グループを使用して G Suite サービスの設定を行う

G Suite サービスの設定は、組織部門全体ではなく、特定のユーザー グループに対して適用することもできます。これにより、組織構造を変更することなく特定のユーザーの設定をカスタマイズすることが可能です。

現在、次のサービスの設定を行う場合に限り、グループを使用できます。

  • App Maker
  • ディレクトリ プロフィールの編集
  • ドライブ(G Suite Basic および従来の無料版ではご利用いただけません)
  • YouTube

その他のサービスの設定(Gmail の POP / IMAP 設定など)を行う場合は、組織部門を使用してください。

サービスの設定における設定グループの使用

設定グループを使用すると、ユーザー グループに合わせてサービスの設定をカスタマイズできます。たとえば、プロジェクト グループに対して YouTube 動画の承認を許可したり、チームが Google 以外のアカウントとドキュメントを共有できるようにしたりすることが可能です。

設定グループには、アカウント内のどの組織部門のユーザーを追加することもできます。新しいグループを作成しても、組織内の既存のグループを使用しても構いません(staff@example.com など)。

通常、設定の適用は組織または組織部門に対して行い、一部のユーザーについて例外を適用します。たとえば、組織内のすべてのユーザーに対して YouTube コンテンツを制限する一方で、一部のグループにはすべての動画の視聴または承認を許可するようにします。

Configuration setting example for YouTube

設定グループの仕組み

  • 設定グループには、組織内の任意のユーザーを含めることができます。また、グループ(ネストされたグループ)を追加することも可能です。

  • ユーザーのグループ設定は、常に組織部門の設定よりも優先されます

  • 組織部門とは異なり、ユーザーは複数の設定グループに属することができます。その場合、管理者が指定した設定グループの優先度に基づき、ユーザーには、所属するグループのうち優先度の最も高いグループの設定が適用されます。

要件

  • 設定グループの作成は、管理コンソール、Google Cloud Directory Sync、または Directory API で行う必要があります。作成したグループは、これらのツールやビジネス向け Google グループで編集できます。

  • 設定グループの設定と適用は、管理コンソールでのみ行うことができます(G Suite API で行うことはできません)。

設定を開始するには、下記の「設定グループを設定する」に進んでください。

多数のユーザーやポリシーの管理

中規模から大規模の組織を管理する場合の情報とヒント。設定グループに関する詳細。

すべて開く | すべて閉じる


設定グループのオプション

通常、設定グループを作成または適用する前に、ユーザー グループをそれぞれの設定にマッピングします(ユーザー グループごとに特定の情報を編集したりできるなど)。

たとえば以下のユーザー グループは、ドライブのファイルを共有するための権限が異なります。

  ドライブの共有権限
ユーザー グループ 共有相手
すべてのドメイン
共有相手
信頼できるドメイン
共有
社内のみ
セールス マネージャー    
セールスチーム    
セールス オペレーション    

 

次に、ユーザー グループユーザー設定、または組織に適した組み合わせに基づいて、設定グループを使用できます。

方法 1: ユーザー グループに基づいて設定グループを使用する

既存のユーザー グループを設定グループとして使用し、設定グループごとに設定を選択します。ユーザーが複数のグループに属している場合、優先的に使用する設定グループを指定します(下記を参照)。

たとえばドライブの共有設定では、特定のユーザー グループが外部のユーザーとファイルを共有できるように指定することが可能です。

Image of applying setting to groups

ユーザー グループに設定を直接的に適用する方法は、次の場合に適しています。

  • 組織のユーザー数が 50 人未満であるか、組織の設定の数が少ない場合。グループを追加で作成する必要がなく、各ユーザー グループの設定を微調整できます。
  • サービスの設定をテストしている場合。
  • アプリが特定のグループによって使用されている場合。たとえば、社内に App Maker デベロッパーがいる場合は、アプリデータを格納するためのデフォルトの Cloud SQL インスタンスを設定できます。

方法 2: ユーザー設定に基づいて設定グループを作成する

多数の設定やユーザーを管理する場合は、異なる設定レベルごとに設定グループを作成します。

たとえば、ドライブの共有権限のレベルごとに設定グループを作成し、ユーザー グループを設定グループのメンバーとして追加します。

Drive settings by configuration group

この方法では、設定グループは設定のコンテナとして機能します。一般的に、管理と優先度設定の対象となる設定グループの数は少なくなります(下記を参照)。また、Groups API または Directory Sync を使用して、設定グループでユーザーやグループの追加、削除を行うこともできます。

設定グループの優先度の設定

ユーザーが複数の設定グループに所属している場合、管理者は、ユーザーの設定に優先的に適用する設定グループを指定します。

管理コンソールでは、グループが優先度の高い順に表示されます。ユーザーには、所属するグループのうち優先度の最も高いグループの設定が適用されます。

設定グループの優先度を変更するには、グループリストでグループを上下に移動します。優先度を変更できるのは管理コンソールからのみで、API を使用して変更することはできません。


