Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

制御を実装する前に、Google Workspace データへのアクセスが許可されているアプリのリストを確認します。

注: サードパーティ製アプリの詳細は、通常、24〜48 時間以内に結果に表示されます。

1. Google 管理コンソール にログインします。

   管理者アカウント（末尾が @gmail.com でないアカウント）でログインしてください。

2. 管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。

   [アプリのアクセス制御] の [概要] に、設定済みアプリとアクセスしたアプリの現在の数が表示されます。

   • 設定済みアプリとは、管理者がアクセス ポリシーをすでに適用したアプリ（信頼できるアプリまたはブロック中のアプリ）です。どのアプリも信頼またはブロックしていない場合、最初は 0 個のアプリが表示されます。
   • アクセスしたアプリとは、ドメイン内のユーザーが使用している、Google のデータにアクセスしたすべてのサードパーティ製アプリです。
3. [サードパーティ製アプリのアクセスを管理] をクリックします。

   [設定済み] アプリがデフォルトで表示されます。アクセスしたアプリを表示するには、上部にある [アクセスしたアプリ] カードで [リストを表示] をクリックします。

4. 設定済みアプリの場合、次の詳細情報が表示されます。 
   • アプリ名
   • 種類
   • ID
   • 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。ただし、よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご覧ください。
   • アクセス - [信頼できる] または [ブロック中] が表示されます。

   アクセスしたアプリの場合、次の詳細情報が表示されます。

   • ユーザー - アプリにアクセスするユーザーの数。
   • リクエストされたサービス - 各アプリ（Gmail、カレンダー、ドライブなど）で使用されている Google サービスの API（OAuth2 スコープ）。[Google サービス] タブに表示されていないサービスは、[その他] として表示されます。
5. アプリの表の行をクリックすると、アプリの詳細ページが開きます。アプリの詳細ページでは、次のことができます。
   • アプリが Google サービスにアクセスできるかどうかを確認または変更する - アプリが [信頼できる]、[限定]、[ブロック] のいずれかに設定されていることを確認します。アクセス設定を変更した場合は、[保存] をクリックします。
   • アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報が含まれます。
   • アプリがリクエストしている Google サービス API（OAuth スコープ）を確認する - アプリの詳細ページの [リクエストされたサービス] から、各アプリがリクエストしている OAuth スコープのリストを確認できます。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
6. （省略可）表に表示されているアプリ情報を CSV ファイルにダウンロードするには、[アクセス済み] または [設定済みのアプリ] のリストの上部にある [一覧をエクスポート] をクリックします。
   • 表のすべてのデータ（現在の列の管理設定 が原因で表示されない項目を含む）がダウンロードされます。
   • 設定済みのアプリの場合、CSV ファイルには表に表示されない列（ユーザー数、リクエストされたサービス、各サービスに関連付けられている API スコープ）が含まれます（設定済みのアプリがアクセスされていない場合、そのアプリのユーザー数は 0 になり、他の 2 列は空白になります）。

アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます（アプリを信頼する方法について詳しくは、後述を参照）。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。

機械学習などの Google Cloud Platform サービスを含む、ほとんどの Google Workspace サービスへのアクセスを制限（または無制限のままに）することができます。Gmail と Google ドライブでは、Gmail の送信やドライブ内のファイルの削除など、リスクの高い操作へのアクセスを詳細に制限できます。ユーザーがアプリに同意するよう求められても、アプリの操作に制限が適用されていて、管理者がアプリを信頼していない場合は、ユーザーはアプリを追加できません。

1. Google 管理コンソール にログインします。

   管理者アカウント（末尾が @gmail.com でないアカウント）でログインしてください。

2. 管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。

   [アプリのアクセス制御] の [概要] に、制限付きのサービスと無制限のサービスの現在の数が表示されます。

3. [Google サービスを管理] をクリックします。
4. サービスのリストで、管理するサービスのチェックボックスをオンにします。
   
   必要に応じて [フィルタを追加] をクリックし、次の条件でリストを絞り込みます。
   Google サービス - [ドライブ] や [Gmail] などのサービスをリストから選択し、[適用] をクリックします。
   Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
   許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
   ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
   
   管理できる Google サービスは次のとおりです。
   • Google Workspace:
     • Google Workspace 管理コンソール
     • Gmail
     • ドライブ
     • カレンダー
     • コンタクト
     • Vault
     • Classroom
     • Keep
     • タスク
     • グループ
     • Cloud Search
     • Apps Script Runtime
       Apps Script プロジェクトに固有のリスクの高い特定のスコープをリクエストするプロジェクト（例: UrlFetch、Container UI）へのアクセスを管理します。これには、組織内外のアドオンおよびスクリプトが含まれます。Apps Script のランタイム制御は Apps Script API の制御と連携して機能するものであり、Apps Script アプリよりも優先されるものではありません。

     • Apps Script API
       Apps Script API のスコープ（例: プロジェクトの管理、デプロイの管理）をリクエストする任意のプロジェクト（例: Apps Script、Google Cloud、AWS）へのアクセスを管理します。

