組織のモバイルアプリを管理する方法については、こちらを参照 してください。
ユーザーが [Google でログイン] オプション(シングル サインオン)を使用してサードパーティ製アプリにログインした場合に、それらのアプリが組織の Google データにアクセスする方法を管理できます。OAuth 2.0 で Google Workspace サービスへのアクセスを管理するには、Google 管理コンソールの設定を使用します。アプリによっては、OAuth 2.0 スコープ(ユーザーのアカウントへのアクセスを制限するメカニズム)を使用していることがあります。
管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるメッセージをカスタマイズすることもできます。
注: Google Workspace for Education では、追加の制限により、初中等教育機関のユーザーが特定のサードパーティ製アプリにアクセスできない場合があります。
始める前に: 組織で使用するサードパーティ製アプリを確認する
[アプリのアクセス制御] では、次のサードパーティ製アプリを確認できます。
- 設定済みアプリ - アクセス設定(信頼できる、限定、特定の Google データ、ブロック中)が適用されているアプリ。
- アクセスしたアプリ - Google データにアクセスしたユーザーが使用したアプリ。
- 審査待ちのアプリ (Education エディション) - 18 歳未満のユーザーがアクセスをリクエストしたアプリ。
通常、サードパーティ製アプリの詳細は、承認の 24~48 時間後に表示されます。
-
-
管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。
- [サードパーティ製アプリのアクセスを管理] をクリックして、設定済みのアプリを表示します。アプリの一覧をフィルタするには、[フィルタを追加] をクリックしてオプションを選択します。
アプリの一覧には、アプリの名前、種類、ID のほか、アプリごとに次の情報が表示されます。
- 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご確認ください。
- アクセス - 組織部門のアプリに対するアクセス ポリシー設定を表示します。アプリにカーソルを合わせて [詳細を表示] をクリックすると、アクセスレベル(信頼できる、限定、特定の Google データ、ブロック中)が表示されます。[アクセス権限を変更] をクリックして、アプリのデータのアクセスレベルを変更します。
注: 特定の組織部門にアクセスレベル「A」を適用し、次に組織全体にアクセスレベル「B」を適用した場合、アクセスレベル「A」は組織部門に対して引き続き有効になります。
- アクセスしたアプリを表示するには、[アクセス済みアプリ] の [リストを表示] をクリックします。
アクセス済みアプリについては、以下のことも確認できます。
- ユーザー - アプリにアクセスするユーザーの数。
- リクエストされたサービス - 各アプリ(Gmail、Google カレンダー、Google ドライブなど)で使用されている Google サービスの API(OAuth2 スコープ)。Google がリクエストしていないサービスは「その他」と表示されます。
- [設定済みアプリ] または [アクセス済みアプリ] リストでアプリをクリックして、次の操作を行います。
- アプリが Google サービスにアクセスできるかどうかを管理する - アプリが [信頼できる]、[限定]、[特定の Google データ]、[ブロック中] のどれに設定されているかが表示されます。アクセス設定を変更した場合は、[保存] をクリックします。
- アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報が表示されます。
- アプリがリクエストしている Google サービス API(OAuth スコープ)を確認する - 各アプリがリクエストしている OAuth スコープのリストが表示されます。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
- (省略可)アプリの情報を CSV ファイルにダウンロードするには、[設定済みアプリ] または [アクセス済みアプリ] のリストの上部にある [リストをダウンロード] をクリックします。
- 表示されていないデータも含め、表内のすべてのデータがダウンロードされます。
- 設定済みアプリの場合、CSV ファイルには確認ステータス、ユーザー数、組織部門、リクエストされたサービス、各サービスに関連付けられた API スコープの列が追加されます。設定済みアプリがアクセスされていない場合、ユーザー数はゼロ(0)で、他の 2 列は空白になります。
- アクセスしたアプリの場合、CSV ファイルには確認ステータス、組織部門、各サービスに関連付けられた API スコープの列が追加されます。
アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます(アプリを信頼する方法について詳しくは、後述を参照)。詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。
Google サービスを制限または制限解除する
機械学習などの Google Cloud サービスを含む、ほとんどの Google Workspace サービスへのアクセスを制限(または無制限のままに)することができます。各オプションの内容は次のようになっています。
- 制限付き: [信頼できる] アクセスが設定されているアプリのみがデータにアクセスできます。