 

優先度の仕組み

複数の設定グループに属しているユーザーには、優先度の最も高いグループの設定が適用されます。以下の例では、セールス マネージャーが 3 つのユーザー グループに属していて、各グループのディレクトリ プロフィール編集の設定が異なります。

設定グループの優先順位が以下のような場合、セールス マネージャーはディレクトリ プロフィールで名前と勤務地を編集できます。

Mapping of configuration groups to member

勤務地の編集グループが最も優先度が高い場合、セールス マネージャーは勤務地だけを編集でき、地域セールス担当は名前と勤務地を編集できます。

Changing group priority

ユーザー設定と複数のグループ

設定はユーザーのグループ間にまたがって追加されません。以下の例では、マーケティング マネージャーは 3 つのグループに属していますが、優先度の最も高いグループの設定だけが適用されます。つまり、名前と勤務地は編集できますが、写真は編集できません。

User belonging to multiple groups

グループの優先度設定

ドライブの設定の場合、グループの優先度やメンバーシップを変更すると、ファイルの共有やアクセスに影響します。たとえば、ファイルの所有権を別のグループのユーザーに移行した場合、そのファイルの共有権限は新しいグループの権限に変更されます。

優先度と設定を管理するには:

  • グループ構造内の優先度を考慮して、深くネストされたグループに注意します。ネストが深いと、設定までトレースすることが困難な場合があります。
  • 設定グループの優先度を設定する際には、適用対象のユーザー数が最も少ないグループの優先度を最も高くすることをおすすめします。


設定グループの計画と構成

設定グループの構造の計画は、時間と見直しの手間が最もかかりがちな作業です。

サービス設定のマッピング

グループを使って管理する設定については、組織部門を見直すのも一案です。すでに役割ベースまたはチーム単位で設定を行っている場合、同じ方法でグループに設定を行えます。

Policies with roles and teams

複数の G Suite サービスを使用している場合: G Suite の一部のエディションでは、設定を適用できるのが組織全体に限られる場合があります。たとえば G Suite Basic では、ドライブ権限の設定を組織部門またはグループに適用することはできません。

グループ設定は、機能や設定にアクセスできるメンバーにのみ適用されます。たとえば G Suite Basic ライセンスが割り当てられている他のメンバーには、組織のデフォルト設定が適用されます。

命名規則の設定

検索、優先度設定、監査を簡単に行えるように、グループの命名規則を選びます。たとえば、設定名と優先値を含む規則を使用します。グループリストには最大 37 文字のグループ名が表示されます。グループにカーソルを合わせると、そのフルネームが表示されます。

Profile_1_all_settings
Profile_2_name
Profile_3_location

さまざまな種類のグループを管理する場合は、グループ名に「cf」などの接頭辞を追加すると、それが設定グループであることを示せます。また、設定グループを追加するときは、小数位を使用することで、既存のグループ名を編集しないようにします。

cf_Drive_p1.0_SHARE_any
cf_Drive_p2.0_SHARE_trusted
cf_Drive_p2.1_SHARE_trusted_ACCESS_external
cf_Drive_p3.0_SHARE_internal

設定グループの作成

使用する設定グループは、管理コンソール、Directory API、または Google Cloud Directory Sync で作成したグループである必要があります。ビジネス向け Google グループで作成したグループは、設定グループとして使用することはできません(グループがビジネス向け Google グループで作成されたかどうかは、管理コンソールには表示されません)。

設定グループはどのツールでも管理できます。ユーザーの追加または削除に関して厳格な権限を設定したり、グループへの投稿を無効にしたり、グループからの退会を禁止したり(Groups API でのみ可能)できます。

設定グループを設定する

すべて開く | すべて閉じる


手順 1. 設定グループを適用する

この手順を実施するには、グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。​

  1. 管理コンソールで、アプリの設定ページに移動します。設定グループは、App Maker、ディレクトリ(プロフィール編集)、ドライブYouTube で使用できます。
     
  2. 編集する設定をクリックします。たとえば、最上位の組織部門で YouTube が次のように設定されているとします。

    YouTube settings for organization
     
  3. 左側の [グループ] をクリックします。優先度の高い順に設定グループが一覧表示されます。

  4. [グループを検索] をクリックします。検索結果には、設定グループだけでなく、管理しているすべてのグループが含まれます。
     
  5. グループのアドレス(グループの名前ではなく)を入力し、グループを選択します。
     
    • グループが見つからない場合、そのグループはビジネス向け Google グループで作成されたものである可能性があります。設定を行えるのは、管理コンソール、Directory API、または Google Cloud Directory Sync で作成されたグループに対してのみです。
       