   • Google Cloud:
     • Cloud（機械学習と Cloud Billing を除く、Google Cloud のすべてのサービスを含む）
     • 機械学習（Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む）
     • Cloud Billing
5. リストからサービスを選択したら、[アクセス権限を変更] をクリックします。
   
   1 つのサービスのみの場合は、テーブル内の行にカーソルを合わせます。右端にある [アクセス権限を変更] をクリックします。
   複数のサービスの場合は、表のチェックボックスをオンにします。表の上部にある [アクセス権限を変更] をクリックします。
    
6. アクセス権限を変更するには、次のオプションから選択します。
   
   制限なし: ユーザーが承認したアプリであればサービスにアクセス可能
   制限付き: 信頼できるアプリのみがサービスにアクセス可能
    
7. [変更] をクリックします。
   [Google サービス] ページの [アクセス] 列に、サービスのアクセス ステータス（[制限なし] または [制限付き]）が表示されます。
8. （省略可）サービスにアクセスできるアプリを確認するには: 
   1. 表の上にある [アプリ] をクリックします。
   2. [フィルタを追加] [リクエストされたサービス] をクリックします。
   3. 確認するサービスを選択し、[適用] をクリックします。
      そのサービスの OAuth スコープにアクセスできるアプリと、信頼のステータスが表示されます。

スコープを [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリをインストールしようとすると、インストールできないことが通知されます。

注: ドライブ サービスへのアクセスを制限すると、Google フォーム API へのアクセスも制限されます。

Gmail とドライブのリスクの高い OAuth スコープ

Gmail とドライブでは、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。

Gmail のリスクの高い OAuth スコープは次のとおりです。

• https://mail.google.com/
• https://www.googleapis.com/auth/gmail.compose
• https://www.googleapis.com/auth/gmail.insert
• https://www.googleapis.com/auth/gmail.metadata
• https://www.googleapis.com/auth/gmail.modify
• https://www.googleapis.com/auth/gmail.readonly
• https://www.googleapis.com/auth/gmail.send
• https://www.googleapis.com/auth/gmail.settings.basic
• https://www.googleapis.com/auth/gmail.settings.sharing

  Gmail のスコープについて詳しくは、Auth スコープを選択するをご覧ください。

ドライブのリスクの高い OAuth スコープは次のとおりです。

• https://www.googleapis.com/auth/drive
• https://www.googleapis.com/auth/drive.apps.readonly
• https://www.googleapis.com/auth/drive.metadata
• https://www.googleapis.com/auth/drive.metadata.readonly
• https://www.googleapis.com/auth/drive.readonly
• https://www.googleapis.com/auth/drive.scripts
• https://www.googleapis.com/auth/documents
  ドライブのスコープについて詳しくは、承認についてをご覧ください。

[アプリのアクセス制御] ページでは、アプリをブロックしたり、信頼できるアプリとしてマークしたり、制限のない Google サービスにのみアクセスできるように設定したりして特定のアプリのアクセスを管理できます。

重要: アプリを信頼すると、サービスの制限がオーバーライドされます。信頼できるアプリは、制限付きのサービスを含むすべての Google Workspace サービス（OAuth スコープ）にアクセスできます。管理者が信頼していないアプリは、制限のないサービスにのみアクセスできます。

アプリを信頼することで、Google の不正行為対策チームが確認していないアプリもユーザーがインストールできるようになります。管理者はドメインで所有するすべてのアプリを信頼することも、Google Workspace サービスにアクセスできないようにアプリをブロックすることもできます。

ヒント: ユーザーはウェブアプリの追加に同意するよう求められますが、Google Workspace Marketplace では承認済みアプリに限り、管理者がドメイン インストールを使用して同意画面を省略できます。

1. Google 管理コンソール にログインします。

   管理者アカウント（末尾が @gmail.com でないアカウント）でログインしてください。

2. 管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。
3. [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
4. 右上にある [アクセスしたアプリ] カードで [リストを表示] をクリックします。
5. （省略可）必要に応じて [フィルタを追加] をクリックし、次の条件を使用してリストを絞り込みます。
   • アプリ名 - [次の文字を含む] 欄にアプリの名前を入力し、[適用] をクリックします。
   • 種類 - [ウェブ アプリケーション]、[iOS]、または [Android] を選択し、[適用] をクリックします。
   • ID - [一致する] 欄に文字列を入力し、[適用] をクリックします。
   • 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。ただし、よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご覧ください。
   • ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
   • リクエストされたサービス - [Gmail] や [ドライブ] などのサービスを選択し、[適用] をクリックします。
6. 1 つのアプリのアクセス権限を変更するには、リスト内の目的のアプリにカーソルを合わせ、右側にある [アクセス権限を変更] をクリックします。複数のアプリのアクセス権限を変更するには、各アプリのチェックボックスをオンにして、リストの上部にある [アクセス権を変更] をクリックします。
7. アクセス権限を変更するには、次のいずれかを選択します。
   • 信頼されている: すべての Google サービスにアクセス可能（制限付きのサービスを含む）
   • 制限付き: アクセス制限のない Google サービスにのみアクセスできる
   • ブロック: Google サービスにアクセスできません
   注: デバイス向けにアプリを許可リストに登録しても、同じアプリを API の制御を使用してブロックした場合、アプリはブロックされます（[API の制御] ページでのアプリのブロックが、許可リスト登録よりも優先されます）。
    
