G Suite のデータにアクセスできるサードパーティ製アプリや内部アプリを管理する

G Suite の機密性の高いデータに、どのサードパーティ製アプリやドメイン所有アプリがアクセスできるかを管理できます。アプリのアクセス制御では OAuth 2.0 を使用して G Suite サービスへのアクセスを管理します。アプリによるアクセスを容易にするため、セキュリティが強化された最新のアプリでは OAuth 2.0 スコープ(外部 API と呼ばれる一連のプロシージャ)が使用されます。これらのスコープを適用することで、Gmail、Google ドライブ、カレンダー、連絡先などのほとんどの G Suite サービスでは、アプリのアクセスを一部のユーザーデータに限定できるようになります。アプリのアクセス制御を使用すると、次のことが可能です。

  • ほとんどの G Suite サービスへのアクセスを制限する、または無制限のままにする。
  • 特定のアプリを信頼し、これらのアプリに対して制限付きの G Suite サービスへのアクセスを許可する。
  • ドメインで所有するアプリをすべて信頼する。

次の手順では、制御を設定する方法と、すでに使用しているサードパーティ製アプリの詳細を確認する方法を説明します。管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるエラー メッセージをカスタマイズできます。

Admin API の設定に関する変更(2019 年 11 月 4 日~)

[API リファレンス] 設定のサポート終了

2019 年 11 月 4 日より、[API リファレンス] 設定のサポートを順次終了します。セキュリティ強化のため、G Suite Admin API への API アクセスの制御は、管理コンソールの [G Suite Admin] 権限に一元化されます。

変更点

現在の設定が以下に該当する場合のみ、対応が必要です。

API リファレンスを無効にしている
設定場所: [セキュリティ] > [API リファレンス]
G Suite 管理者アクセスが有効
設定場所: [セキュリティ] >  [アプリのアクセス制御]
API Reference setting turned off Admin API setting enabled

 

2019 年 11 月 4 日以降: API リファレンスを無効にしている場合は、[G Suite 管理者] 設定が自動的に [制限付き] に切り替わります。そのため一部のアプリについては、G Suite Admin API へのアクセスをアプリに付与するまでユーザーはログインできなくなります。ユーザーには、「アカウント データへのアクセスは、組織のポリシーによって制限されています...」という内容のアラート(またはカスタム メッセージ)が表示されます。

ユーザーが再びアクセスできるようにするには、次のセクションの手順に沿って以下を行います。

  • G Suite Admin API の設定と、G Suite Admin API へのアクセスをリクエストするアプリを確認します。
  • アプリを信頼できるアプリとして登録して、そのアプリが G Suite Admin API にアクセスし、ユーザーに OAuth トークンを付与できるようにします。

アプリのアクセス制御を使用する

すべて開く   |   すべて閉じる

環境内のサードパーティ製アプリを確認する

制御を実装する前に、ユーザーがどのアプリに G Suite データへのアクセスを許可しているかを確認します。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、メニュー 次に [セキュリティ] 次に [アプリのアクセス制御] にアクセスします。
  3. アプリのアクセス制御のメインページで、[サードパーティ製アプリのアクセスを管理] を選択します。
  4. アプリの詳細を確認するには、アプリのリストから目的のアプリを探します。 
    各アプリのエントリには次の情報が表示されます。 
    • アプリ名
    • アプリの種類
    • アプリのアクセス ユーザー数
  5. いずれかのエントリをクリックします。 
    アプリの詳細ページには次の情報が表示されます。
    • アプリが使用している G Suite サービス
    • アプリの完全な OAuth2 クライアント ID
    • 発行元の情報(プライバシー ポリシー、サポートリンクなど)
    • (確認済みの場合)特定の制限付き API スコープにアクセスするアプリの確認ステータス

アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。

Google サービスへのアクセスを制限する

機械学習などの Google Cloud Platform サービスを含む、ほとんどの G Suite サービスへのアクセスを制限(または無制限のままに)することができます。Gmail や Google ドライブでは、Gmail の送信やドライブ内のファイルの削除など、リスクの高い操作へのアクセスを詳細に制限できます。ユーザーがアプリに同意するよう求められても、アプリの操作に制限が適用されていて、アプリを管理者が信頼していない場合は、ユーザーはアプリを追加できません。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、メニュー 次に [セキュリティ] 次に [アプリのアクセス制御] にアクセスします。
  3. アプリのアクセス制御のメインページで、[Google サービスを管理] を選択します。
    管理できる Google サービスは次のとおりです。
    • G Suite:
      • G Suite 管理者
      • Gmail
      • ドライブ
      • カレンダー
      • コンタクト
      • Vault
      • Apps Script Runtime(Apps Script プロジェクトで実行できる操作を制御します。組織内外の App Maker アプリ、アドオン、スクリプトが含まれます)
      • Apps Script API(クライアントが Apps Script API を使用してプロジェクトを管理できるかどうかを制御します)

    • Google Cloud Platform:
      • Cloud Platform(機械学習と Cloud Billing を除く、Google Cloud Platform のすべてのサービスを含む)
      • 機械学習(Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む)
      • Cloud Billing
  4. サービスごとにアクセスを確認します。
    • 制限なし - すべてのサードパーティ製アプリが、ユーザーの同意を得てこのサービスにアクセスできます。
    • 制限付き - 信頼できるアプリのみが、ユーザーの同意を得てこのサービスにアクセスできます。
    • 制限付き - ハイリスク アクセス - 信頼できるアプリのみが、このサービスのハイリスクな操作にアクセスできます。低リスクの操作にはすべてのアプリがアクセスできます。いずれの場合もユーザーの同意が必要です。
      • Gmail のリスクの高い OAuth スコープは次のとおりです。
        • https://mail.google.com/
        • https://www.googleapis.com/auth/gmail.compose
        • https://www.googleapis.com/auth/gmail.insert
        • https://www.googleapis.com/auth/gmail.metadata
        • https://www.googleapis.com/auth/gmail.modify
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.send
        • https://www.googleapis.com/auth/gmail.settings.basic
        • https://www.googleapis.com/auth/gmail.settings.sharing

