https://cloud.google.com/resource-manager/docs/organization-policy/restricting- domains#setting_the_organization_policy ドメイン制限制約はリスト制約の一種です。Google Workspace のお客様 ID は、ドメイン制限制約の allowed_values リストに追加したり、リストから削除したりできます。ドメイン制限制約では拒否値はサポートされておらず、deny_values リストに ID が含まれている組織ポリシーを保存することはできません。
allowed_values にリストされている Google Workspace アカウントに関連付けられているすべてのドメインは、組織のポリシーによって許可されます。それ以外のドメインは、組織のポリシーによって拒否されます。

Cloud Bigtableは、大規模な分析および運用ワークロードに対応するために設計されたフルマネージドNoSQLデータベースサービスです。その主要機能の一つは、複数の地理的な場所にデータを自動的に複製し、高い可用性と復元力を確保することです。以下に詳細を説明します。
レプリケーション：Cloud Bigtable は、異なる地理的リージョンにまたがるマルチクラスタ ルーティングとレプリケーションをサポートしています。つまり、データはリージョン内の複数のゾーン、あるいはリージョンをまたがって複製され、地理的な冗長性が確保されます。
自動処理：Bigtableは一度設定すれば、手動操作を必要とせずにレプリケーションを自動的に管理します。これは、少なくとも2つの地理的な場所への自動レプリケーションを必要とする長期データストレージに関する同社のポリシーに沿ったものです。
ユースケースの適合性: Bigtable は、大量のデータへの低レイテンシのアクセスを必要とするアプリケーションに最適であり、分析アプリケーション、IoT、金融データ処理などのさまざまなユースケースに適しています。
設定：レプリケーションの設定には、複数のゾーンにインスタンスを作成し、それらをデータ複製するように設定する作業が含まれます。Google Cloud の管理インターフェースと API を活用すれば、設定と監視が簡単に行えます。
参照：
Google Cloud Bigtable ドキュメント
Google Cloud Storage オプション

重要な要件は、クライアントデバイス（つまり「企業内コンピュータ」）に基づいてアクセスを制限することです。コンテキストアウェアアクセス（CAA）は、デバイスのセキュリティステータスやIPアドレスなどのコンテキスト要因に基づいてアクセスを制限するように設計されたGoogle Cloud専用のツールです。
コンテキスト制限: コンテキスト認識アクセスを使用すると、デバイス ポリシーのコンプライアンス、オペレーティング システム、IP アドレスの範囲などの属性に基づいてアクセス レベルを定義できます。これにより、「企業のコンピューター」の要件に対応できます。
分離と制御: アクセス レベルは、プロジェクト レベル (またはフォルダ/組織レベル) で適用された組織ポリシーを通じて適用され、このプロジェクトの Cloud Storage へのアクセスを分離し、特定のリソース (Cloud Storage) へのアクセスを制限するという要件を満たします。
VPC Service Controls（VPC SC）（オプションB）は、プロジェクトの分離とデータ流出防止に優れていますが、主なアクセス制限メカニズムはIPアドレス範囲に基づいており、きめ細かなデバイスセキュリティ体制とユーザーIDの組み合わせに基づいていません。そのため、デバイス固有の適用にはCAAの方がより正確なツールとなります。また、エンドユーザーアクセスにIPアドレスに基づいてVPC SCの上り（内向き）/下り（外向き）を適用することは、CAAよりも複雑で柔軟性に欠ける可能性があります。
IAM (オプション D) は、リソースにアクセスできるユーザー (ID) のみを制御し、どこからどのように (コンテキスト) アクセスするかは制御しません。
抜粋:
「コンテキストアウェア アクセス（CAA）は、Google Workspace または Cloud Identity と統合され、ユーザーの位置情報、デバイスのセキュリティ ステータス、IP アドレスなどのコンテキストに基づいて、Google Cloud リソースへのきめ細かなアクセス制御を実現します。」（出典 7.1）
Cloud Storage などの Google Cloud リソースに CAA を適用するには、必要なコンテキスト（企業管理デバイスのみなど）を定義するアクセスレベルを作成し、組織ポリシーの制約（例：
プロジェクト レベルで、iam.allowedServices などのサービス属性を明示的に許可する必要があります。(出典 7.2)
「CAAを使用すると、デバイスのセキュリティ状況に基づいてアクセスを制限できます。これは、セキュリティを強化するための重要な要件です。
「企業コンピュータへのアクセス」（出典7.3）

説明
Google は、Google または Google の委託を受けていない物理的な境界外にデータが移動する場合、1 つ以上のネットワーク レイヤで転送中のデータを暗号化し、認証します。VPC ネットワーク内およびピアリングされた VPC ネットワーク内のすべての VM 間トラフィックは暗号化されます。https://cloud.google.com/docs/security/encryption-in-transit#cio-level_summary

ユーザーが 2 段階認証 (2SV) の 2 番目の要素を紛失した場合、バックアップ コードを生成することで、最小限のリスクでアクセスを回復できるようにすることができます。
* バックアップコードを生成する (A):
* Google 管理コンソールで、ユーザーのアカウント設定に移動します。
* ユーザーのバックアップコードを生成します。このコードを使用すると、通常の2要素認証にアクセスできない場合でもサインインできます。
* ユーザーにバックアップ コードを使用してログインし、アカウント設定で 2 番目の要素を更新するように指示します。
この方法により、影響を受けるユーザーのアクセスのみが一時的に調整され、全体的なセキュリティ ポリシーを維持しながらリスクが最小限に抑えられます。
参考文献
* Google 管理コンソールの 2 段階認証プロセスに関するドキュメント