Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

組織のモバイルアプリを管理する方法については、こちらをご覧ください。

ユーザーが [Google でログイン] オプション(シングル サインオン)を使用してサードパーティ製アプリにログインした場合に、それらのアプリが組織の Google データにアクセスする方法を管理できます。OAuth 2.0 による Google Workspace サービスへのアクセスを管理するには、Google 管理コンソールの設定を使用します。アプリによっては、OAuth 2.0 スコープ(ユーザーのアカウントへのアクセスを制限するメカニズム)を使用していることがあります。

管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるメッセージをカスタマイズすることもできます。

: Google Workspace for Education では、追加の制限により、初中等教育機関のユーザーが特定のサードパーティ製アプリにアクセスできない場合があります。

始める前に: 組織で使用するサードパーティ製アプリを確認する

[アプリのアクセス制御] では、次のサードパーティ製アプリを確認できます。

  • 設定済みアプリ - アクセス設定(信頼できる、限定、特定の Google データ、ブロック中)が適用されているアプリ。
  • アクセスしたアプリ - Google データにアクセスしたユーザーが使用したアプリ。
  • 審査待ちのアプリ(Education エディション) - 18 歳未満のユーザーがアクセスをリクエストしたアプリ。

通常、サードパーティ製アプリの詳細は、承認の 24~48 時間後に表示されます。

  1. 管理者アカウントで Google 管理コンソール にログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. [セキュリティ] > [API の制御] にアクセスします。

    アクセスするには、セキュリティ設定の管理者権限が必要です。

  3. [サードパーティ製アプリのアクセスを管理] をクリックして、設定済みのアプリを表示します。アプリの一覧をフィルタするには、[フィルタを追加] をクリックしてオプションを選択します。

    アプリの一覧には、アプリの名前、種類、ID のほか、アプリごとに次の情報が表示されます。

    • 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご確認ください。
    • アクセス - 組織部門のアプリに対するアクセス ポリシー設定を表示します。アプリにカーソルを合わせて [詳細を表示] をクリックすると、アクセスレベル(信頼できる、限定、特定の Google データ、ブロック中)が表示されます。[アクセス権限を変更] をクリックして、アプリのデータのアクセスレベルを変更します。 

      注: 特定の組織部門にアクセスレベル「A」を適用し、次に組織全体にアクセスレベル「B」を適用した場合、この特定の組織部門では引き続きアクセスレベル「A」が有効になります。

  4. アクセスしたアプリを表示するには、[アクセスしたアプリ] の [リストを表示] をクリックします。

    アクセスしたアプリについては、以下のことも確認できます。

    • ユーザー - アプリにアクセスするユーザーの数。
    • リクエストされたサービス - 各アプリ(Gmail、カレンダー、ドライブなど)で使用されている Google サービスの API(OAuth2 スコープ)。Google がリクエストしていないサービスは「その他」と表示されます。
  5. [設定済みアプリ] または [アクセスしたアプリ] のリストでアプリをクリックして、次の操作を行います。
    • アプリが Google サービスにアクセスできるかどうかを管理する - アプリが [信頼できる]、[限定]、[特定の Google データ]、[ブロック中] のどれに設定されているかが表示されます。アクセス設定を変更した場合は、[保存] をクリックします。
    • アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報が表示されます。
    • アプリがリクエストしている Google サービス API(OAuth スコープ)を確認する - 各アプリがリクエストしている OAuth スコープのリストが表示されます。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
  6. (省略可)アプリの情報を CSV ファイルにダウンロードするには、[設定済みアプリ] または [アクセスしたアプリ] のリストの上部にある [リストをダウンロード] をクリックします。
    • 表示されていないデータも含め、表内のすべてのデータがダウンロードされます。
    • 設定済みアプリの場合、CSV ファイルには確認ステータス、ユーザー数、組織部門、リクエストされたサービス、各サービスに関連付けられた API スコープの列が追加されます。設定済みアプリがアクセスされていない場合、ユーザー数はゼロ(0)で、他の 2 列は空白になります。
    • アクセスしたアプリの場合、CSV ファイルには確認ステータス、組織部門、各サービスに関連付けられた API スコープの列が追加されます。

アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます(アプリを信頼する方法について詳しくは、後述を参照)。詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。

