Google Workspace のエディションによっては、一部のサービスまたは設定で設定グループを利用できない場合があります。
部門やチームを含む組織部門に全般的なポリシーを適用した後、組織構造を変更することなく、それらのチーム内のユーザーに対して例外を設けることができます。そのために設定グループを使用します。
例: 現在、すべての組織部門に対して YouTube 動画の承認を制限しているとします。しかし、さまざまな部門の一部のユーザーは動画を承認する必要があります。この 1 つのポリシーでそれらのユーザーの組織部門設定をオーバーライドするには、それらのユーザーを設定グループに追加して、そのグループに YouTube の承認権限を付与します。
目次
カスタマイズできる機能
設定グループには、次の設定を適用できます。
以下のサービスの設定 | 管理者向けの機能 |
---|---|
注: 一部のサービスでは、グループの Google データ エクスポートを有効または無効にすることができます。詳細 |
* Google Workspace の特定のエディションでのみ利用できます。
設定グループの仕組み
通常、組織部門を使用して、部門またはチームにサービス設定を適用します。その後、設定グループを使用して、一部のユーザーに対して例外を設けることができます。たとえば、組織内のすべてのユーザーに対して YouTube コンテンツを制限する一方で、動画を視聴または承認する必要があるユーザーに対してはこの設定をオーバーライドできます。
- 設定グループには、すべての組織部門のユーザーやグループを含めることができます。
- ユーザーのグループ設定は、常に組織部門の設定よりも優先されます。
- 組織部門とは異なり、ユーザーは複数の設定グループに所属できます。
- 設定グループの優先値を設定します。ユーザーには、所属するグループのうち優先値が最も高いグループの設定が適用されます。
設定グループを設定する
ステップ 1. 設定グループを作成する設定グループとして使用するグループを作成することも、既存のグループを使用することもできます。
グループは、次のいずれかの方法で作成する必要があります。
重要: Google グループで作成したグループを設定グループとして使用することはできません。グループが作成された方法を確認するには、Groups API を使用します。
動的グループでは、設定グループとして使用するセキュリティ ラベルが必要です。
上記の条件を満たしているグループは、グループに設定を適用すると利用できるようになります。
グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。
設定グループに設定を適用できるのは管理コンソールからのみで、API を使用して変更することはできません。
- 管理コンソールで、アプリの設定ページに移動します。
- 変更する設定をクリックします。
たとえば、最上位の組織部門で YouTube が次のように設定されているとします。
- 左側の [グループ] をクリックします。
優先値の高い順に既存の設定グループが一覧表示されます。 - [グループを検索] をクリックします。グループのアドレス(グループの名前ではなく)を入力し、グループを選択します。
- 優先値の高い順に設定グループを追加します。新しく追加したグループは優先値順で一番下に挿入されるためです。
- グループが見つからない場合、そのグループは Google グループで作成されたものであるか、動的グループにセキュリティ ラベルがない可能性があります。
- 設定グループに適用する設定を選択します。
デフォルトでは、新しいグループには最上位の組織部門の設定が適用されます。
組織で複数の種類のライセンスを利用している場合: 特定の設定が含まれないエディションのライセンスがある場合は、グループの設定の横にフラグのアイコン
が表示されることがあります。このフラグは、グループに含まれるユーザー全員が必要なライセンスを持っている状態でも表示されます。
- 設定グループを有効または無効にします。
- 有効にする - [保存] をクリックします。
設定が設定グループのメンバーに適用されます。パネルを閉じるには、[キャンセル] をクリックします。 - 無効にする - [グループ] パネルで [設定解除] をクリックするか、削除アイコン
をクリックします([キャンセル] をクリックしてもグループは削除されません)。
- 有効にする - [保存] をクリックします。
- グループを上下にドラッグしてグループの優先値を調整します。
- グループの優先値を 1 に設定する場合 - 目的のグループを優先値 2 までドラッグしてから、優先値 1 のグループを下にドラッグします。優先値ボックスに数値を入力するか、優先値ボックスの横にある矢印をクリックして指定することもできます。
- グループ数が 3 個以下の場合 - 同じユーザーを含む設定グループを並べ替えると、優先値の最も高いグループの設定がそれらのユーザーに適用されます。次のアラートが表示される場合があります。
