Embedded Files
初期設定
はじめに
はじめに
本ページは、共有ドライブマネージャーと Google Workspace の連携設定をおこなうための手順書です。
内容は以下6つの章から構成されます。
(1)~(6)の手順に従って共有ドライブマネージャーの設定を行います。
Google 管理コンソール で設定を行うため、Google Workspace の管理者権限を持つアカウントで操作してください。
(1) 共有ドライブマネージャーに対するアクセス許可設定
(2) 内部アプリの信頼設定
(3) Drive SDK APIでの実行許可
(4) システムアカウントのセキュリティポリシーの推奨設定
(5) 共有ドライブ利用設定
(6) 共有ドライブマネージャー側の初期設定
(1) 共有ドライブマネージャーに対するアクセス許可設定
(1) 共有ドライブマネージャーに対するアクセス許可設定
共有ドライブマネージャーは、お客さまの Google Workspace と連携して動作します。
以下の手順に従って設定してください。
Google Workspace 管理コンソールの下記のURLにアクセスします
URL ▶ https://admin.google.com/ac/owl/domainwidedelegation
[セキュリティ] > [アクセスとデータ管理] > [APIの制御] > [ドメイン全体の委任を管理]
画面上部にある「新しく追加」を押下します
クライアントを登録します
◆ 共有ドライブマネージャー 基本クライアント
[ クライアントID ]
328175482777-nlrf0g66drcmf5ro2oghhl2j48ctt9fs.apps.googleusercontent.com
[ OAuthスコープ(カンマ区切り) ]
https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/gmail.readonly,https://www.googleapis.com/auth/gmail.modify,https://www.googleapis.com/auth/userinfo.profile,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/gmail.compose,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/apps.groups.settings,https://www.googleapis.com/auth/calendar,https://www.googleapis.com/auth/admin.reports.audit.readonly
(2) 内部アプリの信頼設定
(2) 内部アプリの信頼設定
共有ドライブマネージャーの実行許可の設定が完了したら、ドメイン内で所有するアプリの信頼設定を行います。
以下の手順に従って設定してください。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/owl/settings
[セキュリティ] > [アクセスとデータ管理] > [APIの制御] > [設定]
「内部アプリ」内の「内部アプリを信頼する」にチェックを入れ、保存します
(3) Drive SDK APIでの実行許可
(3) Drive SDK APIでの実行許可
Google Driveに対してAPIで接続を許可する設定を行う必要があります。以下の手順に従って設定します。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/appsettings/55656082996/data?hl=ja
[アプリ] >[Google Workspace]>[ドライブとドキュメント]>[機能とアプリケーション]
「Drive SDK API経由でのGoogleドライブへのアクセスをユーザに許可する」に
チェックを入れ、保存します
共有ドライブマネージャーを利用するユーザー組織に対して、Drive SDK APIのアクセス許可を行います。
(4) システムアカウントのセキュリティポリシーの推奨設定
(4) システムアカウントのセキュリティポリシーの推奨設定
本章では、共有ドライブマネージャーのシステムアカウントを所属させる「ドライブシステム組織(グループ)」の作成手順について説明します。
[ドライブシステム組織(グループ)]
共有ドライブマネージャーシステムアカウント用の組織(グループ)です。
※組織名:「ドライブシステム組織(グループ)」は自由に設定可能です。
※本グループに所属する特権アカウントは、共有ドライブマネージャー用の無人アカウント( Google Workspace 特権管理者)を
推奨しますが、権限を絞ることも可能です。 以下にロールの割り当てに関する手順書を用意しています。
システム用の無人アカウントに「 特権管理者 (推奨) 」の権限を割り当てる
システム用の無人アカウントに「 特権管理者 (推奨) 」の権限を割り当てる
① Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/roles?hl=ja
