この機能に対応しているエディション: Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus。 エディションの比較
信頼ルールを使用すると、詳細なポリシーを作成して Google ドライブのファイルにアクセスできるユーザーを制御できます。作成したポリシーを個々のユーザー、グループ、組織部門、ドメインに適用して、次の項目を指定できます。
- 内部または外部のユーザーとの間で共有できるユーザーのファイル
- 内部または外部のユーザーからファイルを受信できるユーザー
- 共有ドライブに追加し、共有ドライブにファイルを追加できる、内部または外部のユーザー
信頼ルールを使用すると、共同編集の境界を柔軟に設定できるため、機密情報の保護および業界標準や規制への準拠の維持に役立ちます。
組織のマーケティング チームが自分のチームのファイルを、パートナー組織の特定のユーザーと共有する必要があるとします。組織の情報の機密性を守るため、次のようなルールを作成して外部との共同編集に関する境界を設定します。
- マーケティング チームがオーナーとなっているファイルを、パートナー組織の特定のユーザーと共有することを許可する。
- 組織内の他のチームがオーナーとなっているファイルを、パートナー組織と共有できないようにブロックする。
- パートナー組織の他のチームが、組織内のどのユーザーともファイルを共有できないようにブロックする。
組織の財務チームが自分のチームのファイルを、エグゼクティブ チームとのみ共有するとします。他のチームには財務チームの機密情報を受け取れなくするには、次のようなルールを作成して、社内での共同編集の境界を設定します。
- 財務チームがオーナーとなっているファイルを、財務チームおよびエグゼクティブ チームと共有することを許可する。
- 財務チームがオーナーとなっているファイルを、組織内の他のチームと共有できないようにブロックする。
ドライブでは、外部ユーザーが内部のユーザーとスパムやフィッシングを共有できないよう、可能な限りブロックしています。ただし、リスクを軽減するための追加の対策として、信頼できるドメインの外部ユーザーのみが内部ユーザーとファイルを共有できるようにするルールを作成することもできます。ユーザーが引き続き共同編集できるようにするには、通常は内部ユーザーが外部ユーザーからファイルを受け取らない組織部門にのみこのルールを適用します。
ドライブの共有設定が信頼ルールに変わる仕組み
ドライブの共有設定は自動的に信頼ルールに変換される
信頼ルールは、ドライブの設定([共有オプション] [組織外のユーザーとの共有])に代わる機能です。
ドライブの設定から変換されたルールをプレビューできる
ドライブの設定から自動作成されたルールをプレビューするには:
管理コンソールのホームページから、[ルール] にアクセスします。ルールを種類でフィルタするには、[フィルタを追加] [ルールの種類]
[信頼] をクリックします。
リストには以下のルールが表示されます。
- 組織外での共有に関する 2 つのデフォルト ルール
適用されると、ドライブの同等の共有設定に応じて有効または無効になります。
- 現在のドライブ設定の共有境界と一致させるために必要なその他のルール
重要: 信頼ルールを有効にするまでは、これらのルールは適用されません。
同等のドライブ共有設定は無効になる
信頼ルールを有効にすると、ドライブの組織外共有設定を使用することはできなくなります。ドライブの共有設定について詳しくは、ユーザーのドライブの共有権限を設定するをご覧ください。
信頼ルールは無効にすることができる
いつでも信頼ルールを無効にして、ドライブの共有設定を使用するように戻すことができます。詳しくは、後述の信頼ルールを有効または無効にするをご覧ください。
信頼ルールの範囲と条件というコンポーネントを使用すると、ドライブの共有設定よりも詳細にファイル共有を制御できます。ルールのコンポーネントについて詳しくは、このページで後述する信頼ルールのコンポーネントについてをご覧ください。
次の表は、ドライブの共有設定と信頼ルールで利用可能なコントロールを比較したものです。
範囲のコントロール
| 範囲 |
ドライブの共有設定 |
信頼ルール |
|---|---|---|
| 組織部門を含める | ✔ | ✔ |
| グループを含める | ✔ | ✔ |
| 組織部門を除外 | ✔ | |
| グループを除外 | ✔ |
条件のコントロール
| 条件 | ドライブの共有設定 | 信頼ルール |
|---|---|---|
| 組織全体 | ✔ | ✔ |
| 許可リスト登録済みドメイン | ✔ | ✔ |
| 外部組織 | ✔ | |
| 組織部門 | ✔ | |
| グループ(内部作成) | ✔ | |
