管理者権限の定義

Google 管理コンソールで管理者の役割に関連付けることができる権限を以下にまとめました。役割を割り当てられたユーザーは、管理コンソールにアクセスできるようになります。割り当てられた役割の権限によって、コンソールに表示されるダッシュボード コントロール、アクセスできる情報、実施できる操作が異なります。管理 API を使って対応する操作を行うことも可能になります。詳しくは、以下をご覧ください。

独自の役割を作成する 役割を割り当てる

ダッシュボード コントロール 管理者権限

組織部門

この権限を持つ管理者は、アカウントの組織構造を管理できます。下記の表に沿って、[作成]、[読み取り]、[更新]、[削除] の各チェックボックスのうち、付与する権限に対応するものをオンにします。これで、管理者はその操作を管理コンソールの [ユーザー] ページで実行できるようになります。ここで権限を付与すると、対応する管理 API の権限も付与されることにご注意ください。

操作 作成 読み取り 更新 削除 組織部門への適用
組織の一覧表示 X X X X  
組織の追加 X        
組織の移動     X    
組織の削除       X  

上記のいずれかの権限を持つ役割を割り当てる際、管理者の操作の適用対象をアカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳細

ユーザー

この権限を持つ管理者は、管理者ではないユーザーに対する操作を行うことができます。下記の表に沿って、[作成]、[読み取り]、[更新]、[削除] の各チェックボックスのうち、付与する権限に対応するものをオンにします。ここで権限を付与すると、対応する管理 API の権限も付与されることにご注意ください。

ユーザー管理の権限を表示する
操作 作成 読み取り 更新 削除 組織部門への適用
ユーザーの一覧表示 X X X X  
ユーザーの作成* X        
ユーザー名の変更** X   X    
ユーザーの移動** X   X X  
パスワードの再設定** X   X    
パスワードの強制変更** X   X    
エイリアスの追加と削除** X   X    
ユーザーの停止** X   X    
ユーザーの削除       X  
ユーザー プロフィールの表示 X X X X  
使用できるサービスの表示          
グループの表示          
ライセンスの表示          
セキュリティ設定の表示          
管理者の役割の表示        
管理者権限の表示          
端末の表示          

* CSV ファイルのアップロードやユーザーの招待によって、複数のユーザーを一括で追加することはできません。

** 各操作を行うための権限を個別に付与することもできます。これにより、管理者は特定のタスクを実施することも、ユーザーに関する全般情報を確認することもできるようになります。

上記のいずれかの権限を持つ役割を割り当てる際、管理者の操作の適用対象をアカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳細

他の管理者の設定を変更できるのは特権管理者のみです。

ヒント: ユーザー グループの表示のみを許可して編集を許可しない場合は、その管理者に API 権限の [グループ] > [読み取り] を付与します。

[セキュリティ] > [ユーザー セキュリティの管理]

この権限を持つ管理者は、個々のユーザーのセキュリティ設定を管理できます。[ユーザー] 一覧の各ユーザーの詳細ページから、次の操作を行うことができます。

  • ユーザーに 2 段階認証プロセスを適用するかどうかを指定する(特権管理者のみ)
  • ユーザーのログイン時の本人確認が 10 分間不要になるように設定する
  • ユーザーのセキュリティ キーの確認や取り消しを行う

    この機能は、G Suite Business、G Suite for Education、G Suite Enterprise でご利用いただけます。エディションの比較

  • アプリ パスワードの確認や取り消しを行う
  • ログイン Cookie をリセットする
  • サードパーティのアプリケーションに付与した 3-Legged OAuth トークンの確認や取り消しを行う

注: 他の管理者のセキュリティ設定を確認できるのは特権管理者のみです。この権限により、特権管理者は管理者権限がないユーザーのみ管理することができます。2 段階認証プロセスを適用または無効にするかどうかの指定を除き、これらすべての操作の適用対象を特定の組織部門に限定することができます

ユーザー セキュリティ管理の権限を付与すると、対応する管理 API の権限も付与されることにご注意ください。

[セキュリティ] > [セキュリティ設定]

