この機能に対応しているエディション: Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus。エディションを比較する
信頼ルールを使用して詳細なポリシーを作成し、Google ドライブのファイルにアクセスできるユーザーを制御できます。作成したポリシーを個々のユーザー、グループ、組織部門、ドメインに適用して、次の項目を指定できます。
- 内部または外部のユーザーとの間で共有できるユーザーのファイル
- 内部または外部のユーザーからファイルを受信できるユーザー
- 共有ドライブに招待することが可能で、共有ドライブにファイルを追加できる、内部または外部のユーザー
信頼ルールを使用すると、共同編集の境界を柔軟に設定できるため、機密情報の保護および業界標準や規制への準拠の維持に役立ちます。
信頼ルールを使用して外部共有を制御する
組織のマーケティング チームが自分のチームのファイルを、パートナー組織の特定のユーザーと共有する必要があるとします。組織の情報の機密性を守るため、次のようなルールを作成して外部との共同編集に関する境界を設定します。
- マーケティング チームがオーナーとなっているファイルを、パートナー組織の特定のユーザーと共有することを許可する。
- 組織内の他のチームがオーナーとなっているファイルを、パートナー組織と共有できないようにブロックする。
- パートナー組織の他のチームが、組織内のどのユーザーともファイルを共有できないようにブロックする。
信頼ルールを使用して内部共有を管理する
組織の財務チームが自分のチームのファイルを、エグゼクティブ チームとのみ共有するとします。他のチームには財務チームの機密情報を受け取れなくするには、次のようなルールを作成して、社内での共同編集の境界を設定します。
- 財務チームがオーナーとなっているファイルを、財務チームおよびエグゼクティブ チームと共有することを許可する。
- 財務チームがオーナーとなっているファイルを、組織内の他のチームと共有できないようにブロックする。
信頼ルールを使用してスパムやフィッシングを防止する
ドライブでは、外部ユーザーが内部のユーザーとスパムやフィッシングを共有できないよう、可能な限りブロックしています。ただし、リスクを軽減するための追加の対策として、信頼できるドメインの外部ユーザーのみが内部ユーザーとファイルを共有できるようにするルールを作成することもできます。ユーザーが引き続き共同編集できるようにするには、通常は内部ユーザーが外部ユーザーからファイルを受け取らない組織部門にのみこのルールを適用します。
ドライブの共有設定が信頼ルールに変わる仕組み
ドライブの共有設定は信頼ルールに変換される
ドライブの共有設定は自動的に信頼ルールに変換される
信頼ルールは、ドライブの設定([共有オプション] 
[組織外のユーザーとの共有])に代わる機能です。
ドライブの設定から変換されたルールをプレビューできる
ドライブの設定から自動作成されたルールをプレビューするには:
管理コンソールのホームページから、[ルール] にアクセスします。ルールを種類でフィルタするには、[フィルタを追加] [ルールの種類] [信頼] をクリックします。
リストには以下のルールが表示されます。
- 組織外での共有に関する 2 つのデフォルト ルール
適用されると、ドライブの同等の共有設定に応じて有効または無効になります。
- 現在のドライブ設定の共有境界と一致させるために必要なその他のルール
重要: 信頼ルールを有効にするまでは、これらのルールは適用されません。
同等のドライブ共有設定は無効になる
信頼ルールを有効にすると、ドライブの組織外共有設定を使用することはできなくなります。ドライブの共有設定について詳しくは、ユーザーのドライブの共有権限を設定するをご覧ください。
信頼ルールは無効にすることができる
いつでも信頼ルールを無効にして、ドライブの共有設定を使用するように戻すことができます。詳しくは、後述の信頼ルールを有効または無効にするをご覧ください。
信頼ルールはドライブの共有設定よりも詳細な制御が可能
信頼ルールの範囲と条件というコンポーネントを使用すると、ドライブの共有設定よりも詳細にファイル共有を制御できます。ルールのコンポーネントについて詳しくは、このページで後述する信頼ルールのコンポーネントについてをご覧ください。
次の表は、ドライブの共有設定と信頼ルールで利用可能なコントロールを比較したものです。
スコープ コントロール
| 範囲 |
ドライブ共有設定 |