| ユーザー(内部) | ✔ |
始める前に
信頼ルールを作成するには、範囲、トリガー、条件、操作のコンポーネントを定義します。これらの要素を使用して、x が発生したら y を実行するというルールを作成できます。
たとえば、組織の営業部門がオーナーとなっているファイルを、顧客の組織(other-company.com)内の誰とでも共有できるようにルールを作成する場合、ルールのコンポーネントは次のようになります。
- 範囲は、営業部門の組織部門です。
- トリガーは、範囲内のユーザー所有ファイルを誰かが共有しようとすることです。
- 条件は、other-company.com です。
- 操作は、ファイル共有を許可することです。
範囲の定義
範囲とは、組織内の、ルールのトリガーの適用対象であるユーザーです。
- ルールのトリガーが [ファイルの共有] である場合、範囲は共有の管理対象となるファイルのオーナーになります。
重要: 共有ルールでは、範囲内のユーザーがオーナーとなっているファイルについて、編集権限を持つユーザーとの共有も制御できます。
- ルールのトリガーが [ファイルの受信] である場合、範囲はファイルの受信者になります。
範囲については、以下が可能です。
トリガーの定義
トリガーとは、ルールで許可またはブロックするアクティビティのことです。次のいずれかを選択できます。
- ファイルの共有
- ファイルの受信
条件の定義
条件とは、ファイルの共有相手または受信ファイルのオーナーです。
- ルールのトリガーが [ファイルの共有] である場合、条件はファイルの受信者になります。
- ルールのトリガーが [ファイルの受信] である場合、条件はファイルのオーナーになります。
ルールには、組織内外を問わず、次のような複数の条件を指定できます。
- 組織部門
- 組織の Google グループ サービスのグループ(外部ユーザーを含めることも可能)
- 信頼できるドメイン(許可リストにあるすべての外部ドメインのすべてのユーザー)
- 許可リストにない外部ドメイン
- 組織内の特定のユーザー
- Google アカウントを持つ全員
注: 条件が 1 つでも満たされれば、ルールは有効になります。
操作の定義
操作とは、ルールがトリガーされたときに生じる結果のことです。次の操作が可能です。
- 共有を許可する
- 共有を許可して警告を表示する
注: このオプションを選択すると、ユーザーがファイルを共有するときに警告が表示されますが、ファイルを受信するときには表示されません。
- 共有をブロックする
組織外での共有を指定するデフォルトのルールが 2 つあります。
| ルール名 | 範囲 | トリガー | 条件 | 操作 | ステータス |
|---|---|---|---|---|---|
| [デフォルト] 組織内のユーザーは、組織内で相互に共有することができる | 最上位の組織部門(組織全体) | ファイルの共有と受信 | 自分の組織 | 許可 | アクティブ* |
| [デフォルト] 組織内のユーザーは、Google アカウントを持っているユーザーと共有することができる | 最上位の組織部門(組織全体) | ファイルの共有 |
世界中の全員 訪問者を含める |
許可 | アクティブ* |
デフォルトのルールは編集不可ですが、ルールの無効化や有効化は可能です(Cloud Identity を使用する場合を除く)。
* ドライブの外部共有をすでに設定している場合: デフォルトのルールのステータスは、信頼ルールに変換された同等のドライブ共有設定によって異なります。
組織部門ごとまたはグループごとに共有を許可またはブロックするには
作成する信頼ルールの対象となる組織部門とグループを必ず作成してください。
共有相手を信頼しているドメインに限定するには
信頼できるドメインが許可リストに登録されていることを確認します。信頼できるドメインは、Google Workspace を使用しており、ドメインの所有権が証明済みである必要があります。詳しくは、信頼しているドメインとのみ外部共有を許可するをご覧ください。
Cloud Identity をご利用の場合: Cloud Identity のライセンスを持っているユーザーと Google Workspace のライセンスを持っているユーザーが組織内に混在している場合、Google Workspace の許可リスト登録済みドメインは Cloud Identity ライセンスのユーザーにも適用されます。
信頼ルールを作成する前に、組織構造全体でどのような共有を許可またはブロックするかを検討してください。ルールによって、意図しないユーザーとの共有が許可または禁止されることのないようにしてください。
たとえば、組織部門が 4 つ(営業、法務、リサーチ、その他の全チーム)あり、共有を次のように制限するとします。