[複数のポリシーが同じユーザーにリンクされている可能性があります]
これは一般的なアラートで、どの設定グループでも優先値を追加、設定解除、変更すると表示されます。同じユーザーが含まれていない設定グループであっても同様です。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
ユーザーの設定が意図したとおりになっていることを確認できます。
グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。
- 管理コンソールで、アプリの設定ページに移動します。
- 左上の [ユーザー] をクリックします。
- [ユーザーを選択] をクリックし、ユーザーのアドレス(名前ではなく)を検索します。
- 設定を確認するユーザーを選択します。設定の名前の下にある、ユーザーの設定に適用された設定グループまたは組織部門をクリックします。
注: ユーザーの組織部門を確認する場合、サービス設定は [上書きされました] とは表示されません。[上書きされました] と [継承] の設定は、設定グループではなく、組織部門の設定のみに基づいています。
アプリケーション設定のグループの優先度の変更イベントは、最初に設定グループを適用した時点または設定グループの優先値を変更した時点でログに記録されます。イベントでは、グループ アドレスではなくグループ名が使用されます。グループの名前とアドレスの両方に、同様の命名規則を使用することをおすすめします。
たとえば、Link anyone というグループをドライブの Link Sharing 設定に適用します。
アプリケーション設定のグループ優先度の変更
ドライブとドキュメントで、Link Sharing のグループのオーバーライドの優先値を
Link anyone に変更しました
グループの優先値を変更した場合、イベントには変更後の優先順位で優先値の低いものから高い順にグループが表示されます。
アプリケーション設定のグループの優先度の変更
ドライブとドキュメントで、Link Sharing のグループのオーバーライドの優先値を
No Links < Link users < Link anyone に変更しました
他のほとんどのイベントでは、組織部門と設定グループの両方で同様の形式が使用されます。group_email という接頭辞は設定グループを示しています。
組織部門を使用した設定のオーバーライドの例:
ドライブの設定の変更
ドライブで PUBLISHING_TO_WEB を INHERIT_FROM_PARENT から PUBLIC に変更しました
(org_unit_name: { マーケティング})
設定グループを使用した設定の適用の例:
ドライブの設定の変更
ドライブで PUBLISHING_TO_WEB を INHERIT_FROM_PARENT から PUBLIC に変更しました
(org_unit_name: {example.com}、group_email: {Drive_p02_share_external@example.com})
設定グループのイベントの場合、org_unit_name には常に最上位の組織部門が表示されます。
多数のユーザーやポリシーの管理
中規模から大規模の組織で複数の設定グループを管理するためのベスト プラクティスをいくつか紹介します。
設定グループのオプション通常、設定グループを作成または適用する前に、ユーザー グループをそれぞれの設定にマッピングします。たとえば以下のユーザー グループは、ドライブのファイルを共有するための権限が異なります。
ドライブの共有権限 | |||
---|---|---|---|
ユーザー グループ | 共有相手 すべてのドメイン |
共有相手 信頼できるドメイン |
共有相手 社内のみ |
セールス マネージャー | ✔ | ||
セールスチーム | ✔ | ||
セールス オペレーション | ✔ |
次に、ユーザー グループ、ユーザー設定、または組織に適した組み合わせに基づいて、設定グループを使用できます。
方法 1: ユーザー グループに基づいて設定グループを使用する
既存のユーザー グループを設定グループとして使用し、設定グループごとに設定をカスタマイズします。ユーザーが複数のグループに属している場合は、そのユーザーの設定に使用するグループを指定します。詳しくは、後述の設定グループの優先値の設定をご覧ください。
たとえばドライブの設定では、特定のユーザー グループが外部のユーザーとファイルを共有できるように指定できます。
ユーザー グループに設定を直接的に適用する方法は、次の場合に適しています。
- 組織のユーザー数が 50 人未満であるか、設定の数が少ない場合
(グループを新たに作成する必要はなく、各ユーザー グループの設定を微調整できます) - サービスの設定をテストしている場合
- アプリが特定のユーザー グループによって使用されている場合
- 動的グループを使用して、ユーザーの属性(勤務地やロールなど)に基づいてグループ メンバーを自動的に管理している場合
方法 2: ユーザー設定に基づいて設定グループを作成する
