管理者権限の定義

Google 管理コンソールでユーザーに管理者の役割を割り当てると、そのユーザーは管理者権限を付与され、管理コンソールにアクセスできるようになります。割り当てられた役割の権限によって、管理コンソールのホームページに表示されるコントロール、確認できる情報、実施できる操作が異なります。権限を与えられた管理者は、管理 API を使った各種操作も行えるようになります。

次の表で、管理者に割り当てることのできる権限について説明します。G Suite に新しい管理機能が追加されると、これらの権限の適用範囲が拡張される可能性があります。

役割を割り当てる カスタムの役割を作成する

管理コンソールの権限

管理者権限 説明

組織部門

この権限を与えられた管理者は、管理コンソールの [ユーザー] ページでアカウントの組織構造を管理できます。ここで権限を付与すると、対応する管理 API の権限も付与されます(以下を参照)。

組織部門の権限:

  • 作成
  • 更新
  • 削除
  • 読み取り

[作成]、[更新]、[削除] のいずれかの権限を付与すると、[読み取り] 権限が自動的に付与されます。

管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳しくは、ユーザー管理の役割を割り当てるをご覧ください。

ユーザー

この権限を与えられた管理者は、管理者ではないユーザーに対する操作を行うことができます。他の管理者の設定を変更できるのは特権管理者のみです。ここで権限を付与すると、対応する管理 API の権限も付与されます(以下を参照)。

ユーザーの管理権限:

  • 作成
  • 読み取り
  • 更新
    • ユーザーの名前を変更
    • ユーザーを移動
    • パスワードを再設定
    • パスワードの変更を強制
    • エイリアスを追加 / 削除
    • ユーザーを停止
  • 削除

これらの権限は、個別に付与することができます。[作成]、[更新]、[削除] のいずれかの権限を付与すると、[読み取り] 権限が自動的に付与されます。

管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳しくは、ユーザー管理の役割を割り当てるをご覧ください。

ヒント: ユーザー グループの閲覧のみを許可して編集は許可しない場合は、その管理者に API 権限の [グループ] 次に [読み取り] を付与します。

セキュリティ

ユーザー セキュリティの管理

: 他の管理者のセキュリティ設定を確認できるのは特権管理者のみです。

この権限を与えられた管理者は、個々のユーザーのセキュリティ設定を管理できます。この権限によって管理できるのは、管理者権限を持たないユーザーのみです。ここで権限を付与すると、対応する管理 API の権限も付与されます(以下を参照)。

この権限を与えられた管理者は、各ユーザーの [ユーザー] ページで次の操作を行うことができます。

  • 2 段階認証プロセスを無効にする。組織全体に対して 2 段階認証プロセスを適用できるのは特権管理者のみです。
  • ログイン時の本人確認を 10 分間無効にする。
  • セキュリティ キーの確認、取り消しを行う。
  • アプリ パスワードの確認、取り消しを行う。
  • ログイン Cookie をリセットする(販売パートナーの管理者には適用されません)。
  • ユーザーがサードパーティ製アプリに付与した 3-Legged OAuth トークンの確認、取り消しを行う。

2 段階認証プロセスを適用するか、無効にするかの指定を除き、これらすべての操作の適用範囲を特定の組織部門に限定することができます。

セキュリティ設定

この権限を与えられた管理者は、[セキュリティ] ページで次の操作を行うことができます。

  • 安全性の低いアプリからのアカウントへのアクセスを許可する。
  • ユーザーのパスワードを管理する。
  • シングル サインオン(SSO)と認証を設定する。

安全性の低いアプリからのアカウントへのアクセスを許可することは、特定の組織部門に限定できる唯一の操作です。

グループ

この権限を与えられた管理者は、管理コンソールで作成されたグループを完全に制御できます。ここで権限を付与すると、対応する管理 API の権限も付与されます(以下を参照)。