- 営業チームがオーナーとなっているファイルは、リサーチチームと内部共有させない。
- 法務チームがオーナーとなっているファイルは、外部の弁護士と共有する場合を除き、外部共有させない。
- リサーチチームがオーナーとなっているファイルは、リサーチチーム内および法務チームとの間でのみ共有できる。
- その他の全チームがオーナーとなっているファイルは、どの外部ユーザーとも共有させない。
この共有モデルを実装する手順は次のとおりです。
ステップ 1: 共同編集の境界を対応表にする
次のような対応表を使用して、各ユーザーにどの種類の共有を許可するかを整理します。
|
内部共有 |
外部共有 | |||
|---|---|---|---|---|
| 組織部門 | 自チームのファイルを共有できる相手 | 自チームのファイルを共有できない相手 | 自チームのファイルを共有できる相手 | 自チームのファイルを共有できない相手 |
| 営業 | 営業、法務、 その他の全チーム |
リサーチ | 全員 | |
| 法務 | すべてのチーム | 外部の弁護士 | その他全員 | |
| リサーチ | リサーチ、法務 | 営業、 その他の全チーム |
全員 | |
| その他の全チーム | すべてのチーム | 全員 | ||
ステップ 2: 次のルールを作成する
| ルール | 範囲 | トリガー | 条件 | 操作 |
|---|---|---|---|---|
| 内部共有 |
含める: ルート 除外: リサーチ |
ファイルの共有 |
組織 |
許可 |
| リサーチ - 内部共有 | 含める: リサーチ | ファイルの共有 ファイルの受信 |
リサーチ、 法務 |
許可 |
| 法務 - 外部共有 | 含める: 法務 |
ファイルの共有 |
外部の弁護士 ドメイン |
許可 |
| 営業 - 外部共有 | 含める: 営業 | ファイルの共有 ファイルの受信 |
Google アカウントを 持つ全員 |
許可 |
| 営業 - 共有のブロック | 含める: 営業 |
ファイルの共有 |
リサーチ | ブロック |
手順 3: 2 つのデフォルトのルールを無効にする
デフォルトのルールは組織内外での幅広い共有に対応していますが、この例では、より限定的な共有モデルと競合することになります。| 行いたい操作 | 必要な管理者権限 |
|---|---|
| 信頼ルールを有効または無効にする | |
| [ルール] リストで信頼ルールを表示する | |
| 信頼ルールの詳細を表示する | |
| 信頼ルールを作成、編集する | |
| 特定の信頼ルールを有効または無効にする | |
| 信頼ルールを削除する |
[設定]信頼ルールを管理するにあたり追加の権限が必要な場合は、管理者にお問い合わせください。
ヒント: 特権管理者は、信頼ルール管理専用にカスタム管理者のロールを作成し、代理管理者に割り当てることができます。詳しくは、管理者のカスタムロールを作成、編集、削除するをご覧ください。
信頼ルール機能を有効または無効にする
信頼ルールを有効にすると、次のようになります。
- ルールリスト内の既存のルールが適用され、組織外とのドライブの共有設定は無効になります。詳しくは、前述のドライブの設定が信頼ルールに変わる仕組みをご覧ください。
- 信頼ルールを有効にする直前にドライブの共有設定を変更すると、一時的に以前の状態のドライブの設定がルールに適用されることがあります。 信頼ルールにドライブの共有設定の最近の変更が反映されるまでに、最長で 48 時間ほどかかることがあります。
信頼ルールを有効にするには:
-
-
管理コンソールで、メニュー アイコン
[ルール] にアクセスします。
- ページ上部の [安全なコラボレーション] カードで、[ドライブに対して有効にする] をクリックします。
[信頼ルールの管理] と [ドライブとドキュメント]
[設定] の管理者権限が必要です。
タスクリストが自動的に開き、信頼ルール有効化の進行状況が表示されます。
信頼ルールを無効にすると、次のようになります。
- 組織のドライブの共有設定が再び有効になり、信頼ルールを有効にする前の状態に戻ります。
- 作成した信頼ルールは完全に削除されます。
信頼ルールを無効にするには:
-
-
管理コンソールで、メニュー アイコン
[アプリ]
[Google Workspace]
- [共有設定] をクリックします。
- [[組織名] の外部との共有] で、[信頼ルールの無効化] をクリックします。
[信頼ルールの管理] と [ドライブとドキュメント]
タスクリストが開き、信頼ルール無効化の進行状況が表示されます。
信頼ルールを作成、管理する
信頼ルールを作成すると、次のようになります。
- いつでも編集して条件や操作などの設定を変更したり、無効化または再有効化したりすることができる。