この権限を持つ管理者は、[セキュリティ] ページにある、すべてのユーザーに適用される設定を管理できます。たとえば、安全性の低いアプリケーションからアカウントへのアクセスを許可するかどうかの指定、ユーザー パスワードの監視、シングル サインオン(SSO)と認証の設定などを行うことができます。安全性の低いアプリケーションからアカウントへのアクセスを許可するケースを除き、操作の適用対象を特定の組織部門に限定することはできません。

グループ

管理コンソールで作成された Google グループの完全な制御権限を付与します。この権限を持つ管理者は次の操作を行うことができます。

  • ユーザー プロフィールや組織構造を表示する
  • 管理コンソールで新しいグループを作成する
  • コンソールで作成したグループのメンバーを管理する
  • グループのアクセス設定を管理する
  • コンソールからグループを削除する

ここでグループ管理の権限を付与すると、対応する管理 API の権限も付与されることにご注意ください。上記の操作の適用対象を特定の組織部門に限定することはできません。

ドメインの設定

この権限を持つ管理者は、アカウントに関する次のような操作を行うことができます。

  • 組織の名前、言語、ロゴ、タイムゾーンを変更する
  • Google Cloud アカウントのお支払い情報を表示する
  • ドメインやドメイン エイリアスを追加または削除する
  • パスワード再設定用の連絡先情報を更新する
  • Google Cloud アカウントを削除する
  • 機能リリースのプロセスを管理する
  • お知らせの設定を行う

上記の操作の適用対象を特定の組織部門に限定することはできません。

レポート

使用状況レポートや監査ログへのアクセス権を付与します。この権限を持つ管理者は次の操作を行うことができます。

  • サービスの使用状況を示すグラフを表示する
  • ドキュメントの編集などのユーザー アクティビティをトラッキングする
  • 管理コンソールで他の管理者が行った変更をトラッキングする

注: メールログ検索を使用できるのは特権管理者に限られます。上記の操作の適用対象を特定の組織部門に限定することはできません。

 

サポート

この権限を持つ管理者は、電話やメールで Google Cloud サポートに問い合わせることができます。Google 管理コンソール以外で行われた作業に関するものを含め、あらゆる事象のテクニカル サポートを依頼できます。これらの操作はいずれも、対象を特定の組織部門に限定することはできません。

注: 特権管理者はチャットでサポートに問い合わせることもできます。

サービスの設定

アカウント内の個々のサービス設定や端末を管理できます。この権限を持つ管理者は次の操作を行うことができます。

  • サービスの有効と無効を切り替える*
  • サービスの設定やアクセス許可を変更する*
  • サービスのカスタム ウェブアドレスを作成する
  • コンソールに一覧表示される Chrome 端末やモバイル端末を管理する

* アカウントに追加した特定のサービス(Gmail、カレンダー、ドライブなどの G Suite サービス)、Marketplace アプリ、無料の Google サービス(Google+ や Blogger など)が対象です。Google Vault やクラウド プリントといった一部のサービスでは、[サービスの設定] の権限がサポートされていません。

[サービスの設定] チェックボックスをオンすると、[サービスの設定] 権限がサポートされている個々のサービスの [設定] 権限がオンになります。

カレンダー カレンダー

カレンダー

Google カレンダー リソースの項目など、組織の Google カレンダー サービスに関するすべての設定を管理できます。

この権限は、[サービスの設定] 権限を割り当てると自動的にオンになります。

カレンダー カレンダー リソース

[カレンダー] > [設定] > [カレンダー リソース]

管理コンソールから、すべてのカレンダー リソースの管理(作成、編集、削除)を行うことができます。

この権限は、親権限である [カレンダー] 権限とは別に選択できます。[カレンダー リソース] は施設管理者の役割に割り当てることをおすすめします。

モバイル端末専用

モバイル端末の管理

管理コンソールで一覧表示される携帯端末を完全に制御することができます。この権限を持つ管理者は、モバイル設定やデバイス ポリシーの管理、モバイル端末管理のすべての操作(有効化、ブロック、削除、ワイプなど)を行うことができます。

この権限は、[サービスの設定] 権限を割り当てると自動的にオンになります。

ドライブとドキュメント

ドライブとドキュメント

ドキュメント、スプレッドシート、スライド、フォームなどの関連サービスを含め、組織の Google ドライブ サービスに関するすべての設定を管理できます。

この権限は、[サービスの設定] 権限を割り当てると自動的にオンになります。

注: 管理者がドライブ ファイルのオーナー権限を譲渡するには、[ドライブとドキュメント] の権限と [データ移行] 権限([管理 API の権限] > [データ移行])の両方が必要です。

