管理者権限の定義

Google 管理コンソールで新しい管理者の役割を作成したり、ユーザーに役割を割り当てたりすると、ユーザーに権限が付与されます。役割を割り当てられたユーザーは、管理コンソールを利用できるようになります。割り当てられた役割の権限によって、管理コンソールのホームページに表示されるコントロール、確認できる情報、実施できる操作が異なります。また、管理 API を使って各種の操作も行えるようになります。詳しくは、以下をご覧ください。

役割を割り当てる 独自の役割を作成する

管理コンソールの権限

管理者権限 説明

組織部門

 この権限を与えられた管理者は、アカウントの組織構造を管理することができます。
 

[作成]、[読み取り]、[更新]、[削除] のチェックボックスがあり、オンにした操作を管理者が管理コンソールの [ユーザー] ページから実施できるようになります。

  • 作成
  • 更新
  • 削除
  • 読み取り

[作成]、[更新]、[削除] のいずれかの権限を付与すると、[読み取り] 権限が自動的に付与されます。ここで権限を付与すると、対応する管理 API の権限も付与されます。

管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳細

ユーザー

これらの権限を与えられた管理者は、管理者ではないユーザーに対する操作を行うことができます。[作成]、[読み取り]、[更新]、[削除] の各チェックボックスのうち、付与する権限に対応するものをオンにします。ここで権限を付与すると、対応する管理 API の権限も付与されることにご注意ください。

ユーザー管理の権限

  • 作成
  • 読み取り
  • 更新
    • ユーザーの名前を変更
    • ユーザーを移動
    • パスワードを再設定
    • パスワードの変更を強制する
    • エイリアスを追加 / 削除
    • ユーザーを停止
  • 削除

これらの権限は、個別に付与することができます。[作成]、[更新]、[削除] のいずれかの権限を付与すると、[読み取り] 権限が自動的に付与されます。

管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳細

注: 他の管理者の設定を変更できるのは特権管理者のみです。
 

ヒント: ユーザー グループの閲覧のみを許可して編集は許可しない場合は、その管理者に API 権限の [グループ] > [読み取り] を付与します。

セキュリティ

ユーザー セキュリティの管理

この権限を与えられた管理者は、個々のユーザーのセキュリティ設定を管理することができます。この権限によって管理できるのは、管理者権限を持たないユーザーのみです。

管理者は [ユーザー] 一覧の各ユーザーの詳細ページから、次の操作を行うことができます。

  • ユーザーに 2 段階認証プロセスを適用するかどうかを指定する(特権管理者のみ)
  • ユーザーのログイン時の本人確認が 10 分間不要になるように設定する
  • ユーザーのセキュリティ キーの確認や取り消しを行う
  • アプリ パスワードの確認や取り消しを行う
  • ログイン Cookie をリセットする
  • ユーザーがサードパーティ製アプリに付与した 3-Legged OAuth トークンの確認や取り消しを行う

販売パートナーが代理管理者としてログインしている場合、ログイン Cookie をリセットする設定は表示されません。

注: 他の管理者のセキュリティ設定を確認できるのは特権管理者のみです。2 段階認証プロセスを適用または無効にするかどうかの指定を除き、これらすべての操作の適用範囲を特定の組織部門に限定することができます。​

ここで権限を付与すると、対応する管理 API の権限も付与されます。

セキュリティ設定

この権限を与えられた管理者は、[セキュリティ] ページにある、すべてのユーザーに適用される設定を管理することができます。たとえば、安全性の低いアプリからのアカウントへのアクセスを許可するかどうかの指定、ユーザー パスワードの管理、シングル サインオン(SSO)と認証の設定などを行うことができます。

