管理者権限の定義

Google 管理コンソールで新しい管理者の役割を作成したり、ユーザーに役割を割り当てたりすると、ユーザーに権限が付与されます。役割を割り当てられたユーザーは、管理コンソールを利用できるようになります。割り当てられた役割の権限によって、管理コンソールのホームページに表示されるコントロール、確認できる情報、実施できる操作が異なります。また、管理 API を使って各種の操作も行えるようになります。詳しくは、以下をご覧ください。

役割を割り当てる 独自の役割を作成する

管理コンソールの権限

管理者権限 説明

組織部門

 この権限を与えられた管理者は、アカウントの組織構造を管理することができます。

[作成]、[読み取り]、[更新]、[削除] のチェックボックスがあり、オンにした操作を管理者が管理コンソールの [ユーザー] ページから実施できるようになります。

  • 作成
  • 更新
  • 削除
  • 読み取り

[作成]、[更新]、[削除] のいずれかの権限を付与すると、[読み取り] 権限が自動的に付与されます。ここで権限を付与すると、対応する管理 API の権限も付与されます。

管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳細

ユーザー

これらの権限を与えられた管理者は、管理者ではないユーザーに対する操作を行うことができます。[作成]、[読み取り]、[更新]、[削除] の各チェックボックスのうち、付与する権限をオンにします。ここで権限を付与すると、対応する管理 API の権限も付与されることにご注意ください。

ユーザー管理の権限

  • 作成
  • 読み取り
  • 更新
    • ユーザーの名前を変更
    • ユーザーを移動
    • パスワードを再設定
    • パスワードの変更を強制する
    • エイリアスを追加 / 削除
    • ユーザーを停止
  • 削除

これらの権限は、個別に付与することができます。[作成]、[更新]、[削除] のいずれかの権限を付与すると、[読み取り] 権限が自動的に付与されます。

管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳細

注: 他の管理者の設定を変更できるのは特権管理者のみです。
 

ヒント: ユーザー グループの閲覧のみを許可して編集は許可しない場合は、その管理者に API 権限の [グループ] > [読み取り] を付与します。

セキュリティ

ユーザー セキュリティの管理

この権限を与えられた管理者は、個々のユーザーのセキュリティ設定を管理することができます。この権限によって管理できるのは、管理者権限を持たないユーザーのみです。

管理者は [ユーザー] 一覧の各ユーザーの詳細ページから、次の操作を行うことができます。

  • ユーザーに 2 段階認証プロセスを適用するかどうかを指定する(特権管理者のみ)
  • ユーザーのログイン時の本人確認が 10 分間不要になるように設定する
  • ユーザーのセキュリティ キーの確認や取り消しを行う
  • アプリ パスワードの確認や取り消しを行う
  • ログイン Cookie をリセットする
  • ユーザーがサードパーティ製アプリに付与した 3-Legged OAuth トークンの確認や取り消しを行う

販売パートナーが代理管理者としてログインしている場合、ログイン Cookie をリセットする設定は表示されません。

注: 他の管理者のセキュリティ設定を確認できるのは特権管理者のみです。2 段階認証プロセスを適用または無効にするかどうかの指定を除き、これらすべての操作の適用範囲を特定の組織部門に限定することができます。​

ここで権限を付与すると、対応する管理 API の権限も付与されます。

セキュリティ設定

この権限を与えられた管理者は、[セキュリティ] ページにある、すべてのユーザーに適用される設定を管理することができます。たとえば、安全性の低いアプリからのアカウントへのアクセスを許可するかどうかの指定、ユーザー パスワードの管理、シングル サインオン(SSO)と認証の設定などを行うことができます。

安全性の低いアプリからのアカウントへのアクセスを許可するケースを除き、操作の適用範囲を特定の組織部門に限定することはできません。

グループ

管理コンソールで作成されたグループに対する完全な制御権限が与えられます。

この権限を与えられた管理者は次の操作を行うことができます。

  • ユーザー プロフィールや組織構造を表示する
  • 管理コンソールでグループを作成、管理、削除する
  • グループのアクセス設定を管理する
  • アクセス グループに対してサービスを有効にする(組織部門およびサービスの権限も必要)

ここでグループ管理の権限を付与すると、対応する管理 API の権限も付与されます。

上記の操作の適用範囲を特定の組織部門に限定することはできません。

ドメインの設定

この権限を与えられた管理者は次の操作を行うことができます。

  • 組織の名前、言語、ロゴ、タイムゾーンを変更する
  • Google Cloud アカウントのお支払い情報を確認する
  • ドメインやドメイン エイリアスを追加または削除する
  • パスワード再設定用の連絡先情報を更新する
  • Google Cloud アカウントを削除する
  • 機能リリースのプロセスを管理する
  • お知らせの設定を行う

