管理者権限の定義

Google 管理コンソールでユーザーに管理者のロールを割り当てると、管理者権限と管理コンソールへのアクセス権がユーザーに付与されます。

管理コンソールでの管理者の管理範囲、アクセスできる情報、実行できるタスクはロールの権限によって決まります。権限を与えられた管理者は、管理 API を使った各種操作も行えるようになります。

ロールを割り当てる カスタムロールを作成する

管理者権限

* 注: 一部の権限(Jamboard 管理など)は、G Suite の特定のエディション、ハードウェア、またはユーザー ライセンスでのみ利用できます。

管理者設定の権限 サービスの権限  

管理者権限の定義

すべて開く | すべて閉じる

組織部門

この権限を与えられた管理者は、管理コンソールの [ユーザー] ページでアカウントの組織構造を管理できます。対応する管理 API の権限(以下を参照)も付与されます。

組織部門の権限:

  • 読み取り
  • 作成
  • 更新
  • 削除

[作成]、[更新]、[削除] のいずれかの権限を付与すると、[読み取り] 権限が自動的に付与されます。

管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳しくは、ユーザーに特定の管理者ロールを割り当てるをご覧ください。

ユーザー

[ユーザー] 権限を与えられた管理者は、ユーザーに対する操作を行うことができます。他の管理者の設定を変更できるのは特権管理者のみです。対応する管理 API の権限(以下を参照)も付与されます。

  • 作成
  • 読み取り
  • 更新
    • ユーザーを移動
    • ユーザーを停止
    • ユーザーの名前を変更
    • パスワードを再設定
    • パスワードの変更を強制する
    • エイリアスを追加 / 削除
  • 削除

[作成] 権限を付与すると、[読み取り] 権限と [更新] 権限が自動的に付与されます。[更新] 権限または [削除] 権限を付与すると、[読み取り] 権限が自動的に付与されます。

管理者による操作の適用範囲は、アカウントのすべてのユーザーにすることも、特定の組織部門のユーザーのみに限定することもできます。詳しくは、ユーザー管理のロールを割り当てるをご覧ください。

ヒント: 管理者にユーザー グループの閲覧のみを許可して編集を許可しない場合は、API 権限の [グループ] 次に [読み取り] をクリックして権限を付与します。

セキュリティ

ユーザー セキュリティの管理

注: 他の管理者のセキュリティ設定を確認できるのは特権管理者のみです。

管理者は、個々のユーザーのセキュリティ設定を管理できます。この権限によって管理できるのは、管理者権限を持たないユーザーのみです。対応する管理 API の権限(以下を参照)も付与されます。

[ユーザー セキュリティの管理] 権限を与えられた管理者は、各ユーザーの [ユーザー] ページで次の操作を行うことができます。

  • 2 段階認証プロセスを無効にする。組織全体に対して 2 段階認証プロセスを適用できるのは特権管理者のみです。
  • ログイン時の本人確認を 10 分間無効にする。
  • セキュリティ キーの確認、取り消しを行う。
  • アプリ パスワードの確認、取り消しを行う。
  • ログイン Cookie をリセットする(販売パートナーの管理者には適用されません)。
  • ユーザーがサードパーティ製アプリに付与した 3-legged OAuth トークンの確認、取り消しを行う。

2 段階認証プロセスの適用または無効化を除き、これらすべての操作の適用範囲を特定の組織部門に限定することができます。

セキュリティ設定

  • 安全性の低いアプリからのアカウントへのアクセスを許可する
  • ユーザーのパスワードを管理する
  • シングル サインオン(SSO)と認証を設定する

安全性の低いアプリからのアカウントへのアクセスを許可する操作のみ、特定の組織部門に適用範囲を限定できます。

グループ

[グループ] 権限を与えられた管理者は、管理コンソールで作成されたグループを完全に制御できます。対応する管理 API の権限(以下を参照)も付与されます。

この権限を与えられた管理者は次の操作を行うことができます。

  • ユーザー プロフィールと組織構造を表示する。
  • 管理コンソールでグループを作成、管理、削除する。
  • グループのアクセス設定を管理する。
  • アクセス グループに対してサービスを有効にする([組織部門] と [サービス] の権限も必要)。詳しくは、設定グループを使用してサービスの設定をカスタマイズするをご覧ください。