 ドキュメントのテンプレート

[ドライブとドキュメント] > [設定] > [ドキュメントのテンプレート]

ドキュメントスプレッドシートスライドフォームの組織独自のテンプレート ギャラリーで、テンプレートの削除や再分類を行うことができます。

テンプレート送信が管理者コンソールで管理対象に設定されている場合、この権限を付与されたユーザーはテンプレートの送信を承認または拒否することができます。送信が制限付きに設定されている場合、この権限を付与されたユーザーはギャラリーにテンプレートを追加できます。

注: この権限を持つと、管理者コンソールの [ドライブとドキュメント] でカテゴリとテンプレート設定を管理することもできます。

Gmail サービス

Gmail 

管理者として指定されたユーザーが Gmail サービスにアクセスしてサービスを管理できます。   

  • 設定 - 組織の Gmail サービスのすべての設定を管理する
  • メールログの検索 - メールログの検索、配信のトラブルシューティング、メールに関連するセキュリティ問題の調査を行う
  • 管理者検疫へのアクセス - デフォルトの検疫を含むすべての検疫内のメールにアクセスして管理する
  • 一部の検疫対象へのアクセス - 管理者が属するグループに関連付けられた検疫内のメールにのみアクセスして管理する

共有端末の設定

この権限を持つ管理者は、モバイル端末、Chrome 端末、Chromebox for meetings デバイスで、バーチャル プライベート ネットワーク(VPN)、Wi-Fi、イーサネット ネットワークを設定できます。上記の操作は適用対象を特定の組織部門に限定することができます。

Chrome 端末専用

Chrome OS

登録されている Chrome 端末の設定を管理できます。完全なアクセス権を付与するか、特定の作業のみ行えるようにするかをチェックボックスで選択します。Chrome を管理する役割を割り当てるときは、特定の組織部門のユーザーに対する特定の操作のみをその管理者に許可することもできます。詳しくは、Chrome での管理者の役割を委任するをご覧ください。

この権限は、[サービスの設定] 権限を割り当てると自動的にオンになります。

Chrome devices for meetings 専用

Chrome devices for meetings

特権管理者の役割を持つユーザーは、ユーザー役割を作成して Chrome devices for meetings 固有の権限を割り当てることができます。

注: [Chrome devices for meetings でカレンダーを使用する] 権限を持つユーザーには、ユーザーのカレンダーへの完全なアクセス権が付与され、予定の読み取りと書き込み、ドメイン内のすべてのカレンダー(メイン カレンダー、予備カレンダー、リソース カレンダー)に対するアクセス権の管理、ドメイン内のカレンダーの削除を行うことができます。なお、この権限をユーザーに割り当ててからカレンダーの権限が利用可能になるまでに、最長で 24 時間ほどかかることがあります。

管理 API

G Suite の管理 API を使用して、Google グループ、組織部門、ユーザー アカウント、ユーザー セキュリティ設定に関する操作を行うことができます。各オブジェクトのチェックボックスをオンにすると、そのオブジェクトのすべての操作を API 経由で行うことができるようになります。また、個々の操作([作成]、[読み取り] など)をクリックして、その操作だけを許可することもできます。

[データ移行] 権限を持つ管理者は、管理コンソールを使用してユーザーのドライブ ファイルのオーナー権限を譲渡できます。コンソールでオーナー権限譲渡の設定にアクセスするには、[ドライブとドキュメント] 権限も付与されている必要があります。上記の操作の適用対象を特定の組織部門に限定することはできません。

注: ユーザーを削除する際、ファイルのオーナー権限を譲渡できるのは特権管理者に限られます。

API の権限と管理コンソールの権限はリンクしています。管理コンソールで管理者に組織、ユーザー、グループ、ユーザー セキュリティの権限を付与すると、対応する API の権限も付与されます。たとえば、管理コンソールでユーザー作成の権限を付与すると、権限を付与された管理者は API 経由でもユーザーを作成できるようになります。同様に、管理 API の権限を更新すると、対応する管理コンソール内の権限も更新されます。

管理コンソールでの権限のみを管理者に付与し、API による操作の実行を許可しない場合は、アカウントの API アクセスを無効にします

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。