Contents
1. Google 管理コンソールへのアクセスと管理者権限の概要
Google Workspace の全ての設定は 管理コンソール (admin.google.com) から行います。まずは正しくサインインできること、そして利用可能なロールを把握して最小権限で運用を始められるようにすることが重要です。
1‑1. コンソールにサインインする手順
管理コンソールへログインするまでの流れは次の通りです。
(公式ヘルプ: https://support.google.com/a/answer/60216?hl=ja)
| 手順 | 内容 |
|---|---|
| 1 | admin.google.com にアクセスし、管理アカウントのメールアドレスとパスワードを入力します。 |
| 2 | SSO(SAML) を利用している場合は IdP の認証画面にリダイレクトされるので、通常通り認証情報を入力してください。 |
| 3 | MFA が有効化されていれば、追加の認証コード(Google Authenticator、SMS、Security Key 等)を求められます。 |
| 4 | 認証が完了すると管理コンソールのホーム画面が表示され、左側メニューから各種設定へアクセスできます。 |
1‑2. 権限レベル(ロール)の概要
組織内でどのユーザーにどの権限を付与するかは 最小権限の原則 に沿って設計します。以下は Google が提供している標準ロールとカスタムロールの概要です。
| ロール名 | 主な権限 | 推奨利用シーン |
|---|---|---|
| スーパーマネージャー | すべての設定・ユーザー管理が可能 | 初期導入時や全体統括者 |
| ユーザー管理者 | ユーザー作成・削除、グループ管理 | 部門ごとの人事担当 |
| サービス管理者(例:Drive, Gmail) | 選択したサービスの設定変更 | IT 部門で機能限定管理 |
| カスタムロール | 任意に権限を組み合わせて作成 | 外部ベンダーや限定業務担当 |
ポイント
- 必要最小限の権限だけを付与することで、誤操作や情報漏洩リスクを大幅に低減できます。
- 後述の「カスタムロール作成手順」を活用し、業務ごとに細かく権限制御を行いましょう。
2. 新規管理者アカウント作成とロール割当
新しい管理者ユーザーは ディレクトリ → ユーザー → ユーザーを追加 から作成し、作成時に適切なロールを選択します。過剰な権限付与はセキュリティ上の大きな懸念になるため、目的別に最適なロールを割り当てることが肝要です。
2‑1. 推奨ロール一覧と選び方
| ロール | 主な用途例 | 割り当て対象 |
|---|---|---|
| スーパーマネージャー | 契約管理・全体設定 | 経営層、IT 統括者 |
| ユーザー管理者 | アカウント作成・削除、グループ管理 | 人事担当、部門リーダー |
| サービス管理者(例:Drive) | ドライブ共有ポリシー設定 | IT サポートチーム |
| カスタムロール(最小権限) | 特定操作のみ許可したい場合 | 外部ベンダー、限定業務担当 |
選択の指針
1. 業務範囲が広くなるほど上位ロールを割り当てる。
2. 限定的な作業だけであればカスタムロールで必要権限のみ付与する。
2‑2. 既定ロールとカスタムロールの設定手順
- ユーザー追加画面へ移動
-
管理コンソール左メニュー ► 「ディレクトリ」►「ユーザー」►「ユーザーを追加」
-
必要情報(姓・名・メールアドレス)を入力し、ロール割当欄で「管理者権限」を選択。
-
既定ロールの場合は一覧から「スーパーマネージャー」「ユーザー管理者」など目的に合うものをクリック。
-
カスタムロールを作成する場合は左メニュー ► 「ロールと権限」►「カスタムロールを作成」。
- ロール名・説明を入力し、権限リストから必要な項目(例:ユーザー閲覧、グループ作成)にチェック。
- 作成後、対象ユーザーのロール割当画面で新しいカスタムロールを選択します。
まとめ
- 目的別に最適なロールを選び、過剰権限は避ける。
- カスタムロールで最小権限を実現すれば、セキュリティリスクが大幅に低減します。
3. ドメイン所有権確認とメール認証設定