[管理者ロール]画面に遷移します。
② 「特権管理者」の「管理者の割り当て」を押下します
② 「ユーザーへの割り当て」を押下します
③ ドライブシステム用のアカウントを検索し、「ロールの割り当て」を押下します
システム用の無人アカウントに「 カスタムロール 」の権限を割り当てる
システム用の無人アカウントに「 カスタムロール 」の権限を割り当てる
共有ドライブマネージャーは、管理画面のシステム設定で登録された「システムEmail」を利用して、各機能の制御を行います。
システムEmailには無人の特権管理者の指定を想定していますが、カスタムロールを適用した Google Workspace アカウントを指定する
ことも可能です。
その場合、カスタムロールには、以下の権限を付与する必要があります。
(4-1) ドライブシステム組織部門の作成
(4-1) ドライブシステム組織部門の作成
本節では「ドライブシステム組織部門」の作成手順について説明します。
本グループの作成は、共有ドライブマネージャーを動作させる上で必須の設定となります。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/orgunits?hl=ja
[組織部門]画面に遷移します。
「組織部門の作成」を押下します
組織名に「ドライブシステムグループ」と入力し、「作成」を押下します
(4-2) ドライブシステム組織(グループ)のセキュリティポリシー設定
(4-2) ドライブシステム組織(グループ)のセキュリティポリシー設定
本節では、(4-1)で作成した「ドライブシステム組織(グループ)」に対して、セキュリティポリシーの設定について説明します。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/appsettings/55656082996/sharing
[アプリ]>[Google Workspace]>[ドライブとドキュメントの設定]>[共有設定]に画面遷移します。
左メニューから「ドライブシステムグループ」を選択し「共有オプション」を編集します
共有オプションの設定は、お客様のセキュリティポリシーで任意に設定ください。
(a) (b) パターンを 用意しております。
(a) システム上で作成する共有ドライブで「社外共有を許可する」場合
(a) システム上で作成する共有ドライブで「社外共有を許可する」場合
外部との共有
外部共有については「オン(社外共有可)」選択してください。
※一部ドメインの共有を許可したい場合は「ホワイトリスト」設定を指定してください。
その他設定についてはお客様のセキュリティポリシーで任意に設定してください。
(b) システム上で作成する共有ドライブで「社外共有を許可しない」場合
(b) システム上で作成する共有ドライブで「社外共有を許可しない」場合
外部との共有
外部共有については「オフ(社外共有禁止)」を選択してください。
※一部ドメインの共有を許可したい場合は「ホワイトリスト」設定を指定してください。
その他設定についてはお客様のセキュリティポリシーで任意に設定してください。
(4-3) ドライブシステム組織(グループ)へのユーザ追加
(4-3) ドライブシステム組織(グループ)へのユーザ追加
(4-1)~(4-2)で作成したシステムグループに対してユーザの追加をおこないます。
ユーザの追加は以下URLの「Google Workspace ユーザー画面」から行なってください。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/users
[ユーザー]画面に遷移します。
「ドライブシステムグループ」にシステムアカウントを追加します
(5) 共有ドライブ利用設定 ※作成申請機能を利用する場合のみ
(5) 共有ドライブ利用設定 ※作成申請機能を利用する場合のみ
本節では、共有ドライブマネージャーで共有ドライブを作成する場合のセキュリティポリシーの設定について説明します。
作成申請機能を利用しない場合は、設定の必要はありませんので、(6) 共有ドライブマネージャー側の初期設定 へスキップください。
お客様のセキュリティポリシーで任意に設定ください。
Google Workspace 管理コンソールの以下URLにアクセスします
URL ▶ https://admin.google.com/ac/appsettings/55656082996/sharing
[アプリ]>[Google Workspace]>[ドライブとドキュメントの設定]>[共有設定]に画面遷移します。
ドライブシステムグループの共有ドライブの作成設定
「Google ドライブ共有設定」内の「共有ドライブの作成」を選択し、左メニューより「ドライブシステムグループ」を選択します。
「ドライブシステムグループのユーザーが新しい共有ドライブを作成できないようにする」をオフにします。
「新しい共有ドライブの組織部門」を「作成者の組織部門」に指定します。
以降は、お客様のセキュリティポリシーで任意に設定します
共有ドライブ管理者が共有オプションを変更できないケースで、4パターンを 用意しております。
(a) 共有ドライブの社外共有を許可し、フォルダでの共有を可能とする場合
