G Suite の機密データにアクセスできるサードパーティ製アプリとドメインで所有するアプリを制御できます。アプリのアクセス制御は OAuth 2.0 を使用して G Suite サービスへのアクセスを管理します。アプリによるアクセスを容易にするため、セキュリティが強化された新しいアプリでは OAuth 2.0 スコープ(外部 API と呼ばれる一連のプロシージャ)が使用されます。これらのスコープを適用することで、Gmail、Google ドライブ、カレンダー、コンタクトなど、ほとんどの G Suite サービスでアプリのアクセスを一部のユーザーデータに限定できるようになります。アプリのアクセス制御を使用すると、次のことが可能です。
- ほとんどの G Suite サービスへのアクセスを制限する、または無制限のままにする。
- 特定のアプリを信頼し、これらのアプリに対して制限付きの G Suite サービスへのアクセスを許可する。
- ドメインで所有するアプリをすべて信頼する。
G Suite のデータにアクセスできるサードパーティ製アプリと内部アプリを管理し、使用中のサードパーティ製アプリの詳細を確認する手順は次のとおりです。管理者は、許可されていないアプリをユーザーがインストールしようとする際に表示されるエラー メッセージをカスタマイズすることもできます。
注: モバイル デバイスのオペレーティング システム(Android または iOS)でアプリを管理するには、Android デバイス向け管理対象アプリを設定すると iOS アプリを推奨、管理するをご覧ください。
アプリのアクセス制御を使用する
制御を実装する前に、どのアプリに G Suite データへのアクセスが許可されているかを確認します。
注: サードパーティ製アプリの詳細は、通常、24〜48 時間以内に結果に表示されます。
-
-
管理コンソールのホームページから
[セキュリティ]
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] を選択します。
- アプリの表でアプリの詳細を確認します。
次の詳細情報が表示されます。- アプリ名
- 種類
- ID
- 確認済みのステータス - 確認済みアプリは Google の内部 OAuth チームにより精査されたものです。
- ユーザー - アプリにアクセスするユーザーの数。
- リクエストされたサービス - 各アプリ(Gmail、カレンダー、ドライブなど)で使用されている Google サービスの API(OAuth2 スコープ)。[GOOGLE サービス] タブに表示されていないサービスは、[その他] として表示されます。
- アクセス - [信頼できる]、[限定]、[ブロック] のいずれかが表示されます。
- アプリの表の行をクリックすると、アプリの詳細ページが開きます。アプリの詳細ページでは、次のことができます。
- アプリが Google サービスにアクセスできるかどうかを確認または変更する - アプリが [信頼できる]、[限定]、[ブロック] のいずれかが設定されていることを確認します。アクセス設定を変更した場合は、[保存] をクリックします。
- アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報が含まれます。
- アプリがリクエストしている Google サービス API(OAuth スコープ)を確認する - アプリの詳細ページの [リクエストされたサービス] から、各アプリがリクエストしている OAuth スコープのリストを確認できます。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます(アプリを信頼する方法について詳しくは、後述を参照)。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。
機械学習などの Google Cloud Platform サービスを含む、ほとんどの G Suite サービスへのアクセスを制限(または無制限のままに)することができます。Gmail や Google ドライブでは、Gmail の送信やドライブ内のファイルの削除など、リスクの高い操作へのアクセスを詳細に制限できます。ユーザーがアプリに同意するよう求められても、アプリの操作に制限が適用されていて、管理者がアプリを信頼していない場合は、ユーザーはアプリを追加できません。
-
-
管理コンソールのホームページから
- [アプリのアクセス制御] で [GOOGLE サービスを管理] をクリックします。
- サービスのリストで、管理するサービスのチェックボックスをオンにします。
必要に応じて [フィルタを追加] をクリックし、次の条件でリストを絞り込みます。
Google サービス - [ドライブ] や [Gmail] などのサービスをリストから選択し、[適用] をクリックします。
Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
管理できる Google サービスは次のとおりです。- G Suite:
- G Suite 管理コンソール
- Gmail
- ドライブ
- カレンダー
- コンタクト
- Vault
- Classroom
- ToDo リスト
- グループ
- Cloud Search
- Apps Script Runtime
Apps Script プロジェクトに固有のリスクの高い特定のスコープをリクエストするプロジェクト(例: UrlFetch、Container UI)へのアクセスを管理します。組織内外の App Maker アプリ、アドオン、スクリプトが含まれます。Apps Script のランタイム制御は Apps Script API の制御と連携して機能するものであり、Apps Script アプリよりも優先されるものではありません。 -
Apps Script API
Apps Script API のスコープ(例: プロジェクトの管理、デプロイの管理)をリクエストする任意のプロジェクト(例: Apps Script、GCP、AWS)へのアクセスを管理します。
- Google Cloud Platform:
- Cloud Platform(機械学習と Cloud Billing を除く、Google Cloud Platform のすべてのサービスを含む)
- 機械学習(Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む)
- Cloud Billing
- G Suite:
- リストからサービスを選択したら、[アクセス権限を変更] をクリックします。
1 つのサービスのみの場合は、テーブル内の行にカーソルを合わせます。右端にある [アクセス権限を変更] をクリックします。
複数のサービスの場合は、表のチェックボックスをオンにします。表の上部にある [アクセス権限を変更] をクリックします。
- アクセス権限を変更するには、次のオプションから選択します。
制限なし: ユーザーが承認したアプリであればサービスにアクセス可能
