設定グループでコンテキストアウェア アクセスを使用する

通常は、組織部門のアクセスレベルを定義してから、設定グループのカスタム アクセスレベルを決定します。たとえば、特定のユーザーのアクセスを迅速に許可または制限できるよう、「オープン アクセス」や「ロックダウン アクセス」といった設定グループを作成することができます。

通常は、次の設定グループを組み合わせて使用します。

既存のユーザー グループを使用する

ユーザー グループ内で各アプリ（Gmail や Google ドライブなど）のアクセスレベルを設定します。ユーザーが複数のグループに所属している場合は、そのユーザーの設定に使用するグループを指定します（詳しくは優先値をご確認ください）。

次の場合は、ユーザー グループにアクセスレベルを直接適用する方法が効率的です。

• コンテキストアウェア アクセスをテストする場合。
• 特定のユーザー グループ（IT 担当者やリモート チームなど）のアクセス権を管理する場合
• ユーザー数が 50 人未満またはアクセスレベルの数が少ない組織のアクセスを管理する場合。グループを新たに作成する必要はなく、各ユーザー グループの設定を微調整して適用できます。

アクセスレベルに基づいて設定グループを作成する

グループにアクセスレベルを割り当てることもできます。設定グループを作成して、1 つまたは複数のアプリについてアクセスレベルを割り当てます。次に、ユーザー グループを設定グループのメンバーとして追加します。

この方法は、大規模な組織でアクセス グループのポリシーや優先値を管理する場合に有効です（以下を参照）。

ユーザーが複数の設定グループに所属している場合、設定グループの優先度を指定して、そのユーザーのアプリへのアクセスレベルを定めます。

Google 管理コンソールで、対応するグループ優先値リストを表示するには、まずアプリケーションを選択する必要があります。グループは、優先値の高い順に表示されます。新しい設定グループは、常に優先値が最も低く、設定グループのリストの一番下に追加されます。

コンテキストアウェア アクセスの優先値

ユーザーが所属するグループのうち、優先値の最も高いグループのアプリの設定がユーザーに適用されます。特定のアプリに対するアクセスレベルがそのグループで設定されていない場合、次に優先値の高いグループのアクセスレベルが適用されます。

管理者は管理コンソールで、アプリに対するユーザーのアクセスレベルを指定しているグループや組織部門を確認できます。以下の例では、「ドライブのセキュリティ」グループによってユーザーのドライブへのアクセスレベルが決められています。

ユーザーのアプリ	アクセスレベル	継承元
Google カレンダー	会社のネットワーク	組織部門: 営業
ドライブ	会社のネットワーク, デバイスのセキュリティ	グループ: ドライブのセキュリティ
Gmail	デバイスのセキュリティ	組織部門: 営業
Google Vault	<なし>	<なし>

詳細に管理する場合は、次のようにグループを使用して各アプリのアクセスレベルをカスタマイズできます。

ユーザーのアプリ	アクセスレベル	継承元
Google カレンダー	会社のネットワーク	組織部門: 営業
ドライブ	会社のネットワーク, デバイスのセキュリティ	グループ: ドライブのセキュリティ
Gmail	デバイスのセキュリティ, カナダ	グループ: 北米
Google Vault	制限されたデバイス、会社のネットワーク	グループ: Vault 調査担当者

設定グループに優先値を適用する

• 重要な設定グループや機密性の高い設定グループの優先値を高くすることをおすすめします。たとえば、最優先グループは、アクセスを制限するすべてのグループより優先される「緊急アクセス」グループにするとよいかもしれません。 
   

• ユーザーが所属する複数のグループのアクセスレベルが、すべて適用されることはありません。この例では、ユーザーは 3 つのユーザー グループに所属していますが、最も優先値の高い「デバイス」設定グループのみでアクセスレベルが決まります。 
   

設定グループの構成の計画は、時間と見直しの手間が最もかかりがちな作業です。

グループの命名と検索

検索、優先値設定、監査を簡単に行えるよう、グループの命名規則を設定します。たとえば、コンテキストアウェア アクセスの設定グループであることを示すため、「caa」といった接頭辞を追加します。また、設定グループを追加するときは、小数位を使用することで、既存のグループ名を編集しないようにします。

			グループ アドレスで検索
			グループのリストを表示

• グループを検索: 次のように設定名と優先値を含む命名規則を設定することをおすすめします。

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

• グループを表示: [グループ] パネルには、グループ名（最大 37 文字）が優先値順に表示されます。グループにカーソルを合わせると、そのフルネームが表示されます。次に例を示します。

CAA p0.0 - Unrestricted access all apps
CAA p1.0 - Lockdown access
CAA p3.0 - Gmail IP corp & device security
CAA p3.1 - Gmail IP corp

グループの優先値設定

優先値と設定を管理するには:

• 適用対象のユーザー数が最も少ないグループ、または重要なポリシー（「ロックダウン アクセス」や「すべてのアクセス」など）を定義しているグループの優先値を最も高くすることをおすすめします。
• グループの構成に応じて適切に優先値を設定するようにしましょう。特に下層に深くネストされたグループには注意が必要です。ネストが深いものは、設定の際に漏れる可能性があります。

グループを作成する

使用する設定グループは、管理コンソール、Directory API、または Google Cloud Directory Sync で作成したグループである必要があります。Google グループで作成したグループは、設定グループとして使用することはできません（グループが Google グループで作成されたかどうかは、管理コンソールには表示されません）。

設定グループはどのツールでも管理できます。ユーザーの追加や削除に厳格な権限を設定したり、グループへの投稿を無効にしたり、ユーザーのグループからの退会を禁止（Group API でのみ可能）したりできます。

グループ、組織部門（最上位）、データ セキュリティのアクセスレベルの管理とルール管理の管理者権限が必要です。

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. メニュー アイコン   [セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェア アクセス] にアクセスします。

   データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

3. [アクセスレベルの割り当て] をクリックしてアプリのリストを表示します。
4. [コンテキストアウェア アクセス] 欄で [グループ] をクリックします。
5. 次のいずれかを選択します。
   • アプリをクリックします。アプリにアクセスレベルが割り当てられている既存の設定グループが、優先度順に一覧表示されます。
   • [グループを検索] をクリックすると、設定グループだけでなくすべてのグループのリストを確認できます。テキストを入力して結果を絞り込むことができます。
6. 目的のグループをクリックします。 アプリケーション テーブルに、割り当てられたアクセスレベルとともにすべてのアプリケーションが一覧表示されます。
    
   • グループが見つからない場合、そのグループは Google グループで作成されたものである可能性があります。設定グループの作成は、管理コンソール、Directory API、または Google Cloud Directory Sync で行う必要があります。
   • 優先値の高い順に設定グループを追加します。アプリに新しいグループポリシーを追加すると、優先値順で一番下に挿入されます。
7. 1 つ以上のアプリを選択し、[割り当て] をクリックします。
8. グループのアプリに適用するアクセスレベルを選択して [保存] をクリックします。デフォルトでは、新しいグループにはアクセスレベルが割り当てられていません。
   
   
   
   複数の種類の Google Workspace ライセンスを所有する組織の場合: グループ アクセスレベルは、コンテキストアウェア アクセス制御を含む Google Workspace エディションに割り当てられたユーザーにのみ適用されます。