- 信頼ルールをいつでも削除できる。
-
-
管理コンソールで、メニュー アイコン
- [ルールを作成]
[信頼ルールの表示]、[信頼ルールの管理]、[ドライブとドキュメント]
- [名前] で、ルールの名前と、必要に応じて説明を入力します。
- [範囲] で、次のいずれかを選択します。
デフォルトでは、組織内のすべてのユーザーにルールが適用されます。
特定のユーザーにのみルールを適用するには:
- 共有ルールの場合は、ルールを適用するユーザーのファイルを選択します。信頼ルールは、ルールの範囲内のユーザーがオーナーとなっているファイル、またはルールの範囲内の共有ドライブ内のファイルにのみ適用されます。詳細
- 受信ルールの場合は、共有ファイルの目的の受信者を選択します。
- [組織部門またはグループを指定] をクリックします。
- 組織部門またはグループを含めるか除外するかを選択します。
- 含めるまたは除外する組織部門またはグループを選択します。
- (省略可)複数の組織部門またはグループを含めるか除外します。
たとえば、組織内の 1 つのグループを除く全ユーザーにルールを適用するには、最上位の組織部門を選択してからそのグループを除外します。
組織部門またはグループを除外するには、その横にある削除アイコン
をクリックします。
- [続行] をクリックします。
- [トリガー] で、ルールを適用するイベントを 1 つまたは両方選択します。
- ファイルの共有 - 範囲内のユーザーがオーナーになっているファイルが、[条件] で選択したユーザーと共有されたときに、ルールがトリガーされます。
- ファイルの受信 - 範囲内のユーザーが、[条件] で選択したユーザーがオーナーとなっているファイルまたは共有ドライブ内のファイルを受け取ったとき、もしくは [条件] の共有ドライブにメンバーとして追加されたときに、ルールがトリガーされます。
- [条件] で [条件を追加] をクリックし、範囲内のユーザーとの共有または受信を許可 / ブロックする内部または外部のユーザーを選択します。
内部オプション:
- ユーザー - ユーザーの名前またはメールアドレスを入力します。
- 組織部門 - [組織部門を選択] をクリックします。
- グループ - グループの名前またはメールアドレスを入力します。
- 組織
外部オプション:
(省略可)Google アカウントを持たない相手との外部共有を許可するには、[訪問者を含める] チェックボックスをオンにします。このオプションは、一部の条件には適用されません。詳細
- 外部組織 - 組織のドメイン名(other-company.com など)を入力します。
- 許可リスト登録済みドメイン - 必要に応じて、[許可リスト登録済みドメインを表示] をクリックして、許可リストに登録されているドメインを確認できます。
- Google アカウントを持つ全員(内部ユーザーと外部ユーザーを含む)
- [続行] をクリックします。
- [操作] で、ルールがトリガーされたときの動作([許可]、[許可して警告を表示]、または [ブロック])を選択します。
- [完了] をクリックします。
- ルールを有効にするか無効にするかを選択して、[完了] をクリックします。
変更が反映されるまでには、最長で 48 時間ほどかかることがあります。その間は一時的に、古い設定と新しい設定の両方が適用される場合があります。
信頼ルールは、いつでも編集して、条件やアクションなどの設定の変更や、無効化 / 再有効化を行うことができます。
-
-
管理コンソールで、メニュー アイコン
- [ルール] リストで、目的のルールを探します。
ヒント: [ルールの種類] 列見出しをクリックすると、リストを種類別に並べ替えることができます。または、[フィルタを追加]
- (省略可)ルールの範囲、条件、トリガー、操作を表示するには、リストで目的のルールにカーソルを合わせ、[クイックビュー] をクリックします。
- (省略可)ルールをクリックして詳細ページを開き、設定を表示します。
- (省略可)設定を編集するには:
- 詳細ページの左側にある [ルールを編集] をクリックします。または、設定のセクションをクリックします。
[信頼ルールの表示]、[信頼ルールの管理]、[ドライブとドキュメント]
- 設定を編集します。
別の設定に移動するには、[続行] をクリックします。セクションを閉じるには、[キャンセル]
- 設定の編集が完了したら、[完了] をクリックします。
- 詳細ページの左側にある [ルールを編集] をクリックします。または、設定のセクションをクリックします。
変更が反映されるまでには、最長で 48 時間ほどかかることがあります。その間は一時的に、古い設定と新しい設定の両方が適用される場合があります。