この権限を与えられた管理者は次の操作を行うことができます。

  • ユーザー プロフィールと組織構造を表示する。
  • 管理コンソールでグループを作成、管理、削除する。
  • グループのアクセス設定を管理する。
  • アクセス グループに対してサービスを有効にする([組織部門] と [サービス] の権限も必要)。詳しくは、グループを使用して G Suite サービスの設定を行うをご覧ください。

これらの操作の適用範囲を特定の組織部門に限定することはできません。

ヒント: ユーザーが所属するグループの閲覧のみを許可して編集は許可しない場合は、その管理者に API 権限の [グループ] 次に [読み取り] を付与します。

ドメインの設定

この権限を与えられた管理者は次の操作を行うことができます。
  • 組織の名前、言語、ロゴ、タイムゾーンを変更する。
  • G Suite や Cloud Identity など、管理対象の Google アカウントのお支払い情報を確認する。
  • ドメインとドメイン エイリアスを追加または削除する
  • Google サイトで作成したサイトにカスタム URL をマッピングする。
  • パスワード再設定用の連絡先情報を更新する。
  • G Suite や Cloud Identity などの管理対象の Google アカウントを削除する。
  • 機能リリースのプロセスを管理する。
  • Google から受け取るメールの種類を選択する。詳しくは、G Suite のお知らせの設定を行うをご覧ください。

これらの操作の適用範囲を特定の組織部門に限定することはできません。

レポート

使用状況レポートと監査ログへのアクセス権限が与えられます。詳しくは、レポートツールの概要をご覧ください。

この権限を与えられた管理者は次の操作を行うことができます。

  • サービスの使用状況を示すグラフを表示する。
  • ドキュメントの編集などのユーザー アクションをトラッキングする。
  • 管理コンソールで他の管理者が行った変更をトラッキングする。

これらの操作の適用範囲を特定の組織部門に限定することはできません。

サポート

この権限を与えられた管理者は、電話、チャット、メールで Google Cloud サポートに問い合わせることができます。具体的には、事前に定義済みの特権管理者の役割が割り当てられているすべてのユーザーが問い合わせを行えます。

Google 管理コンソール以外で行われた作業に関するものを含め、あらゆる事象のテクニカル サポートを依頼できます。

Google Cloud サポートに連絡する権限を特定の組織部門に限定することはできません。

[サービス] > [サービスの設定]

: Google Vault や Google クラウド プリントといった一部のサービスは、[サービスの設定] 権限では編集できません。

この権限を与えられた管理者は次の操作を行うことができます。

  • サービスの有効化 / 無効化を切り替える、サービスの設定とアクセス権限を変更する - アカウントに追加した特定のサービス(Gmail、カレンダー、ドライブなどの G Suite サービス)、Marketplace アプリ、無料の Google サービス(Google+ や Blogger など)が対象です。
  • サービスのカスタム ウェブアドレスを作成する。
  • 管理コンソールに一覧表示される Chrome デバイスやモバイル デバイスを管理する。

これらの操作の適用範囲を特定の組織部門に限定することはできません。

[サービスの設定] チェックボックスをオンにすると、カレンダー、モバイル デバイス管理、ドライブ、ドキュメント、Gmail、Hangouts Chat、ディレクトリの [設定] 権限が自動的に有効になります。

[サービス] > [カレンダー]

この権限を与えられた管理者は、リソースを作成、編集、削除できます。カレンダー リソースの共有設定を変更することはできません。

カレンダーの管理権限:

  • すべての設定 - 共有設定、リソース、会議室情報ダッシュボード、全般設定にアクセスして管理できます。
  • ビルディングとリソース - カレンダー リソースの作成、編集、削除と、会議室情報ダッシュボードへのアクセスが可能です。
  • 会議室情報 - 会議室情報ダッシュボードで、情報の表示、フィルタの設定、期間の調整を行えます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [モバイル デバイス管理]