    • 優先度の高い順に設定グループを追加します。新しく追加したグループは優先度が最も低くなるためです。
  6. 設定グループに適用する設定を選択します。デフォルトでは、新しいグループには最上位の組織部門の設定が適用されます。

    YouTube settings for a group
     
  7. 設定グループを有効または無効にします。
    • グループを有効にする: [保存] をクリックします。設定が設定グループのメンバーに適用されます。パネルを閉じるには、[キャンセル] をクリックします。
       
    • グループを無効にする: [グループ] パネルで [設定解除] をクリックするか、削除アイコン 削除 をクリックします([キャンセル] をクリックしてもグループは削除されません)。
  8. グループを上下にドラッグしてグループの優先度を調整します。通常、変更は数分で反映されますが、場合によっては最長で 24 時間ほどかかることがあります。
    • グループの優先度を 1 に設定するには: 目的のグループを優先度 2 までドラッグしてから、優先度 1 のグループを下にドラッグします。優先度ボックスに数値を入力するか、優先度ボックスの横にある矢印をクリックすることもできます。
    • グループ数が 4 個より少ない場合: 同じユーザーを含む設定グループを並べ替えると、優先度の最も高いグループの設定がそれらのユーザーに適用されます。次のアラートが表示される場合があります。

      「複数のポリシーが同じユーザーにリンクされている可能性があります」

      これは一般的なアラートで、どの設定グループでも優先度を追加、設定解除、変更すると表示されます。同じユーザーが含まれていない設定グループであっても同様です。
       
手順 2. ユーザーの設定を確認する

この手順を実施するには、グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。

  1. 管理コンソールで、アプリの設定ページに移動します。
  2. 左上の [ユーザー] をクリックします。
  3. [ユーザーを選択] をクリックし、ユーザーのアドレス(名前ではなく)を検索します。
  4. 設定を確認するユーザーを選択します。設定の名前の下にある、ユーザーの設定に適用された設定グループまたは組織部門をクリックします。

    Profile information

: ユーザーの組織部門を確認する場合、サービス設定は [上書きされました] とは表示されません。[上書きされました] と [継承] の設定は、設定グループではなく、組織部門の設定のみに基づいています。

トラブルシューティング

グループリストが表示されない

  • 設定グループの機能を使用できるのは、App Maker、ディレクトリ プロフィールの編集、ドライブ、YouTube です。また、ドライブの設定グループは G Suite Basic および従来の無料版ではご利用いただけません。

グループリストに設定グループが表示されない

  • グループがビジネス向け Google グループで作成されたものである可能性があります。管理コンソールでグループを作成してみてください。
  • グループの名前ではなくメールアドレスを検索してください。
  • 設定ページを更新してみてください。通常、変更は数分で反映されますが、場合によっては最長で 24 時間ほどかかることがあります。
  • グループに対する管理者権限がご自分にあることを確認してください。

ユーザーに正しいサービス設定が適用されていない

  • ユーザーの所属グループを確認してください。グループの設定が有効になるまでには、最長で 24 時間ほどかかる場合があります。
  • ユーザーの設定を確認して、ユーザーの設定に適用される設定グループを探してください。ユーザーが複数の設定グループに属している場合は、グループの優先度やユーザーの所属グループを変更する必要が生じることもあります。
  • ユーザーが該当する機能のサービス ライセンスを持っていない可能性があります。共有ドライブなどの一部の機能は、G Suite の特定のエディションでのみ利用できます。
監査ログで変更を確認する

アプリケーション設定のグループ優先度の変更イベントは、最初に設定グループを適用した時点または設定グループの優先度を変更した時点でログに記録されます。

アプリケーション設定のグループの優先度の変更
[ドライブとドキュメント] で、[リンク共有] のグループのオーバーライドの優先度を
[オフ] < [オン - リンクを知っている <組織名> 内のユーザー] < [オン - <組織名> のすべてのユーザー] に変更しました

グループの優先度を変更した場合、ログには変更後の優先順位で優先度の低い順にグループが表示されます。また、イベントではグループ アドレスではなくグループ名が記録されるため、グループの名前とアドレスの両方に、同様の命名規則を使用することをおすすめします。

他のほとんどのイベントでは、組織部門と設定グループの両方で同様の形式が使用されます。[グループのメールアドレス] という接頭辞は設定グループを示しています。

組織部門を使用した設定のオーバーライドの例:

ドライブの設定の変更
ドライブの PUBLISHING_TO_WEB を INHERIT_FROM_PARENT から PUBLIC に変更しました
(組織部門名: {マーケティング}

設定グループを使用した設定の適用の例:

ドライブの設定の変更
ドライブの PUBLISHING_TO_WEB を INHERIT_FROM_PARENT から PUBLIC に変更しました
(組織部門名: {example.com}、グループのメールアドレス: Drive_p02_share_external@example.com})
 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。