通知

Duet AI は Gemini for Google Workspace になりました。詳細

API アクセスをドメイン全体の委任で制御する

ドメイン全体の委任は、ユーザーの同意なしに Workspace ユーザーのデータにアクセスする権限をクライアント アプリケーションに付与できる強力な機能です。ドメイン全体の委任は、次の 2 つの方法で使用できます。

  1. ユーザーに代わってデータにアクセスする権限をサービス アカウントに許可します。サービス アカウントは、次の種類のアプリを使用する場合があります。

    • 別のサービスから Google Workspace にユーザー コンテンツを複製する移行ツールと同期ツール。

    • デベロッパーが作成した組織向け内部アプリ(自動化アプリなど)。たとえば、Calendar API を使用してユーザーのカレンダーに予定を追加するアプリにアクセスを委任できます。

  2. ユーザーが同意画面を表示せずに OAuth クライアント アプリを使用できるようにします。ユーザーがアプリにアクセスする際に同意を求めるメッセージは表示されず、管理者はアプリがアクセスできるユーザーデータを指定できます。

また、Google Workspace Marketplace アプリのドメイン全体でのインストールを管理したり、API スコープを表示したりすることもできます。詳しくは、Marketplace アプリのデータアクセスの仕組みドメイン内に Marketplace アプリをインストールするをご覧ください。

すべて開く   |   すべて閉じる

始める前に
  • Google Workspace アカウントの特権管理者権限があることを確認します。
  • ドメイン全体の委任に関するベスト プラクティスサービス アカウントの使用に関するベスト プラクティスを確認します。
  • アプリまたはサービス アカウントに必要な API スコープのリストを確認します。アプリまたはサービス アカウントのアクセス スコープが適切に制限されていることを確認します。
  • (OAuth アプリを委任する場合)アプリ デベロッパーから OAuth クライアント ID を取得します。
  • (サービス アカウントを委任する場合)サービス アカウントのクライアント ID を取得します。サービス アカウントの所有者は、次のように ID を確認できます。
    1. Google Cloud に特権管理者としてログインします。
    2. [IAM と管理]次へ[サービス アカウント]次へ[サービス アカウントの名前] をクリックします。
    3. [詳細設定] を開き、[クライアント ID] をコピーします。
  • ドメイン全体で委任すると、アプリはすべてのユーザーのデータにアクセスできます。サービス アカウントを定期的に確認して、不要になったアカウントは削除することをおすすめします。
クライアントに対してドメイン全体の委任を設定する
  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン 次に [セキュリティ]次に[アクセスとデータ管理]次に[API の制御]次に[ドメイン全体の委任を管理] の順に移動します。
    この操作を行うには、特権管理者としてログインする必要があります。
  3. [新しく追加] をクリックします。

  4. サービス アカウントまたは OAuth2 クライアントのクライアント ID を入力します。

  5. [OAuth のスコープ] で、アプリケーションがアクセスできるスコープを 1 つずつ追加します(適切に制限する必要があります)。OAuth 2.0 API の範囲に記載されているいずれかのスコープを使用できます。たとえば、Google Drive API と Google Calendar API にドメイン全体でアクセスできる必要がある場合は、https://www.googleapis.com/auth/drivehttps://www.googleapis.com/auth/calendar を入力します。
  6. [承認] をクリックします。エラーが発生した場合は、クライアント ID が Google に登録されていない、またはスコープが重複しているかサポートされていない可能性があります。
  7. 新しいクライアント ID にカーソルを合わせ、[詳細を表示] をクリックし、すべてのスコープが表示されていることを確認します。

    記載されていないスコープがある場合は、[編集] をクリックし、記載されていないスコープを入力して [承認] をクリックします。クライアント ID は編集できません。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

クライアントとスコープを表示、編集、削除する

アプリのスコープを定期的に確認し、不要なスコープやあまり使用しないスコープを削除することをおすすめします。また、不要になったクライアントも削除します。たとえば、移行が完了したら、移行ツールに許可していたアクセスを削除します。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン 次に [セキュリティ]次に[アクセスとデータ管理]次に[API の制御]次に[ドメイン全体の委任を管理] の順に移動します。
    この操作を行うには、特権管理者としてログインする必要があります。
  3. クライアント名をクリックして次の操作を行います。

  • 詳細を表示する - クライアントの完全な名前とスコープのリストを確認できます。

  • 編集する - スコープを追加または削除します。クライアント ID は編集できません。変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

  • 削除する - クライアントの承認ベースのアプリは、直ちに動作を停止します。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
2557112949634257576
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false