ユーザーのセキュリティ設定を管理する

従来の G Suite(無償版)をご利用の場合、この機能をご利用いただくには G Suite Basic にアップグレードしていただく必要があります。

組織の G Suite または Cloud Identity サービスの管理者は、ユーザーのセキュリティ設定の確認や管理をして、ユーザーのパスワードの再設定、多要素認証のセキュリティ キーの追加や削除、ユーザーのログイン Cookie のリセットなどを行うことができます。

ユーザーのセキュリティ設定を開く

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ユーザー] にアクセスします。
  3. [ユーザー] リストで、該当するユーザーを探します。

    ヒント: 管理コンソールの上部にある検索ボックスにユーザーの名前またはメールアドレスを入力してユーザーを検索することもできます。詳しくは、ユーザー アカウントの検索をご覧ください。

  4. ユーザーの名前をクリックし、そのユーザーのアカウント ページを開きます。
  5. [セキュリティ] をクリックします。


    詳細の先頭部分にあるセキュリティ セクションを見つけます

  6. ユーザーのセキュリティ設定を以下の手順で確認、管理します。

ユーザーのセキュリティ設定を確認、管理する

ユーザーのパスワードを再設定する
  1. [パスワード] 次に [パスワードを再設定] をクリックします。
  2. パスワードを自動生成するか、手動入力します。

    デフォルトでは、パスワードは 8 文字以上にする必要があります。管理者は、必要に応じて組織のパスワード要件を変更できます。

  3. (省略可)プレビュー アイコン プレビュー をクリックしてパスワードを確認します。
  4. (省略可)ユーザーにパスワードの変更を要求する場合は、[次回ログイン時にパスワードの変更を要求する] がオン オン になっていることを確認します。
  5. [再設定] をクリックします。
  6. (省略可)別の場所(ユーザーとの Hangouts Chat の会話の画面など)にパスワードを貼り付けるには、[クリックしてパスワードをコピー] をクリックします。
  7. ユーザーにパスワードをメールで送信するか、[完了] をクリックします。
セキュリティ キーを表示、追加、削除する

セキュリティ キーは、2 段階認証プロセスを使って Google アカウントにログインする際に使用する小型デバイスです。セキュリティ キーは、Google がサポートしている 2 段階認証プロセス方式の中で、最も安全です。パソコンの USB ポートに挿入するか、NFC または Bluetooth® を利用してモバイル デバイスに接続します。詳細

ユーザーがセキュリティ キーを使用中の場合は、[セキュリティ キー] 欄をクリックして、キーが追加された日時と最後に使用された日時を確認します。

キーを追加する

セキュリティ キーは、管理者がユーザーに代わって追加するか、ユーザーが自分で追加することができます。

  • ユーザーが自分でキーを追加する場合は、Google アカウントにセキュリティ キーを追加する手順で追加できます。
  • ユーザーに代わってキーを追加するには:
    1. [セキュリティ キー] 欄をクリックして [セキュリティ キーを追加] ボタンを表示します。
    2. [セキュリティ キーを追加] をクリックします。
    3. 画面の指示に沿って操作します。

      : お使いのパソコンにセキュリティ キーが挿入されている場合は、キーを取り外してからユーザーの新しいキーを登録してください。

    4. [完了] をクリックします。

キーを削除する

セキュリティ キーを削除するのは、キーを紛失した場合のみです。キーを一時的に利用できない場合は、その際の回避策としてバックアップ セキュリティ コードを生成できます。後述のユーザーのバックアップ確認コードを取得するをご覧ください。

  1. [セキュリティ キー] 欄をクリックして鍵情報テーブルを表示します。
  2. テーブルを右端までスクロールします。
  3. 削除するキーの行にカーソルを合わせると、右側にゴミ箱アイコン 削除 が表示されます。
  4. ゴミ箱アイコン 削除 次に [削除] をクリックします。
  5. [完了] をクリックします。

    セキュリティ キーを取り消すたびに、管理コンソールの監査ログにイベントが追加されます。

注: ユーザーに対して、2 段階認証プロセスでのセキュリティ キーの使用を必須にすることができます。

2 段階認証プロセスの設定を確認する

2 段階認証プロセスを有効にできるのは、ユーザーのみです。管理者が行えるのは、ユーザーの 2 段階認証プロセスの現在の設定を確認です。また、ユーザーがロックされた場合はバックアップ コードを取得できます。

[2 段階認証プロセス] 欄では、2 段階認証プロセスがユーザーに対して有効になっているかどうか、2 段階認証プロセスが組織全体に適用されているかどうかを確認できます。

  • アカウントにアクセスできないユーザーに対し、2 段階認証プロセスをオフにすることもできますが、おすすめしません。代わりに、ユーザーがログインするためのバックアップ コードを取得します。
  • 2 段階認証プロセスが組織全体に適用されている場合、ユーザーの 2 段階認証プロセスを個別にオフにするオプションは無効になります。
ユーザーのバックアップ確認コードを取得する

2 つ目の認証方法に一時的にアクセスできないユーザーは、アカウントにログインできない可能性があります。たとえば、セキュリティ キーを自宅に置いてきた場合や、携帯電話でアクセスコードを受信できない場合などです。そうしたユーザーに対しては、バックアップ確認コードを生成してログインを可能にできます。

  1. ユーザーのバックアップ確認コードを表示するには、[2 段階認証プロセス次に [バックアップ確認コードを取得] をクリックします。
  2. 既存のバックアップ コードのいずれか 1 つをコピーするか、新しいコードを生成します。: 既存のバックアップ コードが盗まれたと思われる場合や、既存のバックアップ コードをすべて使い切った場合は、[新しいコードを取得] を選択します。既存のバックアップ コードは自動的に無効になります。
  3. バックアップ コードを使用してログインするの手順でログインするようユーザーに伝えます。