これらの操作の適用範囲を特定の組織部門に限定することはできません。

ヒント: ユーザーが所属するグループの閲覧を管理者に許可して編集を許可しない場合は、API 権限の [グループ] 次に [読み取り] 権限を付与します。

ドメインの設定
[ドメインの設定] 権限を与えられた管理者は次の操作を行うことができます。
  • 組織の名前、言語、ロゴ、タイムゾーンを変更する。
  • G Suite または Cloud Identity アカウントを削除する。
  • G Suite または Cloud Identity アカウントのお支払い情報を確認する。
  • ドメインとドメイン エイリアスを追加または削除する。
  • Google サイトで作成したサイトにカスタム URL をマッピングする。
  • パスワード再設定用の連絡先情報を更新する。
  • 機能リリースのプロセスを管理する。
  • Google から受け取るメールの種類を選択する。詳しくは、G Suite の通知設定を選択するをご覧ください。

これらの操作の適用範囲を特定の組織部門に限定することはできません。

レポート

使用状況レポートと監査ログへのアクセス権限が与えられます。詳しくは、レポートツールの概要をご覧ください。

[レポート] 権限を与えられた管理者は次の操作を行うことができます。

  • サービスの使用状況を示すグラフを表示する。
  • ドキュメントの編集などのユーザー アクションをトラッキングする。
  • 管理コンソールで他の管理者が行った変更をトラッキングする。

これらの操作の適用範囲を特定の組織部門に限定することはできません。

サポート

[サポート] 権限を与えられた管理者は、電話、チャット、メールで G Suite サポートに問い合わせることができます。

G Suite サポートに連絡する権限を特定の組織部門に限定することはできません。

管理 API

管理コンソールで管理者に権限を付与すると、対応する API の権限も付与されます。たとえば、管理コンソールでユーザー作成の権限を付与すると、権限を与えられた管理者は API 経由でもユーザーを作成できるようになります。同様に、管理 API の権限を更新すると、対応する管理コンソール内の権限も更新されます。

管理コンソールで管理者に権限を付与しても、API での操作を許可しない場合は、アカウントの API アクセスを無効にします。詳しくは、G Suite のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。

管理 API の権限を付与すると、G Suite の管理 API を使用して次に対して操作を行うことができます。

  • 組織部門
  • ユーザー
  • グループ
  • ユーザー セキュリティの管理
  • データ移行 - 特権管理者またはサービス管理者は、管理コンソールを使用してユーザーのドライブ ファイルのオーナー権限を移行できます。管理コンソールでオーナー権限を移行するには、[ドライブとドキュメント] 権限も付与されている必要があります。管理者の操作の適用対象を特定の組織部門に限定することはできません。
    : ユーザーを削除する際、ファイルのオーナー権限を移行できるのは特権管理者に限られます。
  • スキーマの管理 - 特権管理者またはサービス管理者は、ユーザーのプロジェクト、場所、雇用日など、ドメインのカスタム フィールドを定義するスキーマを作成できます。
  • ライセンスの管理 - 特権管理者は、組織、組織部門、ユーザー グループ、個々のユーザーの G Suite ライセンスを割り当て、管理できます。: この権限は管理コンソールでのみ機能し、特権管理者にのみ License Manager API の使用が許可されます。
  • お支払いの管理
  • ドメインの管理 - 管理者は、ドメインの追加または削除、ドメイン エイリアスの設定を行えます。

カスタムロールを作成した場合、この権限の横にあるチェックボックスをオンにすることで、該当するオブジェクトに対してあらゆる操作を API 経由で行えるようになります。また、個々の操作([作成]、[読み取り] など)をクリックして、選択した操作だけを許可することもできます。