(a) 共有ドライブの社外共有を許可し、フォルダでの共有を可能とする場合
・作成の手順
「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」をオフにします。
「(会社名) 外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「共有ドライブのメンバー以外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「閲覧者(コメント可)」や「閲覧者」の権限を持つユーザーが、共有ドライブ内のファイルをダウンロード、コピー、印刷できるようになります」をオフにします。(推奨)
「コンテンツ管理者にフォルダ共有を許可する」をオンにします。
・注意
共有ドライブのフォルダ共有を有効にした場合、共有ドライブマネージャーで作成した共有ドライブはブラウザの
Google ドライブ からも外部に共有が可能となるとの点にご注意ください。
(b) 共有ドライブの社外共有を許可し、フォルダでの共有を不可とする場合
(b) 共有ドライブの社外共有を許可し、フォルダでの共有を不可とする場合
・作成の手順
「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」をオフにします。
「(会社名) 外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「共有ドライブのメンバー以外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオフにします。
「閲覧者(コメント可)」や「閲覧者」の権限を持つユーザーが、共有ドライブ内のファイルをダウンロード、コピー、印刷できるようになります」をオフにします。(推奨)
「コンテンツ管理者にフォルダ共有を許可する」をオフにします。
(c) 共有ドライブは社内限定とし、フォルダでの共有を可能とする場合
(c) 共有ドライブは社内限定とし、フォルダでの共有を可能とする場合
・作成の手順
「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」をオフにします。
「(会社名) 外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオフにします。
「共有ドライブのメンバー以外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「閲覧者(コメント可)」や「閲覧者」の権限を持つユーザーが、共有ドライブ内のファイルをダウンロード、コピー、印刷できるようになります」をオフにします。(推奨)
「コンテンツ管理者にフォルダ共有を許可する」をオンにします。
(d) 共有ドライブは社内限定とし、フォルダでの共有を不可とする場合
(d) 共有ドライブは社内限定とし、フォルダでの共有を不可とする場合
・作成の手順
「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」をオフにします。
「(会社名) 外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオンにします。
「共有ドライブのメンバー以外のユーザーが、共有ドライブにあるファイルにアクセスできるようになります」をオフにします。
「閲覧者(コメント可)」や「閲覧者」の権限を持つユーザーが、共有ドライブ内のファイルをダウンロード、コピー、印刷できるようになります」をオフにします。(推奨)
「コンテンツ管理者にフォルダ共有を許可する」をオフにします。
(6) 共有ドライブマネージャー側の初期設定
(6) 共有ドライブマネージャー側の初期設定
本章では、共有ドライブマネージャーの管理者サイトにおいて、最低限必要となる初期設定を行います。
本設定は「ドライブシステム用アカウント」で行います。
以下のURLにドライブシステム用アカウント
(ドライブシステムグループに所属する無人アカウント)でログインします
URL ▶ https://www.cmosy.jp/admin/system-settings
[共有ドライブマネージャー管理者サイト]>[システム設定]に画面遷移します。
システム設定の基本設定にて「レポートEmail・システムEmail」を入力します
レポートEmail(必須)
ユーザに通知されるメールの送信元(From)を指定します。
共有ドライブマネージャー のシステムアカウントを指定します。
※ドメイン内のメールアドレスをご指定ください。
※メーリングリスト(グループアドレス)は指定できません。
システムEmail(必須)
共有ドライブマネージャー のシステムアカウントを指定します。
特定のユーザーに紐付かない無人のアカウントの指定を推奨します。
※メーリングリスト(グループアドレス)は指定できません。
※システムEmailは「特権管理者」権限を持つアカウントの登録を推奨します。
「特権管理者」を指定できない場合は、次項の権限を持つ「カスタムロール」を作成し、割り当てて下さい。システムユーザー権限
設定は以上で終了です
Report abuse