G Suite の機密データにアクセスできるサードパーティ製アプリとドメインで所有するアプリを制御できます。アプリのアクセス制御では OAuth 2.0 を使用して G Suite サービスへのアクセスを管理します。アプリによるアクセスを容易にするため、セキュリティが強化された新しいアプリでは OAuth 2.0 スコープ(外部 API と呼ばれる一連のプロシージャ)が使用されます。これらのスコープを適用することで、Gmail、Google ドライブ、カレンダー、コンタクトなどほとんどの G Suite サービスでアプリのアクセスを一部のユーザーデータに限定できるようになります。アプリのアクセス制御を使用すると、次のことが可能です。
- ほとんどの G Suite サービスへのアクセスを制限する、または無制限のままにする。
- 特定のアプリを信頼し、これらのアプリに対して制限付きの G Suite サービスへのアクセスを許可する。
- ドメインで所有するアプリをすべて信頼する。
次の手順では、制御を設定する方法と、すでに使用しているサードパーティ製アプリの詳細を確認する方法を説明します。管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるエラー メッセージをカスタマイズできます。
アプリのアクセス制御を使用する
制御を実装する前に、ユーザーがどのアプリに G Suite データへのアクセスを許可しているかを確認します。
-
-
管理コンソールのホームページから、
[セキュリティ]
注: アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。 - アプリのアクセス制御のメインページで、[サードパーティ製アプリのアクセスを管理] を選択します。
- アプリの詳細を確認するには、アプリのリストから目的のアプリを探します。
各アプリのエントリには次の情報が表示されます。- アプリ名
- アプリの種類
- アプリにアクセスするユーザー数
- いずれかのエントリをクリックします。
アプリの詳細ページには次の情報が表示されます。- アプリが使用している G Suite サービス
- アプリの完全な OAuth2 クライアント ID
- 発行元の情報(プライバシー ポリシー、サポートリンクなど)
- (確認済みの場合)特定の制限付き API スコープにアクセスするアプリの確認ステータス
[セキュリティ] アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます(アプリを信頼する方法について詳しくは、後述を参照)。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。
機械学習などの Google Cloud Platform サービスを含む、ほとんどの G Suite サービスへのアクセスを制限(または無制限のままに)することができます。Gmail や Google ドライブでは、Gmail の送信やドライブ内のファイルの削除など、リスクの高い操作へのアクセスを詳細に制限できます。ユーザーがアプリに同意するよう求められても、アプリの操作に制限が適用されていて、アプリを管理者が信頼していない場合は、ユーザーはアプリを追加できません。
-
-
管理コンソールのホームページから、注: アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
- アプリのアクセス制御のメインページで、[Google サービスを管理] を選択します。
管理できる Google サービスは次のとおりです。- G Suite:
- G Suite 管理コンソール
- Gmail
- ドライブ
- カレンダー
- コンタクト
- Vault
- Apps Script Runtime(Apps Script プロジェクトで実行できる操作を制御します。組織内外の App Maker アプリ、アドオン、スクリプトが含まれます)
-
Apps Script API(クライアントが Apps Script API を使用してプロジェクトを管理できるかどうかを制御します)
- Google Cloud Platform:
- Cloud Platform(機械学習と Cloud Billing を除く、Google Cloud Platform のすべてのサービスを含む)
- 機械学習(Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む)
- Cloud Billing
- G Suite:
- サービスごとにアクセスを確認します。
- 制限なし - すべてのサードパーティ製アプリが、ユーザーの同意を得てこのサービスにアクセスできます。
- 制限付き - 信頼できるアプリのみが、ユーザーの同意を得てこのサービスにアクセスできます。
- 制限付き - ハイリスク アクセス - 信頼できるアプリのみが、このサービスのハイリスクな操作にアクセスできます。低リスクの操作にはすべてのアプリがアクセスできます。いずれの場合もユーザーの同意が必要です。
- Gmail のリスクの高い OAuth スコープは次のとおりです。
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Gmail のスコープについて詳しくは、Auth スコープの設定に関する記事をご覧ください。
- ドライブのリスクの高い OAuth スコープは次のとおりです。
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