ドメインの所有権を確認し、MX・SPF・DKIM・DMARC の各レコードを正しく設定することで、スパムやなりすましメールから組織を守ります。公式ヘルプは https://support.google.com/a/topic/14000002?hl=ja にまとめられています。
3‑1. TXT レコードでの所有権検証
| 手順 | 内容 |
|---|---|
| 1 | 管理コンソール左メニュー ► 「アカウント」►「ドメイン」►「ドメインを追加」 |
| 2 | 所有するドメイン名を入力し、「続行」→「所有権確認方法」で TXT レコード を選択 |
| 3 | 表示された文字列(例:google-site-verification=xxxxxxxxxxxxxxx)をコピーし、DNS プロバイダーの管理画面で TXT レコードとして追加 |
| 4 | DNS が反映されたらコンソールの「確認」ボタンをクリック。ステータスが緑に変われば完了 |
3‑2. MX・SPF・DKIM・DMARC の設定例(自組織ドメイン置換)
| 設定項目 | 推奨レコード例 | 備考 |
|---|---|---|
| MX | ASPMX.L.GOOGLE.COM(優先度 1)ALT1.ASPMX.L.GOOGLE.COM(優先度 5)…計 5 件 |
Google が提供する標準レコード |
| SPF | v=spf1 include:_spf.google.com ~all |
TXT レコード。yourdomain.com の代わりに自組織のドメインを使用 |
| DKIM | CNAME: google._domainkey.yourdomain.com → google.com(キー長 2048 ビット推奨) |
管理コンソール ► 「アプリ」►「Gmail」►「認証」から生成 |
| DMARC | v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com; ruf=mailto:forensic@yourdomain.com; pct=100 |
TXT レコード。レポート送信先は自組織の受信可能なメールアドレスに置き換える |
設定手順(概要)
- MX:管理コンソール ► 「メール」►「設定」→「MX レコードを管理」で表示される 5 件を DNS に貼り付け。
- SPF:同じく「送信者認証」画面で提示された SPF 文字列を TXT として追加。
- DKIM:
Gmail > 認証からキー長(2048 ビット)を選択し、生成された CNAME を DNS に登録。 - DMARC:認証ページの「DMARC 生成」ボタンでテンプレート取得後、上記例に合わせて TXT レコードを作成。
重要ポイント
-example.comのようなサンプル文字列は使用せず、必ず自組織ドメイン(例:contoso.jp)に置き換えてください。
- 設定後は 外部ツール(MXToolbox 等) で検証し、全レコードが正しく機能していることを確認します。
4. 組織単位(OU)設計とユーザー・グループ配置、ディレクトリ同期
組織構造を OU(Organizational Unit)で階層化すると、ポリシーやロールの適用が一括でき運用効率が向上します。大量ユーザーは CSV インポートか Google Cloud Directory Sync(GCDS)で自動登録するのが一般的です。
4‑1. OU のベストプラクティス
| 階層 | 推奨命名例 |
|---|---|
| トップレベル | 本社、支店A、支店B |
| 部門別子 OU | 営業、開発、人事(各拠点の下に配置) |
| プロジェクト/権限別 | プロジェクトX、管理者用OU など細分化が必要な場合 |
メリット
- OU 単位でパスワードポリシーやデバイス管理設定を一括適用できる。
- ロール割当は OU に対して行えるため、個別ユーザーへの付与作業が減少。
4‑2. CSV インポートと GCDS の使い方
(1) CSV インポート手順(中小規模向け)
| 手順 | 内容 |
|---|---|
| 1 | 管理コンソール左メニュー ► 「ディレクトリ」►「ユーザー」►「インポート」 |
| 2 | テンプレート CSV をダウンロードし、必須項目(メールアドレス、姓、名、組織単位)を入力 |
