組織のモバイルアプリを管理する方法については、こちらを参照 してください。
管理者は、アプリによる組織の Google Workspace データへのアクセスを管理できます。Google 管理コンソールの設定を使用して、OAuth 2.0 経由で Google Workspace サービスへのアクセスを管理します。ただし、一部のアプリでは OAuth 2.0 スコープ(ユーザーのアカウントへのアクセスを制限するメカニズム)が使用されています。
管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるエラー メッセージをカスタマイズすることもできます。
注: Google Workspace for Education では、追加の制限により、初中等教育機関のユーザーが特定のサードパーティ製アプリにアクセスできない場合があります。
アプリによる Google Workspace データへのアクセスを管理する
制御を実装する前に、Google Workspace データへのアクセスが許可されているアプリのリストを確認します。通常、サードパーティ製アプリの詳細は、承認の 24~48 時間後に表示されます。
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
設定済みアプリとアクセス済みアプリの数を確認できます。
- 設定済みアプリとは、アクセス ポリシー(信頼またはブロック)が設定されているアプリです。どのアプリも信頼またはブロックしていない場合、設定済みアプリの数は 0 個と表示されます。
- アクセス済みアプリとは、Google データにアクセスしたユーザーが使用するサードパーティ製アプリです。
- [サードパーティ製アプリのアクセスを管理] をクリックします。
設定済みアプリがデフォルトで表示されており、以下を確認できます。- アプリ名
- 種類
- ID
- 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。よく知られているアプリの多くが、この方法で検証されていない可能性があります。詳しくは、確認済みのサードパーティ製アプリとはをご覧ください。
- アクセス - [信頼できる] または [ブロック中] が表示されます。
- (省略可)アクセスしたアプリを表示するには、[アクセス済みアプリ] の [リストを表示] をクリックします。
アクセス済みアプリについては、以下のことも確認できます。
- ユーザー - アプリにアクセスするユーザーの数。
- リクエストされたサービス - 各アプリ(Gmail、Google カレンダー、Google ドライブなど)で使用されている Google サービスの API(OAuth2 スコープ)。Google がリクエストしていないサービスは「その他」と表示されます。
- [設定済みアプリ] または [アクセス済みアプリ] のリストで、目的のアプリをクリックして確認します。
- アプリが Google サービスにアクセスできるかどうかを管理する - アプリが [信頼できる]、[限定]、[ブロック中] のどれに設定されているかを確認します。アクセス設定を変更した場合は、[保存] をクリックします。
- アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報を確認できます。
- アプリがリクエストしている Google サービス API(OAuth スコープ)を確認する - 各アプリがリクエストしている OAuth スコープのリストを確認します。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
- (省略可)アプリの情報を CSV ファイルにダウンロードするには、[設定済みアプリ] または [アクセス済みアプリ] のリストの上部にある [リストをダウンロード] をクリックします。
- 表示されていないデータも含め、表内のすべてのデータがダウンロードされます。
- 設定済みのアプリの場合、CSV ファイルには表に表示されない列(ユーザー数、リクエストされたサービス、各サービスに関連付けられている API スコープ)も記載されます。設定済みのアプリがアクセス済みではない場合、そのアプリのユーザー数は 0 になり、他の 2 列は空白になります。
アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者が信頼していない未確認アプリについては、ユーザーが有効化できないようブロックされている可能性があります(詳細は、このページで後述している信頼できるアプリについての説明をご確認ください)。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。
機械学習などの Google Cloud サービスを含む、ほとんどの Google Workspace サービスへのアクセスを制限(または無制限のままに)することができます。Gmail と Google ドライブでは、メールの送信やドライブ内のファイルの削除など、リスクの高いサービスへのアクセスを詳細に制限できます。ユーザーがアプリに同意するよう求められても、アプリが制限付きサービスへのアクセスをリクエストしていて、管理者がアプリを信頼していない場合は、ユーザーはアプリを追加できません。
-
-
管理コンソールのホームページで、[セキュリティ]
- [Google サービスを管理] をクリックします。
- サービスのリストで、管理するサービスの横にあるチェックボックスをオンにします。
すべてのチェックボックスをオンにするには、[サービス] チェックボックスをオンにします。 - (省略可)このリストをフィルタするには、[フィルタを追加] をクリックして次の条件から選択します。
- Google サービス - [ドライブ] や [Gmail] などのサービスのリストから選択し、[適用] をクリックします。
- Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
- 許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
- ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
- 上部の [アクセス権限を変更] をクリックし、[制限なし] または [制限付き] を選択します。
[制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリをインストールしようとすると、インストールできないことが通知されます。 ドライブ サービスへのアクセスを制限すると、Google Forms API へのアクセスも制限されます。
注: アクセスしたアプリのリストは、トークンが付与または取り消されてから 48 時間が経過すると更新されます。 - (省略可)[制限付き] を選択した場合、高リスクとして分類されていない OAuth スコープ(ユーザーが選択したドライブ ファイルへのアクセスをアプリに許可するスコープなど)へのアクセスを許可するには、[信頼できないアプリに対して、高リスクに分類されていない OAuth スコープへのアクセスをユーザーが許可できるようにする] チェックボックスをオンにします。 (このチェックボックスは Gmail やドライブなどのアプリについて表示されますが、すべてのアプリについて表示されるわけではありません)。
