我らが12banさんがGoogleのContext Aware Accessのついての記事を上げてくれました。

そこでふと、1年位前からContext Aware Accessを触っていたのを思い出したので、運用しての良い点、不満点、不満点への対策をまとめておこうと思います。

Context Aware Accessとは

日本語で言うところの条件付きアクセスになります。
Intuneだとそのまんまの機能名なのでわかりやすいですが、Googleさんは訳してくれてませんね。

運用面での良い点

組織部門、グループ、バイネームでの適用

適用範囲を柔軟に設定できる点ですね。
組織部門だけだとそれだけのために営業だったり開発だったりと分けないといけませんし、兼務の場合どちらに寄せるかで悩むことになりますが、グループであれば複数入っても問題なく、より条件が厳しい方に寄るのでセキュリティ的にも助かります。

注意点としてはグループはユーザーが作成可能なGoogleグループ（hogehoge-grp@expample.com）ではダメで、管理者が作成可能なビジネス向けグループのみ対象となる、というところでしょうか。

個人所有端末などより細かい条件でのアクセス制限

接続元IPアドレスや会社所有デバイスとして登録しているかどうかなど、ある程度の条件は画面から設定可能ですが、クエリ的な構文でより細かい条件でアクセス制限することも可能です。

デバイス証明書やサードパーティー連携による認証なども可能なようですが検証していないので割愛します。アプリとして指定できるのであれば多分大丈夫。

複数の条件の組み合わせが可能

上記条件を組み合わせることも可能です。
設定する条件はメンテナンスしやすいように小分けにして組み合わせています。
・Jamfに登録されている端末であること
・Intuneに登録されている端末であること
・会社所有のデバイスであること
・IPアドレスが指定されている範囲内からのアクセスであること

運用面での不満点

会社所有デバイスへの登録が手動

会社所有デバイスがスプレッドシートのアップロードによる登録なので、かなり面倒ですね。
一応APIはあるっぽいので自動化自体はできると思いますが、管理コンソールだとiOSがないので片手落ち感は否めません。

不満点をどう解消するか

Google BeyondCorp Enterprise連携の導入

Google BeyondCorp EnterpriseとはGoogleが提供しているゼロトラストソリューションになります。

こちら厳密にはGoogle Cloudのサービスなんですが、一部機能を利用する形でGoogle Workspaceで活用できます。
なので、Google BeyondCorp Enterprise自体には詳しくないです。

現在Google BeyondCorp Enterpriseに対応しているのはJamf ProとIntuneのみで、Jamf ProはmacOS / iOS / iPadOS、IntuneはWindows / macOSに対応しています。
AndroidはどのMDMも対応していません。早く、頼む。

この機能を活用することで、デバイス情報を都度会社所有デバイスに登録する必要なく、会社が管理している端末かどうかを判断することが出来ます。
会社所有デバイスの登録は協業先など会社が管理していないがアクセスさせたい端末のみ活用する事になりますね。

実際今年度初めに導入しましたが、今まで事業部から依頼されていた会社所有デバイスへの登録依頼が減ったのは管理面業務面共に良かったかなと思います。
ただまぁWindowsに関しては稀にコンプライアンス準拠エラーが出るので完全とは言えませんが…。
導入も非常に簡単かつスモールスタートが可能なので、会社情報をGoogleドライブに格納している企業はぜひ活用してほしいなと思います。

BeyondCorp連携の運用面での話はこの辺りを参考にしてもらえれば。

なおmacOSとiOSについてはJamfって企業がJNUCで登壇した時のレポートを書いてくれているので、もしよければこちらもご参照ください。

デバイス証明書の導入

というわけでほとんどの端末は上記のGoogle BeyondCorp Enterprise連携で解決するのですが、コンプライアンス準拠エラーなど一部端末が想定外の動きをする可能性がある以上、万全ではありません。
そこをフォローするにはデバイス証明書でのチェックしかないかなと思っています。

手順についてはpiroxさんが丁寧な記事を上げているのでこちらをご参照してください。（私も大変助かりました！）

ここまでいければ概ねアクセス制限は全社展開しても問題ないかなと思います。
色々とお金はかかりますし、導入の順番や経営層や対象部署との調整など泥臭い部分はまぁまぁありますが、お金で買える範囲の安全はこの辺かなって感じです。