管理コンソールに一覧表示されるモバイル デバイスを完全に制御することができます。

この権限を与えられた管理者は次の操作を行うことができます。

  • モバイル設定を管理する。
  • デバイス ポリシーを管理する。
  • モバイル デバイス管理のすべての操作(有効化、ブロック、削除、ワイプなど)を行う。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [ドライブとドキュメント]

ドライブとドキュメントの管理権限:

  • 設定 - 組織のドライブとドキュメントのサービスに関するあらゆる設定を管理できます。ドライブ ファイルのオーナー権限を移行するには、この権限と [データ移行] 権限の両方が必要です。詳しくは、ドライブのファイルを新しいオーナーに譲渡するをご覧ください。
  • ドキュメントのテンプレート - ドキュメント、スプレッドシート、スライド、フォームのテンプレート ギャラリーと、管理コンソールの [ドライブとドキュメント] で、テンプレートの削除と分類を行うことができます。テンプレートの送信が管理コンソールで [管理対象] に設定されている場合、テンプレートの送信を承認または拒否することができます。送信が [制限付き] に設定されている場合は、ギャラリーにテンプレートを追加できます。詳しくは、カスタムのドライブ テンプレートを作成するをご覧ください。
  • 共有ドライブへのファイルやフォルダの移動 - 組織内の共有ドライブにファイルやフォルダを移動できます。
  • メタデータ カテゴリの管理 - ドライブのファイルとフォルダのカスタム メタデータ カテゴリを作成できます。ドライブ メタデータは現在ベータ版です。そのため、一部の言語ではヘルプをご利用いただけません。詳しくは、ドライブ メタデータ(ベータ版)を管理するをご覧ください。
  • 新しい Google サイトの詳細の表示 - サイトのオーナーの確認、サイトが最後に公開された日付の確認、サイトの編集権限のリクエストができます。

[設定] 権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] >
[データ セキュリティ]

この権限を与えられた管理者は、組織のコンテキストアウェア アクセス ポリシーを管理できます。ユーザーの場所や、ユーザーのデバイスが組織のポリシーに準拠しているかどうかなどのコンテキストに基づいて、ユーザーがアクセスできるアプリを制御できます。

データ セキュリティの管理権限:

  • アクセスレベルの管理 - アクセスレベルを作成できます。
  • ルールの管理 - コンテキストアウェア アクセスの有効化 / 無効化の切り替え、アプリへのアクセスレベルの割り当てができます。

[サービス] > [Gmail]

Gmail の管理権限:

  • 設定 - 組織のすべての Gmail 設定を管理できます。
  • メールログを検索 - ログの検索、配信のトラブルシューティング、メールに関連するセキュリティ上の問題の調査を行うことができます。
  • 管理者検疫にアクセス - デフォルトの検疫を含むすべての検疫対象のメールを確認、管理できます。
  • 一部の検疫対象メールにアクセス - 管理者自身が属するグループに関連付けられた検疫対象のメールのみを確認、管理できます。

[サービスの設定] 権限を割り当てると、[設定] 権限のチェックボックスのみが自動的にオンになります。

[サービス] > [セキュリティ センター]

セキュリティ センターは、G Suite Enterprise、G Suite Enterprise for Education、Drive Enterprise、Cloud Identity Premium の各エディションでご利用いただけます。

この権限を与えられた管理者は、高度なセキュリティ情報と分析情報にアクセスし、組織に影響を与えるセキュリティ問題を可視化、管理できます。詳しくは、セキュリティ センターについてをご覧ください。

セキュリティ センターのすべての機能に対する完全なアクセス権限を割り当てるには、[このユーザーにセキュリティ センターの完全な管理者権限を付与します] チェックボックスをオンにします。

次の項目に管理者固有のアクセス権限を割り当てることができます。

  • ダッシュボード
  • セキュリティの状況
  • 調査ツール
  • アクティビティ ルール

[サービス] > [managed Google Play]

managed Google Play ストアの設定を管理できます。

この権限を与えられた管理者は次の操作を行うことができます。

  • Android アプリを社内ユーザーに配布する。
  • 限定公開アプリを Google Play ストアにアップロードする。
  • Google Play 以外でホストされている Android アプリ パッケージ(APK)を使用する。

