部署やその他の条件に基づいてグループを生成する
このページは管理者専用です。自分のアカウントのグループを管理する場合は、Google グループのヘルプをご覧ください。
この機能は Cloud Identity Premium でご利用いただけます。各エディションの比較
Google グループの管理者は、メンバーシップを自動的に管理するグループを作成できます。動的グループを作成して、作成したメンバーシップ クエリに基づいてメンバーを自動的に追加、削除します。これにより、組織の拠点が多い場合や、チームメンバーの変更時に、グループを最新の状態に保つことができます。
動的グループは次の目的に使用できます。
- メーリング リストと配布リスト
- 管理対象グループと共同トレイ
- セキュリティ グループ
設定を行う場所: 動的グループは、Google 管理コンソールと Cloud Identity API で作成できます。メンバーシップのクエリと一部の設定は、管理コンソールで編集できます。Google グループでは、メッセージの管理などその他の設定を編集できます。
動的グループ メンバーシップについて
動的グループのメンバーのメンバーシップは、次の点が他のグループとは異なります。
- グループに手動でユーザーを追加できない - メンバーを変更するには、メンバーシップのクエリを変更します。
- 権限の割り当てには制限がある - Google グループでは、動的グループの権限(メッセージの管理など)をグループ メンバーのみ、組織全体、またはウェブ上のすべてのユーザーに割り当てることができます(割り当て可能な場合)。ただし、他のグループと同様に、Google グループの管理者には、動的グループを管理したり、メンバーシップ クエリを変更したりするためのすべての権限が常に付与されています。権限の詳細については、メンバーとコンテンツを管理する権限を設定するをご覧ください。
- ユーザーのみがメンバーになれる - グループはメンバーシップの条件を満たさないため、動的グループにグループを追加することはできません。また、他のグループに動的グループを追加することはできません。
動的グループを作成する
-
-
管理コンソールで、メニュー アイコン
[ディレクトリ]
[グループ] にアクセスします。
- [動的グループを作成] をクリックします。
- メンバーシップ クエリを作成します。
- [Condition] リスト - メンバーシップに使用する条件を選択します。
たとえば、組織内の特定の部門のユーザーからなるグループを作成するには、ユーザーの部門を選択します。 - [Value] 欄 - 使用する値を入力します。半角英字、数字、アンダースコア(_)を使用できます。スペースやその他の文字を使用すると、エラーが発生します。
クエリは 1 つのグループに 1 つだけ作成できます。
条件と値を選択すると、クエリが生成されて 1 行のテキストとして表示されます。たとえば、「国コードが US と等しい」を選択すると、クエリは「user.addresses.exists(address, address.country_code=='US')」と表示されます。
クエリの作成について詳しくは、動的グループ用のメンバーシップ クエリを作成するをご覧ください。
- [Condition] リスト - メンバーシップに使用する条件を選択します。
- (省略可)特定の値を満たしていないユーザーのみを含める条件を設定するには、手順 4 で条件を作成して [除外]
をクリックします。クエリでは、除外は感嘆符(!)で示されます。
詳しくは、グループ メンバーからユーザーを除外するをご覧ください。 - (省略可)複数の条件と値を組み合わせて、メンバーシップ クエリを作成します。条件に当てはまるユーザーを含める、または除外するには、次のように操作します。
- すべての条件 - リストから [AND] を選択します。このクエリでは、追加された条件は 2 つのアンパサンド(&&)の間に表示されます。
- 条件の少なくとも 1 つ - リストから [Or] を選択します。このクエリでは、either/or 条件は 2 本の縦線(||)の間に表示されます。
- (省略可)クエリに基づくグループの潜在的なユーザーを確認するには、[プレビュー] をクリックします。
- [動的グループを作成] をクリックします。
- 次の情報を入力します。
フィールド 説明 名前 リストおよびメッセージでグループを識別する名前です。こちらのガイドラインを参考にしてください。
- 名前の長さは 73 文字以下にする必要があります。
- グループの目的が容易にわかる名前を使用してください。
説明 グループの使用目的です。この情報はグループの概要のページに表示されます。グループのメンバー、グループのコンテンツ、よくある質問、関連グループへのリンクなどの情報を含めることもできます。 グループのメール グループで使用するメールアドレスです。複数のドメインが表示された場合は、リストから適切なドメインを選択します。メールアドレスの長さは 63 文字までです。この上限には、アドレスのドメイン部分(@example.com など)は含まれません。
一部の単語は予約されており、メールアドレスとして使用できません。メールアドレスで使用できない単語をご覧ください。
- [保存] をクリックします。
- (省略可)必要に応じてアクセス設定を変更します。
- [Done] をクリックします。
最大 500 個の動的グループを作成できます。この上限の引き上げをリクエストするには、ご希望の上限数と、ユースケースまたはリクエストの理由を添えてサポートにお問い合わせください。リクエストはケースバイケースで検討されます。リクエストを送信するには、Google Workspace サポートへのお問い合わせにアクセスしてください。
動的グループにロールを割り当てる
動的グループに他のグループと同じようにロールを割り当てます。ただし、動的グループのオーナーと管理者には一定の制限が適用されます。詳しくは、動的グループのロールについてをご覧ください。
動的セキュリティ グループを使用してセキュリティ ポリシーを自動化する
動的グループを使用してポリシーを適用するには、動的グループにセキュリティ ラベルを追加します。たとえば、特定の地域で働く組織内の全ユーザーに対してポリシーを適用する動的グループを作成できます。ユーザーが移動し、ユーザー プロフィールの勤務場所が変更すると、システムが自動的にグループへの追加や削除を行います。
- 希望の条件を満たすユーザーの動的グループを作成します。
- グループにセキュリティ ラベルを追加します。
- 設定グループを使用してサービスの設定をカスタマイズするの手順に沿って、ポリシーを作成し、優先するポリシーを選択します。