情シスがGWSでサービスやアプリを制限したい時まとめ
背景
GWSは設定できることが多いですね。よく迷子になります。自分のためにまとめます。
GWSでできる制限
- Google Workspaceのサービスを制限する
- その他の Googleサービスを制限する
- Android/iPhoneのアプリを制限する
- Google Workspace Marketplaceのアプリを制限する
- Chromeエクステンションを制限する
似たようなの多すぎでは!?
1. Google Workspaceのサービスを制限する
GWSの主要なサービスに対する制限です。
アプリ > Google Workspace から設定できます。
特に制限をせず、そのまま使うケースも多いのではないでしょうか。
- 制限できる単位:組織部門またはグループ
- 制限できる内容:オン(使用可)またはオフ(使用不可)
- 主なサービス:Gmail、GoogleMeet、Googleチャットなど
- 利用シーン:「業務委託にはGoogleサイトを使わせない」「TODO管理は別アプリを入れているため、全社的に利用禁止にする」など
ヘルプはこちら
2. その他の Googleサービスを制限する
主要サービス以外のサービスです。
ここで初めて見るようなマイナーなものも多い中で、流行りのGemini、動画サービスのド定番・Youtubeなどのビッグネームも出てきます。
アプリ > その他の Googleサービス から設定できます。
- 制限できる単位:組織部門またはグループ
- 制限できる内容:オン(使用可)またはオフ(使用不可)
- 主なサービス:Blogger(なつかしい!)、Colab、Gemini、Youtubeなど
- 利用シーン:ここに登場するサービスの大部分は業務利用しないケースが多いと思います。
アクセスを可能にしておいてもいいですが、不用意に使われることを避けるため、弊社では「全部オフ前提で、必要なものだけオンにする」という運用にしました。
※ここでYoutubeを禁止にしても、Youtubeのサイトや動画閲覧はできます。GWSアカウントを使ってYoutubeのアカウントを作ることができなくなる設定です。
ヘルプはこちら
3. Android/iPhoneのアプリを制限する
アプリ > ウェブアプリとモバイルアプリ から設定できます。
- 制限できる単位:組織部門またはグループ
- 制限できる内容:「利用可能」(ユーザーが自分でインストールできる)、「自動インストールする」
- 主なサービス:スマホアプリ
- 利用シーン:
- 社用スマホに入れたいアプリを「自動インストール」で設定しておけば、スマホからGWSアカウントでログインしたときに自動インストールされるようになります。神!
- もっとスマホの制限を強めたい場合は 「デバイス > モバイルとエンドポイント > Android の設定 > アプリとデータ共有」で「使用できるアプリ」を「許可されているアプリのみ」にします。そうすると上記「ウェブアプリとモバイルアプリ」で許可されているものしかインストール・アップデートができなくなります。
制限をかける前にインストールされた対象外アプリが自動で消えることはありませんが、アップデートができない状態になります。
この設定をする場合、システムアプリ類も許可しておく必要があります。
ヘルプはこちら
4. Google Workspace Marketplaceのアプリを制限する
Google Workspace Marketplace で配布されているアプリに対する設定です。
個別のアプリに対する設定は アプリ > Google Workspace Marketplace アプリ から
Google Workspace Marketplace アプリ全体に対する設定は アプリ > Google Workspace Marketplace の許可リストへのアクセス設定 から設定できます。
- 制限できる単位:組織部門またはグループ
- 制限できる内容:
- Marketplaceアプリ全体に対して:
- 「ユーザーに対してすべてのアプリの Marketplace からのインストールと実行を許可する」
- 「許可リストに登録されている Marketplace のアプリをユーザーがインストールして実行できるようにする」
- 「ユーザーに対して Marketplace からのアプリのインストールと実行を許可しない」
- 個別のMarketplaceアプリに対して:オン(使用可)またはオフ(使用不可)
- Marketplaceアプリ全体に対して:
- 主なサービス:Zoom for Google Workspace、Slack for Gmailなど
- 利用シーン:安全に倒すなら、許可リストのみ許可の設定にしたうえで、必要なものを許可リストに足す運用になると思います。
Marketplaceにあるアプリは外部サービスとデータ連携するようなものが多く、自由にしておくと危険そうです。
ヘルプはこちら
5. Chromeエクステンションを制限する
Google Workspace Marketplaceと似ています。というかしばらく混同してました。
エクステンション周りの設定だけ他の設定とUIが違っている気がしており、毎回迷子になります。
chromeウェブストア で配布されているエクステンションに対する設定です。
個別のエクステンションに対する設定はデバイス > Chrome > アプリと拡張機能で「ユーザーとブラウザ」を開き、左下の+ボタンから追加します。
エクステンション全体に対する設定は「デバイス > Chrome > アプリと拡張機能」から設定できます(後述)
- 制限できる単位:組織部門またはグループ
- 制限できる内容:
- エクステンション全体に対して
- 「すべてのアプリを許可する、管理者が拒否リストを管理する」
- 「すべてのアプリを拒否する、管理者が許可リストを管理する」
- 「すべてのアプリを拒否する、管理者が許可リストを管理する、ユーザーは拡張機能をリクエストできる」
- 個別のエクステンションに対して:オン(使用可)またはオフ(使用不可)
- エクステンション全体に対して
- 主なサービス:Chromeエクステンション
- 利用シーン:制限を厳しくするなら、全てのエクステンションを拒否し、管理者が作った許可リストだけを許す運用になります。
(「デバイス > Chrome > アプリと拡張機能」で「追加の設定」をクリック後「許可 / ブロックモード」の「編集」ボタンをクリック。「Chrome ウェブストア」で「すべてのアプリを拒否する、管理者が許可リストを管理する」を選択します。
このあたりの操作が一度で覚えられない)
安全に倒すなら全部ブロック…としたいところですが、Google Workspace Marketplaceアプリより利用頻度が高く、なかなか全ブロックに踏み切れていません。
ヘルプはこちら。
いろいろありすぎて、何がどこにあるか分からない!
そうなりますよね。
「Google Workspaceのサービス」や「その他の Googleサービス」であれば、GoogleAdmin画面上部の検索ボックスにサービス名を入れれば解決します。
ここで一段階切り分けができます。
きみ、以前は「早期アクセスアプリ」だったのにね
スマホアプリ、Marketplaceアプリ、エクステンションは検索に出てきてくれません。
それが何であるかによって、各設定ページを探しに行くことになります。
そもそも制限する必要があるのか?
自由にインストールさせつつ治安を維持するのは難易度が高いです。
制限できるなら最初から制限してしまう方が楽だし、利用者にも負担を感じさせません。一度使っていたものが制限されるのは不満の元だからです。
とはいえ制限しすぎて業務を阻害してもいけません。
バランスがむずかしいですが、自社に合った環境を模索していきましょう!
他社さんはどういうふうに制限をかけているんだろう🤔
Discussion