上記の操作の適用範囲を特定の組織部門に限定することはできません。

レポート

 使用状況レポートや監査ログへのアクセス権限が与えられます。この権限を与えられた管理者は次の操作を行うことができます。
  • サービスの使用状況を示すグラフを表示する
  • ドキュメントの編集などのユーザー アクティビティをトラッキングする
  • 管理コンソールで他の管理者が行った変更をトラッキングする

上記の操作の適用範囲を特定の組織部門に限定することはできません。

サポート

この権限を与えられた管理者は、電話、チャット、メールで Google Cloud サポートに問い合わせることができます。あらかじめ定義されている特権管理者の役割が割り当てられているすべてのユーザーが、サポートに問い合わせることができます。

Google 管理コンソール以外で行われた作業に関するものを含め、あらゆる事象のテクニカル サポートを依頼できます。

上記の操作の適用範囲を特定の組織部門に限定することはできません。

[サービス] > [サービスの設定]

サービスの設定

アカウント内の個々のサービス設定やデバイスを管理できます。この権限を与えられた管理者は次の操作を行うことができます。

  • サービスのオンとオフを切り替える、サービスの設定やアクセス権限を変更する - アカウントに追加した特定のサービス(Gmail、カレンダー、ドライブなどの G Suite サービス)、Marketplace アプリ、無料の Google サービス(Google+ や Blogger など)が対象です。Google Vault や Google クラウド プリントといった一部のサービスでは、[サービスの設定] 権限がサポートされていません。
  • サービスのカスタム ウェブアドレスを作成する
  • 管理コンソールに一覧表示される Chrome デバイスやモバイル デバイスを管理する

[サービスの設定] チェックボックスをオンにすると、カレンダー、モバイル デバイス管理、ドライブ、ドキュメント、Gmail、Hangouts Chat、ディレクトリの [設定] 権限が有効になります。

上記の操作の適用範囲を特定の組織部門に限定することはできません。

[サービス] > [カレンダー]
  • 設定 - 組織のカレンダーに関するあらゆる設定を管理できます。
  • ビルディングとリソース - カレンダー リソースの作成、編集、削除を行ったり、会議室インサイト ダッシュボードを利用したりできます。
  • 会議室インサイト - 会議室インサイト ダッシュボードで情報を表示したり、フィルタを設定したり、期間を調整したりできます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

注: この権限を持つ管理者は、リソースの作成、編集、削除のみを行うことができ、カレンダー リソースの共有設定を変更することはできません。

[サービス] > [Mobile Device Management]

管理コンソールで一覧表示されるモバイル デバイスを完全に制御することができます。この権限を与えられた管理者は、モバイル設定やデバイス ポリシーの管理、モバイル デバイス管理のすべての操作(有効化、ブロック、削除、ワイプなど)を行うことができます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [ドライブとドキュメント]
  • 設定 - 組織の Google ドライブとドキュメント エディタ サービスに関するあらゆる設定を管理することができます。

    この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。管理者がドライブ ファイルのオーナー権限を譲渡するには、この権限と [データ移行] 権限の両方が必要です。
  • ドキュメントのテンプレート - ユーザーはドキュメント、スプレッドシート、スライド、フォームの組織独自のテンプレート ギャラリーで、テンプレートの削除や再分類を行うことができます。管理コンソールの [ドライブとドキュメント] でテンプレートの設定を管理することもできます。

    テンプレートの送信が管理コンソールで [管理対象] に設定されている場合、この権限を付与されたユーザーはテンプレートの送信を承認または拒否することができます。送信が [制限付き] に設定されている場合、この権限を付与されたユーザーはギャラリーにテンプレートを追加できます。詳しくは、カスタム テンプレート ギャラリーを管理する方法についてのページをご覧ください。

    この権限を持つと、管理コンソールの [ドライブとドキュメント] でカテゴリとテンプレート設定を管理することもできます。
  • ファイルやフォルダを共有ドライブに移動する - 管理者はファイルやフォルダを共有ドライブに移動することができます。
  • メタデータ カテゴリを管理する - 管理者はドライブのファイルやフォルダに対してカスタム メタデータ カテゴリを作成することができます。ドライブ メタデータは現在ベータ版です。そのため、一部の言語ではヘルプをご利用いただけません。
  • 新しい Google サイトの詳細の表示 - サイトのオーナーを確認したり、サイトが最後に公開された日付を表示したり、サイトの編集権限をリクエストしたりできます。

