Google Workspace のエディションによっては、一部のサービスまたは設定で設定グループを利用できない場合があります。
サービスの設定は、組織部門全体ではなく、特定のユーザー グループに対して適用することもできます。これにより、組織構造を変更することなく特定のユーザーの設定をカスタマイズすることが可能です。次の設定を行う場合に、グループを使用できます。
サービス | 管理者向けの機能 |
---|---|
注: 一部のサービスでは、グループの Google データ エクスポートを有効または無効にすることができます。詳細 |
|
* Google Workspace の特定のエディションでのみ利用できます。 |
サービスの設定における設定グループの使用
設定グループを使用すると、ユーザー グループに合わせてサービスの設定をカスタマイズできます。たとえば、グループが YouTube 動画を承認できるようにしたり、チームが組織外のユーザーと Google ドライブのファイルを共有できるようにしたりすることが可能です。
設定グループには、アカウント内のどの組織部門のユーザーを追加することもできます。新しいグループを作成することも、アカウント内の既存のグループを使用することもできます(staff@example.com など)。
通常、サービスの設定は組織部門に対して適用してから、一部のユーザーについて例外を適用します。たとえば、アカウント内のすべてのユーザーに対して YouTube コンテンツを制限する一方で、一部のグループにはすべての動画の視聴または承認を許可するようにできます。
設定グループの仕組み
- 設定グループには、組織内の任意のユーザーまたはグループ(ネストされたグループ)を含めることができます。
- ユーザーのグループ設定は、常に組織部門の設定よりも優先されます。
- 組織部門とは異なり、ユーザーは複数の設定グループに所属できます。その場合、管理者が指定した設定グループの優先値に基づき、ユーザーには、所属するグループのうち優先値の最も高いグループの設定が適用されます。
要件
- 設定グループの作成は、Google 管理コンソール、Google Cloud Directory Sync、または Directory API で行います。詳細
- 動的グループを設定グループとして使用するには、セキュリティ ラベルが必要です。詳細
- Google グループで作成したグループを設定グループとして使用することはできません。
- 設定グループの設定と適用は管理コンソールでのみ行うことができます。API では行えません。
注: Google Workspace のエディションによっては、一部のサービスで設定グループを利用できない場合があります。
設定を開始するには、後述の設定グループを設定するに進んでください。
多数のユーザーやポリシーの管理
この情報は、中規模から大規模の組織を管理する管理者、および設定グループに関心があるすべてのユーザーを対象としています。
設定グループのオプション通常、設定グループを作成または適用する前に、ユーザー グループをそれぞれの設定にマッピングします。たとえば以下のユーザー グループは、ドライブのファイルを共有するための権限が異なります。
ドライブの共有権限 | |||
---|---|---|---|
ユーザー グループ | 共有相手 すべてのドメイン |
共有相手 信頼できるドメイン |
共有相手 社内のみ |
セールス マネージャー | ✔ | ||
セールスチーム | ✔ | ||
セールス オペレーション | ✔ |
次に、ユーザー グループ、ユーザー設定、または組織に適した組み合わせに基づいて、設定グループを使用できます。
方法 1: ユーザー グループに基づいて設定グループを使用する
既存のユーザー グループを設定グループとして使用し、設定グループごとに設定をカスタマイズします。ユーザーが複数のグループに属している場合は、そのユーザーの設定に使用するグループを指定します。詳しくは、後述の設定グループの優先値の設定をご覧ください。
たとえばドライブの設定では、特定のユーザー グループが外部のユーザーとファイルを共有できるように指定できます。
ユーザー グループに設定を直接的に適用する方法は、次の場合に適しています。
- 組織のユーザー数が 50 人未満であるか、設定の数が少ない場合
(グループを新たに作成する必要はなく、各ユーザー グループの設定を微調整できます) - サービスの設定をテストしている場合
- アプリが特定のユーザー グループによって使用されている場合
- 動的グループを使用して、ユーザーの属性(勤務地やロールなど)に基づいてグループ メンバーを自動的に管理している場合
方法 2: ユーザー設定に基づいて設定グループを作成する
多数の設定やユーザーを管理する場合は、異なる設定レベルごとにグループを作成します。
たとえば、ドライブの共有権限のレベルごとに設定グループを作成し、ユーザー グループを設定グループのメンバーとして追加します。
設定グループは設定のコンテナとして機能します。一般的に、管理と優先値設定の対象となる設定グループの数は少なくなります(以下を参照)。また、Groups API または Directory Sync を使用して、ユーザーとグループのメンバーを管理できます。