安全性の低いアプリからのアカウントへのアクセスを許可するケースを除き、操作の適用範囲を特定の組織部門に限定することはできません。

グループ

管理コンソールで作成されたグループに対する完全な制御権限が与えられます。

この権限を与えられた管理者は次の操作を行うことができます。

  • ユーザー プロフィールや組織構造を表示する
  • 管理コンソールでグループを作成、管理、削除する
  • グループのアクセス設定を管理する

ここでグループ管理の権限を付与すると、対応する管理 API の権限も付与されます。

上記の操作の適用範囲を特定の組織部門に限定することはできません。

ドメインの設定

この権限を与えられた管理者は次の操作を行うことができます。

  • 組織の名前、言語、ロゴ、タイムゾーンを変更する
  • Google Cloud アカウントのお支払い情報を確認する
  • ドメインやドメイン エイリアスを追加または削除する
  • パスワード再設定用の連絡先情報を更新する
  • Google Cloud アカウントを削除する
  • 機能リリースのプロセスを管理する
  • お知らせの設定を行う

上記の操作の適用範囲を特定の組織部門に限定することはできません。

レポート

 この設定により、使用状況レポートや監査ログへのアクセス権限を与えることができます。この権限を与えられた管理者は次の操作を行うことができます。
  • サービスの使用状況を示すグラフを表示する
  • ドキュメントの編集などのユーザー アクティビティをトラッキングする
  • 管理コンソールで他の管理者が行った変更をトラッキングする

上記の操作の適用範囲を特定の組織部門に限定することはできません。

サポート

この権限を与えられた管理者は、電話、チャット、メールで Google Cloud サポートに問い合わせることができます。あらかじめ定義されている特権管理者の役割が割り当てられているすべてのユーザーが、サポートに問い合わせることができます。

Google 管理コンソール以外で行われた作業に関するものを含め、あらゆる事象のテクニカル サポートを依頼できます。

上記の操作の適用範囲を特定の組織部門に限定することはできません。

[サービス] > [サービスの設定]

サービスの設定

アカウント内の個々のサービス設定や端末を管理できます。この権限を与えられた管理者は次の操作を行うことができます。

  • サービスの有効と無効を切り替える、サービスの設定やアクセス権限を変更する - アカウントに追加した特定のサービス(Gmail、カレンダー、ドライブなどの G Suite サービス)、Marketplace アプリ、無料の Google サービス(Google+ や Blogger など)が対象です。Google Vault や Google クラウド プリントといった一部のサービスでは、[サービスの設定] 権限がサポートされていません。
  • サービスのカスタム ウェブアドレスを作成する
  • 管理コンソールに一覧表示される Chrome 端末やモバイル端末を管理する

[サービスの設定] チェックボックスをオンすると、カレンダー、モバイル端末管理、ドライブ、ドキュメント、Gmail、Hangouts Chat、ディレクトリの [設定] 権限が有効になります。

上記の操作の適用範囲を特定の組織部門に限定することはできません。

[サービス] > [カレンダー]
  • 設定 - ビルディングやリソースの作成、会議室インサイト ダッシュボードへのアクセス権限の付与など、組織の Google カレンダー サービスに関するすべての設定を管理できます。
  • ビルディングとリソース - カレンダー リソースの作成、編集、削除を行ったり、会議室インサイト ダッシュボードを利用したりできます。この権限は、親権限である [設定] 権限とは別に選択できます。
  • 会議室インサイト - 会議室インサイト ダッシュボードで情報を表示したり、フィルタを設定したり、日付範囲を調整したりできます。この権限は、親権限である [ビルディングとリソース] 権限とは別に選択できます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

注: この権限を持つ管理者は、リソースの作成、編集、削除のみを行うことができ、カレンダー リソースの共有設定を変更することはできません。

[サービス] > [Mobile Device Management]

管理コンソールで一覧表示されるモバイル端末を完全に制御することができます。この権限を与えられた管理者は、モバイル設定やデバイス ポリシーの管理、モバイル端末管理のすべての操作(有効化、ブロック、削除、ワイプなど)を行うことができます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [ドライブとドキュメント]
  • 設定 - ドキュメント、スプレッドシート、スライド、フォームなどの関連サービスを含め、組織の Google ドライブ サービスに関するすべての設定を管理できます。