信頼ルール |
|---|---|---|
| 組織部門を含める | ✔ | ✔ |
| グループを含める | ✔ | ✔ |
| 組織部門を除外する | ✔ | |
| グループを除外する | ✔ |
条件コントロール
| 条件 | ドライブ共有設定 | 信頼ルール |
|---|---|---|
| 組織全体 | ✔ | ✔ |
| 許可リスト登録済みドメイン | ✔ | ✔ |
| 外部組織 | ✔ | |
| 組織部門 | ✔ | |
| グループ(内部作成) | ✔ | |
| ユーザー(内部) | ✔ |
始める前に
信頼ルールのコンポーネントについて
信頼ルールを作成するには、範囲、トリガー、条件、操作のコンポーネントを定義します。これらのコンポーネントを使用して、x が発生したら y を実行するというルールを作成できます。
たとえば、組織の営業部門がオーナーとなっているファイルを、顧客の組織(other-company.com)内の誰とでも共有できるようにルールを作成する場合、ルールのコンポーネントは次のようになります。
- 範囲は、営業部門の組織部門です。
- トリガーは、範囲内のユーザー所有ファイルを誰かが共有しようとすることです。
- 条件は、other-company.com です。
- 操作は、ファイル共有を許可することです。
範囲の定義
範囲とは、組織内の、ルールのトリガーの適用対象であるユーザーです。
- ルールのトリガーが [ファイルの共有] である場合、範囲は共有の管理対象となるファイルのオーナーになります。
重要: 共有ルールでは、範囲内のユーザーがオーナーとなっているファイルについて、編集権限を持つユーザーとの共有も制御できます。
- ルールのトリガーが [ファイルの受信] である場合、範囲はファイルの受信者になります。
範囲については、以下が可能です。
トリガーを定義する
トリガーとは、ルールで許可またはブロックするアクティビティのことです。次のいずれかを選択できます。
- ファイルの共有
- ファイルを受信しています
条件を定義する
条件とは、ファイルの共有相手または受信ファイルのオーナーです。
- ルールのトリガーが [ファイルの共有] である場合、条件はファイルの受信者になります。
- ルールのトリガーが [ファイルの受信] である場合、条件はファイルのオーナーになります。
ルールには、組織内外を問わず、次のような複数の条件を指定できます。
- 組織部門
- 組織の Google グループ サービスのグループ(外部ユーザーを含めることも可能)
- 許可リストに登録済みドメイン(許可リストにあるすべての外部ドメインのすべてのユーザー)
- 許可リストにない外部ドメイン(Google Workspace を使用しており、ドメインの所有権が証明済みである必要があります)
- 組織内の特定のユーザー
- Google アカウントを持つすべてのユーザー
注: 条件が 1 つでも満たされれば、ルールは有効になります。
アクションを定義する
操作とは、ルールがトリガーされたときに生じる結果のことです。次のことが可能です。
- 共有を許可する
- 共有を許可して警告を表示する
注: このオプションを選択すると、ユーザーがファイルを共有するときに警告が表示されますが、ファイルを受信するときには表示されません。
- 共有をブロックする
組織外のユーザーとの共有に関するデフォルトのルールについて
組織外での共有を指定するデフォルトのルールが 2 つあります。
| ルール名 | 範囲 | トリガー | 条件 | アクション | ステータス |
|---|---|---|---|---|---|
| [デフォルト] 組織内のユーザーは、組織内で相互に共有することができる | 最上位の組織部門(組織全体) | ファイルの共有と受信 | 自分の組織 | 許可 | Active* |
| [デフォルト] 組織内のユーザーは、Google アカウントを持っているユーザーと共有することができる | 最上位の組織部門(組織全体) | ファイルの共有 |
世界中の全員 訪問者を含める |
許可 | Active* |
デフォルトのルールは編集不可ですが、ルールの無効化や有効化は可能です(Cloud Identity を使用する場合を除く)。
* ドライブの外部共有をすでに設定している場合: デフォルトのルールのステータスは、信頼ルールに変換された同等のドライブ共有設定によって異なります。
組織部門、グループ、信頼できるドメインのリストを準備する