制限付き: 信頼できるアプリのみがサービスにアクセス可能
- [変更] をクリックします。
[GOOGLE サービス] ページの [アクセス] 列に、サービスのアクセス ステータス([制限なし] または [制限付き])が表示されます。 - (省略可)サービスにアクセスできるアプリを確認するには:
- 表の上にある [アプリ] をクリックします。
- [フィルタを追加]
- 確認するサービスを選択し、[適用] をクリックします。
そのサービスの OAuth スコープにアクセスできるアプリと、信頼のステータスが表示されます。
スコープを [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリをインストールしようとすると、インストールできないことが通知されます。
Gmail とドライブのリスクの高い OAuth スコープ
Gmail とドライブでは、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。
Gmail のリスクの高い OAuth スコープは次のとおりです。
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Gmail のスコープについて詳しくは、Auth スコープを選択するをご覧ください。
ドライブのリスクの高い OAuth スコープは次のとおりです。
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
ドライブのスコープについて詳しくは、承認についてをご覧ください。
[アプリのアクセス制御] ページでは、アプリをブロックしたり、信頼できるアプリとしてマークしたり、制限のない Google サービスにのみアクセスできるように設定したりして特定のアプリのアクセスを管理できます。
すべての G Suite サービスへのアクセス(OAuth スコープ)を許可する対象として、特定のアプリだけを信頼することも、ドメインで所有するすべてのアプリを信頼することもできます。アプリを信頼することで、Google の不正行為対策チームが確認していないアプリもユーザーがインストールできるようになります。管理者が信頼しておらず G Suite API へのアクセス権限が限定的であるアプリは、制限なしのサービスにのみアクセスできます。また、G Suite サービスにアクセスできないようにアプリをブロックすることもできます。
ヒント: ユーザーはウェブアプリの追加に同意するよう求められますが、G Suite Marketplace では承認済みアプリに限り、ドメインのインストールを使用して同意画面を省略できます。
-
-
管理コンソールのホームページから
- [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
- アプリのリストで、管理するアプリのチェックボックスをオンにします。
必要に応じて [フィルタを追加] をクリックし、次の条件を使用してリストを絞り込みます。
アプリ名 - [次の文字を含む] 欄にアプリの名前を入力し、[適用] をクリックします。
種類 - [ウェブ アプリケーション]、[iOS]、または [Android] を選択し、[適用] をクリックします。
ID - [一致する] 欄に文字列を入力し、[適用] をクリックします。
ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
リクエストされたサービス - [Gmail] や [ドライブ] などのサービスを選択し、[適用] をクリックします。
アクセス - [信頼できる、[限定]、または [ブロック] をクリックし、[適用] をクリックします。
- リストからアプリを選択したら、[アクセス権限を変更]をクリックします。
- アクセス権を変更するには、次のいずれかのオプションを選択します。
信頼できる: すべての Google サービスにアクセス可能
限定: アクセス制限のない Google サービスにのみアクセスできる
ブロック: Google サービスにアクセスできません - [変更] をクリックします。
アプリのページの [アクセス]列に、アプリのアクセス ステータス([信頼できる]、[限定]、[ブロック])が表示されます。
注: 信頼できるアプリまたはブロックしているアプリのアクセス権を制限付きに変更すると、そのアプリにアクティブなユーザーがいない場合はリストに表示されなくなります。アプリをもう一度追加するか、ユーザーがアプリを有効にすると、リストに表示されるようにます。
リストに含まれていないアプリを管理するには:
- [アプリのアクセス制御] ページで、[新しいアプリを設定] を選択し、[OAuth アプリ名またはクライアント ID]、[Android]、または [IOS] を選択します。
- アプリの名前を入力し、[検索] をクリックします。
- 検索結果のリストから、管理するアプリの [選択] をクリックします。
注: [OAuth アプリ名またはクライアント ID] を使用して設定する場合は、設定するクライアント ID のチェックボックスをオンにしてから [選択] をクリックします。 - 次のオプションから選択します。
信頼できる: すべての Google サービスにアクセス可能
ブロック: Google サービスにアクセスできません
- [設定] をクリックします。
アプリのページの [アクセス] 列に、アプリのアクセス ステータス([信頼できる]または [ブロック])が表示されます。
内部アプリを作成した場合、これらのアプリはデフォルトで G Suite サービスへの制限付きアクセスが許可されます。制限なしのアクセスが必要な場合は、アプリを個別に信頼する必要があります。
-
-
管理コンソールのホームページから
- [アプリのアクセス制御] で [ドメインで所有する内部アプリを信頼する] チェックボックスをオンにして、[保存] をクリックします。
ドメインで所有するアプリには次のようなものがあります。
- 組織内のユーザーが作成した Google Apps Script プロジェクト
- Google Cloud Platform Console で組織と関連付けられているアプリ
サービスやアプリによっては、ユーザーがサードパーティ製ウェブアプリをインストールしようとすると、同意を求める画面かインストール不可の画面が表示されます。このインストール不可の画面はカスタマイズ可能で、サポートの連絡先情報などを追加することができます。
-
-
管理コンソールのホームページから
- [アプリのアクセス制御] で [設定] に移動します。
- [制限付きの Google サービスにアクセスできないアプリをユーザーが使おうとした場合に、このメッセージが表示されます] の下にカスタム テキストを入力します。
- [保存] をクリックします。
関連トピック
- OAuth 2.0 スコープ
- 未確認のサードパーティ製アプリを承認する
- アプリを OAuth スコープの確認に対応させるためのヒント(Google Developers ブログ)
