組織のモバイルアプリを管理する方法については、こちらを参照 してください。
ユーザーが [Google でログイン] オプション(シングル サインオン)を使用してサードパーティ製アプリにログインした場合に、そのサードパーティ製アプリが組織の Google データにアクセスする方法を管理できます。Google 管理コンソールの設定を使用して、OAuth 2.0 経由で Google Workspace サービスへのアクセスを管理します。一部のアプリでは、OAuth 2.0 スコープ(ユーザーのアカウントへのアクセスを制限するメカニズム)を使用しています。
管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるエラー メッセージをカスタマイズすることもできます。
注: Google Workspace for Education では、追加の制限により、初中等教育機関のユーザーが特定のサードパーティ製アプリにアクセスできない場合があります。
アプリの Google データへのアクセスを管理する
[アプリのアクセス制御] で、以下の項目を確認できます。
- 設定済みアプリ - アクセス(信頼できる、限定、ブロック中)が設定されたサードパーティ製アプリ。
- アクセスしたアプリ - Google データにアクセスしたユーザーが使用するサードパーティ製アプリ。
- 審査待ちのアプリ(Education エディションのみ)- 18 歳未満のユーザーがアクセスをリクエストしたサードパーティ製アプリ。
通常、サードパーティ製アプリの詳細は、承認の 24~48 時間後に表示されます。
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
- [サードパーティ製アプリのアクセスを管理] をクリックして設定済みアプリを表示します。アプリの一覧をフィルタするには、[フィルタを追加] をクリックしてオプションを選択します。
アプリの一覧には、アプリの名前、種類、ID のほか、アプリごとに次の情報が表示されます。
- 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご確認ください。
- アクセス - アプリに対してアクセス ポリシーが設定されている組織部門。一覧にあるアプリにカーソルを合わせて右側にある [詳細を表示] をクリックすると、特定の組織部門と、各組織部門に割り当てられているアクセスレベル(信頼できる、限定、ブロック中)が表示されます。[アクセス権限を変更] をクリックして、アプリのデータのアクセスレベルを変更します。
- アクセスしたアプリを表示するには、[アクセス済みアプリ] の [リストを表示] をクリックします。
アクセス済みアプリについては、以下のことも確認できます。
- ユーザー - アプリにアクセスするユーザーの数。
- リクエストされたサービス - 各アプリ(Gmail、Google カレンダー、Google ドライブなど)で使用されている Google サービスの API(OAuth2 スコープ)。Google がリクエストしていないサービスは「その他」と表示されます。
- [設定済みアプリ] または [アクセス済みアプリ] のリストで、目的のアプリをクリックします。
- アプリが Google サービスにアクセスできるかどうかを管理する - アプリが [信頼できる]、[限定]、[ブロック中] のどれに設定されているかを確認します。アクセス設定を変更した場合は、[保存] をクリックします。
- アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報を確認できます。
- アプリがリクエストしている Google サービス API(OAuth スコープ)を確認する - 各アプリがリクエストしている OAuth スコープのリストを確認します。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
- (省略可)アプリの情報を CSV ファイルにダウンロードするには、[設定済みアプリ] または [アクセス済みアプリ] のリストの上部にある [リストをダウンロード] をクリックします。
- 表示されていないデータも含め、表内のすべてのデータがダウンロードされます。
- 設定済みのアプリの場合、CSV ファイルには表に表示されない列(ユーザー数、リクエストされたサービス、各サービスに関連付けられている API スコープ)も記載されます。設定済みのアプリがアクセス済みではない場合、そのアプリのユーザー数は 0 になり、他の 2 列は空白になります。
アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます(アプリを信頼する方法について詳しくは、後述を参照)。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。
機械学習などの Google Cloud サービスを含む、ほとんどの Google Workspace サービスへのアクセスを制限(または無制限のままに)することができます。各オプションの内容は次のようになっています。
- 制限付き: 信頼できるアクセスが設定されているアプリのみが、このサービスのデータにアクセスできます。
- 制限なし: 「信頼できる」または「アクセス制限付き」として設定されたアプリは、このサービスのデータにアクセスできます。
たとえば、カレンダーのアクセスを制限付きに設定した場合、「信頼できる」アクセスが設定されているアプリのみがカレンダー データにアクセスできます。アクセス制限付きのアプリは、カレンダーのデータにアクセスできません。
