Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

組織のモバイルアプリを管理する方法については、こちらをご覧ください。

ユーザーが [Google でログイン] オプション（シングル サインオン）を使用してサードパーティ製アプリにログインした場合に、それらのアプリが組織の Google データにアクセスする方法を管理できます。OAuth 2.0 による Google Workspace サービスへのアクセスを管理するには、Google 管理コンソールの設定を使用します。アプリによっては、OAuth 2.0 スコープ（ユーザーのアカウントへのアクセスを制限するメカニズム）を使用していることがあります。

管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるメッセージをカスタマイズすることもできます。

注: Google Workspace for Education では、追加の制限により、初中等教育機関のユーザーが特定のサードパーティ製アプリにアクセスできない場合があります。

始める前に: 組織で使用するサードパーティ製アプリを確認する

[アプリのアクセス制御] では、次のサードパーティ製アプリを確認できます。

• 設定済みアプリ - アクセス設定（信頼できる、限定、特定の Google データ、ブロック中）が適用されているアプリ。
• アクセスしたアプリ - Google データにアクセスしたユーザーが使用したアプリ。
• 審査待ちのアプリ（Education エディション） - 18 歳未満のユーザーがアクセスをリクエストしたアプリ。

通常、サードパーティ製アプリの詳細は、承認の 24～48 時間後に表示されます。

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. [セキュリティ] > [API の制御] にアクセスします。

   アクセスするには、セキュリティ設定の管理者権限が必要です。

   
3. [サードパーティ製アプリのアクセスを管理] をクリックして、設定済みのアプリを表示します。アプリの一覧をフィルタするには、[フィルタを追加] をクリックしてオプションを選択します。

   アプリの一覧には、アプリの名前、種類、ID のほか、アプリごとに次の情報が表示されます。

   • 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご確認ください。
   • アクセス - 組織部門のアプリに対するアクセス ポリシー設定を表示します。アプリにカーソルを合わせて [詳細を表示] をクリックすると、アクセスレベル（信頼できる、限定、特定の Google データ、ブロック中）が表示されます。[アクセス権限を変更] をクリックして、アプリのデータのアクセスレベルを変更します。 

     注: 特定の組織部門にアクセスレベル「A」を適用し、次に組織全体にアクセスレベル「B」を適用した場合、この特定の組織部門では引き続きアクセスレベル「A」が有効になります。

4. アクセスしたアプリを表示するには、[アクセスしたアプリ] の [リストを表示] をクリックします。

   アクセスしたアプリについては、以下のことも確認できます。

   • ユーザー - アプリにアクセスするユーザーの数。
   • リクエストされたサービス - 各アプリ（Gmail、カレンダー、ドライブなど）で使用されている Google サービスの API（OAuth2 スコープ）。Google がリクエストしていないサービスは「その他」と表示されます。
5. [設定済みアプリ] または [アクセスしたアプリ] のリストでアプリをクリックして、次の操作を行います。
   • アプリが Google サービスにアクセスできるかどうかを管理する - アプリが [信頼できる]、[限定]、[特定の Google データ]、[ブロック中] のどれに設定されているかが表示されます。アクセス設定を変更した場合は、[保存] をクリックします。
   • アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報が表示されます。
   • アプリがリクエストしている Google サービス API（OAuth スコープ）を確認する - 各アプリがリクエストしている OAuth スコープのリストが表示されます。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
6. （省略可）アプリの情報を CSV ファイルにダウンロードするには、[設定済みアプリ] または [アクセスしたアプリ] のリストの上部にある [リストをダウンロード] をクリックします。
   • 表示されていないデータも含め、表内のすべてのデータがダウンロードされます。
   • 設定済みアプリの場合、CSV ファイルには確認ステータス、ユーザー数、組織部門、リクエストされたサービス、各サービスに関連付けられた API スコープの列が追加されます。設定済みアプリがアクセスされていない場合、ユーザー数はゼロ（0）で、他の 2 列は空白になります。
   • アクセスしたアプリの場合、CSV ファイルには確認ステータス、組織部門、各サービスに関連付けられた API スコープの列が追加されます。

アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます（アプリを信頼する方法について詳しくは、後述を参照）。詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。

