グループを使用して G Suite サービスの設定を行う

G Suite サービスの設定は、組織部門全体ではなく、特定のユーザー グループに対して適用することもできます。これにより、組織構造を変更することなく特定のユーザーの設定をカスタマイズすることが可能です。

現在、次のサービスの設定を行う場合に限り、グループを使用できます。

  • App Maker
  • データ リージョン(G Suite Basic および従来の無料版ではご利用いただけません)
  • ディレクトリ プロフィールの編集
  • ドライブ(G Suite Basic および従来の無料版ではご利用いただけません)
  • Hangouts Meet
  • Voice
  • YouTube

その他のサービスの設定(Gmail の POP / IMAP 設定など)を行う場合は、組織部門を使用してください。

サービスの設定における設定グループの使用

設定グループを使用すると、ユーザー グループに合わせてサービスの設定をカスタマイズできます。たとえば、グループに対して YouTube 動画の承認を許可したり、チームが Google 以外のアカウントとドキュメントを共有できるようにしたりすることが可能です。

設定グループには、アカウント内のどの組織部門のユーザーを追加することもできます。新しいグループを作成することも、アカウント内の既存のグループを使用することもできます(staff@example.com など)。

通常、サービスの設定は組織部門に対して適用してから、一部のユーザーについて例外を適用します。たとえば、アカウント内のすべてのユーザーに対して YouTube コンテンツを制限する一方で、一部のグループにはすべての動画の視聴または承認を許可するようにできます。

Configuration setting example for YouTube

設定グループの仕組み

  • 設定グループには、組織内の任意のユーザーを含めることができます。また、グループ(ネストされたグループ)を追加することも可能です。

  • ユーザーのグループ設定は、常に組織部門の設定よりも優先されます

  • 組織部門とは異なり、ユーザーは複数の設定グループに属することができます。その場合、管理者が指定した設定グループの優先値に基づき、ユーザーには、所属するグループのうち優先値の最も高いグループの設定が適用されます。

要件

  • 設定グループの作成は、管理コンソール、Google Cloud Directory Sync、または Directory API で行う必要があります。作成したグループは、これらのツールやビジネス向け Google グループで編集できます。

  • 設定グループの設定と適用は、管理コンソールでのみ行うことができます(G Suite API で行うことはできません)。

設定を開始するには、下記の「設定グループを設定する」に進んでください。

多数のユーザーやポリシーの管理

中規模から大規模の組織を管理する場合の情報とヒントを紹介します。設定グループについても詳しく説明しています。

すべて開く | すべて閉じる


設定グループのオプション

通常、設定グループを作成または適用する前に、ユーザー グループをそれぞれの設定にマッピングします。たとえば以下のユーザー グループは、ドライブのファイルを共有するための権限が異なります。

  ドライブの共有権限
ユーザー グループ 共有相手
すべてのドメイン
共有相手
信頼できるドメイン
共有相手
社内のみ
セールス マネージャー ?    
セールスチーム   ?  
セールス オペレーション     ?

 

次に、ユーザー グループ、ユーザー設定、または組織に適した組み合わせに基づいて、設定グループを使用できます。

方法 1: ユーザー グループに基づいて設定グループを使用する

既存のユーザー グループを設定グループとして使用し、設定グループごとに設定を選択します。ユーザーが複数のグループに属している場合は、そのユーザーの設定に使用するグループを指定します。詳しくは優先値のセクションをご覧ください。

たとえばドライブの共有設定では、特定のユーザー グループが外部のユーザーとファイルを共有できるように指定することが可能です。

Image of applying setting to groups

ユーザー グループに設定を直接的に適用する方法は、次の場合に適しています。

  • 組織のユーザー数が 50 人未満であるか、設定の数が少ない場合。グループを新たに作成する必要はなく、各ユーザー グループの設定を微調整して適用できます。
  • サービスの設定をテストしている場合。
  • アプリが特定のグループによって使用されている場合。たとえば、社内に App Maker デベロッパーがいる場合は、アプリデータを格納するためのデフォルトの Cloud SQL インスタンスを設定できます。

方法 2: ユーザー設定に基づいて設定グループを作成する

多数の設定やユーザーを管理する場合は、異なる設定レベルごとに設定グループを作成します。

たとえば、ドライブの共有権限のレベルごとに設定グループを作成し、ユーザー グループを設定グループのメンバーとして追加します。

Drive settings by configuration group

この方法では、設定グループは設定のコンテナとして機能します。一般的に、管理と優先値設定の対象となる設定グループの数は少なくなります(下記を参照)。また、Groups API または Directory Sync を使用して、設定グループでユーザーやグループの追加、削除を行うこともできます。

設定グループの優先値の設定

ユーザーが複数の設定グループに所属している場合、管理者は、ユーザーの設定に優先的に適用する設定グループを指定します。

管理コンソールでは、グループが優先値の高い順に表示されます。ユーザーには、所属するグループのうち優先値の最も高いグループの設定が適用されます。

設定グループの優先値を変更するには、グループリストでグループを上下に移動します。優先値を変更できるのは管理コンソールからのみで、API を使用して変更することはできません。


 