Google サービスを制限または制限解除する

機械学習などの Google Cloud Platform サービスを含む、ほとんどの Google Workspace サービスへのアクセスを制限することができます。また、制限なしにすることもできます。各オプションは次のように動作します。

  • 制限付き - [信頼できる] のアクセス権限が設定されているアプリのみがデータにアクセスできます。
  • 制限なし - [信頼できる]、[限定]、[特定の Google データ] のいずれかが設定されているアプリのみが、管理者が設定したスコープにアクセスできます。スコープに制限付きデータアクセスが設定されているか、制限なしデータアクセスが設定されているかは関係ありません。

たとえば、カレンダーのアクセス権限を [制限付き] に設定した場合、[信頼できる] アクセス権限が設定されているアプリのみがカレンダー データにアクセスできます。[限定] アクセス権限が設定されているアプリは、カレンダーのデータにアクセスできません。

注: Gmail、Google ドライブ、Google Chat では、リスクの高いサービス(メールの送信やドライブでのファイルの削除など)へのアクセスを詳細に制限できます。

  1. 管理者アカウントで Google 管理コンソール にログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. [セキュリティ] > [API の制御] にアクセスします。

    アクセスするには、セキュリティ設定の管理者権限が必要です。

  3. [Google サービスを管理] をクリックします。
  4. サービスの一覧で、管理するサービスの横にあるチェックボックスをオンにします。すべてのチェックボックスをオンにするには、[サービス] チェックボックスをオンにします。
  5. (省略可)このリストをフィルタするには、[フィルタを追加] をクリックして次の条件から選択します。
    • Google サービス - サービスの一覧から選択し、[適用] をクリックします。
    • Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
    • 許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
    • ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
  6. 上部にある [アクセス権限を変更] をクリックし、[制限なし] または [制限付き] を選択します。
    アクセス権限を [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。管理者が制限付きサービスにアクセス可能な信頼できるアプリとして設定していないにもかかわらず、ユーザーがそのアプリをインストール(またはログイン)しようとすると、アプリがブロックされているという通知が表示されます。ドライブ サービスへのアクセスを制限すると、Google フォーム API へのアクセスも制限されます。
    : アクセスしたアプリの一覧は、トークンが付与または取り消されてから 48 時間後に更新されます。
  7. (省略可)[制限付き] を選択した場合、高リスクとして分類されていない OAuth スコープ(ユーザーが選択したドライブ ファイルへのアクセスをアプリに許可するスコープなど)へのアクセスを許可するには、[信頼できないアプリに対して、高リスクに分類されていない OAuth スコープへのアクセスをユーザーが許可できるようにする] チェックボックスをオンにします(このボックスは Gmail やドライブなどのアプリに表示されますが、すべてのアプリに表示されるわけではありません)。
  8. [変更] をクリックして、必要に応じて確定します。
  9. (省略可)サービスにアクセスできるアプリを確認するには: 
    1. 上部の [アクセスしたアプリ] で [リストを表示] をクリックします。
    2. [フィルタを追加] 次に [リクエストされたサービス] をクリックします。
    3. 確認するサービスを選択し、[適用] をクリックします。

リスクの高い OAuth スコープへのアクセスを制限する

セクションを開く  |  すべて閉じて一番上に移動

Gmail、Google ドライブ、Google ドキュメント、Google Chat では、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。

Gmail のリスクの高い OAuth スコープ
  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

Gmail のスコープについて詳しくは、Gmail API のスコープを選択するをご覧ください。

ドライブと Google ドキュメントのリスクの高い OAuth スコープ
  • https://www.googleapis.com/auth/documents
  • https://www.googleapis.com/auth/documents.readonly
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.activity
  • https://www.googleapis.com/auth/drive.activity.readonly
  • https://www.googleapis.com/auth/drive.admin
  • https://www.googleapis.com/auth/drive.admin.labels
  • https://www.googleapis.com/auth/drive.admin.labels.readonly
  • https://www.googleapis.com/auth/drive.admin.readonly
  • https://www.googleapis.com/auth/drive.admin.shareddrive
  • https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
  • https://www.googleapis.com/auth/drive.apps
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.categories.readonly
  • https://www.googleapis.com/auth/drive.labels.readonly
  • https://www.googleapis.com/auth/drive.meet.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.photos.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/drive.teams
  • https://www.googleapis.com/auth/forms.body
  • https://www.googleapis.com/auth/forms.body.readonly
  • https://www.googleapis.com/auth/forms.currentonly
  • https://www.googleapis.com/auth/forms.responses.readonly
  • https://www.googleapis.com/auth/presentations
  • https://www.googleapis.com/auth/presentations.readonly
  • https://www.googleapis.com/auth/script.addons.curation
  • https://www.googleapis.com/auth/script.projects
  • https://www.googleapis.com/auth/sites
  • https://www.googleapis.com/auth/sites.readonly
  • https://www.googleapis.com/auth/spreadsheets
  • https://www.googleapis.com/auth/spreadsheets.readonly