ユーザーが 2 段階認証プロセスでセキュリティ キーを使用する必要がある場合は、セキュリティ キーが必要になるまでの猶予期間がどれくらい残っているかが表示されます。

パスワードの変更を要求する

ユーザーのパスワードが盗まれた可能性がある場合は、次回のログイン時にパスワードを再設定するようユーザーに要求することができます。

  1. [パスワードの変更の要求次に オフ をクリックしてオンにします。
  2. [完了] をクリックします。

ユーザーがパスワードを再設定すると、この設定は自動的にオフに設定されます。

ユーザーの再設定用の情報を編集する

承認されていないユーザーがアカウントにアクセスしようとしている疑いがある場合、アクセスが許可される前にログイン時の本人確認を求める画面が表示されます。ユーザーは、次のいずれかを行う必要があります。

  • 再設定用の電話番号または再設定用のメールアドレス(組織ドメイン以外のメールアドレス)に届いた確認コードを入力する
  • アカウントのオーナーのみが正解できる本人確認用の質問に答える

ユーザーの再設定用の情報を追加、編集するには:

  1. [復元情報] をクリックします。
    • 再設定用の電話番号
    • メールアドレス(組織外のもの)
  2. [保存] をクリックします。
ログイン時の本人確認を一時的にオフにする

承認されていないユーザーがアカウントにアクセスしようとしている疑いがある場合、アクセスが許可される前にログイン時の本人確認を求める画面が表示されます。ユーザーは、携帯電話に送信された確認コードを入力するか、アカウントのオーナーのみが正解できる別の確認用の質問に答える必要があります。

正規のユーザーが本人であることを証明できない場合は、管理者がログイン時の本人確認を少しの間無効にして、ユーザーがログインできるようにします。

  1. [ログイン時の本人確認] 次に [10 分間無効化] をクリックします。
  2. [完了] をクリックします。
ユーザーのログイン Cookie をリセットする

ユーザーがパソコンやモバイル デバイスを紛失した場合、管理者はログイン Cookie をリセットすることで、そのユーザーの Google アカウントに対する不正アクセスをブロックできます。これにより、すべてのデバイスとブラウザで、Google アカウント(G Suite アプリケーションを含む)からユーザーがログアウトされます。

注: ユーザーを停止した場合は、この操作は不要です。ユーザーを停止すると、ユーザーのログイン Cookie がリセットされます。

サードパーティの ID プロバイダ(IdP)を使用してシングル サインオン(SSO)を設定してある場合、ユーザーの SSO セッションではログイン Cookie のリセット後でも Google アカウントにアクセスできることがあります。このような場合は、SSO セッションを終了してから Google ログイン Cookie をリセットします。SSO の管理に関してサポートが必要な場合は、IdP のサポートチームにお問い合わせください。

ユーザーの Cookie をリセットするには:

  1. [ログイン Cookie] 次に [リセット] をクリックします。
  2. [完了] をクリックします。

現在の Gmail セッションからユーザーがログアウトされるまでに、1 時間ほどかかる場合があります。時間はアプリケーションによって異なります。

アプリケーション固有のパスワードの確認や取り消しを行う

ユーザーが 2 段階認証プロセスを使用していて、確認コードを受け付けないアプリやデバイスにログインする必要がある場合は、アプリケーション固有のパスワードが必要になります。詳細

ユーザーがアプリ パスワードを作成したアプリは、[アプリケーション固有のパスワード] 欄に表示されます。: アプリ パスワードを使用していない場合、この欄は表示されていません。

アプリ名をクリックすると、そのアプリのパスワードが作成された日時と、パスワードが最後に使用された日時が表示されます。

ユーザーがデバイスを紛失したり、そのパスワードで認証されるアプリの使用を停止したりした場合は、アプリ パスワードを取り消す必要があります。

  1. アプリ パスワードを使用しているアプリを表示するには、[アプリケーション固有のパスワード] 欄をクリックします。
  2. アプリ名にカーソルを合わせ、右側のゴミ箱アイコン 削除 をクリックします。
  3. [取り消し] をクリックします。
  4. [完了] をクリックします。

ユーザーが自分のアプリ パスワードを取り消すこともできます。

サードパーティ製アプリケーションへのアクセスを表示、削除する

[接続済みのアプリケーション] 欄には、ユーザーの Google アカウント データにアクセスできるすべてのサードパーティ製アプリケーション(G Suite Marketplace アプリなど)が一覧表示されます。詳しくは、承認済みのアクセスの仕組みをご覧ください。

: サードパーティ製アプリケーションがインストールされていない場合、この欄は表示されていません。

アプリケーション名をクリックすると、詳しい情報が表示されます。

  • [アクセスレベル] 列には、アプリケーションがアクセスできるユーザーデータが表示されます。ユーザーは Google データへのフルアクセス権限、または部分的なアクセス権限を付与できます。
  • [承認日] 列には、アプリケーションにデータアクセスが許可された日時が表示されます。

アプリのデータアクセス権限を一時的に削除するには:

  1. アプリ名にカーソルを合わせ、右側のゴミ箱アイコン Revoke をクリックします。
  2. [削除] をクリックします。
  3. [完了] をクリックします。

: アプリのデータアクセス権限を削除しても、ユーザーが将来そのアプリを使用できなくなることはありません(ユーザーに必要な権限がある場合)。ユーザーがアプリに再度ログインすると、データアクセス権限が復元されます。アプリケーションへのユーザー アクセスを完全に制限するには、該当するアプリケーション スコープへのアクセスをブロックし、組織で承認されているアプリのホワイトリストを設定します。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。