Embedded Files
環境設定
はじめに
はじめに
本ページは、Cmosyと Google Workspace の連携設定をおこなうための手順書です。内容は以下6つの章から構成されます。
(1)~(6)の手順に従ってCmosyの設定を行います。
Google 管理コンソール で設定を行うため、Google Workspace の管理者権限を持つアカウントで操作してください。
(1) Cmosyに対するアクセス許可設定
(2) 内部アプリの信頼設定
(3) Drive SDK APIでの実行許可
(4) Cmosy向けDriveセキュリティポリシーの推奨設定
(5) 共有ドライブ利用設定
(6) Cmosy側の初期設定
(1) Cmosyに対するアクセス許可設定
(1) Cmosyに対するアクセス許可設定
Cmosyはお客さまの Google Workspace と連携して動作します。以下の手順に従って設定してください。
Google Workspace 管理コンソールの下記のURLにアクセスします
URL ▶ https://admin.google.com/ac/owl/domainwidedelegation
[セキュリティ] > [アクセスとデータ管理] > [APIの制御] > [ドメイン全体の委任を管理]
画面上部にある「新しく追加」を押下します
2つのクライアントを登録します
①Cmosy 基本クライアント_____
上記のように、下記の文字列をコピーして、張り付けてください。
[ クライアントID ]
328175482777-nlrf0g66drcmf5ro2oghhl2j48ctt9fs.apps.googleusercontent.com
[ OAuthスコープ(カンマ区切り) ]
https://mail.google.com/,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/contacts.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/gmail.readonly,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/gmail.compose,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/apps.groups.settings,https://www.googleapis.com/auth/calendar,https://www.googleapis.com/auth/admin.reports.audit.readonly
②Google ドライブ 関連クライアント
上記のように、下記の文字列をコピーして、張り付けてください。
[ クライアントID ]
328175482777-6kv4fv8d8d97i2177ovkod43msbvrq4n.apps.googleusercontent.com
[ OAuthスコープ(カンマ区切り) ]
https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive
下記のように2つ「Cmosy」という名前のAPIクライアントが登録されていることを確認します。
(2) 内部アプリの信頼設定
(2) 内部アプリの信頼設定
Cmosyの実行許可の設定が完了したら、ドメイン内で所有するアプリの信頼設定を行います。
以下の手順に従って設定してください。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/owl/settings
[セキュリティ] > [アクセスとデータ管理] > [APIの制御] > [設定]
「内部アプリ」を押下し、「内部アプリを信頼する」にチェックを入れ、保存します
(3) Drive SDK APIでの実行許可
(3) Drive SDK APIでの実行許可
Google Driveに対してAPIで接続を許可する設定を行う必要があります。以下の手順に従って設定します。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/appsettings/55656082996/data?hl=ja
[アプリ] >[Google Workspace]>[ドライブとドキュメント]>[機能とアプリケーション]
「Drive SDK」を押下し「Drive SDK API経由でのGoogleドライブへのアクセスをユーザに許可する」に
チェックを入れ、保存します
Cmosyを利用するユーザー組織に対して、Drive SDK APIのアクセス許可を行います。
(4) Cmosy向けDriveセキュリティポリシーの推奨設定
(4) Cmosy向けDriveセキュリティポリシーの推奨設定
Cmosyでは、お客様のGoogle Driveのセキュリティポリシー(社外共有不可)に対して、「社外公開可能な無人グループ(組織)」(以下、Cmosyシステムグループ)を作成し、このシステムグループのセキュリティポリシーを利用してファイルの共有を実行します。
本章では、Google Workspace の組織を初めてセットアップすることを前提に説明するため、
「一般ユーザグループ(お客様の Google Workspace ユーザ想定)」と「Cmosyシステムグループ」の作成手順(セキュリティポリシーの設定含む)について説明します。
一般ユーザグループが既に存在する場合は、一般ユーザグループ手順をスキップしてください。
※ 本章では、組織名を仮名で『Cmosyシステムグループ』『一般ユーザグループ』と記載していますが、組織名は自由に設定可能です。
設定が必要なCmosy組織グループ
設定が必要なCmosy組織グループ
[一般ユーザーグループ]
Cmosyを実際に利用するユーザー用の組織グループです。
既にご利用のユーザーグループが存在する場合は新規で作成する必要はありません。
[Cmosyシステムグループ]
Cmosyシステム用の組織グループです。本グループに対しては、社外共有を許可します(設定手順は後述)。
※本グループに所属する特権アカウントは、Cmosyシステム用の無人アカウント( Google Workspace 特権管理者)を推奨しますが、