          Gmail のスコープについて詳しくは、OAuth スコープの設定に関する記事をご覧ください。

      • ドライブのリスクの高い OAuth スコープは次のとおりです。
        • https://www.googleapis.com/auth/drive
        • https://www.googleapis.com/auth/drive.apps.readonly
        • https://www.googleapis.com/auth/drive.metadata
        • https://www.googleapis.com/auth/drive.metadata.readonly
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.scripts
        • https://www.googleapis.com/auth/documents
          ドライブのスコープについて詳しくは、承認の概要に関する記事をご覧ください。
  5. (省略可)サービスにアクセスできるアプリを確認するには: 
    1. 表の上にある [アプリ] をクリックします。
    2. [フィルタを追加] 次に [リクエストされたサービス] をクリックします。
    3. 確認するサービスを選択します。 
      そのサービスの OAuth スコープにアクセスできるアプリと、信頼のステータスが表示されます。
  6. アクセスを変更する(例: アクセスを制限する)には: 
    • 1 つのサービスだけを変更する場合は、表内でそのサービスの行に移動して右端にある [アクセス権限を変更] をクリックします。
    • 複数のサービスを一括で変更する場合は、表内で対象のサービスをすべて選択して表の上部にある [アクセス権限を変更] をクリックします。

スコープを [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリをインストールしようとすると、インストールできないことが通知されます。

信頼できるリストのアプリを追加または削除する

すべての G Suite サービスへのアクセス(OAuth アクセス)を許可する対象として、特定のアプリだけを信頼することも、ドメインで所有するすべてのアプリを信頼することもできます。アプリを信頼することで、Google の不正行為対策チームが確認していないアプリもユーザーがインストールできるようになります。管理者が信頼しておらず G Suite API へのアクセス権限が限定的であるアプリは、制限なしのサービスにのみアクセスできます。

ヒント: ユーザーはウェブアプリの追加に同意するよう求められますが、G Suite Marketplace では承認済みアプリに限り、ドメインのインストールを使用して同意画面を非表示にできます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、メニュー 次に [セキュリティ] 次に [アプリのアクセス制御] にアクセスします。
  3. アプリのアクセス制御のメインページで、[サードパーティ製アプリのアクセスを管理] を選択します。
  4. 一連のアプリを確認します。
  5. 特定のアプリ名、クライアント ID、またはアプリがアクセスするサービスを検索するには、[フィルタを追加] をクリックします。
    リストに表示されているアプリは、使用中、信頼済み、またはその両方です。
  6. アクセスを変更する(例: アプリを信頼する)には: 
    • アプリが 1 つだけの場合は、表内でそのアプリにカーソルを合わせ、右端の [アクセス権限を変更] をクリックします。
    • 複数のアプリを一括処理する場合は、表内で各アプリを選択し、表の上部の [アクセス権限を変更] をクリックします。 

      アプリには次のステータスを設定できます。
      • 信頼されている - すべての Google サービスにアクセスできます
      • 制限付き - アクセス制限のない Google サービスにのみアクセスできます
  7. (省略可)リストにないアプリを信頼するには、アプリリストの上部にある [アプリを追加] をクリックして次のいずれかを選択します。
    • ウェブアプリの場合:
      1. [OAuth アプリ名またはクライアント ID] をクリックします。
      2. クライアント ID を入力し、[検索] をクリックします。
      3. アプリを選択し、[追加] をクリックします。
    • モバイルアプリの場合:
      1. [Android] または [iOS] をクリックします。
      2. アプリ名を入力して [検索] をクリックし、利用可能なアプリのリストを表示します。
      3. アプリを選択し、[追加] をクリックします。

: 信頼できるアプリのアクセス権限を制限付きに変更しても、そのアプリにアクティブなユーザーがいない場合はリストに表示されません。アプリをもう一度追加するか、ユーザーがアプリを有効にすると、リストに表示されます。

制限付き G Suite API に内部アプリがアクセスできるようにする

内部アプリを作成した場合、そのようなアプリはデフォルトで G Suite サービスへの制限付きアクセスが許可されます。制限なしのアクセスが必要な場合は、アプリを個別に信頼する必要があります。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、メニュー 次に [セキュリティ] 次に [アプリのアクセス制御] にアクセスします。
  3. ページの下部にある [ドメインで所有する社内アプリを信頼する] チェックボックスをオンにし、[保存] をクリックします。

ドメインで所有するアプリには次のようなものがあります。

  • 組織内のユーザーが作成した Google Apps Script プロジェクト
  • Google Cloud Platform Console で組織と関連付けられているアプリ
許可されていないアプリのメッセージをカスタマイズする

サービスやアプリによっては、ユーザーがサードパーティ製ウェブアプリをインストールしようとすると、同意を求める画面かインストール不可の画面が表示されることがあります。このインストール不可の画面はカスタマイズ可能で、サポートの連絡先情報などを追加することができます。 

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、メニュー 次に [セキュリティ] 次に [アプリのアクセス制御] にアクセスします。
  3. [設定] に移動します。
  4. [制限付きの Google サービスにアクセスできないアプリをユーザーが使おうとした場合に、このメッセージが表示されます] の下にカスタムのテキストを入力します。
  5. [保存] をクリックします。

関連トピック

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。