの応答時間は、Google Workspace サポートがお客様の承認を待つ間だけ長くなります。サービスの高可用性と Google Workspace サポートによる迅速な対応が必要になる場合は、アクセス承認を有効にすることの影響を十分に考慮することをおすすめします。
- 状況によっては(単独のユーザーに対するサービス停止の修復や法的要請など)、時間的制約のため、アクセス承認ポリシーを省略してお客様のコンテンツにアクセスする必要がある場合があります。
アクセス承認リクエストの管理
アクセス承認リクエストはアラート センターに表示されます。
アクセス承認リクエストを管理、フィルタするには:
- Google 管理コンソール(admin.google.com)で、[セキュリティ]
- アラート センターのリストで、[フィルタを追加] をクリックします。
- リストからフィルタの条件として [アラートの種類] を選択します。
- [アラートの種類] ウィンドウで、[アクセス承認リクエスト] チェックボックスをオンにします。
- [Apply](適用)をクリックします。
詳しくは、アラート センターを使用するをご覧ください。
アクセス承認リクエストを承認または拒否する
保留中のアクセス承認リクエストが選択されている場合は、リクエストを承認または拒否できます。各リクエストには、データアクセスのスコープ(Gmail やドライブなどのメインデータなど)、アクセス リージョン(データへのアクセス元)、アクセス期間が含まれます。
管理者がアクセス承認リクエストを承認または拒否するには、アクセス承認リクエストの管理権限が必要です。リクエストを承認すると、[スコープ] フィールドに一覧表示されているデータへのアクセス権が Google スタッフに付与されます。データへのアクセス権は、[アクセス終了日] フィールドで指定した日付で失効します。
注: リクエストを拒否しても、以前に承認したアクセス承認リクエストによって付与されたアクセス権は維持されます。
承認を取り消す
承認されたアクセス承認リクエストのアクセス期間がまだ経過していない場合、管理者はアクセス権を取り消すことができます。承認されたリクエストを表示して、選択できる操作を選択し、承認されたリクエストで [選択できる操作] を選択します。
注: 承認済みのリクエストに対するアクセス権を取り消しても、同じスコープを対象とする、以前に承認された別のアクセス承認リクエストを通じて付与されたアクセス権が取り消されることはありません。
アクセス承認リクエストに対するレスポンスを確認する
監査と調査またはセキュリティ調査ツールを使用すると、アクセス承認リクエストに対する過去の回答を確認できます。
注: セキュリティ調査ツールにアクセスできるかどうかは、Google Workspace のエディション、検索対象のデータソース、管理者権限によって異なります。詳細については、セキュリティ調査ツールのデータソースをご覧ください。
セキュリティ調査ツールでの検索方法
- Google Workspace の管理者アカウントで Google 管理コンソール(admin.google.com)にログインします。
- 画面の左側で [セキュリティ]
- [データソース] で [管理ログイベント] を選択します。
- [条件を追加] をクリックします。
- [属性] で [イベント] を選択します。
- [イベント] で、テキスト検索でアクセス承認を見つけて [アクセス承認に関する管理者の操作] を選択します。
- [検索] をクリックします。
- ページ下部の表で検索結果を確認します。
[説明] 列に、組織内のアクセス承認リクエストに対する過去のレスポンス(承認または拒否)が表示されます。
セキュリティ調査ツールを使用して管理ログイベントの履歴を確認する方法について詳しくは、管理ログイベント: セキュリティ調査ツールをご覧ください。
監査と調査ページでの検索方法
- Google Workspace の管理者アカウントで Google 管理コンソール(admin.google.com)にログインします。
- 画面の左側で [レポート]
- [フィルタを追加] アイコン
をクリックし、[イベント] を選択します。
- [イベント] で、テキスト検索でアクセス承認を見つけて [アクセス承認に関する管理者の操作] を選択します。
- [Apply](適用)をクリックします。
- [検索] をクリックします。
- ページ下部の表で検索結果を確認します。
[説明] 列に、組織内のアクセス承認リクエストのステータス(承認または拒否)が表示されます。
[監査と調査] ページを使用して過去の管理ログイベントを確認する方法について詳しくは、管理ログイベント: [監査と調査] ページをご覧ください。
アクセス承認メールの管理
管理者は、新たに保留されたアクセス承認リクエストをメールで受け取ることができます。メール通知は、アクセス承認リクエスト ルールで構成できます。