スコープの詳細については、以下をご覧ください。

Chat のリスクの高い OAuth スコープ
  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

Chat のスコープについて詳しくは、Chat API のスコープをご覧ください。

サードパーティ製アプリからの Google サービスへのアクセスを管理する、アプリを追加する

アプリをブロックすることによって、または [信頼できる]、[特定の Google データ]、[限定] のいずれかとしてアプリをマークすることによって、特定のアプリのアクセスを管理できます。

  • 信頼できる - アプリは、制限付きのサービスを含むすべての Google Workspace サービス(OAuth スコープ)にアクセスできます。OAuth クライアント ID を使用して設定されたアプリを許可リストに登録すると、アプリケーション プログラミング インターフェース(API)から Google Workspace サービスへのアクセスを維持できます。API アクセスに適用されるコンテキストアウェア アクセス ポリシーが、サービスで設定されている場合も同様です。
  • 特定の Google データ - アプリの設定時に指定したスコープにのみデータアクセスをリクエストできます。
  • 限定 - アプリは制限なしのサービスにのみアクセスできます。アプリのデータアクセス設定は、アプリの一覧またはアプリ情報のページから変更できます。

セクションを開く  |  すべて閉じて一番上に移動

アプリの一覧からアクセス権限を変更する

  1. [API の制御] 次に [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。

  2. 設定済みアプリの一覧またはアクセスしたアプリの一覧で、目的のアプリにカーソルを合わせ、[アクセス権限を変更] をクリックします。または、複数のアプリの横にあるチェックボックスをオンにして、リストの上部にある [アクセス権限を変更] をクリックします。
  3. アクセス権限を設定する組織部門を選択します。
    • すべてのユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。
    • 特定の組織部門に適用するには、[組織部門を選択] 次に [組織を含める] をクリックしてから特定の組織部門を選択します。
  4. [次へ] をクリックします。
  5. 次のいずれかを選択します。
    • 信頼できる - すべての Google サービスにアクセスできます(制限付きと制限なしの両方)。Chrome ブラウザなどの Google 所有アプリは自動的に信頼されるため、信頼できるアプリとして設定することはできません。
      (省略可)選択したアプリに API アクセスに適用されるコンテキストアウェア アクセス ポリシーがあっても、Google Workspace サービスへの API アクセスを維持するには、[コンテキストアウェア アクセスにおいて API アクセスのブロックから除外するための許可リスト。] を選択します。このオプションは、OAuth クライアント ID を使用して追加したウェブアプリ、Android アプリ、iOS アプリでのみ選択できます。このオプションを選択しても、アプリが API アクセス ブロックから自動的に除外されることはありません。また、コンテキストアウェア アクセス レベルの割り当て時に、アプリを除外する必要もあります。この許可リストは、手順 3 で指定した組織部門にのみ適用されます。
    • 限定 - アクセス制限のない Google サービスにのみアクセスできます。
    • 特定の Google データ - アプリの構成時に指定したスコープに対してのみ、データへのアクセスをリクエストできます。
      : ユーザーが Google アカウントでログインできるようにするには、アプリで必要な Google ログインのスコープを含める必要があります。
    • ブロック - Google サービスにアクセスできません。
      デバイス用のアプリを許可リストに追加し、API の制御で同じアプリをブロックした場合、そのアプリはブロックされます。API の制御でアプリのブロックを行うと、許可リストへの登録がオーバーライドされます。

    ヒント: アプリの設定を解除するには、サードパーティ製アプリを一括で追加、設定するで説明されている CSV アップロード オプションを使用します。

  6. [次へ] をクリックします。
  7. スコープとアクセスの設定を確認し、[アクセス権限を変更] をクリックします。
アプリ情報のページからアクセス権限を変更する