組織部門ごとまたはグループごとに共有を許可またはブロックするには
作成する信頼ルールの対象となる組織部門とグループを必ず作成してください。
共有相手を信頼しているドメインに限定するには
信頼できるドメインが許可リストに登録されていることを確認します。信頼できるドメインは、Google Workspace を使用しており、ドメインの所有権が証明済みである必要があります。詳しくは、信頼しているドメインとのみ外部共有を許可するをご覧ください。
Cloud Identity をご利用の場合: Cloud Identity のライセンスを持っているユーザーと Google Workspace のライセンスを持っているユーザーが組織内に混在している場合、Google Workspace の許可リスト登録済みドメインは Cloud Identity ライセンスのユーザーにも適用されます。
信頼ルールの計画を立てる(例を使って説明)
信頼ルールを作成する前に、組織構造全体でどのような共有を許可またはブロックするかを検討してください。ルールによって、意図しないユーザーとの共有が許可または禁止されることのないようにしてください。
たとえば、組織部門が 4 つ(営業、法務、リサーチ、その他の全チーム)あり、共有を次のように制限するとします。
- 営業チームがオーナーとなっているファイルは、リサーチチームと内部共有させない。
- 法務チームがオーナーとなっているファイルは、外部の弁護士と共有する場合を除き、外部共有させない。
- リサーチチームがオーナーとなっているファイルは、リサーチチーム内および法務チームとの間でのみ共有できる。
- その他の全チームがオーナーとなっているファイルは、どの外部ユーザーとも共有させない。
この共有モデルを実装する手順は次のとおりです。
ステップ 1: 共同編集の境界を対応表にする
次のような対応表を使用して、各ユーザーにどの種類の共有を許可するかを整理します。
|
内部共有 |
外部共有 | |||
|---|---|---|---|---|
| 組織部門 | 自チームのファイルを共有できる相手 | 自チームのファイルを共有できない相手 | 自チームのファイルを共有できる相手 | 自チームのファイルを共有できない相手 |
| 販売促進 | 営業、法務、 その他の全チーム |
リサーチ | 全員 | |
| 法的事項 | すべてのチーム | 外部の弁護士 | その他すべてのユーザー | |
| リサーチ | リサーチ、法務 | 営業、 その他の全チーム |
全員 | |
| その他の全チーム | すべてのチーム | 全員 | ||
ステップ 2: 次のルールを作成します。
| ルール | 範囲 | トリガー | 条件 | アクション |
|---|---|---|---|---|
| 内部共有 |
含める: ルート 除外: リサーチ |
ファイルの共有 |
組織 |
許可 |
| リサーチ - 内部共有 | 含める: リサーチ | ファイルの共有 ファイルの受信 |
リサーチ、 法務 |
許可 |
| 法務 - 外部共有 | 含める: 法務 |
ファイルの共有 |
外部の弁護士 ドメイン |
許可 |
| 営業 - 外部共有 | 含める: 営業 | ファイルの共有 ファイルの受信 |
Google アカウントを 持つ全員 |
許可 |
| 営業 - 共有のブロック | 含める: 営業 |
ファイルの共有 |
リサーチ | ブロック |
ステップ 3: 2 つのデフォルトのルールを無効にする
デフォルトのルールは組織内外での幅広い共有に対応していますが、この例では、より限定的な共有モデルと競合することになります。
信頼ルールの管理に必要な管理者権限について
| 操作 | 必要な管理者権限 |
|---|---|
| 信頼ルールを有効または無効にする | |
| [ルール] リストで信頼ルールを表示する | |
| 信頼ルールの詳細を表示する | |
| 信頼ルールを作成、編集する | |
| 特定の信頼ルールを有効または無効にする | |
| 信頼ルールを削除する |
信頼ルールを管理するにあたり追加の権限が必要な場合は、管理者にお問い合わせください。
ヒント: 特権管理者は、信頼ルール管理専用にカスタム管理者のロールを作成し、代理管理者に割り当てることができます。詳しくは、管理者のカスタムロールを作成、編集、削除するをご覧ください。
信頼ルール機能を有効または無効にする
ドライブの信頼ルール機能を有効にする
信頼ルールを有効にすると、次のようになります。
