グループを使用して G Suite などの Google サービスの利用を制御する

組織部門全体ではなく、特定のユーザー グループに対して G Suite やその他の Google サービスを有効にできます。これにより、組織構造を変更しなくても特定のユーザーのアクセスを制御することが可能です。

ユーザー数が 50 人未満であれば、組織のみを使用してサービスを有効または無効にするほうが簡単な場合があります。

この記事の内容:

アクセス グループを使用したサービスの有効化

管理者は Google 管理コンソールで、組織部門による Google サービスへのアクセスを無効にできます。組織部門の一部のユーザーが Google ドライブなどのサービスを使用する必要がある場合は、Google ドライブが有効になっている別の組織部門にそのユーザーを移動します。

アクセス グループを使用する場合は、ユーザー グループを作成し、そのグループに対してサービスを有効にします。組織部門でサービスが無効になっていても、各メンバーはサービスにアクセスできます。アクセス グループを使用すると、組織部門構造内での LDAP ディレクトリの同期を柔軟に行えます。

たとえば、マーケティング チームと営業チームのユーザー グループには Google ドライブと YouTube を有効にしたり、IT 組織内のユーザー グループには App Maker へのアクセス権を付与したりできます。グループには、アカウント内のどの組織のユーザーを追加することも可能です。

組織部門 アクセス グループを使用
組織でサービスがオフになっています アクセス グループでサービスがオンになっています
組織部門 1 と組織部門 2 に対して
Google ドライブが無効になっている
ただし、組織部門 1 および組織部門 2 のユーザー グループは
Google ドライブを利用できる

組織ごとのサービスの設定

アクセス グループで管理できるのは、サービスがユーザーに対して有効になっているかどうかのみです。Gmail の POP/IMAP やドライブの共有といったサービス設定は、ユーザーの組織部門でカスタマイズします。

たとえば、アクセス グループ内の特定のメンバーのみがドライブ ファイルを顧客と共有する必要がある場合は、外部共有を許可している組織部門にそのユーザーを移動します。グループに変更を加える必要はありません。すべてのメンバーがドライブを使用できますが、グループのポリシーは組織の設定によって決まります。

アクセス グループの仕組み

  • グループを使用すると、G Suite のコアサービスやその他の Google サービス(App Maker や YouTube など)へのユーザー アクセスが有効になります。サービスへのユーザー アクセスが組織で有効になっている場合、グループを使用してこれを無効にすることはできません
  • グループを使用して、Marketplace アプリや SAML アプリへのアクセスを有効にすることはできません。
  • アクセス グループにはどの組織部門のユーザーでも含めることができます。アクセス グループに他のアクセス グループを含めることも可能です(ネストされたグループ)。
  • アクセス グループは、管理コンソール、Google Cloud Directory Sync、または Directory API で作成する必要があります。作成したグループは、これらのツールやビジネス向け Google グループで編集できます。

グループと組織の比較

  グループ 組織
機能 サービスを有効にする
  • サービスの有効と無効を切り替える
  • サービスの設定を行う
サービスの利用 グループ内のユーザーに対してサービスをオンにします。常に組織の設定よりも優先されます。 組織内のユーザーに対してサービスをオンまたはオフにします。
サポートされるサービス
  • G Suite コアサービス
  • その他の Google サービス(YouTube、Google 広告など)
  • G Suite コアサービス
  • その他の Google サービス
  • Marketplace アプリ
  • SAML アプリ
  • 有効や無効を個別に設定できないサービス

サービスの設定(ドライブの共有オプションなど)

不可(各グループ メンバーはそれぞれの組織のサービス設定を使用)
ユーザーの所属状態 異なる組織のユーザーを 1 つのグループに含めることができます。ユーザーは複数のグループに所属できます。 ユーザーは 1 つの組織に所属します。
継承 継承します。グループ内のグループはサービスにアクセスできます。 継承します。組織は親組織の設定を継承したりオーバーライドしたりできます。
ユーザーへの自動ライセンス割り当て 不可

