くらめその情シス:Googleコンテキストアウェアアクセスでモバイルアクセスを切り分けてみた
どうも、情シスやってますアノテーションの徳道です。
弊社では基幹システムにGoogle Workspaceを使っているのは過去の記事の中でいろいろ触れてきました。
先日、社内で今後の条件付きアクセスの事前調査として会社貸与のPC以外にどれくらい(個人の)モバイルでメールやカレンダー見てるんだろう?というアンケートを取ってみました。
およそ半分の社員の方から回答があり、さらにその半分の方が「使ってるよ!」「ないと不便だよ!」と熱量の高いコメントをいただいたこともあり、さて一律でアクセスがダメとは言えんよね、ということになりました。
せめて使えるアプリを限定できるようにならないか
とはいえ、個人のモバイルでGoogle WorkspaceなんでもOKになるのはそれはそれで統制できないと困るよな、という課題があるのも事実でした。
Google WorkspaceにSSOでユーザーを認証できたとして、そのままではGmailでもカレンダーでもGoogleドライブでも何でもかんでもアクセスができてしまいます。
カレンダーだけ見れればいい、という要望があったとして、そのためだけにGmailやGoogleドライブも見れたりするのはNeed To Knowの原則に反する気もします。
まぁ、少なくとも何かあったら仕組みで止められるようにはしとかんといけんよね、ということです。
そこでPoCの一環としてGoogleコンテキストアウェアアクセスを試してみることにしました。
やりたいことはGoogle Appsのデバイス別制御です。
- PC(OSがMacOS またはWindows)ではGoogle Appsにフルアクセス
- モバイルでは特定のGoogle Appsにだけアクセス(PCのOS以外)
- 同じユーザーのアクセスを上記のデバイスによって振り分けたい
なお、Google コンテキストアウェアアクセスを利用するためにはGoogle WorkspaceのEnterprise、Education Plus以上のプランが必要です。
コンテキストアウェアアクセスを設定してみる
設定用の組織を作る
をコンテキストアウェアアクセスはGoogleWorkspaceの「組織」単位で設定が可能です。
そのため、設定用の組織を作成して、そこにテストを行うユーザーを所属させることが確実です。
本番に設定するとき以外はルートや、一般社員の方が所属する組織で設定しないよう、十分注意をしてください。
【組織の設定例】
組織でモバイルアクセス時の条件を設定する
設定用の組織が作製で来たらコンテキストアウェア アクセスの設定を行っていきます。
Google Adminの画面から「セキュリティ」→ 画面を下にスクロールし「コンテキストアウェア アクセス」を選択します。
アクセスレベルを設定
最初にアクセスレベル=条件を設定します。
「アクセスレベルを設定」をクリックすると条件編集画面になります。
ここで名前と説明を記載したら、条件の設定をしましょう。
条件は一つ設定を確定すると次の条件を「AND」か「または(OR)」で条件付けできます。
条件の中には「属性」があり、この属性で判定したい要素を選択します。属性も一つの条件の中で「AND」で複数を設定できます。
例えば、例の画像のような属性を設定した場合、
「OSがWindows」AND「アクセスしてきた地域が日本」が2つとも成立した場合、この条件に合致した、と判断されます。
属性は必ずANDで成立するため、属性に相反するものを入れると判定がNGになることがあるので、気を付けましょう。
OR条件を設定したい場合は「条件を追加」します。
今回の要件としては、「OSがMac」または「OSがWindows」なので、2つの条件を「または」で設定します。
条件を作成したら忘れずに保存しておきましょう。
アクセスレベルの割り当て
アクセスレベルを作成したら、その条件をどの組織のどのアプリに割り当てるかを選択します。
アクセスレベルの割り当てを開くと、左ペインに組織ツリー、右ペインにアプリの一覧が表示されます。
今回はGmailとGoogleドライブ(ドライブとドキュメント)に割り当ててみましょう。
アプリを選択するとダイアログが表示され、先ほど作成したアクセスレベルが一覧表示されるので選択して保存します。
また、この条件はデスクトップアプリ、モバイルアプリにも適用されるようにしておきましょう。ここをチェックしない場合、Webブラウザからのアクセスだけがコンテキストアウェアアクセスの対象になります。
