Google 管理コンソールでユーザーに管理者のロールを割り当てると、管理者権限と管理コンソールへのアクセス権がユーザーに付与されます。
管理コンソールでの管理者の管理範囲、アクセスできる情報、実行できるタスクはロールの権限によって決まります。権限を与えられた管理者は、管理 API を使った各種操作も行えるようになります。
管理者権限
* 注: 一部の権限(Jamboard 管理など)は、Google Workspace の特定のエディション、ハードウェア、またはユーザー ライセンスでのみ利用できます。
| 管理者設定の権限 | サービスの権限 | |
|---|---|---|
|
設定の権限
管理 API管理コンソールで管理者に権限を付与すると、対応する API の権限も付与されます。たとえば、管理コンソールでユーザー作成の権限を付与すると、権限を与えられた管理者は API 経由でもユーザーを作成できるようになります。同様に、管理 API の権限を更新すると、対応する管理コンソール内の権限も更新されます。
管理コンソールで管理者に権限を付与しても、API での操作を許可しない場合は、アカウントの API アクセスを無効にします。詳しくは、Google サービスへのアクセスを管理する: 制限付きまたは制限なしをご覧ください。
管理 API の権限を付与すると、Google Workspace の管理 API を使用して次に対して操作を行うことができます。
- 組織部門
- ユーザー
- グループ
- ユーザー セキュリティの管理
- データ移行 - 特権管理者またはサービス管理者は、管理コンソールを使用してユーザーのドライブ ファイルのオーナー権限を移行できます。管理コンソールでオーナー権限を移行するには、[ドライブとドキュメント] 権限も付与されている必要があります。管理者の操作の適用対象を特定の組織部門に限定することはできません。
注: ユーザーを削除する際、ファイルのオーナー権限を移行できるのは特権管理者に限られます。 - スキーマの管理 - 特権管理者またはサービス管理者は、ユーザーのプロジェクト、場所、雇用日など、ドメインのカスタム フィールドを定義するスキーマを作成できます。
- ライセンス管理 - 特権管理者は、組織、組織部門、ユーザー グループ、個々のユーザーの Google Workspace ライセンスを割り当て、管理できます。注: この権限は管理コンソールでのみ機能し、特権管理者にのみ License Manager API の使用が許可されます。
- お支払いの管理
- ドメインの管理 - 管理者は、ドメインの追加または削除、ドメイン エイリアスの設定を行えます。
カスタムロールを作成した場合、この権限の横にあるチェックボックスをオンにすることで、該当するオブジェクトに対してあらゆる操作を API 経由で行えるようになります。また、個々の操作([作成]、[読み取り] など)をクリックして、選択した操作だけを許可することもできます。
- 組織の名前、言語、ロゴ、タイムゾーンを変更する。
- Google Workspace または Cloud Identity アカウントを削除する。
- Google Workspace または Cloud Identity アカウントのお支払い情報を確認する。
- ドメインとドメイン エイリアスを追加または削除する。
- Google サイトで作成したサイトにカスタム URL をマッピングする。
- パスワード再設定用の連絡先情報を更新する。
- 機能リリースのプロセスを管理する。
- Google から受け取るメールの種類を選択する。詳しくは、Google Workspace の通知設定を選択するをご覧ください。
これらの操作の適用範囲を特定の組織部門に限定することはできません。
[グループ] 権限を与えられた管理者は、管理コンソールで作成されたグループを完全に制御できます。対応する管理 API の権限(上述を参照)も付与されます。
この権限を持つ管理者は次の操作を行うことができます。
- ユーザー プロフィールと組織構造を表示する。
- 管理コンソールでグループを作成、管理、削除する。
- グループのアクセス設定を管理する。
- アクセス グループに対してサービスを有効にする([組織部門] と [サービス] の権限も必要)。詳しくは、設定グループを使用してサービスの設定をカスタマイズするをご覧ください。
これらの操作の適用範囲を特定の組織部門に限定することはできません。
ヒント: ユーザーが所属するグループの閲覧を管理者に許可して編集を許可しない場合は、API 権限の [グループ] [読み取り] 権限を付与します。
この権限を与えられた管理者は、管理コンソールの [ユーザー] ページでアカウントの組織構造を管理できます。対応する管理 API の権限(上述を参照)も付与されます。
組織部門の権限:
- 読み取り
- 作成
- 更新
- 削除
[作成]、[更新]、[削除] のいずれかの権限を付与すると、[読み取り] 権限が自動的に付与されます。
管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳しくは、特定の管理者ロールを割り当てるをご覧ください。
使用状況レポートと監査ログへのアクセス権限が与えられます。詳しくは、レポートの概要をご覧ください。
[レポート] 権限を与えられた管理者は次の操作を行うことができます。
- サービスの使用状況を示すグラフを表示する。