アクセス グループの設定

すべて展開

手順 1: ユーザーと組織のリストを作成する

グループ内の各ユーザーの組織を特定します。G Suite Business や G Suite Enterprise に含まれるサービス(Vault など)については、ユーザーにライセンスが割り当てられていることを確認します。

手順 2: サービスの設定を選択する

サービスの設定は、グループやグループ メンバーではなくユーザーの組織に対して行います。たとえば、アクセス グループに複数の組織部門のユーザーが含まれている場合は、ドライブの外部共有をある組織部門では有効に、別の組織部門では無効に設定することができます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] にアクセスします。
  3. [G Suite] または [その他の Google サービス] をクリックします。
  4. アクセス グループ内のユーザーの組織部門を選択します。
  5. 右側でサービスをクリックします。
  6. サービスの設定を行います。必要に応じて他のグループ メンバーの組織に対して同じ手順を繰り返します。
手順 3: アクセス グループを作成する
  1. グループを作成するか、既存のグループを使用します。
    要件: 管理コンソールDirectory API、または Google Cloud Directory Sync でグループを作成する必要があります。ビジネス向け Google グループで作成したグループをアクセス グループとして使用することはできません(グループがビジネス向け Google グループで作成されたかどうかは、管理コンソールには表示されません)。
    ヒント:
    • アクセス管理専用の新しいグループを作成する。

    • アクセス グループを簡単に見つけられるように命名規則を使用する(たとえば、access_axs_ などのプレフィックスを追加する)。

  2. 管理コンソールまたはビジネス向け Google グループで、ユーザー(またはその他のアクセス グループ)を追加してグループの権限を設定します。たとえば、グループへの投稿を無効にしたり、グループ オーナーを追加したりすることができます。Groups API を使用することも可能で、この API ではユーザーがグループを離れることを禁止するなどの追加設定を行えます。

手順 4: サービスを有効にする

この手順を実施するには、グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] にアクセスします。
  3. [G Suite] または [その他の Google サービス] をクリックします。
  4. [グループ] 欄で目的のグループを検索して選択します。

    左側の [グループ] リストをクリックします

    • アクセス グループのリストを表示するには、[グループを検索] をクリックします。
    • グループ名ではなく、グループ アドレスで検索します。
      グループが見つからない場合、そのグループはビジネス向け Google グループで作成された可能性があります。サービスへのアクセス権を設定できるのは、管理コンソール、Directory API、Google Cloud Directory Sync で作成されたグループに対してのみです。
  5. 右側でサービスの行にカーソルを合わせます。

    アプリの横に [有効にする] があります

    • アクセスを有効にするには、[オンにする] をクリックします。

    • グループのアクセス権を削除するには、[設定解除] をクリックします。この結果、ユーザーには組織のアクセス設定が適用されます。ただし、サービスが有効になっている別のアクセス グループに属しているユーザーは、引き続きそのサービスを利用できます。

    • 複数のサービスを設定するには、各サービスのチェックボックスをオンにして、右上の [設定解除] または [オン] をクリックします。

通常、変更は数分で反映されますが、場合によっては最長で 24 時間ほどかかることがあります。

手順 5: サービスのアクセスを確認する

グループ内のユーザーを確認する

: ユーザーの組織のサービス ステータスは、組織に対してサービスが無効になっているため [オフ] と表示されます。サービス ステータス([オン]、[オフ]、[オン(一部の組織部門やグループ)])は、アクセス グループではなく組織の設定のみに基づきます。

サービスのアクセス グループを表示する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] にアクセスします。
  3. [G Suite] または [その他の Google サービス] をクリックします。
  4. 左上にある [このアカウントのすべてのユーザー] をクリックします。

    右上に [このアカウントのすべてのユーザー] があります

  5. ステータスが [オン(一部のユーザー)] のサービスを見つけます。これは、下位組織またはアクセス グループに対してサービスが有効になっていることを意味します。
  6. [オン(一部のユーザー)] にカーソルを合わせて、[詳細を表示] をクリックします。