アクセスレベルが割り当てされている組織はツリーに「●」が付きますので、判別は簡単ですね。
ユーザーへのメッセージの設定
条件に合致せず、アクセスを禁止された場合にブラウザやアプリに表示されるメッセージはカスタマイズが可能です。
今回はテストなので特にそのままにしておきますが、アクセスできない理由や問い合わせ先を書いておくとよいかもしれません。
コンテキストアウェアアクセスを有効にする
ここまでの設定が終わったらトップ画面でコンテキストアウェアアクセスを「有効」にします。
「オン」になると、設定されているすべての条件が有効になりますし、「オフ」野場合もすべての設定が無効になります。
本番運用が始まった場合、ここは常時「オン」にしておいたほうがよいですね。
特定のアクセスレベルを有効にしたくない場合は、その組織にユーザーを所属させなければ「オン」でも問題ありません。
ユーザーをコンテキストアウェアアクセスを有効にした組織に所属させる
この設定により、実際にコンテキストアウェアアクセスに設定した条件が適用されるようになります。
ユーザーの組織を変更するためにはGoogleWorkspaceのユーザー管理者ロールが必要です。
さぁこれで設定ができました。
PCとモバイルからアクセスしてみる
今回の設定では、
- MacOSとWindowsからは通常通りのGmailやGoogleドライブにアクセスできる
- iOSやAndroidではGmail、Googleドライブにはアクセスできないが、その他のアプリは使える
となればOKです。
PCからアクセスしてみる
PCにGmailとGoogleドライブにWebブラウザからアクセスしてみます。
あらら・・・。これはなぜかというと、Google側でOSの情報を取得できていないためなのですね。
ブラウザからのアクセスはEndpoint Verification プラグインを追加する必要がある
ブラウザでコンテキストアウェアアクセス制御されたGoogleアプリにアクセスするためにはChrome拡張機能で「Endpoint Verification」を追加する必要があります。
全ての制御対象ユーザーへの配布が必要ですので、GoogleWorkspaceのChromeの設定で配布しておくとよいかもしれません。
Endpoint Verification Chrome拡張機能
Endpoint Verification拡張機能を有効にして、ブラウザを再起動して再度アクセス。
今度は無事にアクセスできました!
なお、デスクトップ版Googleドライブはコンテキストアウェアアクセスが有効になった後、一度アクセスが拒否されますが、再ログインすればアクセス可能です。
モバイルからアクセスしてみる
それでは次にモバイルからGmailとGoogleドライブにアクセスしてみましょう。
個人のAndroidスマホからWebでアクセスしてみます。
アクセスできませんね。
モバイルアプリからアクセスしてみますが…。
やはりできません。メッセージもコンテキストアウェアアクセスの設定なのでOKですね!
ちなみに制限をしていないGoogleカレンダーはちゃんとアクセスできます。
これで、PCではOKだけど、モバイルからは特定のGoogleアプリをアクセス拒否できる、という設定ができました!
おわりに
今回はモバイルの設定をしていますが、アクセスレベルの属性にはいろいろありますので、オフィスからのアクセスを見て制御するなどに使えそうですね。
- IPサブネット
- サクセス元の地域
- デバイスポリシー(GoogleのMDMに参加しているとデバイスの設定状況を指定できます)
- デバイスのOS ← 今回試用
- アクセスレベル ←作成済みの別のアクセスレベルを再帰的に指定可能
社内では実際にここまでの制御を取り入れてはいませんが、BYODで個人のスマートフォンを利用OKにする場合、メールやカレンダー、MeetはモバイルでOKにしたいけど、Googleドライブはダメ、というような使い分けをしたい場合にはちょうどいい機能かもしれません。
Google Workspace Enterpriseを利用している管理者の方は一度試してみると柔軟な運用に活かせるのではないでしょうか。
アノテーション株式会社について
アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。