- ルールリスト内の既存のルールが適用され、組織外とのドライブの共有設定は無効になります。詳しくは、前述のドライブの設定が信頼ルールに変わる仕組みをご覧ください。
- 信頼ルールを有効にする直前にドライブの共有設定を変更すると、一時的に以前の状態のドライブの設定がルールに適用されることがあります。信頼ルールにドライブの共有設定の最近の変更が反映されるまでに、最長で 48 時間ほどかかることがあります。
信頼ルールを有効にするには:
- ページ上部の [安全なコラボレーション] カードで、[ドライブに対して有効にする] をクリックします。
[信頼ルールの管理] と [ドライブとドキュメント] [設定] の管理者権限が必要です。
タスクリストが自動的に開き、信頼ルール有効化の進行状況が表示されます。
[ドライブの信頼ルール機能を無効にする
信頼ルールを無効にすると、次のようになります。
- 組織のドライブの共有設定が再び有効になり、信頼ルールを有効にする前の状態に戻ります。
- 作成した信頼ルールは完全に削除されます。
信頼ルールを無効にするには:
-
Google 管理コンソールで、メニュー アイコン
[アプリ] [Google Workspace] [ドライブとドキュメント] に移動します。アクセスするにはサービス設定の管理者権限が必要です。
- [共有設定] をクリックします。
- [[組織名] の外部との共有] で、[信頼ルールの無効化] をクリックします。
[信頼ルールの管理] と [ドライブとドキュメント] [設定] の管理者権限が必要です。
タスクリストが開き、信頼ルール無効化の進行状況が表示されます。
信頼ルールを作成、管理する
信頼ルールを作成する
信頼ルールを作成すると、次のようになります。
- いつでも編集して条件や操作などの設定を変更したり、無効化または再有効化したりすることができる。
- 信頼ルールはいつでも削除できます。
- [ルールを作成] [信頼] をクリックします。
[信頼ルールの表示]、[信頼ルールの管理]、[ドライブとドキュメント] [設定]、[グループ] [読み取り]、[組織部門] [読み取り] の管理者権限が必要です。
- [名前] で、ルールの名前と、必要に応じて説明を入力します。
- [範囲] で、次のいずれかを選択します。
デフォルトでは、組織内のすべてのユーザーにルールが適用されます。
特定のユーザーにのみルールを適用するには:
- 共有ルールの場合は、ルールを適用するユーザーのファイルを選択します。信頼ルールは、ルールの範囲内のユーザーがオーナーとなっているファイル、またはルールの範囲内の共有ドライブ内のファイルにのみ適用されます。詳細
- 受信ルールの場合は、共有ファイルの目的の受信者を選択します。
- [組織部門またはグループを指定] をクリックします。
- 組織部門またはグループを含めるか除外するかを選択します。
- 含めるまたは除外する組織部門またはグループを選択します。
- (省略可)複数の組織部門またはグループを含めるか除外します。
たとえば、組織内の 1 つのグループを除く全ユーザーにルールを適用するには、最上位の組織部門を選択してからそのグループを除外します。
組織部門またはグループを削除するには、その横にある削除アイコン
をクリックします。
- [続行] をクリックします。
- [トリガー] で、ルールを適用するイベントを 1 つまたは両方選択します。
- ファイルの共有 - 範囲内のユーザーがオーナーになっているファイルが、[条件] で選択したユーザーと共有されたときに、ルールがトリガーされます。
- ファイルの受信 - 範囲内のユーザーが、[条件] で選択したユーザーがオーナーとなっているファイルまたは共有ドライブ内のファイルを受け取ったとき、もしくは [条件] の共有ドライブにメンバーとして追加されたときに、ルールがトリガーされます。
- [条件] で [条件を追加] をクリックし、範囲内のユーザーとの共有または受信を許可 / ブロックする内部または外部のユーザーを選択します。
内部オプション:
- ユーザー - ユーザーの名前またはメールアドレスを入力します。
- 組織部門 - [組織部門を選択] をクリックします。
- グループ - グループの名前またはメールアドレスを入力します。
- 組織
外部オプション:
(省略可)Google アカウントを持たない相手との外部共有を許可するには、[訪問者を含める] チェックボックスをオンにします。このオプションは、一部の条件には適用されません。ビジターとの共有機能について