    この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。管理者がドライブ ファイルのオーナー権限を譲渡するには、この権限と [データ移行] 権限の両方が必要です。
  • ドキュメントのテンプレート - ユーザーはドキュメント、スプレッドシート、スライド、フォームの組織独自のテンプレート ギャラリーで、テンプレートの削除や再分類を行うことができます。管理コンソールの [ドライブとドキュメント] でテンプレートの設定を管理することもできます。

    テンプレートの送信が管理コンソールで [管理対象] に設定されている場合、この権限を付与されたユーザーはテンプレートの送信を承認または拒否することができます。送信が [制限付き] に設定されている場合、この権限を付与されたユーザーはギャラリーにテンプレートを追加できます。詳しくは、カスタム テンプレート ギャラリーを管理するをご覧ください。 

    この権限を持つと、管理コンソールの [ドライブとドキュメント] でカテゴリとテンプレート設定を管理することもできます。
  • チームドライブへのファイルやフォルダの移動 - チームドライブにファイルやフォルダを移動できます。チームドライブは G Suite Enterprise、G Suite Business、G Suite for Education エディションでご利用いただけます。
  • 新しい Google サイトの詳細の表示 - サイトのオーナーを確認したり、サイトが最後に公開された日付を表示したり、サイトの編集権限をリクエストしたりできます。

[サービス] > [Gmail]

この権限を与えられた管理者は、Gmail サービスを確認、管理することができます。

  • 設定 - 組織の Gmail のすべての設定を管理できます。
  • メールログを検索 - ログの検索、配信のトラブルシューティング、メールに関連するセキュリティの事象の調査を行うことができます。
  • 管理者検疫にアクセス - デフォルトの検疫を含むすべての検疫内のメールを確認して管理することができます。
  • 一部の検疫対象メールにアクセス - 管理者自身が属するグループに関連付けられた検疫対象のメールのみを確認して管理することができます。

注: [サービスの設定] 権限を割り当てると、[設定] 権限のチェックボックスのみが自動的にオンになります。

[サービス] > [Google Managed Play]

 この権限を与えられた管理者は、Google Play ストアの設定を管理することができます。Android アプリを社内のユーザーに配布することができるほか、限定公開アプリを Google Play ストアにアップロードしたり、Google Play 以外でホストされている Android アプリ パッケージ(APK)を使用したりすることもできます。

[サービス] > [Hangouts Chat]

この権限を与えられた管理者は、会話を保存したり、社内外のユーザーとの会話を許可したりするなど、Chat の設定を確認して必要に応じて変更できます。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Google Chrome Management]

この権限を与えられた管理者は、組織の Chrome ブラウザ ポリシーを管理することができます。これには、対象の組織部門のユーザー設定、Chrome アプリケーションと拡張機能、managed Google Play(Chrome 端末のみ)の編集権限が含まれます。
 
[ユーザー設定を管理] へのアクセスを許可すると、[アプリケーションの設定を管理] 権限が自動的に付与されます。
 
注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [Google ミーティング ルーム ハードウェア]

[カレンダー] 権限の有無にかかわらず、ユーザーの役割を作成し、特定の Chrome devices for meetings に権限を割り当てることができます。

[Chrome devices for meetings でカレンダーを使用する] 権限を持つユーザーには、ユーザーのカレンダーへの完全なアクセス権限が付与され、予定の読み取りと書き込み、
ドメイン内のすべてのカレンダー(メイン カレンダー、予備カレンダー、リソース カレンダー)に対するアクセス権限の管理、
ドメイン内のカレンダーの削除を行うことができます。なお、この権限を
ユーザーに割り当ててから [カレンダー] 権限が利用可能になるまでに、最長で 24 時間ほど
かかることがあります。

[サービス] > [Google ハングアウト]

品質ダッシュボードへの管理者権限

サービス管理者は組織の会議品質ダッシュボードを利用できます。

[サービス] > [Jamboard の管理]

 この権限を与えられた管理者は、Jamboard 設定の閲覧や編集、端末の設定などを行うことができます。

[サービス] > [ディレクトリ]

この権限を与えられた管理者は、設定を管理し、ユーザーにプロフィール(名前、写真、性別、生年月日など)の変更を許可して、ディレクトリ プロフィールの更新を制御することができます。
 