- ドキュメントの編集などのユーザー アクションをトラッキングする。
- 管理コンソールで他の管理者が行った変更をトラッキングする。
これらの操作の適用範囲を特定の組織部門に限定することはできません。
ユーザー セキュリティの管理
注: 他の管理者のセキュリティ設定を確認できるのは特権管理者のみです。
管理者は、個々のユーザーのセキュリティ設定を管理できます。この権限によって管理できるのは、管理者権限を持たないユーザーのみです。対応する管理 API の権限(上述を参照)も付与されます。
[ユーザー セキュリティの管理] 権限を与えられた管理者は、各ユーザーの [ユーザー] ページで次の操作を行うことができます。
- 2 段階認証プロセスを無効にする。組織全体に対して 2 段階認証プロセスを適用できるのは特権管理者のみです。
- ログイン時の本人確認を 10 分間無効にする。
- セキュリティ キーの確認、取り消しを行う。
- アプリ パスワードの確認、取り消しを行う。
- ログイン Cookie をリセットする(販売パートナーの管理者には適用されません)。
- ユーザーがサードパーティ製アプリに付与した 3-legged OAuth トークンの確認、取り消しを行う。
2 段階認証プロセスの適用または無効化を除き、これらすべての操作の適用範囲を特定の組織部門に限定することができます。
セキュリティの設定
- 安全性の低いアプリからのアカウントへのアクセスを許可する
- ユーザーのパスワードを管理する
- シングル サインオン(SSO)と認証を設定する
安全性の低いアプリからのアカウントへのアクセスを許可する操作のみ、特定の組織部門に適用範囲を限定できます。
[サポート] 権限を与えられた管理者は、電話、チャット、メールで Google Workspace サポートに問い合わせることができます。
Google Workspace サポートに連絡する権限を特定の組織部門に限定することはできません。
[ユーザー] 権限を与えられた管理者は、ユーザーに対する操作を行うことができます。他の管理者の設定を変更できるのは特権管理者のみです。対応する管理 API の権限(上述を参照)も付与されます。
- 作成
- 読み取り
- 更新
- ユーザーを移動
- ユーザーを停止
- ユーザーの名前を変更
- パスワードを再設定
- パスワードの変更を強制する
- エイリアスを追加 / 削除
- 削除
[作成] 権限を付与すると、[読み取り] 権限と [更新] 権限が自動的に付与されます。[更新] 権限または [削除] 権限を付与すると、[読み取り] 権限が自動的に付与されます。
管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳しくは、ユーザーを管理者にするをご覧ください。
ヒント: 管理者にユーザー グループの閲覧のみを許可して編集を許可しない場合は、API 権限の [グループ] [読み取り] をクリックして権限を付与します。
サービスの権限
サービスの設定[サービスの設定] 権限を選択しても、権限が自動的には付与されないサービスや設定もあります(Google Vault やデータ セキュリティなど)。
[サービスの設定] 権限を与えられた管理者は、サービスの有効と無効を切り替えたり、サービスの設定を変更したりすることができます。アカウントに追加した特定のサービス(カレンダーやドライブなどの Google Workspace サービス)、Marketplace アプリ、無料の Google サービス(YouTube や Blogger など)が対象です。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
権限の説明とロールの作成に関する推奨事項については、アラート センターへのアクセス権を付与するをご覧ください。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
[カレンダー] 権限を与えられた管理者は、リソースを作成、編集、削除できます。Google カレンダー リソースの共有設定を変更することはできません。
カレンダーの管理権限:
- すべての設定 - 共有設定、リソース、会議室情報ダッシュボード、全般設定にアクセスして管理できます。
- ビルディングとリソース - カレンダー リソースの作成、編集、削除と、会議室情報ダッシュボードへのアクセスが可能です。
- 会議室情報 - 会議室情報ダッシュボードで、情報の表示、フィルタの設定、期間の調整を行えます。
- 管理 - 管理者はカレンダー リソース、ビルディング、リソース機能を作成、編集、削除できます。
注: 管理者がこれらの操作を特定の組織部門に限定することはできません。
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
組織の Chrome デバイスとポリシーを管理できます。以下に関するポリシーが含まれます。
- ユーザー設定
- デバイス設定
- Chrome デバイス上の Chrome と managed Google Play のアプリと拡張機能
詳しくは、Chrome での管理者のロールを委任するをご覧ください。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
[Cloud Search] 権限を与えられた管理者は次の操作を行うことができます。
