この記事は、5 万以上のユーザー アカウントの効率的なプロビジョニングを希望する IT 管理者を対象としています。
アカウントの大規模なプロビジョニングを短時間で行いたい場合は、サードパーティのソリューションを利用する方法があります。たとえば、無料でダウンロードできるオープンソースの Google Apps Manager(GAM)では、Admin SDK Directory API を使用して Google Workspace のユーザーとグループを作成、管理します。
GAM は多くの Google API と連携するため、そのメリットを利用すれば、アカウントの他の機能とリソースも管理できるようになります。サードパーティ ソリューションとの統合について詳しくは、Google Cloud で解決するにあるチュートリアルのページをご覧ください。
始める前に
アカウントを大規模にプロビジョニングするには、次のものが必要です。
ステップ 1: アカウントの競合を回避する
ユーザーによっては Gmail アドレスなど個人の Google アカウントを保有しているため、そうしたユーザーについて新しい管理対象の Google Workspace アカウントまたは Cloud Identity アカウントをプロビジョニングすると、競合が発生する可能性があります。競合の問題を回避するため、次の内容をご確認ください。
- 競合するアカウントについて。
- 既存のアカウントを検索、管理する方法について。
ステップ 2: シンプルでフラットな組織構造を構築する
組織部門の構造に関して、多数のレベルを含む複雑な階層は作成しないでください。階層を変更して、後でユーザーを移動することもできます。組織構造を簡素化するためのヒントを次にご紹介します。
- 管理対象となるユーザーがアクセスする必要があるサービスと機能に焦点を当てます。
- サービスと機能の提供に関して、最上位の組織部門で制限を適用し、子組織部門単位でアクセス権を付与します。
詳しくは、組織構造の仕組みをご覧ください。
教育組織の例
以下の表で、左側にある構造は、組織の実際の構造を示しています。この構造では、管理に手間がかかるかもしれません。たとえば、学校内の多数の組織部門において Google Meet の高度な機能へのアクセス権を教師ごとに付与しなければならない場合、管理は複雑になります。
推奨される構造では、機能に焦点を当てます。管理者は、/Students 組織部門内の生徒全員に対して、サービスと機能を簡単に無効にできます。たとえば、ユーザー自身によるパスワードの再設定を無効にしたり、YouTube の制限を適用したりできます。また、教職員に対しては、Meet でのストリーミングと録画や、2 段階認証プロセスなどの高度な機能を有効にすることもできます。
| 組織構造の例 | 推奨される組織構造 |
|---|---|
|
|
|
大規模な組織の例
まず、ユーザーにとって必要なサービスと機能を特定します。次に、以下の手順を行います。
- 各種設定を最上位の組織部門で適用します。
設定は、オーバーライドしない限り、子の組織部門に継承されます。例については以下の記事をご覧ください。 - セキュリティを強化するため、各部門で 2 段階認証プロセスを使用する必要があります。
| 組織構造の例 | 推奨される組織構造 |
|---|---|
|
|
|
ステップ 3: データソースを準備する
ユーザー アカウントの作成に必要なデータを含むカンマ区切り値(CSV)ファイルを作成します。必須項目は次のとおりです。
- FirstName
- LastName
- PrimaryEmail - ユーザーがログインに使用するメールアドレス
- Password - 8 文字以上で指定します
- OrgUnit - 上述の推奨事項を考慮して、各組織部門内にユーザーを作成します。
注: 最上位(ルート)の組織部門にユーザーを配置するには、「
/」(スラッシュ)を入力します。子組織部門はスラッシュで区切ります(例:/Staff/Teachers)
教育組織の例
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,[email protected],Zee+HWdt,/Students
John,Smith,[email protected],X2Ae+pME,/Staff
大規模な組織の例
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,[email protected],V8hmj/QE,/
John,Smith,[email protected],9/t0UHQ6,/Sales
ステップ 4: GAM を設定する
GAM を使用する場合は、以下の手順をおすすめします。
- GAM バージョン 5.10 以降では、GAM を初めて実行する前に、GAM と同じフォルダに noshorturls.txt という名前のファイルを作成します。
これにより、gam-shortn.appspot.com の短縮 URL が無効になります。 - GAM のウェブサイトから GAM をダウンロードします。
- ツールを設定します。
- 設定中、Google Workspace のユーザーデータと設定の管理を GAM に許可するかどうかの確認を求められたら、「N」(いいえ)と答えて、ドメイン全体の委任をスキップします。
次のコマンドは、GAM が適切な Google Workspace アカウントに関連付けられていることを確認するうえで役立ちます。
gam info domain