[サービス] >
[コンテキスト認識アクセス]

この権限を与えられた管理者は、組織のコンテキスト認識アクセスに関するポリシーを管理できます。コンテキスト認識アクセスを使用すると、ユーザーの場所や、デバイスが IT ポリシーに準拠しているかどうかなど、コンテキストに基づいてユーザーがアクセスできるアプリを制御できます。

  • アクセスレベルの管理 - アクセスレベルを作成する権限を付与します。
  • アクセスレベルの適用 - コンテキスト認識アクセスをオンまたはオフにする権限と、アプリにアクセスレベルを割り当てる権限を付与します。

[サービス] > [Gmail]

この権限を与えられた管理者は、Gmail サービスを確認、管理することができます。

  • 設定 - 組織の Gmail のすべての設定を管理できます。
  • メールログを検索 - ログの検索、配信のトラブルシューティング、メールに関連するセキュリティの事象の調査を行うことができます。
  • 管理者検疫にアクセス - デフォルトの検疫を含むすべての検疫内のメールを確認して管理することができます。
  • 一部の検疫対象メールにアクセス - 管理者自身が属するグループに関連付けられた検疫対象のメールのみを確認して管理することができます。

注: [サービスの設定] 権限を割り当てると、[設定] 権限のチェックボックスのみが自動的にオンになります。

[サービス] > [Google Managed Play]

 この権限を与えられた管理者は、Google Play ストアの設定を管理することができます。Android アプリを社内のユーザーに配布することができるほか、限定公開アプリを Google Play ストアにアップロードしたり、Google Play 以外でホストされている Android アプリ パッケージ(APK)を使用したりすることもできます。

[サービス] > [Hangouts Chat]

この権限を与えられた管理者は、会話を保存したり、社内外のユーザーとの会話を許可したりするなど、Chat の設定を確認して必要に応じて変更できます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Chrome Management]

この権限を与えられた管理者は、組織の Chrome ブラウザ ポリシーを管理することができます。これには、対象の組織部門のユーザー設定、Chrome アプリケーションと拡張機能、managed Google Play(Chrome デバイスのみ)の編集権限が含まれます。
 
[ユーザー設定を管理] へのアクセスを許可すると、[アプリケーションの設定を管理] 権限が自動的に付与されます。
 
注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [Google ミーティング ルーム ハードウェア]

カレンダーの権限の有無にかかわらず、ユーザーの役割を作成し、特定の Google ミーティング ルーム ハードウェア デバイスに権限を割り当てることができます。

[Chrome devices for meetings でカレンダーを使用する] 権限を持つユーザーには、ユーザーのカレンダーへの完全なアクセス権限が付与され、予定の読み取りと書き込み、
ドメイン内のすべてのカレンダー(メイン カレンダー、予備カレンダー、リソース カレンダー)に対するアクセス権限の管理、
ドメイン内のカレンダーの削除を行うことができます。なお、この権限を
ユーザーに割り当ててから [カレンダー] 権限が利用可能になるまでに、
最長で 24 時間ほどかかることがあります。

注: アカウントに 1 つ以上の Google ミーティング ルーム ハードウェア ライセンスまたは登録済みのデバイスがない場合、この権限は表示されません。

[サービス] > [Google ハングアウト]

品質ダッシュボードへの管理者権限

サービス管理者は組織の会議品質ダッシュボードを利用できます。

[サービス] > [Jamboard の管理]

この権限を与えられた管理者は、Jamboard 設定の閲覧や編集、デバイスの設定などを行うことができます。

[サービス] > [ディレクトリ設定]

この権限を与えられた管理者は、設定やディレクトリ プロフィールの編集を管理し、ユーザーにプロフィール(名前、写真、性別、生年月日など)の変更を許可できます。
 
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [App Maker]

この権限を与えられた管理者は、組織内のすべての App Maker アプリに関するレポートを閲覧できます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Cloud Search]

この権限を与えられた管理者は、Google Cloud Search へのアクセスをユーザーに許可したり、サービスをオンまたはオフにしたり、組織での Cloud Search の利用状況(さまざまな種類のデバイスからの検索クエリ数やアクティブ ユーザーの数など)に関するレポートを表示したりできます。

サードパーティ製リポジトリの場合、Cloud Search 管理者はデータソース、ID ソース、検索アプリケーションなどの設定を管理したり、インデックス登録のために読み取りまたは書き込みアクセス権限を許可したりできます。

[設定] へのアクセスを許可すると、[Cloud Search Indexing] 権限と [Cloud Search Indexing(読み取り専用)] 権限が自動的に付与されます。

注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [Google Cloud Print]