注: Gmail と Google ドライブでは、メールの送信やドライブ内のファイルの削除など、リスクの高いサービスへのアクセスを詳細に制限できます。
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
- [Google サービスを管理] をクリックします。
- サービスの一覧で、管理するサービスの横にあるチェックボックスをオンにします。
[サービス] チェックボックスをオンにして、すべてのチェックボックスをオンにします。 - (省略可)このリストをフィルタするには、[フィルタを追加] をクリックして次の条件から選択します。
- Google サービス - [ドライブ] や [Gmail] などのサービスを一覧から選択し、[適用] をクリックします。
- Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
- 許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
- ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
- 上部にある [アクセス権限を変更] をクリックし、[制限なし] または [制限付き] を選択します。
[制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリにログインしようとすると、そのアプリがブロックされたことが Google アカウントで通知されます。ドライブ サービスへのアクセスを制限すると、Google フォーム API へのアクセスも制限されます。
注: アクセスしたアプリの一覧は、トークンが付与または取り消されてから 48 時間後に更新されます。 - (省略可)[制限付き] を選択した場合、高リスクとして分類されていない OAuth スコープ(ユーザーが選択したドライブ ファイルへのアクセスをアプリに許可するスコープなど)へのアクセスを許可するには、[信頼できないアプリに対して、高リスクに分類されていない OAuth スコープへのアクセスをユーザーが許可できるようにする] チェックボックスをオンにします。 (このチェックボックスは Gmail やドライブなどのアプリについて表示されますが、すべてのアプリについて表示されるわけではありません)。
- [変更] をクリックして、必要に応じて確定します。
- (省略可)サービスにアクセスできるアプリを確認するには:
- 上部の [アクセス済みアプリ] で [リストを表示] をクリックします。
- [フィルタを追加]
[リクエストされたサービス] をクリックします。
- 確認するサービスを選択し、[適用] をクリックします。
リスクの高い OAuth スコープへのアクセスを制限する
Gmail とドライブでは、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。
Gmail のリスクの高い OAuth スコープは次のとおりです。
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Gmail のスコープについて詳しくは、Auth スコープを選択するをご覧ください。
ドライブのリスクの高い OAuth スコープは次のとおりです。
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
ドライブのスコープについて詳しくは、API 固有の認可と認証情報をご覧ください。
アプリをブロックしたり、信頼できるアプリあるいは制限付きのアプリとしてマークしたりして、特定のアプリのアクセスを管理できます。信頼できるアプリは、制限付きのサービスを含むすべての Google Workspace サービス(OAuth スコープ)にアクセスできます。OAuth クライアント ID を使用して設定されたアプリを許可リストに登録すると、アプリケーション プログラミング インターフェース(API)から Google Workspace サービスへのアクセスを維持できます。API アクセスに適用されるコンテキストアウェア アクセス ポリシーが、サービスで設定されている場合も同様です。制限付きアプリは制限のないサービスにのみアクセスできます。アプリのデータアクセス設定は、アプリの一覧またはアプリ情報のページから変更できます。
アプリの一覧からアクセス権を変更する
-
[API の制御]
[アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- 設定済みアプリの一覧またはアクセスしたアプリの一覧で、目的のアプリにカーソルを合わせ、[アクセス権限を変更] をクリックします。または、複数のアプリの横にあるチェックボックスをオンにして、一覧の上部にある [アクセス権限を変更] をクリックします。
- アクセスを構成する組織部門を選択します。
- 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。
- 特定の組織部門に適用するには、[組織部門を選択]
[組織を含める] をクリックしてから、特定の組織部門を選択します。
- [次へ] をクリックします。
- 次のいずれかを行います。
- 信頼できる - アプリはすべての Google サービスにアクセスできます(制限付きと制限なしの両方)。Chrome ブラウザなどの Google 所有アプリは自動的に信頼されるため、信頼できるアプリとして設定することはできません。
