組織の中には、管理対象外のアカウントを使用して Google サービスにアクセスしている従業員が存在する場合があります。管理対象外のアカウントとは、ユーザーが組織のドメインを使用して独自に作成した Google アカウントです。このようなケースは多く見受けられますが、ユーザーを管理したり、ユーザーの作業データを安全に保ったりするうえで、不都合が生じることが懸念されます。また、管理対象外のアカウントによってアカウント名の競合が生じる場合もあります。管理対象外のアカウントと同じ名前で管理対象アカウントを作成しようとすると、そうした競合が発生します。
Google Workspace の特権管理者は、ユーザーのプロビジョニング中に競合するアカウントを処理する方法を指定できます。管理対象外ユーザーを招待してそのユーザーのアカウントをドメイン内の管理対象アカウントに変換したり、競合するアカウントを管理対象アカウントに一方的に置き換えたり、競合するアカウントを手動で管理したりすることができます。[競合するアカウントの管理] の設定を使用して、管理対象外のアカウントを処理する際のデフォルトのオプションを選択します。選択したオプションは、Admin SDK Directory API を使用してユーザー アカウントを作成する場合に適用されます。
管理対象に含まれないユーザー用の移行ツールを使用すると、存在する管理対象外ユーザー アカウントを確認し、それらのユーザーのアカウントを自社ドメイン内の管理対象アカウントに変換するように招待できます。ユーザーによってこのリクエストが承諾されたら、管理コンソールでアカウントとデータを管理できるようになります。競合を解決するには、移行ツールを使って管理対象外のアカウントを移行します。
管理対象外ユーザーのアカウントを処理するオプションを設定する
注: 選択したオプションは、resolveConflictAccount=true パラメータを指定する Admin SDK Directory APIを使用して作成されたユーザー アカウントに適用されます。
-
- 管理コンソールで、メニュー アイコン
[アカウント]
[アカウント設定]
- [競合するアカウントの管理] で次のいずれかを選択します。
- ユーザーを自動的に招待して、競合する管理対象外のアカウントから管理対象アカウントに移行する - デフォルト設定
毎日のフォローアップ メールの時間を設定します。ユーザーがフォローアップ時間内に招待を辞退または承諾しなかった場合は、次のいずれかを選択します。- 競合するアカウントを管理アカウントに置き換える
- 競合するアカウントを置き換えない
- 競合する管理対象外のアカウントを管理対象のアカウントに置き換える
- 競合する管理対象外のアカウントを管理対象のアカウントに置き換えない
- ユーザーを自動的に招待して、競合する管理対象外のアカウントから管理対象アカウントに移行する - デフォルト設定
- [保存] をクリックします。
管理対象外ユーザーのアカウントを移行する
管理対象外ユーザーのステータスを確認する方法や手動による移行方法については、以下の記事をご覧ください。
注: 管理対象外の一般ユーザーがファミリー グループのメンバーになっている場合、そのユーザーを管理対象の Google Workspace アカウントに移行することはできません。
管理対象のアカウントと管理対象外のアカウント、競合するアカウント名
管理対象ユーザー アカウント
管理対象ユーザー アカウントとは、ドメインの所有権を証明済みのお客様が所有するアカウントです。管理対象ユーザー アカウントは Google Workspace または Cloud Identity の管理者の完全な管理下にあり、Google 管理コンソールで管理できます。
管理対象外ユーザー アカウント
管理対象外ユーザー アカウントとは、作成者が完全に所有、管理するアカウントです。また、ドメインの所有権を証明済みのお客様が所有するものではなく、Google Workspace または Cloud Identity の管理者によって管理されません。組織は、こうしたアカウントの設定、セキュリティ、ライフサイクルを管理することはできません。
管理対象外のアカウントは、個人アカウントまたは一般ユーザー向けアカウントと呼ばれることもあります。これは、個人ユーザーがメールアドレスに会社のドメイン名を使って Google の一般ユーザー向けサービスに登録する場合があるためです。
競合するアカウント
管理者が既存の管理対象外ユーザー アカウントと同じアカウント名を使用して管理対象の Google アカウントを作成すると、競合するアカウントが作成されます。こうした競合が発生した場合、特権管理者が管理対象に含まれないユーザー用の移行ツールを使用することで、アカウントの競合を解決できます。
管理対象外のアカウントの移行が必要な理由
従業員が管理対象外のアカウントを使用している場合、ユーザー ID を 1 か所で管理できるという前提が損なわれます。管理対象外のアカウントは、Google Workspace または Cloud Identity で管理されません。そのため、移行ツールを使用して管理対象アカウントに変換する管理対象外ユーザー アカウントを特定し、管理対象外ユーザー アカウントを管理対象アカウントに移行します。
ビジネス用に使用され、会社のメールアドレスを使用している管理対象外のアカウントは、次のような複数のリスクをもたらす可能性があります。
- 管理対象外ユーザー アカウントのライフサイクルは管理できません。退職した従業員が、引き続き管理対象外のアカウントを使用して会社のリソースにアクセスしたり、会社の費用が発生したりする可能性があります。
- すべてのリソースへのアクセス権を取り消しても、管理対象外アカウントはソーシャル エンジニアリングのリスクをもたらす可能性があります。ユーザー アカウントには会社のドメイン名という一見信頼できる ID が使用されているため、元の従業員が現在の従業員やビジネス パートナーにリソース(機密性の高いドライブ ファイルなど)へのアクセスを再び許可させることができる場合があります。
- 管理対象外のアカウントを持っている元の従業員が、そのユーザー アカウントを使用して組織のポリシーに違反するアクティビティを実行した場合、会社の評判が損なわれる可能性があります。
- 2 段階認証プロセスやパスワードの複雑さのルールなどのセキュリティ ポリシーを適用することはできません。
- ドキュメントとドライブのデータの地理的な保管場所を制限できないため、コンプライアンスのリスクとなる可能性があります。
- 管理対象外ユーザー アカウントを使用してアクセスできる Google サービスを制限することはできません。