-
-
管理コンソールで、メニュー アイコン
- [ルール] で [フィルタを追加]
- [ルール] リストで、削除するルールにカーソルを合わせ、削除アイコン
をクリックします。
[信頼ルールの表示]、[信頼ルールの管理]、[ドライブとドキュメント]
また、ルールの詳細ページの左側に [削除] オプションがあります(ルールをクリックすると詳細ページが開きます)。
- 確認メッセージで、[削除] をクリックします。
信頼ルールの管理アクティビティを詳細なログで確認できます。次の 3 種類のログがあります。
- ルールの作成
- ルールの削除
- ルールの更新
共有ドライブにあるファイルの信頼ルールのユーザー アクティビティを示す詳細なログを表示できます。次の 3 種類のログがあります。
- ブロックされた受信者
- ファイル共有がブロックされました
- ファイルの表示がブロックされました
表示できるイベントの種類を確認する手順については、管理ログイベントとルールのログイベントをご覧ください。
信頼ルールの仕組みの詳細
例: チームのファイルを別のチームと共有できるようにする
営業チームがオーナーとなっているファイルを、マーケティング チームと共有できるようにする場合を考えてみましょう。この場合は、営業にマーケティングとのファイルの共有を許可するルールと、マーケティングに営業からのファイルの受信を許可するルールが必要になります。
| ルール | 範囲 | トリガー | 条件 | 操作 |
|---|---|---|---|---|
| 1 | 営業 | ファイルの共有 | マーケティング | 許可 |
| 2 | マーケティング | ファイルの受信 | 営業 | 許可 |
例: 2 つのチームのファイルを、両チーム間で共有できるようにする
| ルール | 範囲 | トリガー | 条件 | 操作 |
|---|---|---|---|---|
| 1 | 営業 |
ファイルの共有 |
マーケティング | 許可 |
| 2 | マーケティング |
ファイルの共有 |
営業 | 許可する |
- ファイルのオーナーが別の組織部門またはグループに移動すると、そのファイルには、移動先の組織部門またはグループの共有ルールが適用されます。こうしたルールの変更は、ファイルのオーナー権限を別の組織部門またはグループのユーザーに譲渡する場合にも適用されます。
- 自分がオーナーではないファイルについては、ファイルのオーナーに許可されている共有相手以外にファイルを共有することはできません。これは、共有ルールによる制限が緩やかな組織部門やグループに属している場合でも同じです。
ここでは、Google アカウントを持たないユーザーや管理者による管理対象ではない Google アカウントを持つユーザーに対して、信頼ルールがどのように作用するかについて説明します。
Google アカウントを持たないユーザー(訪問者)
共有を許可するルール
外部とのファイル共有を許可するルールを作成した場合、デフォルトでは、管理対象の Google アカウントを持つユーザーとのみ共有が許可されます。ただし、Google アカウントを持たないユーザーとのファイル共有を許可することも可能です。この場合、受信者には、ビジター アカウントと呼ばれる特別な種類のアカウントが付与されます。詳しくは、ドキュメントをビジターと共有するをご覧ください。
Google アカウントを持たないユーザーとの共有を許可するには、ルールの [条件 ] の設定で、[訪問者を含める] を選択します。このオプションは、外部ドメインまたはすべての外部ユーザーとの外部共有を許可するルールにのみ適用されます。
注: 外部共有を許可しているグループにビジター アカウントを追加して、ビジター アカウントとの共有を許可することはできません。
共有をブロックするルール
訪問者には常に、組織外のユーザーとの共有を禁止するルールが適用されます。条件の [訪問者を含める] オプションがオフになっている場合でも同様です。
ただし、ビジター アカウントとの共有を許可する別のルールがある場合、ブロックルールはグループ内のビジター アカウントには適用されません。たとえば、次のルールがあるとします。
- ルール 1 - [Google アカウントを持つ全員] とのファイル共有を許可する([ 訪問者を含める] がオン)
- ルール 2 - ビジター アカウントを持つメンバーを含むメーリング リスト グループとの共有をブロックする
ブロック操作はグループ内のビジター アカウントには適用されません。ルール 2 の範囲内のユーザーが、ビジター アカウントを持つユーザーにファイルへのアクセス権を付与することもありえます。
管理対象外の Google アカウントを持つユーザー
共有を許可するルール