動画を見る

Change access from the app information page

アプリのアクセス権限を変更する

  1. 一覧のアプリをクリックし、[Google データへのアクセス] をクリックします。
  2. データアクセスを設定するグループまたは組織部門をクリックします。デフォルトでは最上位の組織部門が選択されており、組織全体に変更が適用されます。
  3. データのアクセスレベルを選択します。
  4. [保存] をクリックします。
  5. (省略可)必要に応じて、組織部門ごとに異なる設定を適用します。次に例を示します。
    • 全ユーザーのデータに対するアプリのアクセスをブロックするには、最上位の組織部門を選択し、[ブロック中] を選択します。
    • 一部のユーザーのデータのみについて、アプリによるアクセスをブロックするには、最上位の組織部門を [信頼できる] に設定し、該当するユーザーを含む子組織部門のアクセス権限を [ブロック中] に設定します(組織部門の設定ごとに [保存] をクリックします)。
新しいアプリを追加する
  1. [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
  2. [設定済みアプリ] で [アプリを追加] をクリックします。
  3. [OAuth アプリ名またはクライアント ID](後でアプリを [API の除外] から許可リストに登録する場合にこのオプションを選択)、[Android]、[iOS] のいずれかを選択します。
  4. アプリ名またはクライアント ID を入力し、[検索] をクリックします。
  5. アプリにカーソルを合わせ、[選択] をクリックします。
  6. 設定するクライアント ID のチェックボックスをオンにして [選択] をクリックします。
  7. アクセス権限の設定対象を選択します。
    1. デフォルトでは最上位の組織部門が選択されています。組織内のすべてのユーザーのアクセス権限を設定するには、そのままの状態にします。
    2. 特定の組織部門のアクセス権限を設定するには、[組織部門を選択] をクリックし、[+] をクリックして組織部門を表示します。目的の組織部門のチェックボックスをオンにして、[選択] をクリックします。
  8. [続行] をクリックします。
  9. 次のいずれかを選択します。
    • 信頼できる - すべての Google サービスにアクセスできます(制限付きと制限なしの両方)。
      (省略可)選択したアプリに API アクセスに適用されるコンテキストアウェア アクセス ポリシーがあっても、Google Workspace サービスへの API アクセスを維持するには、[コンテキストアウェア アクセスにおいて API アクセスのブロックから除外するための許可リスト。] を選択します。このオプションは、OAuth クライアント ID を使用して追加したウェブアプリ、Android アプリ、iOS アプリでのみ選択できます。このオプションを選択しても、アプリが API アクセス ブロックから自動的に除外されることはありません。また、コンテキストアウェア アクセス レベルの割り当て時に、アプリを除外する必要もあります。この許可リストは、手順 7 で指定した組織部門にのみ適用されます。
    • 限定 - アクセス制限のない Google サービスにのみアクセスできます。
    • 特定の Google データ - アプリの構成時に指定したスコープに対してのみ、データへのアクセスをリクエストできます。
      : ユーザーが Google アカウントでログインできるようにするには、アプリで必要な Google ログインのスコープを含める必要があります。
    • ブロック - Google サービスにアクセスできません。
      デバイス用のアプリを許可リストに追加し、API の制御で同じアプリをブロックした場合、そのアプリはブロックされます。API の制御を使用してアプリのブロックを行うと、許可リストへの登録がオーバーライドされます。
  10. 新しいアプリの設定を確認してから、[完了] をクリックします。

ユーザーはウェブアプリの追加に同意するよう求められます。Google Workspace Marketplace では承認済みアプリに限り、管理者がドメイン インストールを使用して同意画面を省略できます。

未設定のアプリの設定を選択する

[信頼できる]、[限定]、[特定の Google データ]、[ブロック中] のいずれも設定されていないサードパーティ製アプリ(サードパーティ製アプリからの Google サービスへのアクセスを管理する、アプリを追加するを参照)は、未設定のアプリと見なされます。管理者は、ユーザーが Google アカウントで未設定のアプリにログインしようとした場合の動作を管理できます。

動画を見る

Find the settings for unconfigured apps

設定を見つける

  1. 管理者アカウントで Google 管理コンソール にログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. [セキュリティ] > [API の制御] にアクセスします。

