見出し画像

Google Workspaceのアクセス制御の基本

haya

お話すること・訊かれることがたびたびあったのでnoteにまとめておきます。


想定する読者

  • Google Workspaceでのアクセス制御方法を知りたいシステム管理者

  • Google WorkspaceをIdPとして利用したいシステム管理者

    • ≒OktaやAzureADを導入する予算がない企業のシステム管理者

アクセス制御の種類

Google Workspaceには大きく下記2種類の制御方法があります。

組織部門(OU)やグループによる静的なアクセス制御(GWS管理コンソール > アプリ)

下記のサービス群を組織部門(OU)またはグループ単位で、静的にオン・オフできます。オフに設定したサービスは「xxxxx(サービス名)へのアクセス権がありません」と利用者に表示されるようになり、サービスの利用ができなくなります。

  • Google Workspaceのサービス

    • Gmail

    • カレンダー

    • Google Meet

    • ドライブとドキュメント(Drive、スプレッドシート、ドキュメント、スライドなど)

    • Googleサイト

    • Googleチャット など

  • カスタムSAMLアプリ(SAML2.0)

  • その他のGoogleサービス

    • Google マップ

    • Google翻訳

    • Googleアナリティクス など

デバイスの状態などに応じたアクセス制御(コンテキストアウェアアクセス)

Google WorkspaceのサービスカスタムSAMLアプリの各サービスに対して、デバイスの状態(OSやディスク暗号化の状態、IPアドレス)などを条件にしたアクセス制御を行うことができます。
例えば「OSがMacで、バージョンが13.3.1以上であること」のような条件式で、条件を満たさない端末では「アクセス権がありません」と表示され、サービスの利用ができなくなります。OSアップデートを実施するなどして端末が条件式を満たすようになるとアクセスできるようになります。
この制御は組織部門単位、グループ単位、ユーザー単位で設定が可能です。

(※)この機能を利用できるエディションは、Enterprise、Education Standard、Education Plus、Cloud Identity Premiumです

利用例

例えば、下記のような使い方をしています。

  • Googleサイトは全社的に利用を禁止したいので組織部門のルートでオフにしておく(GWS管理コンソール > アプリでオフ)

  • ドライブとドキュメントは、下記のアクセスを禁止したいので条件式を設定しておく(コンテキストアウェアアクセス)

    • スマートフォンやタブレットによるアクセスを禁止

    • WindowsやMacでもアップデート未適用の端末はブロック

コンテキストアウェアアクセスの限界

  • PCはChromeブラウザでアクセスしているありきです

    • 加えて、拡張機能「Endpoint Verification」をインストール・有効化しておく必要があります

    • SafariなどのChrome以外のブラウザでは条件式が有効に機能せず、「アクセス権がありません」になります

  • 判定に使える属性が少なめで、まともに使えない属性もあります

  • OSごとに指定できるバージョン(最低バージョン)は1つのみです

    • そのため、例えばmacOS Ventura(13.x)とMonterey(12.x)が混在する環境では「12.x.x」を指定することになり、Venturaはすべてのマイナーバージョンが許可されます

    • 小細工することで共存している風にすることはできますが運用がなかなか手間です

  • SAML2.0に対応していないSaaSでは利用できません

    • SAML2.0によるSSOの設定ができている前提のため

Google WorkspaceをIdPとして使用する?

  • Okta、AzureADなどの製品導入の予算がない企業の一時凌ぎ 初手としてはありだと思ってます(それで導入&運用しています)

    • 予算があればOktaやAzureADを迷わず導入したほうが良いです

  • アクセス制御では主にコンテキストアウェアアクセスを使うことになるため、「Chromeブラウザ x Google Workspaceのサービス + SAML2.0対応のSaaS(Slack + α)」が業務の中心にある企業と相性が良いです

    • それなりに有効に運用できてます(工夫してます)

  • BYOD端末にも比較的容易に導入しやすいです

    • PCはChromeブラウザとEndpoint Verificationがインストールされていれば良いだけ

    • Android端末とiOS端末は、仕事用プロファイルの作成やプッシュ証明書をインストールしたほうが安定するので、PCよりはちょっと重め

最後に

高級IdPの導入ができることを夢見て、運用がんばります。

この記事が気に入ったらサポートをしてみませんか?