ステップ 5: GAM を使用して複数のユーザーを作成する
GAM では、ユーザーを作成するために、カンマ区切り値(CSV)ファイルから情報を読み取り、関連するリクエストを Admin SDK Directory API に対して発行します。
上述のステップ 3 で示された項目を使用してカンマ区切り値(CSV)ファイルを作成した場合、次のコマンドを実行すると CSV ファイル内のユーザーが作成されます。
gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on
次のことを確実に行ってください。
- ユーザーごとに固有のパスワードを作成します。
- 省略可能なパラメータ
changepassword onを指定して、ユーザーが初回ログイン後にパスワードの変更が要求されるようにします。
別の方法: データソースに一部の項目が含まれていない場合
データソースに含まれる項目が各ユーザーの名、姓、パスワードだけの場合は、[email protected] の形式でユーザー名を作成できます。たとえば Charlie Smith という名前のユーザーの場合は、[email protected] と指定します。
この場合のコマンドは次のようになります。
gam csv users.csv gam create user [email protected] password ~Password changepassword on
この方法では、ユーザーに関して以下の条件が満たされていることを想定しています。
- 同姓同名が存在しない
- 名と姓に次の要素が含まれていない:
- スペース
- その他の使用できない文字
ユーザー名とグループ名のガイドラインをご覧ください。
よくある質問
Google Workspace サポートへのお問い合わせをご覧ください。
この記事の内容についてご不明な点がある場合は、その情報をサポートケースに追加し、記事へのリンクを記載してください。サポートに役立つログなどの詳細情報をご提供いただける場合は、メールにてご連絡ください。
Google Workspace for Education のプロセスについて詳しくは、以下をご覧ください。
- Google Workspace for Education スタートガイド
- Google Workspace for Education に関するよくある質問
Google Workspace アカウントを作成すると、ドメインの所有権を証明するよう求められます。証明済みであるかどうか不確かな場合は、管理コンソールにログインし、[ドメイン] セクションにある [ドメインの管理] をクリックします。
先頭に表示されるドメインがプライマリ ドメインです。ドメインの所有権の証明が必要かどうかは [ステータス] 列に示されています。
Google Cloud サポートでは、GAM に関する質問やサードパーティ ソリューションには対応しておりません。そのようなツールで使用される Admin SDK Directory API に関するサポートのみ提供しています。つまり、GAM ツール自体についてはサポートの対象外ですが、基盤となる API、特に Admin SDK Directory API でエラーが返される場合は対象です。GAM のコマンドと手法について詳しくは、GAM の Wiki をご覧ください。
GAM に関するサポートが必要な場合は、そうしたサポートを提供している Google Workspace 管理者のコミュニティ(GAM ヘルプグループ)にお問い合わせください。
Admin SDK Directory API に問題があると思われる場合は、Google Cloud サポートに以下の情報をお伝えください。
- サードパーティ ソリューションで呼び出している HTTP メソッドとエンドポイント(例:
POST /admin/directory/v1/users?fields=primaryEmail) -
レスポンス コードとメッセージ(例: 403: Not Authorized to access this resource/api - forbidden)
- レスポンス HTTP ヘッダーの日付(例: Date: Wed, 22 Jun 2020 17:48:48 GMT)
- 呼び出し元のエンティティ: ユーザー名、サービス アカウント、Google Cloud プロジェクト ID
名前、パスワード、認証リクエスト ヘッダー、IP アドレス、カスタム スキーマの値など、機密扱いの情報は削除してください。
ほとんどのお客様には、デフォルトの割り当てで十分です。API の制限について詳しくは、Directory API: 制限と割り当てについてのページをご覧ください。
プロジェクトの割り当てを増やす必要がある場合は、Google Cloud コンソールの [割り当て] にある要件をご確認ください。
- Google Cloud コンソールを開きます。
- GAM で作成したプロジェクトを画面上部で選択します。
- 左側にあるナビゲーション メニュー アイコン
> [IAM と管理] > [割り当て] をクリックします。
- [サービス ] で [Admin SDK](ユーザー プロビジョニングに関連)を使ってフィルタします。
- 追加の割り当てをリクエストするアイテムを選択します。
- 上部にある [割り当ての編集] をクリックします。
GAM で作成した Google Cloud プロジェクトに対して課金を有効にする方法については、現在のプロジェクトで課金を有効にする方法についての説明をご確認ください。