- 制限なし - [信頼できる]、[限定]、[特定の Google データ] のいずれかの Google データアクセス設定が設定されているアプリのみが、管理者が設定したスコープにアクセスできます。スコープに制限付きデータアクセスが設定されているか、制限なしデータアクセスが設定されているかは関係ありません。
たとえば、カレンダーのアクセスを [制限付き] に設定した場合、[信頼できる] アクセスが設定されているアプリのみがカレンダー データにアクセスできます。[限定] アクセスが設定されているアプリは、カレンダーのデータにアクセスできません。
注: Gmail、Google ドライブ、Google Chat では、リスクの高いサービス(メールの送信やドライブでのファイルの削除など)へのアクセスを詳細に制限できます。
-
-
管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。
- [Google サービスを管理] をクリックします。
- サービスの一覧で、管理するサービスの横にあるチェックボックスをオンにします。 すべてのチェックボックスをオンにするには、[サービス] チェックボックスをオンにします。
- (省略可)このリストをフィルタするには、[フィルタを追加] をクリックして次の条件から選択します。
- Google サービス - サービスの一覧から選択し、[適用] をクリックします。
- Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
- 許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
- ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
- 上部にある [アクセス権を変更] をクリックし、[制限なし] または [制限付き] を選択します。
アクセス権を [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーが、制限付きサービスにアクセスするアプリを信頼できるアプリとして設定していないにもかかわらずインストール(またはログイン)しようとすると、アプリがブロックされているという通知が表示されます。ドライブ サービスへのアクセスを制限すると、Google フォーム API へのアクセスも制限されます。
注: アクセスしたアプリの一覧は、トークンが付与または取り消されてから 48 時間後に更新されます。 - (省略可)[制限付き] を選択した場合、高リスクとして分類されていない OAuth スコープ(ユーザーが選択したドライブ ファイルへのアクセスをアプリに許可するスコープなど)へのアクセスを許可するには、[信頼できないアプリに対して、高リスクに分類されていない OAuth スコープへのアクセスをユーザーが許可できるようにする] チェックボックスをオンにします(このボックスは Gmail やドライブなどのアプリに表示されますが、すべてのアプリに表示されるわけではありません)。
- [変更] をクリックして、必要に応じて確定します。
- (省略可)サービスにアクセスできるアプリを確認するには:
- 上部の [アクセス済みアプリ] で [リストを表示] をクリックします。
- [フィルタを追加] [リクエストされたサービス] をクリックします。
- 確認するサービスを選択し、[適用] をクリックします。
リスクの高い OAuth スコープへのアクセスを制限する
Gmail、Google ドライブ、Google Chat では、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Gmail のスコープについて詳しくは、Gmail API のスコープを選択するをご覧ください。
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
ドライブのスコープについて詳しくは、Google Drive API のスコープを選択するをご覧ください。
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
Chat のスコープについて詳しくは、Chat API のスコープをご覧ください。
サードパーティ製アプリからの Google サービスへのアクセスを管理する、アプリを追加する
アプリをブロックしたり、信頼できるアプリ、特定の Google データ、限定アプリとしてマークしたりして、特定のアプリのアクセスを管理できます。
- 信頼できる - アプリは、制限付きのサービスを含むすべての Google Workspace サービス(OAuth スコープ)にアクセスできます。OAuth クライアント ID を使用して設定されたアプリを許可リストに登録すると、アプリケーション プログラミング インターフェース(API)から Google Workspace サービスへのアクセスを維持できます。API アクセスに適用されるコンテキストアウェア アクセス ポリシーが、サービスで設定されている場合も同様です。
- 特定の Google データ - アプリの設定時に指定したスコープにのみデータアクセスをリクエストできます。
- 制限付き - アプリは制限なしのサービスにのみアクセスできます。アプリのデータアクセス設定は、アプリの一覧またはアプリ情報のページから変更できます。
-
[API の制御] [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- 設定済みアプリの一覧またはアクセスしたアプリの一覧で、目的のアプリにカーソルを合わせ、[アクセス権限を変更] をクリックします。または、複数のアプリの横にあるチェックボックスをオンにして、リストの上部にある [アクセス権を変更] をクリックします。
