GoogleWorkspaceの会社所有デバイスとコンテキストアウェアアクセスを使って私物PCを制限する（概要）

修正履歴

・2022/08/10：初版。
・2024/01/19：修正履歴を追加。目次追加。大見出し追加。

詳細な記事は以下です。

https://note.com/oonotakashireal/n/nc22a96187511

以下に記述しているのはざっくりした概要です。

コンテキストアウェアアクセス構成要素

コンテキストアウェアアクセスを構成する要素は以下の５つ。

1. 管理するデバイスを確定させる。

   1. PC（WindowsとMacの両方）は管理する。

   2. スマホ（会社貸与や私物の両方）は管理しない。

      1. スマホは２要素認証で利用するので管理対象外とする

2. 管理するPC（WindowsとMacの両方）はブラウザをGoogleChromeとし、EndpointVerfication拡張をインストールする。

   1. Macの場合JamfProを使って配布する。

   2. Windowsの場合は手動でインストールしてもらう。ちなみにこの方法はMacでもOK

      1. https://chrome.google.com/webstore/detail/endpoint-verification/callobklhcbilhphinckomhgkigmfocg?hl=ja

   3. コンテキストアウェアアクセスで管理下に置かれるとGoogleChrome以外のブラウザではGoogleWorkspaceにアクセスできなくなる。

3. GoogleWorkspaceにデバイスのシリアルNoを登録し会社所有デバイスとする。

   1. 管理コンソール→デバイス→モバイルとエンドポイント→会社所有のインベントリを使ってシリアルNoをインポートする。

4. コンテキストアウェアアクセスで管理するかしないか組織を分ける。

   1. 管理コンソール→ディレクトリ→組織部門で組織を作成する。

      1. コンテキストアウェアアクセス管理用組織

         1. 作成したコンテキストアウェアアクセス管理用組織にコンテキストアウェアアクセスで管理したいアカウントを所属させる。

      2. コンテキストアウェアアクセス管理外用組織

         1. 作成したコンテキストアウェアアクセス管理外用組織にコンテキストアウェアアクセスで管理したくないアカウントを所属させる。

         2. もしくは何もしない。

5. コンテキストアウェアアクセスのアクセスレベルの条件にデバイスポリシーに会社所有デバイスを必須にするを設定する。

   1. 管理コンソール→セキュリティ→アクセスとデータ管理→コンテキストアウェアアクセス

会社所有デバイス（WindowsとMac）の場合

• 会社所有デバイスとしてシリアルNoを登録する

• コンテキストアウェアアクセス管理用組織に所属する

• GoogleChromeを使いEndpointVerficationをインストールする

• GoogleChromeを使用して会社のGoogleアカウントにアクセスする

スマホ（会社貸与や私物）の場合

• 何もせずでOK。

• モバイルデバイスは何も管理していない。

会社所有デバイス（WindowsとMac）が故障した場合

• 会社所有デバイスに私物PCのシリアルNoを一時的に登録しアクセス可能にする。

• 会社所有デバイスを再度貸与可能になったら会社所有デバイスから私物PCを削除する。

会社所有デバイス（WindowsとMac）を貸与していない業務委託等の場合

• コンテキストアウェアアクセス管理外用組織に所属させる。

• もしくは何もしない。

以上