G Suite のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

G Suite の機密データにアクセスできるサードパーティ製アプリとドメインで所有するアプリを制御できます。アプリのアクセス制御では OAuth 2.0 を使用して G Suite サービスへのアクセスを管理します。アプリによるアクセスを容易にするため、セキュリティが強化された新しいアプリでは OAuth 2.0 スコープ(外部 API と呼ばれる一連のプロシージャ)が使用されます。これらのスコープを適用することで、Gmail、Google ドライブ、カレンダー、コンタクトなどほとんどの G Suite サービスでアプリのアクセスを一部のユーザーデータに限定できるようになります。アプリのアクセス制御を使用すると、次のことが可能です。

  • ほとんどの G Suite サービスへのアクセスを制限する、または無制限のままにする。
  • 特定のアプリを信頼し、これらのアプリに対して制限付きの G Suite サービスへのアクセスを許可する。
  • ドメインで所有するアプリをすべて信頼する。

次の手順では、制御を設定する方法と、すでに使用しているサードパーティ製アプリの詳細を確認する方法を説明します。管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるエラー メッセージをカスタマイズできます。

注: モバイル デバイスのオペレーティング システム(Android または iOS)でアプリを管理するには、Android デバイス向け管理対象アプリを設定するiOS アプリを推奨、管理するをご覧ください。

アプリのアクセス制御を使用する

すべて開く   |   すべて閉じる

環境内のサードパーティ製アプリを確認する

制御を実装する前に、ユーザーがどのアプリに G Suite データへのアクセスを許可しているかを確認します。

注: サードパーティ製アプリの詳細は、通常、24〜48 時間以内に結果に表示されます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから  次に [セキュリティ] 次に [API コントロール] に移動します。
    : アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
  3. アプリのアクセス制御のメインページで、[サードパーティ製アプリのアクセスを管理] を選択します。
  4. アプリの詳細を確認するには、アプリのリストから目的のアプリを探します。 
    各アプリのエントリには次の情報が表示されます。
    • アプリ名
    • アプリの種類
    • アプリにアクセスするユーザー数
  5. いずれかのエントリをクリックします。 
    アプリの詳細ページには次の情報が表示されます。
    • アプリが使用している G Suite サービス
    • アプリの完全な OAuth2 クライアント ID
    • 発行元の情報(プライバシー ポリシー、サポートリンクなど)
    • (確認済みの場合)特定の制限付き API スコープにアクセスするアプリの確認ステータス

アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます(アプリを信頼する方法について詳しくは、後述を参照)。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。

Google サービスへのアクセスを制限する

機械学習などの Google Cloud Platform サービスを含む、ほとんどの G Suite サービスへのアクセスを制限(または無制限のままに)することができます。Gmail や Google ドライブでは、Gmail の送信やドライブ内のファイルの削除など、リスクの高い操作へのアクセスを詳細に制限できます。ユーザーがアプリに同意するよう求められても、アプリの操作に制限が適用されていて、管理者がアプリを信頼していない場合は、ユーザーはアプリを追加できません。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから  次に [セキュリティ] 次に [API コントロール] に移動します。
    : アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
  3. アプリのアクセス制御のメインページで、[Google サービスを管理] を選択します。
    管理できる Google サービスは次のとおりです。
    • G Suite:
      • G Suite 管理コンソール
      • Gmail
      • ドライブ
      • カレンダー
      • コンタクト
      • Vault
      • Apps Script ランタイム
        Apps Script プロジェクトに固有のリスクの高い特定のスコープをリクエストするプロジェクト(例: UrlFetch、Container UI)へのアクセスを管理します。組織内外の App Maker アプリ、アドオン、スクリプトが含まれます。Apps Script のランタイム制御は Apps Script API の制御と連携して機能するものであり、Apps Script アプリよりも優先されるものではありません。

      • Apps Script API
        Apps Script API のスコープ(例: プロジェクトの管理、デプロイの管理)をリクエストする任意のプロジェクト(例: Apps Script、GCP、AWS)へのアクセスを管理します。

    • Google Cloud Platform:
      • Cloud Platform(機械学習と Cloud Billing を除く、Google Cloud Platform のすべてのサービスを含む)
      • 機械学習(Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む)
      • Cloud Billing
  4. サービスごとにアクセスを確認します。
    • 制限なし - すべてのサードパーティ製アプリが、ユーザーの同意を得てこのサービスにアクセスできます。
    • 制限付き - 信頼できるアプリのみが、ユーザーの同意を得てこのサービスにアクセスできます。
    • 制限付き - ハイリスク アクセス - 信頼できるアプリのみが、このサービスのハイリスクな操作にアクセスできます。低リスクの操作にはすべてのアプリがアクセスできます。いずれの場合もユーザーの同意が必要です。
      • Gmail のリスクの高い OAuth スコープは次のとおりです。
        • https://mail.google.com/
        • https://www.googleapis.com/auth/gmail.compose
        • https://www.googleapis.com/auth/gmail.insert
        • https://www.googleapis.com/auth/gmail.metadata
        • https://www.googleapis.com/auth/gmail.modify
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.send
        • https://www.googleapis.com/auth/gmail.settings.basic
        • https://www.googleapis.com/auth/gmail.settings.sharing