- アクセスを設定する組織部門を選択します。
- すべてのユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。
- 特定の組織部門に適用するには、[組織部門を選択] [組織を含める] をクリックしてから特定の組織部門を選択します。
- [次へ] をクリックします。
- 次のいずれかを行います。
- 信頼できる - すべての Google サービスにアクセスできます(制限付きと制限なしの両方)。 Chrome ブラウザなどの Google 所有アプリは自動的に信頼されるため、信頼できるアプリとして設定することはできません。
(省略可)選択したアプリに API アクセスに適用されるコンテキストアウェア アクセス ポリシーがあっても、Google Workspace サービスへの API アクセスを維持するには、[コンテキストアウェア アクセスの API アクセス ブロックの除外許可リスト] を選択します。このオプションは、OAuth クライアント ID を使用して追加したウェブアプリ、Android アプリ、iOS アプリでのみ選択できます。このオプションを選択しても、アプリが API アクセス ブロックから自動的に除外されることはありません。また、コンテキストアウェア アクセス レベルの割り当て時に、アプリを除外する必要もあります。この許可リストは、手順 3 で指定した組織部門にのみ適用されます。 - 制限付き - アクセス制限のない Google サービスにのみアクセスできます。
- 特定の Google データ - アプリの構成時に指定したスコープに対してのみ、データへのアクセスをリクエストできます。
注: ユーザーが Google アカウントでログインできるようにするには、アプリで必要な Google ログインのスコープを含める必要があります。 - ブロック中: Google サービスにアクセスできません。
デバイス用のアプリを許可リストに追加し、API の制御で同じアプリをブロックした場合、そのアプリはブロックされます。API の制御でアプリのブロックを行うと、許可リストへの登録がオーバーライドされます。
ヒント: アプリの設定を解除するには、サードパーティ製アプリを一括で追加、設定するで説明されている CSV アップロード オプションを使用します。
- 信頼できる - すべての Google サービスにアクセスできます(制限付きと制限なしの両方)。 Chrome ブラウザなどの Google 所有アプリは自動的に信頼されるため、信頼できるアプリとして設定することはできません。
- [次へ] をクリックします。
- スコープとアクセスの設定を確認し、[アクセス権を変更] をクリックします。
動画を見る
Change access from the app information page
アプリのアクセス権を変更する
- 一覧のアプリをクリックし、[Google データにアクセス] をクリックします。
- データアクセスを設定するグループまたは組織部門をクリックします。デフォルトでは最上位の組織部門が選択されており、組織全体に変更が適用されます。
- データのアクセスレベルを選択します。
- [保存] をクリックします。
- (省略可)必要に応じて、組織部門ごとに異なる設定を適用します。
- 全ユーザーのデータに対するアプリのアクセスをブロックするには、最上位の組織部門を選択し、[ブロック中] を選択します。
- 一部のユーザーのデータのみについて、アプリによるアクセスをブロックするには、最上位の組織部門を [信頼できる] に設定し、該当するユーザーを含む子組織部門のアクセスを [ブロック中] に設定します。(組織部門の設定ごとに [保存] をクリックします)。
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- [設定済みアプリ] で [アプリを追加] をクリックします。
- [OAuth アプリ名またはクライアント ID] (後でアプリを [API の除外] から許可リストに登録する場合にこのオプションを選択)、[Android] または [iOS] を選択します。
- アプリ名またはクライアント ID を入力し、[検索] をクリックします。
- アプリにカーソルを合わせ、[選択] をクリックします。
- 設定するクライアント ID のチェックボックスをオンにして [選択] をクリックします。
- アクセスの設定対象を選択します。
- デフォルトでは最上位の組織部門が選択されています。組織内のすべてのユーザーにアクセスを設定するには、そのままの状態にします。
- 特定の組織部門のアクセスを設定するには、[組織部門を選択] をクリックし、[+] をクリックして組織部門を表示します。目的の組織部門のチェックボックスをオンにして、[選択] をクリックします。
- [続行] をクリックします。
- 次のいずれかを選択します。
- 信頼できる - すべての Google サービスにアクセスできます(制限付きと制限なしの両方)。
(省略可)選択したアプリに API アクセスに適用されるコンテキストアウェア アクセス ポリシーがあっても、Google Workspace サービスへの API アクセスを維持するには、[コンテキストアウェア アクセスの API アクセス ブロックの除外許可リスト] を選択します。このオプションは、OAuth クライアント ID を使用して追加したウェブアプリ、Android アプリ、iOS アプリでのみ選択できます。このオプションを選択しても、アプリが API アクセス ブロックから自動的に除外されることはありません。また、コンテキストアウェア アクセス レベルの割り当て時に、アプリを除外する必要もあります。この許可リストは、手順 7 で指定した組織部門にのみ適用されます。 - 限定 - アクセス制限のない Google サービスにのみアクセスできます。