ユーザーが複数の設定グループに所属している場合、管理者は、ユーザーの設定に優先的に適用する設定グループを指定します。
管理コンソールでは、グループが優先値の高い順に表示されます。ユーザーには、所属するグループのうち優先度の最も高いグループの設定が適用されます。
設定グループの優先値を変更するには、グループリストでグループを上下に移動します。優先値を変更できるのは管理コンソールからのみで、API を使用して変更することはできません。
優先値の仕組み
複数の設定グループに属しているユーザーには、優先値の最も高いグループの設定が適用されます。以下の例では、セールス マネージャーが 3 つのユーザー グループに属していて、各グループのディレクトリ プロフィール編集の設定が異なります。
設定グループの優先順位が以下のような場合、セールス マネージャーはディレクトリ プロフィールで名前と勤務地を編集できます。
勤務地の編集グループの優先値が最も高い場合、セールス マネージャーは勤務地のみを編集でき、地域セールス担当は名前と勤務地を編集できます。
ユーザー設定と複数のグループ
設定がユーザーのグループ間にまたがって追加されることはありません。以下の例では、マーケティング マネージャーは 3 つのグループに属していますが、優先値の最も高いグループの設定だけが適用されます。つまり、名前と勤務地は編集できますが、写真は編集できません。
グループの優先値設定
ドライブの設定の場合、グループの優先値またはメンバーシップを変更すると、ファイルの共有とアクセスに影響することがあります。
たとえば、ファイルの所有権を別の設定グループのユーザーに譲渡した場合、そのファイルの共有権限は新しいグループの権限に変更されます。
優先度と設定を管理するには:
- グループの構成に応じて適切に優先値を設定するようにしましょう。特に下層に深くネストされたグループには注意が必要です。ネストが深いものは、設定の際に漏れる可能性があります。
- 設定グループの優先値を設定する際には、適用対象のユーザー数が最も少ないグループの優先値を最も高くすることをおすすめします。
設定グループの構造の計画は、時間と見直しの手間が最もかかりがちな作業です。
サービス設定のマッピング
グループを使って管理する設定については、組織部門を見直すのも一案です。すでに役割ベースまたはチーム単位で設定を行っている場合、同じ方法でグループに設定を行えます。
アカウントで Google Workspace の複数のエディションを使用している場合:
- 設定グループの設定は、機能またはサービスにアクセスできるユーザーにのみ適用されます。
- エディションによっては、ドライブの設定の一部は組織全体に適用されます。設定グループを使用して、他のユーザーのドライブの設定をカスタマイズすることができます。
命名規則の設定
管理と監査を簡単に行えるように、グループの命名規則を指定しましょう。たとえば、グループ名には、設定名と優先値を必ず含めるようにします。グループリストに表示されるグループ名は最大 37 文字ですが、グループにカーソルを合わせると、そのフルネームが表示されます。
YouTube_1_approvers
YouTube_2_access_unrestricted
YouTube_3_access_moderate
YouTube_4_access_strict
さまざまな種類のグループを管理する場合は、それが設定グループであることがわかるように、グループ名に「cf」などの接頭辞を追加するとよいでしょう。また、設定グループを追加するときは、小数位を使用することで、既存のグループ名を編集しないようにします。
cf_Drive_p1.0_SHARE_any
cf_Drive_p2.0_SHARE_trusted
cf_Drive_p2.1_SHARE_trusted_access_external
cf_Drive_p3.0_SHARE_internal
グループの作成
管理コンソール、Directory API、Google Cloud Directory Sync で作成したグループを使用してください。Google グループで作成したグループを設定グループとして使用することはできません(グループが Google グループで作成されたかどうかは、管理コンソールには表示されません)。
設定グループはどのツールでも管理できます。ユーザーの追加または削除、グループへの投稿、またはユーザーのグループからの退会の禁止(Group API でのみ可能)に関して厳格な権限を設定することができます。
設定グループを設定する
手順 1. 設定グループを適用するこの手順を実施するには、グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。
始める前に: グループを選択します。既存のグループを使用することも、グループを作成することもできます。
設定グループとして使用できるのは、管理コンソール、ビジネス向け Google グループ、Directory API、または Google Cloud Directory Sync で作成したユーザー グループのみです。Google グループで作成したグループは使用できません。
- 管理コンソールで、アプリの設定ページに移動します。
- 編集する設定をクリックします。
たとえば、最上位の組織部門で YouTube が次のように設定されているとします。