(省略可)選択したアプリに API アクセスに適用されるコンテキストアウェア アクセス ポリシーがあっても、Google Workspace サービスへの API アクセスを維持するには、[コンテキストアウェア アクセスの API アクセス ブロックの除外許可リスト] を選択します。このオプションは、OAuth クライアント ID を使用して追加したウェブアプリ、Android アプリ、iOS アプリでのみ選択できます。このオプションを選択しても、アプリが API アクセス ブロックから自動的に除外されることはありません。また、コンテキストアウェア アクセス レベルの割り当て時に、アプリを除外する必要もあります。この許可リストは、上述のステップ 3 で指定した組織部門にのみ適用されます。 - 制限付き - アクセス制限のない Google サービスにのみアクセスできます。
- ブロック中: Google サービスにアクセスできません。
デバイス用のアプリを許可リストに追加し、API の制御で同じアプリをブロックした場合、そのアプリはブロックされます。API の制御でアプリのブロックを行うと、許可リストへの登録がオーバーライドされます。
- 信頼できる - アプリはすべての Google サービスにアクセスできます(制限付きと制限なしの両方)。Chrome ブラウザなどの Google 所有アプリは自動的に信頼されるため、信頼できるアプリとして設定することはできません。
- [次へ] をクリックします。
- スコープとアクセスの設定を確認し、[アクセス権限を変更] をクリックします。
アプリの情報ページからアクセス権を変更する
- 一覧のアプリをクリックし、[Google データにアクセス] をクリックします。
- 左側で、データアクセスを設定するグループまたは組織部門をクリックします。デフォルトでは最上位の組織部門が選択されており、組織全体に変更が適用されます。
- データのアクセスレベルを選択します。
- [保存] をクリックします。
- (省略可)必要に応じて、組織部門ごとに異なる設定を適用します。例:
- すべてのユーザーデータにアプリがアクセスできないようにするには、最上位の組織部門を選択して [ブロック中] を選択します。
- 一部のユーザーに対してのみデータアクセスをブロックするには、最上位の組織部門に対して [信頼できる] 権限を設定し、それらのユーザーが属する子組織部門に対して [ブロック中] を設定します(各組織部門の設定の後に [保存] をクリックします)。
新しいアプリを追加する
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- [設定済みアプリ] で [アプリを追加] をクリックします。
- [OAuth アプリ名またはクライアント ID] (後でアプリを [API の除外] から許可リストに登録する場合にこのオプションを選択)、[Android] または [iOS] を選択します。
- アプリ名またはクライアント ID を入力し、[検索] をクリックします。
- アプリにカーソルを合わせ、[選択] をクリックします。
- 設定するクライアント ID のチェックボックスをオンにして [選択] をクリックします。
- アクセスの設定対象を選択します。
- デフォルトでは、最上位の組織部門が選択されています。組織内のすべてのユーザーにアクセス権を付与するには、このチェックボックスをオンのままにします。
- 特定の組織部門のアクセス権を設定するには、[組織部門を選択] をクリックし、[+] をクリックして組織部門を表示します。目的の組織部門を確認し、[選択] をクリックします。
- [続行] をクリックします。
- 次のいずれかを選択します。
- 信頼できる - アプリはすべての Google サービスにアクセスできます(制限付きと制限なしの両方)。
(省略可)選択したアプリに API アクセスに適用されるコンテキストアウェア アクセス ポリシーがあっても、Google Workspace サービスへの API アクセスを維持するには、[コンテキストアウェア アクセスの API アクセス ブロックの除外許可リスト] を選択します。このオプションは、OAuth クライアント ID を使用して追加したウェブアプリ、Android アプリ、iOS アプリでのみ選択できます。このオプションを選択しても、アプリが API アクセス ブロックから自動的に除外されることはありません。また、コンテキストアウェア アクセス レベルの割り当て時に、アプリを除外する必要もあります。この許可リストは、手順 7 で指定した組織部門にのみ適用されます。 - 制限付き - アクセス制限のない Google サービスにのみアクセスできます。
- ブロック中: Google サービスにアクセスできません。
デバイス用のアプリを許可リストに追加し、API の制御で同じアプリをブロックした場合、そのアプリはブロックされます。API の制御でアプリのブロックを行うと、許可リストへの登録がオーバーライドされます。
- 信頼できる - アプリはすべての Google サービスにアクセスできます(制限付きと制限なしの両方)。
- 新しいアプリの設定を確認して、[完了] をクリックします。
ユーザーはウェブアプリの追加に同意するよう求められますが、Google Workspace Marketplace では承認済みアプリに限り、管理者がドメイン インストールを使用して同意画面を省略できます。
ユーザーがアクセスできないアプリ用のメッセージをカスタマイズする