この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Cloud Search]

この権限を与えられた管理者は、Google Cloud Search へのアクセスをユーザーに許可したり、サービスの有効 / 無効を切り替えたり、組織での Cloud Search の利用状況(さまざまな種類の端末からの検索クエリ数やアクティブ ユーザーの数など)に関するレポートを表示したりできます。

注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [Google Cloud Print]

この権限を与えられた管理者は、組織の Google クラウド プリント サービスの設定と管理を行うことができます。これには、Chrome 端末や Windows、Mac、Linux パソコン上の Chrome ブラウザ、モバイル版の G Suite サービス(Gmail など)、サードパーティ製のネイティブ モバイルアプリからの印刷が含まれます。詳しくは、Google クラウド プリント サービスをご覧ください。 

注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [Shared device settings]

この権限を与えられた管理者は、すべての一般的な端末の設定を管理し、モバイル端末、Chrome 端末、Chromebox for meetings デバイスで、バーチャル プライベート ネットワーク(VPN)、Wi-Fi、イーサネット ネットワークを設定できます。

注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

[サービス] > [Chrome OS]

Chrome Enterprise または Chrome Education ライセンスをお持ちの場合にご利用いただけます。
 
この権限を与えられた管理者は、組織の Chrome 端末とポリシーを管理することができます。これには、対象の組織部門のユーザー設定、端末の設定、Chrome 端末上の Chrome と managed Google Play アプリと拡張機能の編集権限が含まれます。
 
[設定] へのアクセスを許可すると、[端末を管理]、[端末の設定を管理]、[ユーザー設定を管理]、[アプリケーションの設定を管理] 権限が自動的に付与されます。
 
[ユーザー設定を管理] へのアクセスを許可すると、[アプリケーションの設定を管理] 権限が自動的に付与されます。
 
詳しくは、Chrome での管理者の役割を委任するをご覧ください。

この権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

[サービス] > [Google Vault]

この権限を与えられた管理者は、全案件の閲覧権限や、案件、記録保持(リティゲーション ホールド)、検索、書き出し、保持ポリシー、監査の管理権限を他の管理者に付与できます。

詳しくは、Vault の権限についてのページをご覧ください。

注: この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

 

管理 API の権限

API の権限と管理コンソールの権限はリンクしています - 管理コンソールで管理者に組織、ユーザー、グループ、ユーザー セキュリティの権限を付与すると、対応する API の権限も付与されます。たとえば、管理コンソールでユーザー作成の権限を付与すると、権限を与えられた管理者は API を使用してもユーザーを作成できるようになります。同様に、管理 API の権限を更新すると、対応する管理コンソール内の権限も更新されます。

管理コンソールでの権限のみを管理者に付与し、API による操作の実行を許可しない場合は、アカウントの API アクセスを無効にします

API  説明

管理 API の権限

G Suite の管理 API を使用して次の操作を行うことができます。

  • 組織部門
  • ユーザー
  • グループ
  • ユーザー セキュリティの管理
  • データ移行 - この権限を与えられた特権管理者やサービス管理者は、管理コンソールを使用してユーザーのドライブ ファイルのオーナー権限を譲渡できます。管理コンソールでオーナー権限譲渡の設定を行うには、[ドライブとドキュメント] 権限も付与されている必要があります。上記の操作の適用範囲を特定の組織部門に限定することはできません。
    注: ユーザーを削除する際、ファイルのオーナー権限を譲渡できるのは特権管理者に限られます。
  • スキーマの管理 - この権限を与えられた特権管理者やサービス管理者は、ユーザーのプロジェクト、場所、雇用日など、ドメインのカスタム フィールドを定義するスキーマを作成できます。
  • ドメインの管理 - この権限を与えられた管理者は、ドメインを追加または削除したり、ドメイン エイリアスを設定したりできます。

カスタムの役割を作成した場合、各権限の横にあるチェックボックスをオンにすることで、該当するオブジェクトに対してあらゆる操作を API 経由で行えるようになります。また、個々の操作([作成]、[読み取り] など)をクリックして、その操作だけを許可することもできます。
この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。