    アプリの横に [詳細を表示] があります

  7. すべてのグループと組織のサービス ステータスが表示されます。

    サービス ステータス(オンまたはオフ)を示します

手順 6: ユーザーにサービスを使用してもらう

ユーザー、グループ、組織のサービスの確認

ユーザーのサービスやグループを確認する アクセス グループを持つサービスと組織を表示する

上記の手順 5: サービスのアクセスを確認するをご覧ください。

サービスのステータスを確認する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] にアクセスします。
  3. [G Suite] または [その他の Google サービス] をクリックします。
  4. 左側でビューを選択します。

    右上に [このアカウントのすべてのユーザー] があります

各ビューの操作とステータスは次のとおりです。

ビュー サービスに対する操作 サービスのステータス
組織内のすべてのユーザー

すべてのユーザーに対してオンにする

または

すべてのユーザーに対してオフにする(すべてのアクセス グループの設定が解除されます)

ステータスはグループと組織に基づきます。
  • オン(一部のユーザー)
  • オン(すべてのユーザー)
  • オフ(すべてのユーザー)
グループ

オンまたは設定解除

  • オン
組織

オンまたはオフ

ステータスは組織のみに基づきます。
  • オン(一部のユーザー)
  • オン
  • オフ

アクセス グループの編集

アクセス グループに対してサービスを有効にする、またはサービスの設定を解除する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] にアクセスします。
  3. [G Suite] または [その他の Google サービス] をクリックします。
  4. [グループ] 欄で目的のグループを選択または検索します。

  5. 右側でサービスの行にカーソルを合わせます。

    • そのサービスを利用できるようにするには [オンにする] をクリックします。

    • グループのアクセス権を削除するには、[設定解除] をクリックします。この結果、ユーザーには組織のアクセス設定が適用されます。ただし、サービスが有効になっている別のアクセス グループに属しているユーザーは、引き続きそのサービスを利用できます。

すべてのユーザーに対してサービスを有効または無効にする
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] にアクセスします。
  3. [G Suite] または [その他の Google サービス] をクリックします。
  4. 左側にある [このアカウントのすべてのユーザー] をクリックします。

  5. サービスにカーソルを合わせてその他アイコン その他 をクリックし、[すべてのユーザーに対してオフにする] または [すべてのユーザーに対してオンにする] を選択します。

    • すべてのユーザーに対してオフにする: アクセス グループの設定が解除されます([オン] と表示されなくなります)。

    • すべてのユーザーに対してオンにする: アクセス グループの設定は変更されません。

グループ メンバーを管理する

グループからメンバーを削除したり、グループを削除したりすると、該当するメンバーはそのグループ経由でサービスを利用することができなくなります。

トラブルシューティング

[アプリ] ページにアクセス グループが表示されない
  • グループがビジネス向け Google グループで作成された可能性があります。使用できるのは、管理コンソール、Directory API、Google Cloud Directory Sync で作成されたアクセス グループのみです。
  • グループ名ではなくグループ アドレスを検索してください。
  • Marketplace アプリと SAML アプリのグループは表示されません。アクセス グループは G Suite コアサービスとその他の Google サービス(YouTube など)にのみ適用されます。
  • [アプリ] ページを更新してください。通常、変更は数分で反映されますが、場合によっては最長で 24 時間ほどかかることがあります。
  • グループの管理者権限を持っていることを確認してください。
ユーザーがアクセス グループに所属しているにもかかわらず、サービスにログインできない
  • ユーザーのサービスと所属グループを確認してください。アクセス グループの設定が反映されるまでに、最長で 24 時間ほどかかる場合があります。
  • ユーザーにサービスのライセンス(Google Vault にアクセスするための G Suite Business のライセンスなど)が割り当てられていることを確認してください。
アクセス グループを有効にしても、すべての組織でサービスのステータスが「オフ」と表示される

サービスのステータスは、組織部門に対してサービスがオンになっているかオフになっているかを示します。組織にアクセス グループ内のユーザーが含まれているかどうかはわかりません。アクセス グループのサービス設定を確認する手順は次のとおりです。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] にアクセスします。
  3. [G Suite] または [その他の Google サービス] をクリックします。
  4. [グループ] 欄で目的のグループを検索して選択します。

    左側の [グループ] リストをクリックします

関連トピック

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。