- Google Cloud Search へのユーザー アクセスを許可する。
- サービスを有効、または無効にする
- 組織での Cloud Search の利用状況(さまざまな種類のデバイスからの検索クエリの数やアクティブ ユーザーの数など)に関するレポートを表示する。
- サードパーティ製リポジトリの設定(データソース、ID ソース、検索アプリケーションの設定など)を管理する。管理者にはインデックス登録のための読み取りまたは書き込みアクセス権限もあります。
[サービスの設定] 権限を割り当てると、[設定] 権限のみが自動的に有効になります。
Currents の管理者権限
- 設定 - Currents の設定を管理する
- ユーザー グループをコミュニティに一括追加 - 管理者は Currents コミュニティにユーザーを直接追加できます。
- ストリーム、タグ、リーダーを管理するためのツールにアクセス - Currents のコンテンツを管理できます。詳細
[サービスの設定] 権限を割り当てると、[DLP ルールの表示] 権限のみが自動的に有効になります。
DLP の権限:
- DLP ルールの表示 - DLP ルールを表示できますが、変更または作成することはできません。
- DLP ルールの管理 - DLP ルールを表示、変更、作成できます。
ルールを作成、編集するための完全なアクセス権限を得るには、表示と管理の両権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
この権限を与えられた管理者は、組織のコンテキストアウェア アクセス ポリシーを管理できます。ユーザーの場所や、ユーザーのデバイスが組織のポリシーに準拠しているかどうかなどのコンテキストに基づいて、ユーザーがアクセスできるアプリを制御できます。
データ セキュリティの管理権限:
- アクセスレベルの管理 - アクセスレベルを作成できます。
- ルールの管理 - コンテキストアウェア アクセスの有効 / 無効の切り替え、アプリへのアクセスレベルの割り当てができます。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
ディレクトリ設定とディレクトリ プロフィールの変更を管理し、ユーザーにプロフィール(名前、写真、性別、生年月日など)の変更を許可できます。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
Google ドライブとドキュメントの管理権限:
- 設定 - 組織のドライブとドキュメントのサービスに関するあらゆる設定を管理できます。ドライブ ファイルのオーナー権限を移行するには、この権限と [データ移行] 権限の両方が必要です。詳しくは、ドライブのファイルを新しいオーナーに譲渡するをご覧ください。
- ドキュメントのテンプレート - ドキュメント、スプレッドシート、スライド、フォームのテンプレート ギャラリーと、管理コンソールの [ドライブとドキュメント] で、テンプレートの削除と分類を行うことができます。テンプレートの送信が管理コンソールで [管理対象] に設定されている場合、テンプレートの送信を承認または拒否することができます。送信が [制限付き] に設定されている場合は、ギャラリーにテンプレートを追加できます。詳しくは、カスタムのドライブ テンプレートを作成するをご覧ください。
- 共有ドライブへのファイルやフォルダの移動 - 組織内の共有ドライブにファイルやフォルダを移動できます。
- メタデータ カテゴリの管理 - ドライブのファイルとフォルダのカスタム メタデータ カテゴリを作成できます。ドライブのメタデータは現在ベータ版です。そのため、一部の言語ではヘルプをご利用いただけません。詳しくは、ドライブのメタデータを管理する(ベータ版)をご覧ください。
- 新しい Google サイトの詳細の表示 - サイトのオーナーの確認、サイトが最後に公開された日付の確認、サイトの編集権限のリクエストを行えます。
[サービスの設定] 権限を割り当てると、[設定] 権限のみが自動的に有効になります。
Gmail の管理権限:
- 設定 - 組織のすべての Gmail 設定を管理できます。
- メールログを検索 - ログの検索、配信のトラブルシューティング、メールに関連するセキュリティ上の問題の調査を行うことができます。
- 管理者検疫にアクセス - デフォルトの検疫を含むすべての検疫対象のメールを確認、管理できます。
- 一部の検疫対象メールにアクセス - 管理者自身が属するグループに関連付けられた検疫対象のメールのみを確認、管理できます。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
管理者は、組織内外のユーザーとの会話の保存や許可など、Google Chat の設定を確認、変更できます。
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
この権限を与えられた管理者は、組織の Google クラウド プリント サービスの設定と管理を行うことができます。次のようなデバイスやアプリからの印刷が対象となります。
- Chrome デバイスと、Windows、Mac、Linux パソコン上の Chrome ブラウザ
- モバイル版の Google Workspace サービス(Gmail など)
- サードパーティ製のネイティブ モバイルアプリ