多数の設定やユーザーを管理する場合は、異なる設定レベルごとにグループを作成します。
たとえば、ドライブの共有権限のレベルごとに設定グループを作成し、ユーザー グループを設定グループのメンバーとして追加します。
設定グループは設定のコンテナとして機能します。一般的に、管理と優先値設定の対象となる設定グループの数は少なくなります(以下を参照)。また、Groups API または Directory Sync を使用して、ユーザーとグループのメンバーを管理できます。
ユーザーが複数の設定グループに所属している場合、管理者は、ユーザーの設定に優先的に適用する設定グループを指定します。
管理コンソールでは、グループが優先値の高い順に表示されます。ユーザーには、所属するグループのうち優先度の最も高いグループの設定が適用されます。
設定グループの優先値を変更するには、グループリストでグループを上下に移動します。優先値を変更できるのは管理コンソールからのみで、API を使用して変更することはできません。
優先値の仕組み
複数の設定グループに属しているユーザーには、優先値の最も高いグループの設定が適用されます。以下の例では、セールス マネージャーが 3 つのユーザー グループに属していて、各グループのディレクトリ プロフィール編集の設定が異なります。
設定グループの優先順位が以下のような場合、セールス マネージャーはディレクトリ プロフィールで名前と勤務地を編集できます。
勤務地の編集グループの優先値が最も高い場合、セールス マネージャーは勤務地のみを編集でき、地域セールス担当は名前と勤務地を編集できます。
ユーザー設定と複数のグループ
設定がユーザーのグループ間にまたがって追加されることはありません。以下の例では、マーケティング マネージャーは 3 つのグループに属していますが、優先値の最も高いグループの設定だけが適用されます。つまり、名前と勤務地は編集できますが、写真は編集できません。
グループの優先値設定
ドライブの設定の場合、グループの優先値またはメンバーシップを変更すると、ファイルの共有とアクセスに影響することがあります。
たとえば、ファイルの所有権を別の設定グループのユーザーに譲渡した場合、そのファイルの共有権限は新しいグループの権限に変更されます。
優先度と設定を管理するには:
- グループの構成に応じて適切に優先値を設定するようにしましょう。特に下層に深くネストされたグループには注意が必要です。ネストが深いものは、設定の際に漏れる可能性があります。
- 設定グループの優先値を設定する際には、適用対象のユーザー数が最も少ないグループの優先値を最も高くすることをおすすめします。
設定グループの構造の計画は、時間と見直しの手間が最もかかりがちな作業です。
サービス設定のマッピング
グループを使って管理する設定については、組織部門を見直すのも一案です。すでに役割ベースまたはチーム単位で設定を行っている場合、同じ方法でグループに設定を行えます。
アカウントで Google Workspace の複数のエディションを使用している場合:
- 設定グループの設定は、機能またはサービスにアクセスできるユーザーにのみ適用されます。
- エディションによっては、ドライブの設定の一部は組織全体に適用されます。設定グループを使用して、他のユーザーのドライブの設定をカスタマイズすることができます。
命名規則の設定
管理と監査を簡単に行えるように、グループの命名規則を指定しましょう。たとえば、グループ名には、設定名と優先値を必ず含めるようにします。グループリストに表示されるグループ名は最大 37 文字ですが、グループにカーソルを合わせると、そのフルネームが表示されます。
YouTube_1_approvers
YouTube_2_access_unrestricted
YouTube_3_access_moderate
YouTube_4_access_strict
さまざまな種類のグループを管理する場合は、それが設定グループであることがわかるように、グループ名に「cf」などの接頭辞を追加するとよいでしょう。また、設定グループを追加するときは、小数位を使用することで、既存のグループ名を編集しないようにします。
cf_Drive_p1.0_SHARE_any
cf_Drive_p2.0_SHARE_trusted
cf_Drive_p2.1_SHARE_trusted_access_external
cf_Drive_p3.0_SHARE_internal
グループの作成
管理コンソール、Directory API、Google Cloud Directory Sync で作成したグループを使用してください。Google グループで作成したグループを設定グループとして使用することはできません(グループが Google グループで作成されたかどうかは、管理コンソールには表示されません)。
設定グループはどのツールでも管理できます。ユーザーの追加または削除、グループへの投稿、またはユーザーのグループからの退会の禁止(Group API でのみ可能)に関して厳格な権限を設定することができます。