💻

情シスがGWSでサービスやアプリを制限したい時まとめ

2024/05/27に公開

背景

GWSは設定できることが多いですね。よく迷子になります。自分のためにまとめます。

GWSでできる制限

  1. Google Workspaceのサービスを制限する
  2. その他の Googleサービスを制限する
  3. Android/iPhoneのアプリを制限する
  4. Google Workspace Marketplaceのアプリを制限する
  5. Chromeエクステンションを制限する

似たようなの多すぎでは!?

1. Google Workspaceのサービスを制限する

GWSの主要なサービスに対する制限です。
アプリ > Google Workspace から設定できます。
特に制限をせず、そのまま使うケースも多いのではないでしょうか。

  • 制限できる単位:組織部門またはグループ
  • 制限できる内容:オン(使用可)またはオフ(使用不可)
  • 主なサービス:Gmail、GoogleMeet、Googleチャットなど
  • 利用シーン:「業務委託にはGoogleサイトを使わせない」「TODO管理は別アプリを入れているため、全社的に利用禁止にする」など

ヘルプはこちら
https://support.google.com/a/answer/182442?hl=ja

2. その他の Googleサービスを制限する

主要サービス以外のサービスです。
ここで初めて見るようなマイナーなものも多い中で、流行りのGemini、動画サービスのド定番・Youtubeなどのビッグネームも出てきます。

アプリ > その他の Googleサービス から設定できます。

  • 制限できる単位:組織部門またはグループ
  • 制限できる内容:オン(使用可)またはオフ(使用不可)
  • 主なサービス:Blogger(なつかしい!)、Colab、Gemini、Youtubeなど
  • 利用シーン:ここに登場するサービスの大部分は業務利用しないケースが多いと思います。
    アクセスを可能にしておいてもいいですが、不用意に使われることを避けるため、弊社では「全部オフ前提で、必要なものだけオンにする」という運用にしました。
    ※ここでYoutubeを禁止にしても、Youtubeのサイトや動画閲覧はできます。GWSアカウントを使ってYoutubeのアカウントを作ることができなくなる設定です。

ヘルプはこちら
https://support.google.com/a/answer/181865?hl=ja

3. Android/iPhoneのアプリを制限する

アプリ > ウェブアプリとモバイルアプリ から設定できます。

  • 制限できる単位:組織部門またはグループ
  • 制限できる内容:「利用可能」(ユーザーが自分でインストールできる)、「自動インストールする」
  • 主なサービス:スマホアプリ
  • 利用シーン:
    • 社用スマホに入れたいアプリを「自動インストール」で設定しておけば、スマホからGWSアカウントでログインしたときに自動インストールされるようになります。神!
    • もっとスマホの制限を強めたい場合は 「デバイス > モバイルとエンドポイント > Android の設定 > アプリとデータ共有」で「使用できるアプリ」を「許可されているアプリのみ」にします。そうすると上記「ウェブアプリとモバイルアプリ」で許可されているものしかインストール・アップデートができなくなります。
      制限をかける前にインストールされた対象外アプリが自動で消えることはありませんが、アップデートができない状態になります。
      この設定をする場合、システムアプリ類も許可しておく必要があります。

ヘルプはこちら
https://support.google.com/a/answer/6328701?hl=ja

4. Google Workspace Marketplaceのアプリを制限する

Google Workspace Marketplace で配布されているアプリに対する設定です。
個別のアプリに対する設定は アプリ > Google Workspace Marketplace アプリ から
Google Workspace Marketplace アプリ全体に対する設定は アプリ > Google Workspace Marketplace の許可リストへのアクセス設定 から設定できます。

  • 制限できる単位:組織部門またはグループ
  • 制限できる内容:
    • Marketplaceアプリ全体に対して:
      • 「ユーザーに対してすべてのアプリの Marketplace からのインストールと実行を許可する」
      • 「許可リストに登録されている Marketplace のアプリをユーザーがインストールして実行できるようにする」
      • 「ユーザーに対して Marketplace からのアプリのインストールと実行を許可しない」
    • 個別のMarketplaceアプリに対して:オン(使用可)またはオフ(使用不可)
  • 主なサービス:Zoom for Google Workspace、Slack for Gmailなど
  • 利用シーン:安全に倒すなら、許可リストのみ許可の設定にしたうえで、必要なものを許可リストに足す運用になると思います。
    Marketplaceにあるアプリは外部サービスとデータ連携するようなものが多く、自由にしておくと危険そうです。

ヘルプはこちら
https://support.google.com/a/topic/27380?hl=ja

5. Chromeエクステンションを制限する

Google Workspace Marketplaceと似ています。というかしばらく混同してました。
エクステンション周りの設定だけ他の設定とUIが違っている気がしており、毎回迷子になります。

chromeウェブストア で配布されているアプリに対する設定です。
個別のアプリに対する設定はデバイス > Chrome > アプリと拡張機能で「ユーザーとブラウザ」を開き、左下の+ボタンから追加します。
エクステンション全体に対する設定は「デバイス > Chrome > アプリと拡張機能」から設定できます(後述)

  • 制限できる単位:組織部門またはグループ
  • 制限できる内容:
    • エクステンション全体に対して
      • 「すべてのアプリを許可する、管理者が拒否リストを管理する」
      • 「すべてのアプリを拒否する、管理者が許可リストを管理する」
      • 「すべてのアプリを拒否する、管理者が許可リストを管理する、ユーザーは拡張機能をリクエストできる」
    • 個別のエクステンションに対して:オン(使用可)またはオフ(使用不可)
  • 主なサービス:Chromeエクステンション
  • 利用シーン:制限を厳しくするなら、全てのエクステンションを拒否し、管理者が作った許可リストだけを許す運用になります。
    (「デバイス > Chrome > アプリと拡張機能」で「追加の設定」をクリック後「許可 / ブロックモード」の「編集」ボタンをクリック。「Chrome ウェブストア」で「すべてのアプリを拒否する、管理者が許可リストを管理する」を選択します。
    このあたりの操作が一度で覚えられない)

安全に倒すなら全部ブロック…としたいところですが、Google Workspace Marketplaceアプリより利用頻度が高く、なかなか全ブロックに踏み切れていません。
ヘルプはこちら。
https://support.google.com/chrome/a/answer/6177431?hl=ja

いろいろありすぎて、何がどこにあるか分からない!

そうなりますよね。

「Google Workspaceのサービス」や「その他の Googleサービス」であれば、GoogleAdmin画面上部の検索ボックスにサービス名を入れれば解決します。
ここで一段階切り分けができます。

きみ、以前は「早期アクセスアプリ」だったのにね

スマホアプリ、Marketplaceアプリ、エクステンションは検索に出てきてくれません。
それが何であるかによって、各設定ページを探しに行くことになります。

そもそも制限する必要があるのか?

自由にインストールさせつつ治安を維持するのは難易度が高いです。
制限できるなら最初から制限してしまう方が楽だし、利用者にも負担を感じさせません。一度使っていたものが制限されるのは不満の元だからです。

とはいえ制限しすぎて業務を阻害してもいけません。
バランスがむずかしいですが、自社に合った環境を模索していきましょう!
他社さんはどういうふうに制限をかけているんだろう🤔

Discussion