特定のドメインや組織との外部共有を許可するルールを作成した場合、ユーザーはそのドメインや組織の管理対象外の Google アカウントとは共有できません。こうしたアカウントには、一般ユーザー向けアカウントのほか、特定の Google サービス(Google Workspace Essentials など)のアカウントも含まれます。
ただし、特定の管理対象外のアカウントとの共有をユーザーに許可する場合は、目的のアカウントをグループに追加し、そのグループとの共有を許可するルールを作成することで実現できます。
共有をブロックするルール
管理対象外のアカウントには常に、組織外との共有を禁止するルールが適用されます。
信頼ルールの範囲に組織部門が含まれている場合は、その組織部門のすべての共有ドライブにルールが適用されます。たとえば、製造チームの組織部門に法務チームとのファイル共有を許可するルールを作成すると、法務チームのユーザーは製造チームの共有ドライブにアクセスできます。
共有ドライブの信頼ルールを作成するには、適切な組織部門に共有ドライブを設定する必要があります。
- 共有をブロックする
- 共有を許可する
- 共有を許可して警告を表示する
- 「your-organization.com」は組織の最上位の組織部門です。
- 「マーケティング部」は最上位の下の子組織部門です。
例 1
| ルール | 範囲 | 条件 | トリガー | 操作 |
|---|---|---|---|---|
| 1 | your-organization.com | 世界中の全員 | ファイルの共有 | 許可 |
| 2 | マーケティング部 | 許可リスト登録済みドメイン | ファイルの共有 | 許可 |
結果: マーケティング部は組織全体のサブセットであるため、ルール 1 もマーケティング部に適用されます。したがって、マーケティング部は、許可リスト登録済みドメインだけでなく、世界中のすべてのユーザーと共有できます。下の例 2 は、マーケティング部による共有を許可リスト登録済みドメインのみに限定するルールを作成する方法を示しています。
例 2
| ルール | 範囲 | 条件 | トリガー | 操作 |
|---|---|---|---|---|
| 1 |
your-organization.com 除外: マーケティング部 |
世界中の全員 | ファイルの共有 | 許可 |
| 2 | マーケティング部 | 許可リスト登録済みドメイン | ファイルの共有 | 許可 |
結果: ルール 1 でマーケティング部が除外されるため、マーケティング部にはルール 2 のみが適用されます。そのため、許可リスト登録済みドメインとのみ共有できます。その他のユーザーは、世界中の誰とでも共有できます。
例 3
| ルール | 範囲 | 条件 | トリガー | 操作 |
|---|---|---|---|---|
| 1 | your-organization.com | 許可リスト登録済みドメイン | ファイルの共有 | 許可 |
| 2 | マーケティング部 | 世界中の全員 | ファイルの共有 | 許可 |
結果: ルール 2 のほうが制限が緩やかなため、マーケティング部は世界中の誰とでも共有できます。その他のユーザーは、許可リスト登録済みドメインとのみ共有できます。
例 4
| ルール | 範囲 | 条件 | トリガー | 操作 |
|---|---|---|---|---|
| 1 | your-organization.com | 世界中の全員 | ファイルの共有 | 許可 |
| 2 | マーケティング部 | other-company.com | ファイルの共有 | ブロック |
結果: ルール 2 で共有がブロックされているため、ルール 1 による共有の許可よりも優先されます。したがって、マーケティング部は other-company.com を除く世界中のすべてのユーザーと共有できます。
信頼ルールに関するよくある質問
それぞれの最大数は次のとおりです。
- 有効な信頼ルール: 200
- 信頼ルール(有効または無効): 2,000
- 信頼ルールごとの条件: 150
- 次の種類の条件(組織の信頼ルール全体の合計): 500
- 組織部門
- グループ
- 許可リスト登録済み(信頼できる)ドメイン
- 外部ドメイン
- 特定のユーザー(1~200 人を 1 個、201~400 人を 2 個の条件としてカウント)
注: 次の種類の条件の数には、信頼ルール全体での上限はありません。
- 組織
- Google アカウントを持つ全員
- (ルールごとに)範囲として含めるおよび除外する組織部門またはグループ: 500
-