- [変更] をクリックして、必要に応じて確定します。
- (省略可)サービスにアクセスできるアプリを確認するには:
- 上部の [アクセス済みアプリ] で [リストを表示] をクリックします。
- [フィルタを追加]
- 確認するサービスを選択し、[適用] をクリックします。
リスクの高い OAuth スコープへのアクセスを制限する
Gmail とドライブでは、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。
Gmail のリスクの高い OAuth スコープは次のとおりです。
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Gmail のスコープについて詳しくは、Auth スコープを選択するをご覧ください。
ドライブのリスクの高い OAuth スコープは次のとおりです。
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
ドライブのスコープについて詳しくは、API 固有の認可と認証情報をご覧ください。
アプリをブロックしたり、信頼できるアプリとしてマークしたり、制限のない Google サービスにのみアクセスできるように設定したりして特定のアプリのアクセスを管理できます。信頼できるアプリは、制限付きのサービスを含むすべての Google Workspace サービス(OAuth スコープ)にアクセスできます。管理者が信頼していないアプリは、制限のないサービスにのみアクセスできます。
-
-
管理コンソールのホームページで、[セキュリティ]
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- [設定済みアプリ] で [リストを表示] をクリックします。
- (省略可)リストをフィルタするには、[フィルタを追加] をクリックして次のいずれかを選択します。
- アプリ名 - アプリの名前を入力して [適用] をクリックします。
- 種類 - [ウェブ アプリケーション]、[iOS]、または [Android] を選択し、[適用] をクリックします。
- ID - アプリ ID を入力し、[適用] をクリックします。
- 確認済みステータス - [Google により確認済み] を選択し、[適用] をクリックして、Google による審査済みで特定のポリシーに準拠しているアプリを確認します。詳しくは、確認済みのサードパーティ製アプリとはをご覧ください。
- アクセス - [信頼できる] または [ブロック中] のチェックボックスをオンにして、[適用] をクリックします。
- アプリにカーソルを合わせ、[アクセス権限を変更] をクリックします。または、複数のアプリの横にあるチェックボックスをオンにして、上部にある [アクセス権限を変更] をクリックします。管理者はドメインで所有するすべてのアプリを信頼することも、Google Workspace サービスにアクセスできないようにアプリをブロックすることもできます。
- 次のいずれかを行います。
- 信頼されている - アプリを信頼すると、サービスの制限がオーバーライドされます。Chrome ブラウザなどの Google 所有アプリは自動的に信頼されるため、信頼できるアプリとして設定することはできません。
- 制限付き - アクセス制限のない Google サービスにのみアクセスできます。
- ブロック中: Google サービスにアクセスできません。
デバイス用のアプリを許可リストに追加し、API の制御で同じアプリをブロックした場合、そのアプリはブロックされます。API の制御でアプリのブロックを行うと、許可リストへの登録がオーバーライドされます。
- [変更] をクリックします。
アプリのアクセス権を [信頼されている] または [ブロック中] に変更すると、そのアプリは設定済みアプリのリストに追加されます。アクセス権を [制限付き] に変更すると、そのアプリは設定済みアプリのリストから削除されます。アクセス権を [制限付き] に変更しても、そのアプリにアクティブなユーザーがいない場合は、ユーザーによって有効化されない限りアプリはリストに表示されません。
新しいアプリを追加する
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- [設定済みアプリ] で [アプリを追加] をクリックします。
- [OAuth アプリ名またはクライアント ID]、[Android]、[IOS] のいずれかを選択します。
- アプリ名またはクライアント ID を入力し、[検索] をクリックします。
- アプリにカーソルを合わせ、[選択] をクリックします。
- 設定するクライアント ID のチェックボックスをオンにして [選択] をクリックします。
- [信頼されている] または [ブロック中] をオンにして、[設定] をクリックします。
ユーザーはウェブアプリの追加に同意するよう求められますが、Google Workspace Marketplace では承認済みアプリに限り、管理者がドメイン インストールを使用して同意画面を省略できます。
未承認のアプリのメッセージをカスタマイズする
-
-
管理コンソールのホームページで、[セキュリティ]
- [アプリのアクセス制御] の [設定] セクションでメッセージを入力し、[保存] をクリックします。
サードパーティによるすべての API アクセスをブロックする
サードパーティ製の API アクセスをすべてブロックすると、サードパーティのアプリやウェブサイトからのユーザーデータへのアクセスのリクエストが拒否されるようになります。この設定によって、ログイン スコープを含むすべての OAuth スコープがブロックされるので、ユーザーは Google を使用してサードパーティのアプリおよびウェブサイトにログインできなくなります。
-
-
管理コンソールのホームページで、[セキュリティ]
- [アプリのアクセス制御] の [設定] セクションで、[サードパーティによるすべての API アクセスをブロックする] チェックボックスをオン
一部の設定は API 設定より優先されます。たとえば、[サードパーティによるすべての API アクセスをブロックする ] チェックボックスをオンにしても、明示的に信頼されているアプリがある場合にはユーザーはそのアプリにアクセスできます。
制限付き Google Workspace API に内部アプリがアクセスできるようにする
(組織が所有する)内部アプリを構築している場合は、すべてのアプリを信頼し、それらのアプリに制限付き Google Workspace API へのアクセスを許可できます。こうすることで、それぞれのアプリを個別に信頼する手間が省けます。
-
-
管理コンソールのホームページで、[セキュリティ]
- [アプリのアクセス制御] で [ドメインで所有する内部アプリを信頼する] チェックボックスをオンにして、
関連トピック
- Google API の OAuth 2.0 スコープ
- アプリを OAuth スコープの確認に対応させるためのヒント(Google Developers ブログ)