優先値の仕組み

複数の設定グループに属しているユーザーには、優先値の最も高いグループの設定が適用されます。以下の例では、セールス マネージャーが 3 つのユーザー グループに属していて、各グループのディレクトリ プロフィール編集の設定が異なります。

設定グループの優先順位が以下のような場合、セールス マネージャーはディレクトリ プロフィールで名前と勤務地を編集できます。

Mapping of configuration groups to member

勤務地の編集グループの優先値が最も高い場合、セールス マネージャーは勤務地だけを編集でき、地域セールス担当は名前と勤務地を編集できます。

Changing group priority

ユーザー設定と複数のグループ

設定がユーザーのグループ間にまたがって追加されることはありません。以下の例では、マーケティング マネージャーは 3 つのグループに属していますが、優先値の最も高いグループの設定だけが適用されます。つまり、名前と勤務地は編集できますが、写真は編集できません。

User belonging to multiple groups

グループの優先度設定

ドライブの設定の場合、グループの優先値やメンバーシップを変更すると、ファイルの共有やアクセスに影響することがあります。

たとえば、ファイルの所有権を別のグループのユーザーに移行した場合、そのファイルの共有権限は新しいグループの権限に変更されます。

優先値と設定を管理するには:

  • グループ構造内の優先値を考慮して、深くネストされたグループに注意します。ネストが深いと、設定までトレースすることが困難な場合があります。
  • 設定グループの優先値を設定する際には、適用対象のユーザー数が最も少ないグループの優先値を最も高くすることをおすすめします。


設定グループの計画と構成

設定グループの構造の計画は、時間と見直しの手間が最もかかりがちな作業です。

サービス設定のマッピング

グループを使って管理する設定については、組織部門を見直すのも一案です。すでに役割ベースまたはチーム単位で設定を行っている場合、同じ方法でグループに設定を行えます。

Policies with roles and teams

複数の G Suite サービスを使用している場合: G Suite の一部のエディションでは、設定を適用できるのが組織全体に限られる場合があります。たとえば G Suite Basic では、ドライブ権限の設定を組織部門またはグループに適用することはできません。 

グループ設定は、対象となる機能や設定にアクセスできるメンバーにのみ適用されます。たとえば G Suite Basic ライセンスが割り当てられている他のメンバーには、組織のデフォルト設定が適用されます。 

命名規則の設定

検索、優先値設定、監査を簡単に行えるように、グループの命名規則を指定しましょう。 たとえば、グループ名には、設定名と優先値を必ず含めるようにします。グループリストに表示されるグループ名は最大 37 文字ですが、グループにカーソルを合わせるとそのフルネームが表示されます。

YouTube_1_approvers
YouTube_2_access_unrestricted
YouTube_3_access_moderate
YouTube_4_access_strict

さまざまな種類のグループを管理する場合は、それが設定グループであることがわかるように、グループ名に「cf」などの接頭辞を追加するとよいでしょう。また、設定グループを追加するときは、小数位を使用することで、既存のグループ名を編集しないようにします。

cf_Drive_p1.0_SHARE_any
cf_Drive_p2.0_SHARE_trusted cf_Drive_p2.1_SHARE_trusted_ACCESS_external cf_Drive_p3.0_SHARE_internal

設定グループの作成

使用する設定グループは、管理コンソール、Directory API、または Google Cloud Directory Sync で作成したグループである必要があります。Google グループで作成したグループは、設定グループとして使用することはできません(グループが Google グループで作成されたかどうかは、管理コンソールには表示されません)。

設定グループはどのツールでも管理できます。ユーザーの追加または削除に関して厳格な権限を設定したり、グループへの投稿を無効にしたり、グループからの退会を禁止したり(Groups API でのみ可能)できます。

設定グループを設定する

すべて開く | すべて閉じる


手順 1. 設定グループを適用する

この手順を実施するには、グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。​

始める前に: グループを選択します。既存のグループを使用することも、グループを作成することもできます。 

Google グループで作成したグループは使用できません。設定を行えるのは、管理コンソール、Directory API、または Google Cloud Directory Sync で作成されたグループに対してのみです。

  1. 管理コンソールで、アプリの設定ページに移動します。設定グループは、AppMakerデータ リージョン、ディレクトリ(プロフィール編集)、ドライブHangouts MeetVoiceYouTube で使用できます。 
     
  2. 編集する設定をクリックします。たとえば、最上位の組織部門で YouTube が次のように設定されているとします。 

    YouTube settings for organization
     
  3. 左側の [グループ] をクリックします。優先値の高い順に設定グループが一覧表示されます。

  4. [グループを検索] をクリックします。結果には、設定グループだけでなくすべてのグループが含まれます。
     
  5. グループのアドレス(グループの名前ではなく)を入力し、グループを選択します。
     
    • グループが見つからない場合、そのグループは Google グループで作成された可能性があります。設定を行えるのは、管理コンソール、Directory API、または Google Cloud Directory Sync で作成されたグループに対してのみです。
       
    • 優先値の高い順に設定グループを追加します。新しく追加したグループは優先値順で一番下に挿入されるためです。
  6. 設定グループに適用する設定を選択します。デフォルトでは、新しいグループには最上位の組織部門の設定が適用されます。  