- 外部組織 - 組織のドメイン名(other-company.com など)を入力します。ビジターとの共有機能を使用している場合を除き、組織はドメインの所有権証明済みの Google Workspace アカウントを持っている必要があります。
- 許可リスト登録済みドメイン - 必要に応じて、[許可リスト登録済みドメインを表示] をクリックして、許可リストに登録されているドメインを確認できます。
- Google アカウントを持つ全員(内部ユーザーと外部ユーザーを含む)
- [続行] をクリックします。
- [操作] で、ルールがトリガーされたときの動作([許可]、[許可して警告を表示]、または [ブロック])を選択します。
- [完了] をクリックします。
- ルールを有効にするか無効にするかを選択して、[完了] をクリックします。
変更が反映されるまでには、最長で 48 時間ほどかかることがあります。その間は一時的に、古い設定と新しい設定の両方が適用される場合があります。
信頼ルールの詳細を表示、編集する
信頼ルールは、いつでも編集して、条件やアクションなどの設定の変更や、無効化 / 再有効化を行うことができます。
- [ルール] リストで、目的のルールを探します。
ヒント: [ルールの種類] 列見出しをクリックすると、リストを種類別に並べ替えることができます。または、[フィルタを追加]
[ルールの種類] [信頼] をクリックしてリストを絞り込むことができます。 - (省略可)ルールの範囲、条件、トリガー、操作を表示するには、リストで目的のルールにカーソルを合わせ、[クイックビュー] をクリックします。
- (省略可)ルールをクリックして詳細ページを開き、設定を表示します。
- (省略可)設定を編集するには:
- 詳細ページの左側にある [ルールを編集] をクリックします。または、設定のセクションをクリックします。
[信頼ルールの表示]、[信頼ルールの管理]、[ドライブとドキュメント] [設定]、[グループ] [読み取り]、[組織部門] [読み取り] の管理者権限が必要です。
- 設定を編集します。
別の設定に移動するには、[続行] をクリックします。セクションを閉じるには、[キャンセル]
[破棄して終了] をクリックします。 - 設定の編集が完了したら、[完了] をクリックします。
- 詳細ページの左側にある [ルールを編集] をクリックします。または、設定のセクションをクリックします。
[信頼ルールの表示]、[信頼ルールの管理]、[ドライブとドキュメント]
変更が反映されるまでには、最長で 48 時間ほどかかることがあります。その間は一時的に、古い設定と新しい設定の両方が適用される場合があります。
信頼ルールを削除する
信頼ルールを削除すると、Google サービスから完全に削除されます。後でルールを再有効化する可能性がある場合は、削除するのではなく、編集して無効にすることをおすすめします。信頼ルールの詳細を表示または編集するをご覧ください。
- [ルール] で [フィルタを追加] [ルールの種類] [信頼] をクリックします。
- [ルール] リストで、削除するルールにカーソルを合わせ、削除アイコン
をクリックします。
[信頼ルールの表示]、[信頼ルールの管理]、[ドライブとドキュメント] [設定] の管理者権限が必要です。また、ルールの詳細ページの左側に [削除] オプションがあります(ルールをクリックすると詳細ページが開きます)。
- 確認メッセージで、[削除] をクリックします。
変更が反映されるまでには、最長で 48 時間ほどかかることがあります。その間は一時的に、古い設定と新しい設定の両方が適用される場合があります。
信頼ルールのログイベントを表示する
信頼ルールの管理アクティビティを詳細なログで確認できます。次の 3 種類のログがあります。
- ルールの作成
- ルールの削除
- ルールの更新
共有ドライブにあるファイルの信頼ルールのユーザー アクティビティを示す詳細なログを表示できます。次の 3 種類のログがあります。
- ブロックされた受信者
- ファイル共有がブロックされました
- ブロックされたファイルの表示
表示できるイベントの種類を確認する手順については、管理ログイベントとルールのログのイベントをご覧ください。
信頼ルールの仕組みの詳細
内部の 2 チーム間で共同編集できるようにするには、ルールが 2 つ必要
あるチームまたはユーザーのファイルを社内の別のチームやユーザーと共有できるようにするには、共有に関するルールと受信に関するルール、合わせて 2 つのルールが必要です。