| 3 | 完成したファイルをアップロードし「インポート開始」ボタンをクリック |
| 4 | エラーがあればレポートが表示されるので修正後に再実行 |
(2) Google Cloud Directory Sync(GCDS)設定手順(大規模・継続的同期向け)
- ダウンロード & インストール
-
GCDS の最新バージョンを取得し、サーバーにインストール。
-
接続情報の設定
-
管理コンソール ► 「ディレクトリ」►「Directory sync」►「設定」から LDAP/Active Directory のホスト名・バインド DN を入力。
-
OU マッピング定義
-
同期対象に
ou=Sales,dc=contoso,dc=jp → /営業など、ディレクトリ構造と Google OU の対応関係を設定。 -
テスト実行 & 本番同期
- 「プレビュー」ボタンで差分を確認し、問題なければ「本番同期」へ切り替える。以降はスケジュールに従い自動的に同期が走ります。
ベストプラクティス:最初は CSV で数百件程度のテストインポートを行い、属性マッピングや OU の階層設計に問題がないか確認した上で GCDS に移行すると安全です。
5. セキュリティ設定と監査ログの運用
組織全体の認証強度を高め、管理操作の履歴を可視化することで内部不正や外部侵入の早期発見が可能になります。以下は必須設定項目と推奨されるレビューサイクルです。
5‑1. MFA とパスワードポリシーの有効化
| 手順 | 内容 |
|---|---|
| 1 | 管理コンソール左メニュー ► 「セキュリティ」►「基本設定」►「2 段階認証」を選択 |
| 2 | 全ユーザーに必須 のスイッチをオンにし、推奨認証方式(Google Authenticator、SMS、Security Key)を有効化 |
| 3 | 「パスワード」設定で以下を適用 ・最低文字数:12 文字以上 ・大文字・小文字・数字・記号のすべて必須 ・変更間隔:90 日以内 ・過去 5 回分の再使用禁止 |
| 4 | 設定保存後、次回サインイン時にユーザーへポリシー適用が求められる |
5‑2. 管理者アクティビティの監査とレビュー
ログビューア公式ページ: https://support.google.com/a/answer/7061564?hl=ja
- ログビューアへアクセス
-
左メニュー ► 「レポート」►「監査ログ」。
-
フィルタ設定
-
イベントタイプで「管理者活動」を選択し、対象期間(例:過去 30 日)を指定。
-
主な確認項目
- ユーザー作成・削除
- ロール変更(割当・削除)
- MFA 設定変更、パスワードポリシー更新
-
ドメイン所有権やメール認証レコードの変更
-
レビュー頻度
- 月次ミーティングでレポートを共有し、異常操作がないかチェック。
-
重大な変更(例:スーパーマネージャーへのロール付与)があった場合は即時アラート設定(「アラート ポリシー」►「新規作成」)を行う。
-
ログ保持と外部保存
- 監査ログは最低 90 日保持が推奨。長期保存が必要な組織は Cloud Logging へエクスポートし、BigQuery 等で分析できるようにします。
補足:Enterprise エディション以上では Google Workspace セキュリティセンター が提供する自動異常検知機能を併用すると、AI によるリアルタイムアラートが利用可能です。
6. 全体まとめ
- 管理コンソールへの正しいサインイン手順 と ロール設計 を最初に確立し、最小権限で運用を開始する。
- 新規管理者の作成・ロール割当 は公式ヘルプに沿って行い、過剰な権限は避ける。
- ドメイン所有権確認とメール認証(MX/SPF/DKIM/DMARC) を正しい形式で設定し、必ず自組織のドメイン名に置き換える。
- OU 階層化とディレクトリ同期 によってユーザー管理を自動化し、規模拡大時もスムーズに対応できる体制を構築する。
- MFA とパスワードポリシーの徹底、加えて 監査ログの定期レビュー を実施すれば、内部・外部からの脅威に対して高い防御力が得られる。
本稿で紹介した手順は 2026 年時点の情報です。Google のサービスは随時更新されるため、必ず公式ヘルプページ(上記リンク)で最新情報を確認したうえで実装してください。