- 左側の [グループ] をクリックします。
優先値の高い順に既存の設定グループが一覧表示されます。 - [グループを検索] をクリックします。グループのアドレス(グループの名前ではなく)を入力し、グループを選択します。
- 優先値の高い順に設定グループを追加します。新しく追加したグループは優先値順で一番下に挿入されるためです。
- グループが見つからない場合、そのグループは Google グループで作成されたものであるか、セキュリティ ラベルがない動的グループの可能性があります。
- 設定グループに適用する設定を選択します。
デフォルトでは、新しいグループには最上位の組織部門の設定が適用されます。
組織で複数の種類のライセンスを利用している場合: 特定の設定が含まれないエディションのライセンスがある場合は、グループの設定の横にフラグのアイコン が表示されることがあります。このフラグは、グループに含まれるユーザー全員が必要なライセンスを持っている状態でも表示されます。
- 設定グループを有効または無効にします。
- 有効にする - [保存] をクリックします。
設定が設定グループのメンバーに適用されます。パネルを閉じるには、[キャンセル] をクリックします。 - 無効にする - [グループ] パネルで [設定解除] をクリックするか、削除アイコン をクリックします([キャンセル] をクリックしてもグループは削除されません)。
- 有効にする - [保存] をクリックします。
- グループを上下にドラッグしてグループの優先値を調整します。
- グループの優先値を 1 に設定する場合 - 目的のグループを優先値 2 までドラッグしてから、優先値 1 のグループを下にドラッグします。優先値ボックスに数値を入力するか、優先値ボックスの横にある矢印をクリックして指定することもできます。
- グループ数が 3 個以下の場合 - 同じユーザーを含む設定グループを並べ替えると、優先値の最も高いグループの設定がそれらのユーザーに適用されます。次のアラートが表示される場合があります。
[複数のポリシーが同じユーザーにリンクされている可能性があります]
これは一般的なアラートで、どの設定グループでも優先値を追加、設定解除、変更すると表示されます。同じユーザーが含まれていない設定グループであっても同様です。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
始める前に: グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。
- 管理コンソールで、アプリの設定ページに移動します。
- 左上の [ユーザー] をクリックします。
- [ユーザーを選択] をクリックし、ユーザーのアドレス(名前ではなく)を検索します。
- 設定を確認するユーザーを選択します。設定の名前の下にある、ユーザーの設定に適用された設定グループまたは組織部門をクリックします。
注: ユーザーの組織部門を確認する場合、サービス設定は [上書きされました] とは表示されません。[上書きされました] と [継承] の設定は、設定グループではなく、組織部門の設定のみに基づいています。
グループリストが表示されない
作成した設定グループがグループリストに表示されない
ユーザーに正しいサービス設定が適用されていない
アプリケーション設定のグループの優先度の変更イベントは、最初に設定グループを適用した時点または設定グループの優先値を変更した時点でログに記録されます。イベントでは、グループ アドレスではなくグループ名が使用されます。グループの名前とアドレスの両方に、同様の命名規則を使用することをおすすめします。
たとえば、Link anyone というグループをドライブの Link Sharing 設定に適用します。
アプリケーション設定のグループの優先度の変更
ドライブとドキュメントで、Link Sharing のグループのオーバーライドの優先値を
Link anyone に変更しました
グループの優先値を変更した場合、イベントには変更後の優先順位で優先値の低いものから高い順にグループが表示されます。
アプリケーション設定のグループの優先度の変更
ドライブとドキュメントで、Link Sharing のグループのオーバーライドの優先値を
No Links < Link users < Link anyone に変更しました
他のほとんどのイベントでは、組織部門と設定グループの両方で同様の形式が使用されます。group_email という接頭辞は設定グループを示しています。
組織部門を使用した設定のオーバーライドの例:
ドライブの設定の変更
ドライブで PUBLISHING_TO_WEB を INHERIT_FROM_PARENT から PUBLIC に変更しました
(org_unit_name: { マーケティング})
設定グループを使用した設定の適用の例:
ドライブの設定の変更
ドライブで PUBLISHING_TO_WEB を INHERIT_FROM_PARENT から PUBLIC に変更しました
(org_unit_name: {example.com}、group_email: {Drive_p02_share_external@example.com})
設定グループのイベントの場合、org_unit_name には常に最上位の組織部門が表示されます。