    アクセスするには、セキュリティ設定の管理者権限が必要です。

  3. [設定] をクリックして設定グループを展開します。
  4. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る
  5. 希望の設定を選択します。詳しくは、未設定アプリの設定をご覧ください。
  6. [保存] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

未設定アプリの設定

セクションを開く  |  すべて閉じて一番上に移動

カスタム ユーザー メッセージ

これは、ブロックされているアプリにアクセスできない場合にユーザーに表示されるカスタム メッセージです。カスタム メッセージを作成するには、[オン] を選択してメッセージを入力します。

カスタム メッセージがオフになっている場合、またはカスタム メッセージを表示できない場合は、代わりにデフォルトのメッセージが表示されます。

未設定のサードパーティ製アプリ

この設定では、ユーザーが Google アカウントで未設定のアプリにログインしようとした場合の動作を管理します。この設定に関係なく、ユーザーは [信頼できる]、[限定]、[特定の Google データ] のアクセス権限が設定されているアプリに引き続きアクセスできます。

次のいずれかのオプションを選択します。

  • サードパーティ製アプリへのアクセスをユーザーに許可する(デフォルト) - ユーザーは任意のサードパーティ製アプリに Google でログインできます。アクセスされたアプリは、そのユーザーの Google データへの制限なしのアクセスを要求できます。
  • 「Google でログイン」に必要な基本情報のみを要求するサードパーティ製アプリへのアクセスを許可する - ユーザーは、基本的なプロフィール情報(Google アカウント名、メールアドレス、プロフィール写真)のみを要求するサードパーティ製アプリに Google でログインできます。
  • サードパーティ製アプリへのアクセスをユーザーに許可しない - 管理者が該当するアプリやサイトにアクセス設定を行うまで、ユーザーはサードパーティ製アプリやウェブサイトに Google でログインできません。詳しくは、サードパーティ製アプリからの Google サービスへのアクセスを管理する、アプリを追加するをご覧ください。

Google Workspace for Education のエディション: 18 歳以上のユーザーと 18 歳未満のユーザーに異なる設定を選択できます。この設定を使用してサードパーティ製アプリをブロックする場合、[未設定のアプリへのアクセスに対するユーザー リクエスト] の設定で、ブロックされているアプリへのアクセスを 18 歳未満のユーザーがリクエストできるようにすることができます。

内部アプリ

この設定により、組織で作成した内部アプリが、制限付きの Google Workspace API にアクセスできるようになります。

すべての内部アプリに対して API アクセスを許可するには、[内部アプリを信頼する] チェックボックスをオンにします。

未設定のアプリへのアクセスに対するユーザー リクエスト

これらの機能は、Google Workspace for Education エディションでのみ利用できます。

18 歳以上のユーザー向けの設定

この設定により、教育者と 18 歳以上のユーザーが、自分自身のため、または他のユーザーの代理で(プロキシ リクエスト)、アプリへのアクセス権限をリクエストできるようになります。たとえば、教師は生徒の代理でプロキシ リクエストを行うことができます。管理者はこれらのリクエストを確認して、アクセスを許可または拒否できます。

リクエストが行われると、管理者に通知が届きます。ユーザーが自分自身のアクセスをリクエストした場合は、管理者はそのユーザーのアクセス権限を設定できます。プロキシ リクエストの場合は、代理のリクエストを依頼したユーザーのアクセス権限を設定できます。

ユーザーが自分自身でアクセスをリクエストできるようにするには、[ユーザー自身によるアプリへのアクセス リクエストを許可する] チェックボックスをオンにします。

ユーザーがプロキシ リクエストを送信できるようにするには、[ユーザーが他のユーザーの代理でリクエストを行うこと(プロキシ リクエスト)を許可する] チェックボックスをオンにします。

: 教育者が他のユーザーの代理でプロキシ リクエストを送信できるようにするには、このリンクを教育者と共有してください。

18 歳未満のユーザー向けの設定

この設定により、18 歳未満のユーザーがアプリへのアクセスをリクエストできるようになります。

ユーザーが自分自身でアプリへのアクセスをリクエストできるようにするには、[ユーザー自身によるアプリへのアクセス リクエストを許可する] チェックボックスをオンにします。

この設定にアクセスするには、設定を見つけるをご覧ください。

関連トピック

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
メインメニュー
5058389473363619334
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false
false