権限を絞ることも可能です。
以下にロールの割り当てに関する手順書を用意しています。
Cmosyシステム用の無人アカウントに「 特権管理者 (推奨) 」の権限を割り当てる
Cmosyシステム用の無人アカウントに「 特権管理者 (推奨) 」の権限を割り当てる
① Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/roles?hl=ja
[管理者ロール]画面に遷移します。
② 「特権管理者」の「管理者の割り当て」を押下します
② 「ユーザーへの割り当て」を押下します
③ Cmosyシステム用のアカウントを検索し、「ロールの割り当て」を押下します
Cmosyシステム用の無人アカウントに「 カスタムロール 」の権限を割り当てる
Cmosyシステム用の無人アカウントに「 カスタムロール 」の権限を割り当てる
Cmosyは、管理画面のシステム設定で登録された「システムEmail」を利用して、各機能の制御を行います。
システムEmailには無人の特権管理者の指定を想定していますが、カスタムロールを適用した Google Workspace アカウントを指定する
ことも可能です。
その場合、カスタムロールには、以下の権限を付与する必要があります。
(4-1) 一般ユーザグループの作成
(4-1) 一般ユーザグループの作成
本節では「一般ユーザグループ」の作成手順について説明します。
前述した通り、既にお客様の組織部門が存在する場合は本節はスキップしてください。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/orgunits?hl=ja
[組織部門]画面に遷移します。
「組織部門の作成」を押下します
組織名に「一般ユーザグループ」と入力し、「作成」を押下します
(4-2) Cmosyシステムグループの作成
(4-2) Cmosyシステムグループの作成
本節では「Cmosyシステムグループ」の作成手順について説明します。本グループの作成はCmosyを動作させる上で必須の設定となります。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/orgunits?hl=ja
[組織部門]画面に遷移します。
「組織部門の作成」を押下します
組織名に「Cmosyシステムグループ」と入力し、「作成」を押下します
(4-3) 一般ユーザグループのセキュリティポリシー設定
(4-3) 一般ユーザグループのセキュリティポリシー設定
本節では、(4-1)で作成した「一般ユーザグループ」に対して、Cmosy推奨のセキュリティポリシーを設定する手順について説明します。
「一般ユーザグループ」については、既に本設定手順書指定のセキュリティポリシーが設定されている場合はスキップしてください。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/appsettings/55656082996/sharing
[アプリ]>[Google Workspace]>[ドライブとドキュメントの設定]>[共有設定]に画面遷移します。
左メニューから「一般ユーザグループ」を選択し「共有オプション」を編集します
・外部との共有
外部共有については「オフ(社外共有禁止)」を推奨しています。
※一部ドメインの共有を許可したい場合は「ホワイトリスト」設定を指定してください。
その他設定についてはお客様のセキュリティポリシーで任意に設定してください。
(4-4) Cmosyシステムグループのセキュリティポリシー設定
(4-4) Cmosyシステムグループのセキュリティポリシー設定
本節では、(4-2)で作成した「Cmosyシステムグループ」に対して、Cmosy推奨のセキュリティポリシーを設定する手順について説明します。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/appsettings/55656082996/sharing
[アプリ]>[Google Workspace]>[ドライブとドキュメントの設定]>[共有設定]に画面遷移します。
左メニューから「Cmosyシステムグループ」を選択し「共有オプション」を編集します
・外部との共有
外部共有については「オン(社外共有可)」選択してください。
※一部ドメインの共有を許可したい場合は「ホワイトリスト」設定を指定してください。
その他設定についてはお客様のセキュリティポリシーで任意に設定してください。
「アクセスチェッカーとコンテンツ配信」を編集します
アクセスチェッカーとコンテンツ配信
アクセスチェッカーについては「受信者のみ、または候補の対象グループ」にチェックを入れ、
コンテンツ配信は「○○会社内のユーザーのみ」にチェックを入れてください。
(4-5) 各グループ(組織)へのユーザ追加
(4-5) 各グループ(組織)へのユーザ追加
(4-1)~(4-2)で作成したグループに対してユーザの追加をおこないます。ユーザの追加は以下URLの「Google Workspace ユーザー画面」から行なってください。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/users
[ユーザー]画面に遷移します。
「Cmosyシステムグループ」と「一般ユーザーグループ」それぞれにユーザーを追加します
※既にユーザーグループに、Cmosyをご利用予定のユーザーが存在する場合は追加する必要はありません。
(5) 共有ドライブ利用設定 ※共有ドライブの作成機能を利用する場合のみ
(5) 共有ドライブ利用設定 ※共有ドライブの作成機能を利用する場合のみ
本節では、共有便で共有ドライブを対象とする場合、共有ドライブの作成機能を利用する場合の設定について説明します。
Cmosyでは、共有ドライブを対象とし、共有便で社外のユーザにも共有が可能です。
※共有ドライブ機能はGoogle Workspace Business Standard以上で利用できる機能です。
Google Workspace Business Starterではご利用になれません。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/appsettings/55656082996/sharing