詳しくは、Chrome から印刷するをご覧ください。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
この権限を与えられた管理者は、ダッシュボードおよびレポートの閲覧、共有、カスタマイズといった Google データポータルの設定を管理できます。詳しくは、データポータルのページをご覧ください。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
この権限のある管理者は次の操作を行うことができます。
- 設定を管理
- ハングアウトの品質管理ダッシュボードにアクセスする。詳しくは、会議の品質と統計情報を確認するをご覧ください。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
この権限のある管理者は次の操作を行うことができます。
- 設定を管理
- Google Meet の品質管理ダッシュボードにアクセスする。詳しくは、会議の品質と統計情報を確認するをご覧ください。
アカウントに Google Meet ハードウェア ライセンスまたは登録済みのデバイスが 1 つもない場合、この権限は表示されません。
カレンダーの権限の有無にかかわらず、ユーザーロールを作成し、特定の Google Meet ハードウェア デバイスに権限を割り当てることができます。
[Chrome devices for meetings でカレンダーを使用する] 権限を与えられたユーザーは、ユーザーのカレンダーへの完全なアクセス権限を持ち、次の操作を行えます。
- 予定を読み取る、書き込む。
- 組織内のすべてのカレンダー(メイン カレンダー、予備カレンダー、リソース カレンダー)の権限を管理する。
- 組織内のカレンダーをすべて削除する。
この権限をユーザーに割り当ててから [カレンダー] 権限が利用可能になるまでに、24 時間程度かかることがあります。
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
全案件を閲覧し、案件、記録保持(リティゲーション ホールド)、検索、書き出し、保持ポリシー、監査を管理できます。詳しくは、Vault 権限の概要と権限の付与をご覧ください。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
この権限は「Google Managed Play」とも表記されます。この権限のある管理者は次の操作を行うことができます。
- Android アプリを社内ユーザーに配布する。
- 限定公開アプリを Google Play ストアにアップロードする。
- Google Play 以外でホストされている Android アプリ パッケージ(APK)を使用する。
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
この権限を与えられた管理者は、管理コンソールに一覧表示されるモバイル デバイスを完全に制御し、次の操作を行うことができます。
- モバイル設定を管理する。
- デバイス ポリシーを管理する。
- モバイル デバイス管理のすべての操作(有効化、ブロック、削除、ワイプなど)を行う。
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
この権限を与えられた管理者は、パスワード保管機能によってパスワードが保管されたアプリを設定、管理できます。
関連トピック
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
この権限を与えられた管理者は、セキュア LDAP サービスの管理、LDAP クライアントを追加または削除を行うことができます。詳細
[このユーザーにセキュリティ センターの完全な管理者権限を付与します] 権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。
この権限を与えられた管理者は、高度なセキュリティ情報と分析情報にアクセスし、組織に影響を与えるセキュリティ問題を可視化、管理できます。
特権管理者は、セキュリティ ダッシュボード、セキュリティの状況ページ、調査ツールを含む、セキュリティ センターのすべての機能に自動的にアクセスできます。管理者がセキュリティ センターの特定の機能(セキュリティ ダッシュボードのみなど)にアクセスできるようにするには、該当する機能にアクセスするのに必要な管理者権限を付与します。
関連トピック
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
この権限を与えられた管理者は、すべてのデバイス共通設定を管理し、モバイル デバイス、Chrome デバイス、Chromebox for meetings デバイスで、バーチャル プライベート ネットワーク(VPN)、Wi-Fi、イーサネット ネットワークを設定できます。
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。
ワーク インサイト ダッシュボードのデータにアクセスできます。ワーク インサイトが有効になっているチームのデータのみ利用できます。
ユーザーが閲覧できるデータとして、利用可能なすべてのチームのデータや、特定のチーム(組織部門、承認済みのグループ、マネージャーのレポートライン内のチームなど)だけのデータを指定できます。
関連トピック