この権限を与えられた管理者は、組織の Google クラウド プリント サービスの設定と管理を行うことができます。これには、Chrome デバイスや Windows、Mac、Linux パソコン上の Chrome ブラウザ、モバイル版の G Suite サービス(Gmail など)、サードパーティ製のネイティブ モバイルアプリからの印刷が含まれます。詳しくは、Google クラウド プリント サービスをご覧ください。

注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [Shared device settings]

この権限を与えられた管理者は、すべての一般的なデバイスの設定を管理し、モバイル デバイス、Chrome デバイス、Chromebox for meetings デバイスで、バーチャル プライベート ネットワーク(VPN)、Wi-Fi、イーサネット ネットワークを設定できます。

注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [Chrome OS]

Chrome Enterprise または Chrome Education ライセンスをお持ちの場合にご利用いただけます。
 
この権限を与えられた管理者は、組織の Chrome デバイスとポリシーを管理することができます。これには、対象の組織部門のユーザー設定、デバイスの設定、Chrome デバイス上の Chrome と managed Google Play アプリと拡張機能の編集権限が含まれます。
 
[設定] へのアクセスを許可すると、[デバイスを管理]、[デバイスの設定を管理]、[ユーザー設定を管理]、[アプリケーションの設定を管理] 権限が自動的に付与されます。
 
[ユーザー設定を管理] へのアクセスを許可すると、[アプリケーションの設定を管理] 権限が自動的に付与されます。
 
詳しくは、Chrome での管理者の役割を委任するをご覧ください。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Google Vault]

この権限を与えられた管理者は、全案件の閲覧権限や、案件、記録保持(リティゲーション ホールド)、検索、書き出し、保持ポリシー、監査の管理権限を他の管理者に付与できます。

詳しくは、Vault の権限についてのページをご覧ください。

注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [ワーク インサイト]

G Suite Enterprise ライセンスまたは G Suite Enterprise ライセンスをお持ちの場合のみご利用いただけます。

ワーク インサイトのダッシュボードのデータへのアクセス権を付与します。データは、ワーク インサイトをオンにしたチームのみが利用できます。詳しくは、ワーク インサイトで利用可能なデータを管理するのページをご覧ください。

ユーザーが組織部門、ホワイトリストに登録されたグループ、マネージャーのレポートライン内のチームといった、特定のチームのみのデータを閲覧できるようにすることも可能です。

詳しくは、ワーク インサイトの権限をご覧ください。

 

管理 API の権限

API の権限と管理コンソールの権限はリンクしています - 管理コンソールで組織、ユーザー、グループ、ユーザー セキュリティの権限を付与すると、対応する API の権限もその管理者に付与されます。たとえば、管理コンソールでユーザー作成の権限を付与すると、権限を与えられた管理者は API 経由でもユーザーを作成できるようになります。同様に、管理 API の権限を更新すると、対応する管理コンソール内の権限も更新されます。

管理コンソールでの権限のみを管理者に付与し、API による操作を許可しない場合は、アカウントの API アクセスを無効にしてください。

API 説明

管理 API の権限

G Suite の管理 API を使用して次の操作を行うことができます。

  • 組織部門
  • ユーザー
  • グループ
  • ユーザー セキュリティの管理
  • データ移行 - この権限を与えられた特権管理者やサービス管理者は、管理コンソールを使用してユーザーのドライブ ファイルのオーナー権限を譲渡できます。管理コンソールでオーナー権限譲渡の設定を行うには、[ドライブとドキュメント] 権限も付与されている必要があります。上記の操作の適用範囲を特定の組織部門に限定することはできません。
    注: ユーザーを削除する際、ファイルのオーナー権限を譲渡できるのは特権管理者に限られます。
  • スキーマの管理 - この権限を与えられた特権管理者やサービス管理者は、ユーザーのプロジェクト、場所、雇用日など、ドメインのカスタム フィールドを定義するスキーマを作成できます。
  • ライセンス管理 - 組織全体、組織部門、ユーザー グループ、個々のユーザーへの G Suite ライセンスの割り当てと管理を、特権管理者のみに許可します。
    注: この権限は管理コンソールでのみ機能し、代理管理者に License Manager API の使用を許可するものではありません。
  • ドメインの管理 - この権限を与えられた管理者は、ドメインを追加または削除したり、ドメイン エイリアスを設定したりできます。

カスタムの役割を作成した場合、各権限の横にあるチェックボックスをオンにすることで、該当するオブジェクトに対してあらゆる操作を API 経由で行えるようになります。また、個々の操作([作成]、[読み取り] など)をクリックして、その操作だけを許可することもできます。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。