          Gmail のスコープについて詳しくは、Auth スコープの設定をご覧ください。

      • ドライブのリスクの高い OAuth スコープは次のとおりです。
        • https://www.googleapis.com/auth/drive
        • https://www.googleapis.com/auth/drive.apps.readonly
        • https://www.googleapis.com/auth/drive.metadata
        • https://www.googleapis.com/auth/drive.metadata.readonly
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.scripts
        • https://www.googleapis.com/auth/documents
          ドライブのスコープについて詳しくは、承認についてをご覧ください。
  5. (省略可)サービスにアクセスできるアプリを確認するには: 
    1. 表の上にある [アプリ] をクリックします。
    2. [フィルタを追加] 次に [リクエストされたサービス] をクリックします。
    3. 確認するサービスを選択します。 
      そのサービスの OAuth スコープにアクセスできるアプリと、信頼のステータスが表示されます。
  6. アクセスを変更する(例: アクセスを制限する)には: 
    • 1 つのサービスだけを変更する場合は、表内でそのサービスの行に移動して右端にある [アクセス権限を変更] をクリックします。
    • 複数のサービスを一括で変更する場合は、表内で対象のサービスをすべて選択して表の上部にある [アクセス権限を変更] をクリックします。

スコープを [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリをインストールしようとすると、インストールできないことが通知されます。

信頼できるアプリリストにアプリを追加または削除する

すべての G Suite サービスへのアクセス(OAuth アクセス)を許可する対象として、特定のアプリだけを信頼することも、ドメインで所有するすべてのアプリを信頼することもできます。アプリを信頼することで、Google の不正行為対策チームが確認していないアプリもユーザーがインストールできるようになります。管理者が信頼しておらず G Suite API へのアクセス権限が限定的であるアプリは、制限なしのサービスにのみアクセスできます。

ヒント: ユーザーはウェブアプリの追加に同意するよう求められますが、G Suite Marketplace では承認済みアプリに限り、ドメインのインストールを使用して同意画面を省略できます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから  次に [セキュリティ] 次に [API コントロール] に移動します。
    : アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
  3. アプリのアクセス制御のメインページで、[サードパーティ製アプリのアクセスを管理] を選択します。
  4. アプリの一覧を確認します。
  5. 特定のアプリ名、クライアント ID、またはアプリがアクセスするサービスを検索するには、[フィルタを追加] をクリックします。
    リストに表示されているアプリは、使用中、信頼済み、またはその両方です。
  6. アクセスを変更する(例: アプリを信頼する)には: 
    • 1つのアプリだけを変更する場合は、表内でそのアプリにカーソルを合わせ、右端の [アクセス権限を変更] をクリックします。
    • 複数のアプリを一括で変更する場合は、表内で各アプリを選択し、表の上部の [アクセス権限を変更] をクリックします。 

      アプリには次のステータスを設定できます。
      • 信頼できる - すべての Google サービスにアクセスできます
      • 限定 - アクセス制限のない Google サービスにのみアクセスできます
  7. (省略可)リストにないアプリを信頼するには、アプリリストの上部にある [アプリを追加] をクリックして次のいずれかを選択します。
    • ウェブアプリの場合:
      1. [OAuth アプリ名またはクライアント ID] をクリックします。
      2. クライアント ID を入力し、[検索] をクリックします。
      3. アプリを選択し、[追加] をクリックします。
    • モバイルアプリの場合:
      1. [Android] または [iOS] をクリックします。
      2. アプリ名を入力して [検索] をクリックし、利用可能なアプリのリストを表示します。
      3. アプリを選択し、[追加] をクリックします。

: 信頼できるアプリのアクセス権限を制限付きに変更しても、そのアプリにアクティブなユーザーがいない場合はリストに表示されません。アプリをもう一度追加するか、ユーザーがアプリを有効にすると、リストに表示されます。

制限付き G Suite API に内部アプリがアクセスできるようにする

内部アプリを作成した場合、これらのアプリはデフォルトで G Suite サービスへの制限付きアクセスが許可されます。制限なしのアクセスが必要な場合は、アプリを個別に信頼する必要があります。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから  次に [セキュリティ] 次に [API コントロール] に移動します。
    : アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
  3. ページの下部にある [ドメインで所有する内部アプリを信頼する] チェックボックスをオンにし、[保存] をクリックします。

ドメインで所有するアプリには次のようなものがあります。

  • 組織内のユーザーが作成した Google Apps Script プロジェクト
  • Google Cloud Platform Console で組織と関連付けられているアプリ
許可されていないアプリのメッセージをカスタマイズする

サービスやアプリによっては、ユーザーがサードパーティ製ウェブアプリをインストールしようとすると、同意を求める画面かインストール不可の画面が表示されることがあります。このインストール不可の画面はカスタマイズ可能で、サポートの連絡先情報などを追加することができます。 

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから  次に [セキュリティ] 次に [API コントロール] に移動します。
    : アプリのアクセス制御が設定されていない場合は、次の手順でアプリを管理します。アプリのアクセス制御の新しいインターフェースが、今後数週間で自動的に利用可能になります。
  3. [設定] に移動します。
  4. [制限付きの Google サービスにアクセスできないアプリをユーザーが使おうとした場合に、このメッセージが表示されます] の下にカスタムのテキストを入力します。
  5. [保存] をクリックします。

関連トピック

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。