[サービス] > [Hangouts Chat]

Chat の設定を確認、変更できます(会話を保存したり、社内外のユーザーとの会話を許可したりするなど)。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Chrome 管理]

以下を含む、組織の Chrome ブラウザ ポリシーを管理できます。

  • ユーザー設定
  • Chrome アプリケーションと拡張機能
  • managed Google Play(Chrome デバイスのみ)

これらの操作は特定の組織部門に限定できます。

[ユーザー設定を管理] へのアクセスを許可すると、[アプリケーションの設定を管理] 権限が自動的に付与されます。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。

[サービス] > [Google ミーティング ルーム ハードウェア]

アカウントに Google ミーティング ルーム ハードウェア ライセンスまたは登録済みのデバイスが 1 つもない場合、この権限は表示されません。

カレンダーの権限の有無にかかわらず、ユーザーの役割を作成し、特定の Google ミーティング ルーム ハードウェア デバイスに権限を割り当てることができます。

[Chrome devices for meetings でカレンダーを使用する] 権限を与えられたユーザーは、ユーザーのカレンダーへの完全なアクセス権限を持ち、次の操作を行えます。

  • 予定を読み取る、書き込む。
  • 組織内のすべてのカレンダー(メイン カレンダー、予備カレンダー、リソース カレンダー)の権限を管理する。
  • 組織内のカレンダーをすべて削除する。

この権限をユーザーに割り当ててから [カレンダー] 権限が利用可能になるまでに、24 時間程度かかることがあります。

[サービス] > [Google ハングアウト]

品質ダッシュボードへの管理者権限

この権限を与えられた管理者は、Meet 品質管理ツールにアクセスできます。

詳しくは、ミーティングの品質に関するトラブルシューティングをご覧ください。

[サービス] > [Jamboard の管理]

この権限を与えられた管理者は、Jamboard 設定の閲覧と編集、デバイスの設定などを行うことができます。

[サービス] > [ディレクトリ設定]

ディレクトリ設定とディレクトリ プロフィールの変更を管理し、ユーザーにプロフィール(名前、写真、性別、生年月日など)の変更を許可できます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [App Maker]

組織内のすべての App Maker アプリに関するレポートを閲覧できます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Cloud Search]

この権限を与えられた管理者は次の操作を行うことができます。

  • Google Cloud Search へのユーザー アクセスを許可する。
  • サービスの有効化 / 無効化を切り替える。
  • 組織での Cloud Search の利用状況(さまざまな種類のデバイスからの検索クエリの数やアクティブ ユーザーの数など)に関するレポートを表示する。
  • サードパーティ製リポジトリの設定(データソース、ID ソース、検索アプリケーションの設定など)を管理する。インデックス登録のための読み取りまたは書き込みアクセス権限も持ちます。

[設定] へのアクセスを許可すると、[Cloud Search Indexing] 権限と [Cloud Search Indexing(読み取り専用)] 権限が自動的に付与されます。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。

[サービス] > [Google クラウド プリント]

この権限を与えられた管理者は、組織の Google クラウド プリント サービスの設定と管理を行うことができます。次のようなデバイスやアプリからの印刷が対象となります。

  • Chrome デバイス、Windows / Mac / Linux パソコン上の Chrome ブラウザ
  • モバイル版の G Suite サービス(Gmail など)
  • サードパーティ製のネイティブ モバイルアプリ

詳しくは、Google クラウド プリント サービスをご覧ください。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。

[サービス] > [Shared device settings]

この権限を与えられた管理者は、すべての一般的なデバイスの設定を管理し、モバイル デバイス、Chrome デバイス、Chromebox for meetings デバイスで、バーチャル プライベート ネットワーク(VPN)、Wi-Fi、イーサネット ネットワークを設定できます。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。