サービスの権限

すべて開く | すべて閉じる

サービスの設定

[サービスの設定] 権限を与えられた管理者は、サービスの有効と無効を切り替えたり、サービスの設定を変更したりすることができます。アカウントに追加した特定のサービス(カレンダーやドライブなどの G Suite サービス)、Marketplace アプリ、無料の Google サービス(YouTube や Blogger など)が対象です。

[サービスの設定] 権限を選択しても、権限が自動的には付与されないサービスや設定もあります(Google Vault やデータ セキュリティなど)。

アラート センター

権限の説明とロールの作成に関する推奨事項については、アラート センターを利用するための管理者権限の付与をご覧ください。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

App Maker

組織内のすべての App Maker アプリを対象に、設定を管理し、レポートを閲覧できます。

[サービスの設定] 権限を割り当てると、[設定] 権限のみが自動的に有効になります。

カレンダー

[カレンダー] 権限を与えられた管理者は、リソースを作成、編集、削除できます。Google カレンダー リソースの共有設定を変更することはできません。

カレンダーの管理権限:

  • すべての設定 - 共有設定、リソース、会議室情報ダッシュボード、全般設定にアクセスして管理できます。
  • ビルディングとリソース - カレンダー リソースの作成、編集、削除と、会議室情報ダッシュボードへのアクセスが可能です。
  • 会議室情報 - 会議室情報ダッシュボードで、情報の表示、フィルタの設定、期間の調整を行えます。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

Chrome 管理

G Suite Enterprise または G Suite Enterprise for Education のライセンスをお持ちの場合のみご利用いただけます。

組織の Chrome デバイスとポリシーを管理できます。以下に関するポリシーが含まれます。

  • ユーザー設定
  • デバイス設定
  • Chrome デバイス上の Chrome と managed Google Play のアプリと拡張機能

詳しくは、Chrome での管理者の役割を委任するをご覧ください。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

Cloud Search

[Cloud Search] 権限を与えられた管理者は次の操作を行うことができます。

  • Google Cloud Search へのユーザー アクセスを許可する。
  • サービスを有効、または無効にする
  • 組織での Cloud Search の利用状況(さまざまな種類のデバイスからの検索クエリの数やアクティブ ユーザーの数など)に関するレポートを表示する。
  • サードパーティ製リポジトリの設定(データソース、ID ソース、検索アプリケーションの設定など)を管理する。管理者にはインデックス登録のための読み取りまたは書き込みアクセス権限もあります。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

Currents

Currents の管理者権限

  • 設定 - Currents の設定を管理する
  • ユーザー グループをコミュニティに一括追加 - 管理者は Currents コミュニティにユーザーを直接追加できます。
  • ストリーム、タグ、リーダーを管理するためのツールにアクセス - Currents のコンテンツを管理できます。詳細

[サービスの設定] 権限を割り当てると、[設定] 権限のみが自動的に有効になります。

データ セキュリティ

この権限を与えられた管理者は、組織のコンテキストアウェア アクセス ポリシーを管理できます。ユーザーの場所や、ユーザーのデバイスが組織のポリシーに準拠しているかどうかなどのコンテキストに基づいて、ユーザーがアクセスできるアプリを制御できます。

データ セキュリティの管理権限:

  • アクセスレベルの管理 - アクセスレベルを作成できます。
  • ルールの管理 - コンテキストアウェア アクセスの有効 / 無効の切り替え、アプリへのアクセスレベルの割り当てができます。
この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません
データポータル

この権限を与えられた管理者は、ダッシュボードおよびレポートの閲覧、共有、カスタマイズといった Google データポータルの設定を管理できます。詳しくは、データポータルのページをご覧ください。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

ディレクトリ設定

ディレクトリ設定とディレクトリ プロフィールの変更を管理し、ユーザーにプロフィール(名前、写真、性別、生年月日など)の変更を許可できます。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

ドライブとドキュメント

Google ドライブとドキュメントの管理権限:

  • 設定 - 組織のドライブとドキュメントのサービスに関するあらゆる設定を管理できます。ドライブ ファイルのオーナー権限を移行するには、この権限と [データ移行] 権限の両方が必要です。詳しくは、ドライブのファイルを新しいオーナーに移行するをご覧ください。
  • ドキュメントのテンプレート - ドキュメント、スプレッドシート、スライド、フォームのテンプレート ギャラリーと、管理コンソールの [ドライブとドキュメント] で、テンプレートの削除と分類を行うことができます。テンプレートの送信が管理コンソールで [管理対象] に設定されている場合、テンプレートの送信を承認または拒否することができます。送信が [制限付き] に設定されている場合は、ギャラリーにテンプレートを追加できます。詳しくは、カスタムのドライブ テンプレートを管理するをご覧ください。
  • 共有ドライブへのファイルやフォルダの移動 - 組織内の共有ドライブにファイルやフォルダを移動できます。
  • メタデータ カテゴリの管理 - ドライブのファイルとフォルダのカスタム メタデータ カテゴリを作成できます。ドライブのメタデータは現在ベータ版です。そのため、一部の言語ではヘルプをご利用いただけません。詳しくは、ドライブのメタデータを管理する(ベータ版)をご覧ください。
  • 新しい Google サイトの詳細の表示 - サイトのオーナーの確認、サイトが最後に公開された日付の確認、サイトの編集権限のリクエストを行えます。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

データ損失防止(DLP)

DLP の管理権限:

  • DLP ルールの表示 - DLP ルールを表示できますが、変更または作成することはできません。
  • DLP ルールの管理 - DLP ルールを表示、変更、作成できます。

ルールを作成、編集するための完全なアクセス権限を得るには、表示と管理の両権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。

[サービスの設定] 権限を割り当てると、[DLP ルールの表示] 権限のみが自動的に有効になります。

Gmail

Gmail の管理権限:

  • 設定 - 組織のすべての Gmail 設定を管理できます。
  • メールログを検索 - ログの検索、配信のトラブルシューティング、メールに関連するセキュリティ上の問題の調査を行うことができます。
  • 管理者検疫にアクセス - デフォルトの検疫を含むすべての検疫対象のメールを確認、管理できます。
  • 一部の検疫対象メールにアクセス - 管理者自身が属するグループに関連付けられた検疫対象のメールのみを確認、管理できます。

[サービスの設定] 権限を割り当てると、[設定] 権限のみが自動的に有効になります。

Google クラウド プリント

この権限を与えられた管理者は、組織の Google クラウド プリント サービスの設定と管理を行うことができます。次のようなデバイスやアプリからの印刷が対象となります。

  • Chrome デバイスと、Windows®、Mac®、Linux® パソコン上の Chrome ブラウザ
  • モバイル版の G Suite サービス(Gmail など)
  • サードパーティ製のネイティブ モバイルアプリ

詳しくは、Google クラウド プリント サービスをご覧ください。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

Google Meet

この権限のある管理者は次の操作を行うことができます。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

Hangouts Chat(Google Chat)

管理者は、組織内外のユーザーとの会話の保存や許可など、Google Chat の設定を確認、変更できます。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

Google ハングアウト

この権限のある管理者は次の操作を行うことができます。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

Google ミーティング ルーム ハードウェア

アカウントに Google ミーティング ルーム ハードウェア ライセンスまたは登録済みのデバイスが 1 つもない場合、この権限は付与されません。

カレンダーの権限の有無にかかわらず、ユーザー ロールを作成し、特定の Google ミーティング ルーム ハードウェア デバイスに権限を割り当てることができます。

[Chrome devices for meetings でカレンダーを使用する] 権限を与えられたユーザーは、ユーザーのカレンダーへの完全なアクセス権限を持ち、次の操作を行えます。

  • 予定を読み取る、書き込む。
  • 組織内のすべてのカレンダー(メイン カレンダー、予備カレンダー、リソース カレンダー)の権限を管理する。
  • 組織内のカレンダーをすべて削除する。