8. [変更] をクリックします。
   • [アクセスしたアプリ] リストの [アクセス] 列に、アプリのアクセス ステータス（[信頼できる]、[限定]、[ブロック中]）が表示されます。
   • アプリのアクセス権を [限定] から [信頼できる] または [ブロック中] に変更すると、アプリが設定済みアプリのリストに追加されます。
   • アプリのアクセス権を [信頼できる] または [ブロック中] から [限定] に変更すると、アプリは設定済みアプリのリストから削除されます。

注: 信頼できるアプリまたはブロックしているアプリのアクセス権を限定に変更すると、そのアプリにアクティブなユーザーがいない場合はリストに表示されなくなります。アプリをもう一度追加するか、ユーザーがアプリを有効にすると、リストに表示されるようにます。

リストに含まれていないアプリを管理するには:

1. [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
2. [設定済みアプリ] リストの上部にある [アプリを追加] をクリックします。
3. [OAuth アプリ名またはクライアント ID]、[Android]、[IOS] のいずれかを選択します。
4. アプリ名またはクライアント ID を入力し、[検索] をクリックします。
5. 検索結果のリストから、管理するアプリの [選択] をクリックします。

   注: [OAuth アプリ名またはクライアント ID] を使用して設定する場合は、設定するクライアント ID のチェックボックスをオンにしてから [選択] をクリックします。

6. 次のいずれかの項目を選択します。
   • 信頼されている: すべての Google サービスにアクセス可能
   • ブロック中: Google サービスにアクセスできません
7. [設定] をクリックします。

   アプリのページの [アクセス] 列に、アプリのアクセス ステータス（[信頼できる] または [ブロック中]）が表示されます。

[API の制御] ページで、サードパーティによるすべての API アクセスをブロックすることができます。この強力な管理機能を使用すると、サードパーティのアプリおよびウェブサイトからのユーザーデータへのアクセス リクエストは拒否されます。この設定によって、ログイン スコープを含むすべての OAuth スコープがブロックされるので、ユーザーは Google を使用してサードパーティのアプリおよびウェブサイトにログインできなくなります。

重要: [サードパーティによるすべての API アクセスをブロックする] の設定が有効になっていても、ユーザーは、信頼できるアプリとして明示的に指定したアプリおよび信頼できるドメインで所有するアプリにはアクセスできます。信頼できるアプリについて詳しくは、アプリへのアクセスを管理する: 信頼できる、限定、ブロックおよび制限付き Google Workspace API に内部アプリがアクセスできるようにするをご覧ください。

1. Google 管理コンソール にログインします。

   管理者アカウント（末尾が @gmail.com でないアカウント）でログインしてください。

2. 管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。
3. [アプリのアクセス制御] で [サードパーティによるすべての API アクセスをブロックする] チェックボックスをオンにして、[保存] をクリックします。
   

内部アプリを作成する場合、これらのアプリはデフォルトで Google Workspace サービスへの制限付きアクセスが許可されます。制限なしのアクセスが必要な場合は、アプリを個別に信頼する必要があります。

1. Google 管理コンソール にログインします。

   管理者アカウント（末尾が @gmail.com でないアカウント）でログインしてください。

2. 管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。
3. [アプリのアクセス制御] で [ドメインで所有する内部アプリを信頼する] チェックボックスをオンにして、[保存] をクリックします。

ドメインで所有するアプリには次のようなものがあります。

• 組織内のユーザーが作成した Google Apps Script プロジェクト
• Google Cloud Console で組織と関連付けられているアプリ

注: ドメインで所有する内部アプリを信頼しても、[サードパーティ製アプリのアクセスを管理] でこれらのアプリのいずれかをブロックした場合、そのアプリはブロックされます（アプリへのアクセスを管理する: 信頼できる、限定、ブロックをご覧ください）。

サービスやアプリによっては、ユーザーがサードパーティ製ウェブアプリをインストールしようとすると、同意を求める画面かインストール不可の画面が表示されます。このインストール不可の画面はカスタマイズ可能で、サポートの連絡先情報などを追加することができます。 

1. Google 管理コンソール にログインします。

   管理者アカウント（末尾が @gmail.com でないアカウント）でログインしてください。

2. 管理コンソールのホームページで、[セキュリティ] [API の制御] に移動します。
3. [アプリのアクセス制御] で [設定] に移動します。
4. [制限付きの Google サービスにアクセスできないアプリをユーザーが使おうとした場合に、このメッセージが表示されます] の下にカスタム テキストを入力します。
5. [保存] をクリックします。