[サービス] > [Chrome 管理]

組織の Chrome デバイスとポリシーを管理できます。以下に関するポリシーが含まれます。

  • ユーザー設定
  • デバイス設定
  • Chrome デバイス上の Chrome と managed Google Play のアプリと拡張機能

これらの権限は、Chrome Enterprise または Chrome Education のライセンスをお持ちの場合にご利用いただけます。

[設定] へのアクセスを許可すると、[デバイスを管理]、[デバイスの設定を管理]、[ユーザー設定を管理]、[アプリケーションの設定を管理] の各権限が自動的に付与されます。[ユーザー設定を管理] へのアクセスを許可すると、[アプリケーションの設定を管理] 権限が自動的に付与されます。詳しくは、Chrome での管理者の役割を委任するをご覧ください。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Google Vault]

全案件を閲覧し、案件、記録保持(リティゲーション ホールド)、検索、書き出し、保持ポリシー、監査を管理できます。詳しくは、Vault 権限の概要と権限の付与をご覧ください。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません。

[サービス] > [ワーク インサイト]

G Suite Enterprise または G Suite Enterprise for Education のライセンスをお持ちの場合のみご利用いただけます。

ワーク インサイト ダッシュボードのデータにアクセスできます。ワーク インサイトが有効になっているチームがデータを利用できます。詳しくは、ワーク インサイトで利用可能なデータを管理するをご覧ください。

ユーザーが閲覧できるデータとして、利用可能なすべてのチームのデータや、特定のチーム(組織部門、ホワイトリストに登録されたグループ、マネージャーのレポートライン内のチームなど)だけのデータを指定できます。詳しくは、ワーク インサイトへのアクセス権を付与するをご覧ください。

 

管理 API の権限

管理コンソールでユーザーに権限を付与すると、対応する API の権限も付与されます。たとえば、管理コンソールでユーザー作成の権限を付与すると、権限を与えられた管理者は API 経由でもユーザーを作成できるようになります。同様に、管理 API の権限を更新すると、対応する管理コンソール内の権限も更新されます。

管理コンソールで管理者に権限を付与しても、API による操作を許可しない場合は、アカウントの API アクセスを無効にします。詳しくは、管理コンソールで API アクセスを有効にするをご覧ください。

API 説明

管理 API の権限

G Suite の管理 API を使用して次に対して操作を行うことができます。

  • 組織部門
  • ユーザー
  • グループ
  • ユーザー セキュリティの管理
  • データ移行 - 特権管理者またはサービス管理者は、管理コンソールを使用してユーザーのドライブ ファイルのオーナー権限を移行できます。管理コンソールの [オーナー権限を譲渡] 設定にアクセスするには、[ドライブとドキュメント] 権限も付与されている必要があります。管理者の操作の適用対象を特定の組織部門に限定することはできません。
    : ユーザーを削除する際、ファイルのオーナー権限を移行できるのは特権管理者に限られます。
  • スキーマの管理 - 特権管理者またはサービス管理者は、ユーザーのプロジェクト、場所、雇用日など、ドメインのカスタム フィールドを定義するスキーマを作成できます。
  • ライセンス管理 - 特権管理者は、組織、組織部門、ユーザー グループ、個々のユーザーの G Suite ライセンスを割り当て、管理できます。
    : この権限は管理コンソールでのみ機能し、特権管理者以外の管理者に License Manager API の使用を許可しません。
  • ドメインの管理 - 管理者は、ドメインの追加または削除、ドメイン エイリアスの設定ができます。

カスタムの役割を作成した場合、各権限の横にあるチェックボックスをオンにすることで、該当するオブジェクトに対してあらゆる操作を API 経由で行えるようになります。また、個々の操作([作成]、[読み取り] など)をクリックして、選択した操作だけを許可することもできます。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。