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
- [設定] カードをクリックします。
- [カスタム ユーザー メッセージ] をクリックします。
- カスタム ユーザー メッセージを [オン] にします。
- [メッセージ] 欄にユーザー メッセージを入力します。
- [保存] をクリックします。
サードパーティ製アプリからの Google サービスへのアクセスを管理する、アプリを追加するで説明されているように、信頼できるアプリ、制限されているアプリ、またはブロック中に設定されていないサードパーティ製アプリは、未設定とみなされます。管理者は、ユーザーが Google アカウントを使用して未設定のアプリにログインしようとした場合の動作を制御できます。
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
- [Settings] をクリックします。
- [未設定のサードパーティ製アプリ] をクリックします。
- 次のいずれかの項目を選択します。
- サードパーティ製アプリへのアクセスをユーザーに許可する(デフォルト) - ユーザーは任意のサードパーティ製アプリに Google でログインできます。アクセスされたアプリは、そのユーザーのために Google データへの無制限アクセスを要求できます。
- 「Google でログイン」に必要な基本情報のみを要求するサードパーティ製アプリへのアクセスを許可する - ユーザーは、基本的なプロフィール情報(Google アカウント名、メールアドレス、プロフィール写真)のみを要求するサードパーティ製アプリに Google でログインできます。「Google でログイン」の詳細については、こちらをご覧ください。
- ユーザーにサードパーティ製アプリへのアクセスを許可しない - ログイン スコープを含むすべての OAuth スコープをブロックします。アクセスの設定が済むまで、ユーザーはサードパーティ製アプリとウェブサイトにログインできません。
- [保存] をクリックします。
重要: [未設定のサードパーティ製アプリ] の設定にかかわらず、ユーザーは [信頼できる] または [アクセス制限付き] で構成されたアプリにアクセスできます。
Google Workspace for Education の未設定のサードパーティ製アプリの設定
Google Workspace for Education をご利用のお客様は、未設定のアプリに対して 18 歳以上のユーザー向けと 18 歳未満のユーザー向けの 2 つの設定を行うことができます。
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
- [Settings] をクリックします。
- [未設定のサードパーティ製アプリ] をクリックします。
- [18 歳以上のユーザー向けの設定] で、次のいずれかを選択します。
- アカウントを使ったサードパーティ製アプリへのアクセスをユーザーに許可する(デフォルト) - ユーザーは任意のサードパーティ製アプリに Google でログインできます。アクセスされたアプリは、そのユーザーのために Google データへの無制限アクセスを要求できます。
- 「Google でログイン」に必要な基本情報のみを要求するサードパーティ製アプリへのアクセスを許可する - ユーザーは、基本的なプロフィール情報(Google アカウント名、メールアドレス、プロフィール写真)のみを要求するサードパーティ製アプリに Google でログインできます。「Google でログイン」の詳細については、こちらをご覧ください。
- ユーザーにサードパーティ製アプリへのアクセスを許可しない - ログイン スコープを含むすべての OAuth スコープをブロックします。アクセスの設定が済むまで、ユーザーはサードパーティ製アプリとウェブサイトにログインできません。
- [18 歳未満のユーザー向けの設定] で、次のいずれかを選択します。
- ユーザーにサードパーティ製アプリへのアクセスを許可しない - ログイン スコープを含むすべての OAuth スコープをブロックします。アクセスの設定が済むまで、ユーザーはサードパーティ製アプリとウェブサイトにログインできません。
- 「Google でログイン」に必要な基本情報のみを要求するサードパーティ製アプリへのアクセスを許可する - ユーザーは、基本的なプロフィール情報(Google アカウント名、メールアドレス、プロフィール写真)のみを要求するサードパーティ製アプリに Google でログインできます。「Google でログイン」の詳細については、こちらをご覧ください。
- [保存] をクリックします。
制限付き Google Workspace API に内部アプリがアクセスできるようにする
(組織が所有する)内部アプリを構築している場合は、すべてのアプリを信頼し、それらのアプリに制限付き Google Workspace API へのアクセスを許可できます。こうすることで、それぞれのアプリを個別に信頼する手間が省けます。
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
- [内部アプリ] をクリックします。
- [内部アプリを信頼する] チェックボックスをオンにします。
関連トピック
- Google API の OAuth 2.0 スコープ
- アプリを OAuth スコープの確認に対応させるためのヒント(Google Developers ブログ)