ドライブのスコープについて詳しくは、承認に関する記事をご覧ください。
- Gmail のリスクの高い OAuth スコープは次のとおりです。
- (省略可)サービスにアクセスできるアプリを確認するには:
- 表の上にある [アプリ] をクリックします。
- [フィルタを追加]
- 確認するサービスを選択します。
そのサービスの OAuth スコープにアクセスできるアプリと、信頼のステータスが表示されます。
- アクセスを変更する(例: アクセスを制限する)には:
- 1 つのサービスだけを変更する場合は、表内でそのサービスの行に移動して右端にある [アクセス権限を変更] をクリックします。
- 複数のサービスを一括で変更する場合は、表内で対象のサービスをすべて選択して表の上部にある [アクセス権限を変更] をクリックします。
スコープを [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリをインストールしようとすると、インストールできないことが通知されます。
すべての G Suite サービスへのアクセス(OAuth アクセス)を許可する対象として、特定のアプリだけを信頼することも、ドメインで所有するすべてのアプリを信頼することもできます。アプリを信頼することで、Google の不正行為対策チームが確認していないアプリもユーザーがインストールできるようになります。管理者が信頼しておらず G Suite API へのアクセス権限が限定的であるアプリは、制限なしのサービスにのみアクセスできます。
ヒント: ユーザーはウェブアプリの追加に同意するよう求められますが、G Suite Marketplace では承認済みアプリに限り、ドメインのインストールを使用して同意画面を非表示にできます。
-
-
管理コンソールのホームページから、注: アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
- アプリのアクセス制御のメインページで、[サードパーティ製アプリのアクセスを管理] を選択します。
- 一連のアプリを確認します。
- 特定のアプリ名、クライアント ID、またはアプリがアクセスするサービスを検索するには、[フィルタを追加] をクリックします。
リストに表示されているアプリは、使用中、信頼済み、またはその両方です。 - アクセスを変更する(例: アプリを信頼する)には:
- アプリが 1 つだけの場合は、表内でそのアプリにカーソルを合わせ、右端の [アクセス権限を変更] をクリックします。
- 複数のアプリを一括処理する場合は、表内で各アプリを選択し、表の上部の [アクセス権限を変更] をクリックします。
アプリには次のステータスを設定できます。- 信頼できる - すべての Google サービスにアクセスできます
- 限定 - アクセス制限のない Google サービスにのみアクセスできます
- (省略可)リストにないアプリを信頼するには、アプリリストの上部にある [アプリを追加] をクリックして次のいずれかを選択します。
- ウェブアプリの場合:
- [OAuth アプリ名またはクライアント ID] をクリックします。
- クライアント ID を入力し、[検索] をクリックします。
- アプリを選択し、[追加] をクリックします。
- モバイルアプリの場合:
- [Android] または [iOS] をクリックします。
- アプリ名を入力して [検索] をクリックし、利用可能なアプリのリストを表示します。
- アプリを選択し、[追加] をクリックします。
- ウェブアプリの場合:
注: 信頼できるアプリのアクセス権限を制限付きに変更しても、そのアプリにアクティブなユーザーがいない場合はリストに表示されません。アプリをもう一度追加するか、ユーザーがアプリを有効にすると、リストに表示されます。
内部アプリを作成した場合、そのようなアプリはデフォルトで G Suite サービスへの制限付きアクセスが許可されます。制限なしのアクセスが必要な場合は、アプリを個別に信頼する必要があります。
-
-
管理コンソールのホームページから、注: アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
- ページの下部にある [ドメインで所有する社内アプリを信頼する] チェックボックスをオンにし、[保存] をクリックします。
ドメインで所有するアプリには次のようなものがあります。
- 組織内のユーザーが作成した Google Apps Script プロジェクト
- Google Cloud Platform Console で組織と関連付けられているアプリ
サービスやアプリによっては、ユーザーがサードパーティ製ウェブアプリをインストールしようとすると、同意を求める画面かインストール不可の画面が表示されることがあります。このインストール不可の画面はカスタマイズ可能で、サポートの連絡先情報などを追加することができます。
-
-
管理コンソールのホームページから、注: アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
- [設定] に移動します。
- [制限付きの Google サービスにアクセスできないアプリをユーザーが使おうとした場合に、このメッセージが表示されます] の下にカスタムのテキストを入力します。
- [保存] をクリックします。
関連トピック
- OAuth 2.0 スコープ
- 未確認のサードパーティ製アプリを承認する
- アプリで OAuth の確認に対応するためのヒント(Google Developers ブログ、英語)