[アプリ]>[Google Workspace]>[ドライブとドキュメントの設定]>[共有設定]に画面遷移します。
Cmosyシステムグループの共有ドライブの作成設定
「Google ドライブ共有設定」内の「共有ドライブの作成」を選択し、左メニューより「Cmosyシステムグループ」を選択します。
「Cmosyシステムグループのユーザーが新しい共有ドライブを作成できないようにする」をオフにします。
「新しい共有ドライブの組織部門」を「作成者の組織部門」に指定します。
以降は、お客様のセキュリティポリシーで任意に設定します
共有ドライブ管理者が共有オプションを変更できないケースで、4パターンを 用意しております。
・作成の手順
「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」をオフにします。
「(会社名) 外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「共有ドライブのメンバー以外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「閲覧者(コメント可)」や「閲覧者」の権限を持つユーザーが、共有ドライブ内のファイルをダウンロード、コピー、印刷できるようになります」をオフにします。(推奨)
「コンテンツ管理者にフォルダ共有を許可する」をオフにします。
注意:編集者(投稿者)権限を保持するユーザーは、フォルダ内にアップロードされているファイルを共有ドライブメンバー外の
ユーザーと共有することが可能です。
(b) 共有ドライブの社外共有を許可し、フォルダでの共有を不可とする場合
(b) 共有ドライブの社外共有を許可し、フォルダでの共有を不可とする場合
・作成の手順
「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」をオフにします。
「(会社名) 外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「共有ドライブのメンバー以外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオフにします。
「閲覧者(コメント可)」や「閲覧者」の権限を持つユーザーが、共有ドライブ内のファイルをダウンロード、コピー、印刷できるようになります」をオフにします。(推奨)
「コンテンツ管理者にフォルダ共有を許可する」をオフにします。
(c) 共有ドライブは社内限定とし、フォルダでの共有を可能とする場合
(c) 共有ドライブは社内限定とし、フォルダでの共有を可能とする場合
・作成の手順
「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」をオフにします。
「(会社名) 外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオフにします。
「共有ドライブのメンバー以外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「閲覧者(コメント可)」や「閲覧者」の権限を持つユーザーが、共有ドライブ内のファイルをダウンロード、コピー、印刷できるようになります」をオフにします。(推奨)
「コンテンツ管理者にフォルダ共有を許可する」をにします。
(d) 共有ドライブは社内限定とし、フォルダでの共有を不可とする場合
(d) 共有ドライブは社内限定とし、フォルダでの共有を不可とする場合
・作成の手順
「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」をオフにします。
「(会社名) 外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「共有ドライブのメンバー以外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオフにします。
「閲覧者(コメント可)」や「閲覧者」の権限を持つユーザーが、共有ドライブ内のファイルをダウンロード、コピー、印刷できるようになります」をオフにします。(推奨)
「コンテンツ管理者にフォルダ共有を許可する」をオフにします。
(6) Cmosy側の初期設定
(6) Cmosy側の初期設定
本章では、Cmosyの動作に最低限必要となるCmosy側の初期設定を行います。
本設定は「Cmosyシステム用アカウント(Cmosyシステムグループに所属する無人アカウント)」で行ないます。
以下のURLにCmosyシステム用アカウント
(Cmosyシステムグループに所属する無人アカウント)でログインします
URL ▶ https://www.cmosy.jp/admin/system-settings
[Cmosy管理者サイト]>[システム設定]に画面遷移します。
システム設定の基本設定にて「レポートEmail・システムEmail」を入力します
レポートEmail(必須)
ファイル便、共有便実行時、ユーザに通知されるメールの送信元(From)を指定します。
Cmosyシステム用アカウント(Cmosyシステムグループに所属する無人アカウント) の指定もできます。
※ドメイン内のメールアドレスをご指定ください。
※メーリングリスト(グループアドレス)は指定できません。
システムEmail(必須)
ファイル便を利用した場合、バックアップされるオリジナルファイルは、1ユーザのGoogle ドライブ上に集約されます。
そのため、特定のユーザーに紐付かない無人のアカウントの指定を推奨します。
Cmosyシステム用アカウント(Cmosyシステムグループに所属する無人アカウント) の指定もできます。
※メーリングリスト(グループアドレス)は指定できません。
※システムEmailは「特権管理者」権限を持つアカウントの登録を推奨します。
「特権管理者」を指定できない場合は、次項の権限を持つ「カスタムロール」を作成し、割り当てて下さい。システムユーザー権限
ここまで説明した手順は動画にまとまっています。動画を見ながら設定を行いたい場合は、以下の動画をご参考ください。
※手順の動画は【 共有ドライブの社外共有を許可し、フォルダでの共有を不可とする場合】の設定となっておりますので、ご承知おき願います。
Report abuse