例: チームのファイルを別のチームと共有できるようにする
営業チームがオーナーとなっているファイルを、マーケティング チームと共有できるようにする場合を考えてみましょう。営業にマーケティングとのファイルの共有を許可するルールと、マーケティングに営業からのファイルの受信を許可するルールが必要になります。
| ルール | 範囲 | トリガー | 条件 | アクション |
|---|---|---|---|---|
| 1 | 販売促進 | ファイルの共有 | マーケティング | 許可 |
| 2 | マーケティング | ファイルを受信しています | 販売促進 | 許可 |
例: 2 つのチームのファイルを、両チーム間で共有できるようにする
営業チームとマーケティング チームがオーナーとなっているファイルを、2 つのチーム間で共有できるようにする場合を考えてみましょう。上の例のように、2 つのルールが必要です。ただし、この場合は各ルールのトリガーに共有と受信の両方を含める必要があります。
| ルール | 範囲 | トリガー | 条件 | アクション |
|---|---|---|---|---|
| 1 | 販売促進 |
ファイルの共有 |
マーケティング | 許可 |
| 2 | マーケティング |
ファイルの共有 |
販売促進 | 許可 |
信頼ルールは、範囲内のユーザーがオーナーとなっているファイルにのみ適用される
ファイル共有時の動作を指定するルールは、そのルールの範囲のユーザーがオーナーとなっているファイル(および共有ドライブ内のファイル)にのみ適用されます。このルールは、範囲内のユーザーに(編集者権限があっても)オーナー権限がないファイルには適用されません。
たとえば、リサーチチームがオーナーとなっているファイルを営業チームと共有できないようにするルールを作成した場合、リサーチチームに編集権限があるその他のファイルについては、引き続き営業チームと共有できます。営業チームが別のチームからファイルを受信できないようにするには、ブロックルールを作成します。
注:
- ファイルのオーナーが別の組織部門またはグループに移動すると、そのファイルには、移動先の組織部門またはグループの共有ルールが適用されます。こうしたルールの変更は、ファイルのオーナー権限を別の組織部門またはグループのユーザーに譲渡する場合にも適用されます。
- 自分がオーナーではないファイルについては、ファイルのオーナーに許可されている共有相手以外にファイルを共有することはできません。これは、共有ルールによる制限が緩やかな組織部門やグループに属している場合でも同じです。
訪問者や管理対象外 Google アカウントに対する信頼ルールの仕組み
ここでは、Google アカウントを持たないユーザーや管理者による管理対象ではない Google アカウントを持つユーザーに対して、信頼ルールがどのように作用するかについて説明します。
Google アカウントを持たないユーザー(訪問者)
共有を許可するルール
外部とのファイル共有を許可するルールを作成した場合、デフォルトでは、管理対象の Google アカウントを持つユーザーとのみ共有が許可されます。ただし、Google アカウントを持たないユーザーとのファイル共有を許可することも可能です。この場合、受信者には、ビジター アカウントと呼ばれる特別な種類のアカウントが付与されます。詳しくは、ドキュメントをビジターと共有するをご覧ください。
Google アカウントを持たないユーザーとの共有を許可するには、ルールの [条件] の設定で、[訪問者を含める] を選択します。このオプションは、外部ドメインまたはすべての外部ユーザーとの外部共有を許可するルールにのみ適用されます。
注: 外部共有を許可しているグループにビジター アカウントを追加して、ビジター アカウントとの共有を許可することはできません。
共有をブロックするルール
訪問者には常に、組織外のユーザーとの共有を禁止するルールが適用されます。条件の [訪問者を含める] オプションがオフになっている場合でも同様です。
ただし、ビジター アカウントとの共有を許可する別のルールがある場合、ブロックルールはグループ内のビジター アカウントには適用されません。たとえば、次のルールがあるとします。
- ルール 1 - [Google アカウントを持つ全員] とのファイル共有を許可する([訪問者を含める] がオン)。
- ルール 2 - ビジター アカウントを持つメンバーを含むメーリング リスト グループとの共有をブロックする。