- 特定の Google データ - アプリの構成時に指定したスコープに対してのみ、データへのアクセスをリクエストできます。
注: ユーザーが Google アカウントでログインできるようにするには、アプリで必要な Google ログインのスコープを含める必要があります。 - ブロック中: Google サービスにアクセスできません。
デバイス用のアプリを許可リストに追加し、API の制御で同じアプリをブロックした場合、そのアプリはブロックされます。API の制御を使用してアプリのブロックを行うと、許可リストへの登録がオーバーライドされます。
- 信頼できる - すべての Google サービスにアクセスできます(制限付きと制限なしの両方)。
- 新しいアプリの設定を確認してから、[完了] をクリックします。
ユーザーはウェブアプリの追加に同意するよう求められます。Google Workspace Marketplace では承認済みアプリに限り、管理者がドメイン インストールを使用して同意画面を省略できます。
未設定のアプリの設定を選択する
信頼できる、限定、特定の Google データ、ブロック中のいずれも設定されていないサードパーティ製アプリ(サードパーティ製アプリからの Google サービスへのアクセスを管理する、アプリを追加するを参照)は、未設定のアプリと見なされます。管理者は、ユーザーが Google アカウントで未設定のアプリにログインしようとした場合の動作を管理できます。
動画を見る
Find the settings for unconfigured apps
設定を見つける
-
-
管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。
- [設定] をクリックして設定グループを展開します。
- (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る
- 設定を行います。詳しくは、未設定のアプリの設定をご覧ください。
- [保存] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
未設定アプリの設定
これは、ブロックされているアプリにアクセスできない場合にユーザーに表示されるカスタム メッセージです。カスタム メッセージを作成するには、[オン] を選択してメッセージを入力します。
カスタム メッセージがオフになっている場合、またはカスタム メッセージを表示できない場合は、代わりにデフォルトのメッセージが表示されます。
この設定では、ユーザーが Google アカウントで未設定のアプリにログインしようとした場合の動作を管理します。この設定に関係なく、ユーザーは [信頼できる]、[限定]、[特定の Google データ] のアクセスが設定されているアプリに引き続きアクセスできます。
次のいずれかの操作を行います。
- サードパーティ製アプリへのアクセスをユーザーに許可する(デフォルト) - ユーザーは任意のサードパーティ製アプリに Google でログインできます。アクセスされたアプリは、そのユーザーの Google データへの制限なしのアクセスを要求できます。
- 「Google でログイン」に必要な基本情報のみを要求するサードパーティ製アプリへのアクセスを許可する - ユーザーは、基本的なプロフィール情報(Google アカウント名、メールアドレス、プロフィール写真)のみを要求するサードパーティ製アプリに Google でログインできます。詳しくは、Google アカウントを使用して他のアプリやサービスにログインするをご覧ください。
- サードパーティ製アプリへのアクセスをユーザーに許可しない - 管理者が該当するアプリやサイトにアクセス設定を行うまで、ユーザーはサードパーティ製アプリやウェブサイトに Google でログインできません。詳しくは、サードパーティ製アプリからの Google サービスへのアクセスを管理する、アプリを追加するをご覧ください。
Google Workspace for Education のエディション: 18 歳以上のユーザーと 18 歳未満のユーザーに異なる設定を選択できます。この設定を使用してサードパーティ製アプリをブロックする場合、[未設定のアプリへのアクセスに対するユーザー リクエスト] の設定で、ブロックされているアプリへのアクセスを 18 歳未満のユーザーがリクエストできるようにすることができます。
この設定により、組織で作成した内部アプリが、制限付きの Google Workspace API にアクセスできるようになります。
すべての内部アプリに対して API アクセスを許可するには、[内部アプリを信頼する] チェックボックスをオンにします。
この機能は、Google Workspace for Education エディションでのみご利用いただけます。
これにより、18 歳未満のユーザーは、[未設定のサードパーティ製アプリ] の設定でブロックされているアプリへのアクセスをリクエストできます。
ユーザーがアプリへのアクセスをリクエストすると、管理者に通知が届き、アプリへのアクセスをユーザーに許可するアクセス設定を行うことができます。
ユーザーがアクセスをリクエストできるようにするには、[ユーザーに未設定のサードパーティ製アプリへのアクセスのリクエストを許可する] チェックボックスをオンにします。
関連トピック
- Google API の OAuth 2.0 スコープ
- アプリを OAuth スコープの確認に対応させるためのヒント(Google Developers ブログ)