Google サービスを制限または制限解除する

機械学習などの Google Cloud Platform サービスを含む、ほとんどの Google Workspace サービスへのアクセスを制限することができます。また、制限なしにすることもできます。各オプションは次のように動作します。

• 制限付き - [信頼できる] のアクセス権限が設定されているアプリのみがデータにアクセスできます。
• 制限なし - [信頼できる]、[限定]、[特定の Google データ] のいずれかが設定されているアプリのみが、管理者が設定したスコープにアクセスできます。スコープに制限付きデータアクセスが設定されているか、制限なしデータアクセスが設定されているかは関係ありません。

たとえば、カレンダーのアクセス権限を [制限付き] に設定した場合、[信頼できる] アクセス権限が設定されているアプリのみがカレンダー データにアクセスできます。[限定] アクセス権限が設定されているアプリは、カレンダーのデータにアクセスできません。

注: Gmail、Google ドライブ、Google Chat では、リスクの高いサービス（メールの送信やドライブでのファイルの削除など）へのアクセスを詳細に制限できます。

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. [セキュリティ] > [API の制御] にアクセスします。

   アクセスするには、セキュリティ設定の管理者権限が必要です。

3. [Google サービスを管理] をクリックします。
4. サービスの一覧で、管理するサービスの横にあるチェックボックスをオンにします。すべてのチェックボックスをオンにするには、[サービス] チェックボックスをオンにします。
5. （省略可）このリストをフィルタするには、[フィルタを追加] をクリックして次の条件から選択します。
   • Google サービス - サービスの一覧から選択し、[適用] をクリックします。
   • Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
   • 許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
   • ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
6. 上部にある [アクセス権限を変更] をクリックし、[制限なし] または [制限付き] を選択します。
   アクセス権限を [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。管理者が制限付きサービスにアクセス可能な信頼できるアプリとして設定していないにもかかわらず、ユーザーがそのアプリをインストール（またはログイン）しようとすると、アプリがブロックされているという通知が表示されます。ドライブ サービスへのアクセスを制限すると、Google フォーム API へのアクセスも制限されます。
   注: アクセスしたアプリの一覧は、トークンが付与または取り消されてから 48 時間後に更新されます。
7. （省略可）[制限付き] を選択した場合、高リスクとして分類されていない OAuth スコープ（ユーザーが選択したドライブ ファイルへのアクセスをアプリに許可するスコープなど）へのアクセスを許可するには、[信頼できないアプリに対して、高リスクに分類されていない OAuth スコープへのアクセスをユーザーが許可できるようにする] チェックボックスをオンにします（このボックスは Gmail やドライブなどのアプリに表示されますが、すべてのアプリに表示されるわけではありません）。
8. [変更] をクリックして、必要に応じて確定します。
9. （省略可）サービスにアクセスできるアプリを確認するには: 
   1. 上部の [アクセスしたアプリ] で [リストを表示] をクリックします。
   2. [フィルタを追加] [リクエストされたサービス] をクリックします。
   3. 確認するサービスを選択し、[適用] をクリックします。

リスクの高い OAuth スコープへのアクセスを制限する

セクションを開く  |  すべて閉じて一番上に移動

Gmail、Google ドライブ、Google ドキュメント、Google Chat では、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。

サードパーティ製アプリからの Google サービスへのアクセスを管理する、アプリを追加する

アプリをブロックすることによって、または [信頼できる]、[特定の Google データ]、[限定] のいずれかとしてアプリをマークすることによって、特定のアプリのアクセスを管理できます。

• 信頼できる - アプリは、制限付きのサービスを含むすべての Google Workspace サービス（OAuth スコープ）にアクセスできます。OAuth クライアント ID を使用して設定されたアプリを許可リストに登録すると、アプリケーション プログラミング インターフェース（API）から Google Workspace サービスへのアクセスを維持できます。API アクセスに適用されるコンテキストアウェア アクセス ポリシーが、サービスで設定されている場合も同様です。
• 特定の Google データ - アプリの設定時に指定したスコープにのみデータアクセスをリクエストできます。
• 限定 - アプリは制限なしのサービスにのみアクセスできます。アプリのデータアクセス設定は、アプリの一覧またはアプリ情報のページから変更できます。

セクションを開く  |  すべて閉じて一番上に移動