    YouTube settings for a group
     

    組織で複数種の G Suite ライセンスをご利用の場合: 特定の設定が含まれないエディションのライセンスがある場合は、グループの設定の横にフラグ Flag image for multiple licenses が表示されることがあります。このフラグは、グループに含まれるユーザー全員が必要なライセンスを持っている状態でも表示されます。

  7. 設定グループを有効または無効にします。
     
    • グループを有効にする: [保存] をクリックします。
      設定が設定グループのメンバーに適用されます。パネルを閉じるには、[キャンセル] をクリックします。 
       
    • グループを無効にする: [グループ] パネルで [設定解除] をクリックするか、削除アイコン 削除 をクリックします([キャンセル] をクリックしてもグループは削除されません)。
  8. グループを上下にドラッグしてグループの優先値を調整します。通常、変更は数分で反映されますが、場合によっては最長で 24 時間ほどかかることがあります。
     
    • グループの優先値を 1 に設定するには: 目的のグループを優先値 2 までドラッグしてから、優先値 1 のグループを下にドラッグします。優先値ボックスに数値を入力するか、優先値ボックスの横にある矢印をクリックすることもできます。
       
    • グループ数が 3 個以下の場合: 同じユーザーを含む設定グループを並べ替えると、優先値の最も高いグループの設定がそれらのユーザーに適用されます。次のアラートが表示される場合があります。

      「複数のポリシーが同じユーザーにリンクされている可能性があります。」

      これは一般的なアラートで、どの設定グループでも優先値を追加、設定解除、変更すると表示されます。 同じユーザーが含まれていない設定グループであっても同様です。
       
手順 2. ユーザーの設定を確認する

この手順を実施するには、グループ、組織部門(最上位)、サービス設定に対する管理者権限が必要です。

  1. 管理コンソールで、アプリの設定ページに移動します。
  2. 左上の [ユーザー] をクリックします。
  3. [ユーザーを選択] をクリックし、ユーザーのアドレス(名前ではなく)を検索します。
  4. 設定を確認するユーザーを選択します。設定の名前の下にある、ユーザーの設定に適用された設定グループまたは組織部門をクリックします。

    Profile information

: ユーザーの組織部門を確認する場合、サービス設定は [上書きされました] とは表示されません。[上書きされました] と [継承] の設定は、設定グループではなく、組織部門の設定のみに基づいています。

トラブルシューティング

グループリストが表示されない

  • 設定グループの機能を使用できるのは、App Maker、データ リージョン、ディレクトリ プロフィールの編集、ドライブ、ハングアウト(Meet の設定)、YouTube です。また、ドライブとデータ リージョンの設定グループは、G Suite Basic や従来の無料版では使用できません。

グループリストに設定グループが表示されない

  • グループがビジネス向け Google グループで作成されたものである可能性があります。管理コンソールでグループを作成してみてください。
  • グループの名前ではなくメールアドレスを検索してください。
  • 設定ページを更新してみてください。通常、変更は数分で反映されますが、場合によっては最長で 24 時間ほどかかることがあります。
  • グループに対する管理者権限がご自分にあることを確認してください。

ユーザーに正しいサービス設定が適用されていない

  • ユーザーの所属グループを確認してください。グループの設定が有効になるまでには、最長で 24 時間ほどかかる場合があります。
  • ユーザーの設定に適用される設定グループを探してください。ユーザーが複数の設定グループに属している場合は、グループの優先値またはユーザーの所属グループの変更が必要なこともあります。
  • ユーザーが該当する機能のサービス ライセンスを持っていない可能性があります。共有ドライブなどの一部の機能は、G Suite の特定のエディションでのみ利用できます。
監査ログで変更を確認する

アプリケーションの設定グループの優先値を変更イベントは、最初に設定グループを適用した時点または設定グループの優先値を変更した時点でログに記録されます。

アプリケーションの設定グループの優先値を変更
ドライブとドキュメントで、Link Sharing のグループのオーバーライドの優先値を No Links < Link users < Link anyone に変更しました

グループの優先値を変更した場合、イベントには変更後の優先順位で優先値の低い順にグループが表示されます。また、イベントではグループ アドレスではなくグループ名が記録されるため、グループの名前とアドレスの両方に、同様の命名規則を使用することをおすすめします。

他のほとんどのイベントでは、組織部門と設定グループの両方で同様の形式が使用されます。「グループのメールアドレス」という接頭辞は設定グループを示しています。

組織部門を使用した設定のオーバーライドの例:

ドライブの設定の変更
ドライブの PUBLISHING_TO_WEB を INHERIT_FROM_PARENT から PUBLIC に変更しました (組織部門名: {マーケティング}

設定グループを使用した設定の適用の例:

ドライブの設定の変更
ドライブで PUBLISHING_TO_WEB を INHERIT_FROM_PARENT から PUBLIC に変更しました (組織部門名: {example.com}、グループのメールアドレス: Drive_p02_share_external@example.com})

設定グループのイベントの場合、組織部門名には常に最上位の組織部門が表示されます。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。