動的グループ - ユーザーが組織に入ったとき、移動したとき、退職したときに、メンバーを自動的に管理します。動的グループは管理コンソールまたは Cloud Identity API で利用できるため、グループのメンバー構成の変更を手動管理する手間を省くメリットがあります。信頼ルール ポリシーに動的グループを使用するには、そのグループがセキュリティ グループ(セキュリティ ラベルが付いているもの)でもあることを確認してください。動的グループの詳細もご確認ください。
-
セキュリティ グループ - 標準グループまたは動的グループをセキュリティ グループに変換すると、権限管理とアクセス制御を行うためのグループを規制、監査、監視できるようになります。管理コンソールで、または Cloud Identity Groups API を使用してセキュリティ グループを作成するには、セキュリティ ラベルをグループに追加します。詳しくは、セキュリティ グループについての記事をご覧ください。
-
移行されたグループ - Google Cloud Directory Sync(GCDS)を使用して、Microsoft Active Directory などのツールで作成したグループを Google Workspace と同期できます。次に、同期されたグループを信頼ルールで使用します。詳しくは、GCDS の詳細をご覧ください。
- 範囲 - 法務チームの組織部門
- トリガー - ファイルの共有とファイルの受信
- 条件 - 特定の弁護士のアドレスで作成したグループ
- 操作 - 許可
ユーザーが自身のアカウントで Google ドライブと Google ドキュメントを利用しなくなった場合(たとえば、アカウントから Google Workspace ライセンスが削除された場合)、そのユーザーが所有するファイルは組織内でのみ共有可能です。ファイルに適用された信頼ルールが外部共有を許可している場合でも同様です。ファイルの内部共有は、信頼ルールで設定された境界(特定の組織部門とのみ共有可能、など)によって引き続き制限されます。
ユーザーのファイルの外部共有制限を解除するには、そのユーザーのアカウントにアーカイブ ユーザー(AU)ライセンスを追加してください。詳しくは、アーカイブ ユーザー ライセンスを追加するをご覧ください。
組織が、信頼ルールが付帯しない Google Workspace エディションに切り替えても、組織のアクティブな信頼ルールは引き続きアクティブで適用されます。信頼ルールの表示は可能ですが、編集と削除はできません。特権管理者は、信頼ルールを無効にしてドライブの共有設定を使用するようにできます。
信頼ルールを無効にした場合: 組織のドライブの共有設定が再び有効になり、信頼ルールを有効にする前の状態に戻ります。作成した信頼ルールは完全に削除されます。
Google Workspace サブスクリプションを解約しており、Cloud Identity ライセンスしかない場合は、ドライブの共有設定を使用できません。
次のすべてに該当する場合、ファイルを共有するときに [リンクを知っている全員] を選択できます。
- ユーザーのファイルに適用される信頼ルールを使用すると、組織内のすべてのユーザー、Google アカウントを持つ全員、ビジター アカウントとファイルを共有できる。
- ユーザーのファイルに、ファイルの共有をブロックする信頼ルールが適用されていない。
- ドライブの共有設定で [[ドメイン名] の外部との共有が許可されている場合、[ドメイン名] 内のユーザーは、リンクを知っているすべてのユーザーに対して、ファイルおよび公開済みのウェブ コンテンツを公開することができます] がオンになっている。この設定について詳しくは、ユーザーのドライブの共有権限を設定するをご覧ください。
信頼ルールに関して報告されている問題
報告されている問題のリスト
| 問題 | 詳細 |
|---|---|
| 信頼ルールのログに詳細が記録されていない | 信頼ルールの管理ログには、変更を行ったユーザーと変更の種類(作成、更新、削除)が記録されます。ただし、変更の内容と変更された設定はまだログに含まれません。 |
| ルールの [クイックビュー] を開く権限がない管理者に、通知メッセージが表示されない |
代理管理者が [ルール] リストで信頼ルールの [クイックビュー] リンクをクリックしても、その管理者が閲覧に必要なすべての権限([組織部門] > [読み取り] 権限など)がない場合はルールの詳細が表示されません。この場合は、追加の権限が必要であることを示すメッセージも表示されません。 |
| メールによる確認済みの組織が所有する共有ドライブにユーザーがアクセスできない |
信頼ルールを有効にすると、ユーザーはメールによる確認済みのアカウント(Google Workspace Essentials アカウントなど)を持つ別の組織所有の共有ドライブで共同編集ができなくなります。 |
