モバイル デバイスのオペレーティング システムでアプリを管理するには、こちらをご覧ください。
Google Workspace の機密データにアクセスできるサードパーティ製アプリとドメイン所有アプリを管理できます。アプリのアクセス制御は、OAuth 2.0 を使用して Google Workspace サービスへのアクセスを制御します。アプリによるアクセスを容易にするため、セキュリティが強化された新しいアプリでは OAuth 2.0 スコープ(外部 API と呼ばれる一連のプロシージャ)が使用されます。これらのスコープを適用することで、Gmail、Google ドライブ、カレンダー、連絡先など、ほとんどの Google Workspace サービスでアプリのアクセスを一部のユーザーデータに限定できるようになります。アプリのアクセス制御を使用すると、次のことが可能です。
- ほとんどの Google Workspace サービスへのアクセスを制限する、または無制限のままにする。
- 特定のアプリを信頼し、Google Workspace サービスへの制限付きアクセスを許可する。
- ドメインで所有するアプリをすべて信頼する。
Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを管理し、すでに使用しているサードパーティ製アプリの詳細を確認する手順は次のとおりです。管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるエラー メッセージをカスタマイズすることもできます。
アプリのアクセス制御を使用する
制御を実装する前に、Google Workspace データへのアクセスが許可されているアプリのリストを確認します。
注: サードパーティ製アプリの詳細は、通常、24〜48 時間以内に結果に表示されます。
-
-
管理コンソールのホームページから
[セキュリティ]
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] を選択します。
- アプリの表でアプリの詳細を確認します。
次の詳細情報が表示されます。- アプリ名
- 種類
- ID
- 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。ただし、よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご覧ください。
- ユーザー - アプリにアクセスするユーザーの数。
- リクエストされたサービス - 各アプリ(Gmail、カレンダー、ドライブなど)で使用されている Google サービスの API(OAuth2 スコープ)。[GOOGLE サービス] タブに表示されていないサービスは、[その他] として表示されます。
- アクセス - [信頼できる]、[限定]、[ブロック] のいずれかが表示されます。
- アプリの表の行をクリックすると、アプリの詳細ページが開きます。アプリの詳細ページでは、次のことができます。
- アプリが Google サービスにアクセスできるかどうかを確認または変更する - アプリが [信頼できる]、[限定]、[ブロック] のいずれかが設定されていることを確認します。アクセス設定を変更した場合は、[保存] をクリックします。
- アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報が含まれます。
- アプリがリクエストしている Google サービス API(OAuth スコープ)を確認する - アプリの詳細ページの [リクエストされたサービス] から、各アプリがリクエストしている OAuth スコープのリストを確認できます。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます(アプリを信頼する方法について詳しくは、後述を参照)。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。
機械学習などの Google Cloud Platform サービスを含む、ほとんどの Google Workspace サービスへのアクセスを制限(または無制限のままに)することができます。Gmail や Google ドライブでは、Gmail の送信やドライブ内のファイルの削除など、リスクの高い操作へのアクセスを詳細に制限できます。ユーザーがアプリに同意するよう求められても、アプリの操作に制限が適用されていて、管理者がアプリを信頼していない場合は、ユーザーはアプリを追加できません。
-
-
管理コンソールのホームページから
- [アプリのアクセス制御] で [GOOGLE サービスを管理] をクリックします。
- サービスのリストで、管理するサービスのチェックボックスをオンにします。
必要に応じて [フィルタを追加] をクリックし、次の条件でリストを絞り込みます。
Google サービス - [ドライブ] や [Gmail] などのサービスをリストから選択し、[適用] をクリックします。
Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
管理できる Google サービスは次のとおりです。- Google Workspace:
- Google Workspace 管理コンソール
- Gmail
- ドライブ
- カレンダー
- コンタクト
- Vault
- Classroom
- ToDo リスト
- グループ
- Cloud Search
- Apps Script Runtime
Apps Script プロジェクトに固有のリスクの高い特定のスコープをリクエストするプロジェクト(例: UrlFetch、Container UI)へのアクセスを管理します。組織内外の App Maker アプリ、アドオン、スクリプトが含まれます。Apps Script のランタイム制御は Apps Script API の制御と連携して機能するものであり、Apps Script アプリよりも優先されるものではありません。 -
Apps Script API
Apps Script API のスコープ(例: プロジェクトの管理、デプロイの管理)をリクエストする任意のプロジェクト(例: Apps Script、GCP、AWS)へのアクセスを管理します。
- Google Cloud Platform:
- Cloud Platform(機械学習と Cloud Billing を除く、Google Cloud Platform のすべてのサービスを含む)
- 機械学習(Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む)
- Cloud Billing
- Google Workspace:
- リストからサービスを選択したら、[アクセス権限を変更] をクリックします。
1 つのサービスのみの場合は、テーブル内の行にカーソルを合わせます。右端にある [アクセス権限を変更] をクリックします。
複数のサービスの場合は、表のチェックボックスをオンにします。表の上部にある [アクセス権限を変更] をクリックします。
- アクセス権限を変更するには、次のオプションから選択します。
制限なし: ユーザーが承認したアプリであればサービスにアクセス可能
制限付き: 信頼できるアプリのみがサービスにアクセス可能
- [変更] をクリックします。
[GOOGLE サービス] ページの [アクセス] 列に、サービスのアクセス ステータス([制限なし] または [制限付き])が表示されます。 - (省略可)サービスにアクセスできるアプリを確認するには:
- 表の上にある [アプリ] をクリックします。
- [フィルタを追加]
- 確認するサービスを選択し、[適用] をクリックします。
そのサービスの OAuth スコープにアクセスできるアプリと、信頼のステータスが表示されます。
スコープを [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリをインストールしようとすると、インストールできないことが通知されます。
Gmail とドライブのリスクの高い OAuth スコープ
Gmail とドライブでは、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。
Gmail のリスクの高い OAuth スコープは次のとおりです。
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Gmail のスコープについて詳しくは、Auth スコープを選択するをご覧ください。
ドライブのリスクの高い OAuth スコープは次のとおりです。
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
ドライブのスコープについて詳しくは、承認についてをご覧ください。
[アプリのアクセス制御] ページでは、アプリをブロックしたり、信頼できるアプリとしてマークしたり、制限のない Google サービスにのみアクセスできるように設定したりして特定のアプリのアクセスを管理できます。
すべての Google Workspace サービス(OAuth スコープ)へのアクセスを許可する特定のアプリを信頼することも、ドメインで所有するすべてのアプリを信頼することもできます。アプリを信頼することで、Google の不正行為対策チームが確認していないアプリもユーザーがインストールできるようになります。信頼されていないアプリは Google Workspace API へのアクセスが制限され、制限のないサービスにのみアクセスできます。Google Workspace サービスにアクセスできないようにアプリをブロックすることもできます。
ヒント: ユーザーはウェブアプリの追加に同意するよう求められますが、Google Workspace Marketplace では承認済みアプリに限り、管理者がドメイン インストールを使用して同意画面を省略できます。
-
-
管理コンソールのホームページから
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- アプリのリストで、管理するアプリのチェックボックスをオンにします。
必要に応じて [フィルタを追加] をクリックし、次の条件を使用してリストを絞り込みます。- アプリ名 - [次の文字を含む] 欄にアプリの名前を入力し、[適用] をクリックします。
- 種類 - [ウェブ アプリケーション]、[iOS]、または [Android] を選択し、[適用] をクリックします。
- ID - [一致する] 欄に文字列を入力し、[適用] をクリックします。
- 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。ただし、よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご覧ください。
- ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
- リクエストされたサービス - [Gmail] や [ドライブ] などのサービスを選択し、[適用] をクリックします。
- アクセス - [信頼できる]、[限定]、または [ブロック] をクリックし、[適用] をクリックします。
- リストからアプリを選択したら、[アクセス権限を変更]をクリックします。
- アクセス権限を変更するには、次のいずれかを選択します。
- 信頼されている: すべての Google サービスにアクセス可能
- 制限付き: アクセス制限のない Google サービスにのみアクセスできる
- ブロック中: Google サービスにアクセスできません
- [変更] をクリックします。
アプリのページの [アクセス]列に、アプリのアクセス ステータス([信頼できる]、[限定]、[ブロック])が表示されます。
注: 信頼できるアプリまたはブロックしているアプリのアクセス権を制限付きに変更すると、そのアプリにアクティブなユーザーがいない場合はリストに表示されなくなります。アプリをもう一度追加するか、ユーザーがアプリを有効にすると、リストに表示されるようにます。
リストに含まれていないアプリを管理するには:
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- [新しいアプリを設定] をクリックし、[OAuth アプリ名またはクライアント ID]、[Android]、[iOS] のいずれかを選択します。
- アプリの名前を入力し、[検索] をクリックします。
- 検索結果のリストから、管理するアプリの [選択] をクリックします。
注: [OAuth アプリ名またはクライアント ID] を使用して設定する場合は、設定するクライアント ID のチェックボックスをオンにしてから [選択] をクリックします。 - 次のオプションから選択します。
信頼できる: すべての Google サービスにアクセス可能
ブロック: Google サービスにアクセスできません
- [設定] をクリックします。
アプリのページの [アクセス] 列に、アプリのアクセス ステータス([信頼できる] または [ブロック中])が表示されます。
内部アプリを作成する場合、これらのアプリはデフォルトで Google Workspace サービスへの制限付きアクセスが許可されます。制限なしのアクセスが必要な場合は、アプリを個別に信頼する必要があります。
-
-
管理コンソールのホームページから
- [アプリのアクセス制御] で [ドメインで所有する内部アプリを信頼する] チェックボックスをオンにして、[保存] をクリックします。
ドメインで所有するアプリには次のようなものがあります。
- 組織内のユーザーが作成した Google Apps Script プロジェクト
- Google Cloud Platform Console で組織と関連付けられているアプリ
注: ドメインで所有する内部アプリを信頼しても、[サードパーティ製アプリのアクセスを管理] でこれらのアプリのいずれかをブロックした場合、そのアプリはブロックされます(アプリへのアクセスを管理する: 信頼できる、限定、ブロックをご覧ください)。
サービスやアプリによっては、ユーザーがサードパーティ製ウェブアプリをインストールしようとすると、同意を求める画面かインストール不可の画面が表示されます。このインストール不可の画面はカスタマイズ可能で、サポートの連絡先情報などを追加することができます。
-
-
管理コンソールのホームページから
- [アプリのアクセス制御] で [設定] に移動します。
- [制限付きの Google サービスにアクセスできないアプリをユーザーが使おうとした場合に、このメッセージが表示されます] の下にカスタム テキストを入力します。
- [保存] をクリックします。
関連トピック
- OAuth 2.0 スコープ
- 未確認のサードパーティ製アプリを承認する
- アプリを OAuth スコープの確認に対応させるためのヒント(Google Developers ブログ)