この権限をユーザーに割り当ててから [カレンダー] 権限が利用可能になるまでに、24 時間程度かかることがあります。

Google Vault

全案件を閲覧し、案件、記録保持(リティゲーション ホールド)、検索、書き出し、保持ポリシー、監査を管理できます。詳しくは、Vault 権限の概要と権限の付与をご覧ください。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

Jamboard 管理
この権限を与えられた管理者は、Jamboard 設定の閲覧と編集、デバイスの設定などを行うことができます。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

managed Google Play

この権限は「Google Managed Play」とも表記されます。この権限のある管理者は次の操作を行うことができます。

  • Android アプリを社内ユーザーに配布する。
  • 限定公開アプリを Google Play ストアにアップロードする。
  • Google Play 以外でホストされている Android アプリ パッケージ(APK)を使用する。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

モバイル デバイス管理

この権限を与えられた管理者は、管理コンソールに一覧表示されるモバイル デバイスを完全に制御し、次の操作を行うことができます。

  • モバイル設定を管理する。
  • デバイス ポリシーを管理する。
  • モバイル デバイス管理のすべての操作(有効化、ブロック、削除、ワイプなど)を行う。

この権限は、サービスの設定権限を割り当てると自動的に有効になります。

Password Vault

この機能は、G Suite Enterprise、Cloud Identity Premium、G Suite Enterprise for Education でご利用いただけます。

この権限を与えられた管理者は、パスワード保管機能によってパスワードが保管されたアプリを設定、管理できます。詳しくは、パスワードが保管されたアプリ権限についての記事をご覧ください。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

セキュア LDAP

セキュア LDAP 機能は、G Suite Enterprise、Cloud Identity Premium、G Suite Enterprise for Education、G Suite for Education でご利用いただけます。

この権限を与えられた管理者は、セキュア LDAP サービスの管理、LDAP クライアントを追加または削除を行うことができます。詳細

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

セキュリティ センター

セキュリティ センターは、G Suite Enterprise、G Suite Enterprise for Education、G Suite Essentials、Cloud Identity Premium でご利用いただけます。

この権限を与えられた管理者は、高度なセキュリティ情報と分析情報にアクセスし、組織に影響を与えるセキュリティ問題を可視化、管理できます。

特権管理者は、セキュリティ ダッシュボードセキュリティの状況ページ、調査ツールを含む、セキュリティ センターのすべての機能に自動的にアクセスできます。管理者がセキュリティ センターの特定の機能(セキュリティ ダッシュボードのみなど)にアクセスできるようにするには、該当する機能にアクセスするのに必要な管理者権限を付与します。

これらの権限を設定する手順については、セキュリティ センターの管理者権限をご覧ください。

セキュリティ センターの完全な管理者権限は、[サービスの設定] 権限を割り当てると自動的に有効になります。

共有デバイスの設定

この権限を与えられた管理者は、すべてのデバイス共通設定を管理し、モバイル デバイス、Chrome デバイス、Chromebox for meetings デバイスで、バーチャル プライベート ネットワーク(VPN)、Wi-Fi、イーサネット ネットワークを設定できます。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

ワーク インサイト

G Suite Enterprise または G Suite Enterprise for Education のライセンスをお持ちの場合のみご利用いただけます。

ワーク インサイト ダッシュボードのデータにアクセスできます。ワーク インサイトが有効になっているチームのデータのみ利用できます。詳しくは、ワーク インサイトで利用可能なデータを管理するをご覧ください。

ユーザーが閲覧できるデータとして、利用可能なすべてのチームのデータや、特定のチーム(組織部門、承認済みのグループ、マネージャーのレポートライン内のチームなど)だけのデータを指定できます。権限のリストについては、ワーク インサイトへのアクセス権を付与するをご覧ください。

この権限は、[サービスの設定] 権限を割り当てても、自動的には有効になりません

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。