ブロック操作はグループ内のビジター アカウントには適用されません。ルール 2 の範囲内のユーザーが、ビジター アカウントを持つユーザーにファイルへのアクセス権を付与することもありえます。
管理対象外の Google アカウントを持つユーザー
共有を許可するルール
特定のドメインや組織との外部共有を許可するルールを作成した場合、ユーザーはそのドメインや組織の管理対象外の Google アカウントとは共有できません。こうしたアカウントには、一般ユーザー向けアカウントとメールによる確認済みの Google Workspace アカウントが含まれます。
ただし、特定の管理対象外のアカウントとの共有をユーザーに許可する場合は、目的のアカウントをグループに追加し、そのグループとの共有を許可するルールを作成することで実現できます。
共有をブロックするルール
管理対象外のアカウントには常に、組織外との共有を禁止するルールが適用されます。
共有ドライブへの信頼ルールの適用の仕組み
信頼ルールの範囲に組織部門が含まれている場合は、その組織部門のすべての共有ドライブにルールが適用されます。たとえば、製造チームの組織部門に法務チームとのファイル共有を許可するルールを作成すると、法務チームのユーザーは製造チームの共有ドライブにアクセスできます。
共有ドライブの信頼ルールを作成するには、適切な組織部門に共有ドライブを設定する必要があります。
信頼ルールの優先順位: 競合するルールの処理方法
複数の信頼ルールの範囲、トリガー、条件が 1 つの共有イベントと一致する場合、ルールの操作コンポーネントは次の順で優先されます。
- 共有をブロックする
- 共有を許可する
- 共有を許可して警告を表示する
ルールの競合の処理について、例を交えて説明します。これらの例の前提は次のとおりです。
- 「your-organization.com」は組織の最上位の組織部門です。
- 「マーケティング部」は最上位の下の子組織部門です。
例 1
| ルール | 範囲 | 条件 | トリガー | アクション |
|---|---|---|---|---|
| 1 | your-organization.com | 世界中の全員 | ファイルの共有 | 許可 |
| 2 | マーケティング部門 | 許可リスト登録済みドメイン | ファイルの共有 | 許可 |
結果: マーケティング部は組織全体のサブセットであるため、ルール 1 もマーケティング部に適用されます。したがって、マーケティング部は、許可リスト登録済みドメインだけでなく、世界中のすべてのユーザーと共有できます。下の例 2 は、マーケティング部による共有を許可リスト登録済みドメインのみに限定するルールを作成する方法を示しています。
例 2
| ルール | 範囲 | 条件 | トリガー | アクション |
|---|---|---|---|---|
| 1 |
your-organization.com 除外: マーケティング部 |
世界中の全員 | ファイルの共有 | 許可 |
| 2 | マーケティング部門 | 許可リスト登録済みドメイン | ファイルの共有 | 許可 |
結果: ルール 1 でマーケティング部が除外されるため、マーケティング部にはルール 2 のみが適用されます。そのため、許可リスト登録済みドメインとのみ共有できます。その他のユーザーは、世界中の誰とでも共有できます。
例 3
| ルール | 範囲 | 条件 | トリガー | アクション |
|---|---|---|---|---|
| 1 | your-organization.com | 許可リスト登録済みドメイン | ファイルの共有 | 許可 |
| 2 | マーケティング部 | 世界中の全員 | ファイルの共有 | 許可 |
結果: ルール 2 のほうが制限が緩やかなため、マーケティング部は世界中の誰とでも共有できます。その他のユーザーは、許可リスト登録済みドメインとのみ共有できます。
例 4
| ルール | 範囲 | 条件 | トリガー | アクション |
|---|---|---|---|---|
| 1 | your-organization.com | 世界中の全員 | ファイルの共有 | 許可 |
| 2 | マーケティング部門 | other-company.com | ファイルの共有 | ブロック |
結果: ルール 2 で共有がブロックされているため、ルール 1 による共有の許可よりも優先されます。したがって、マーケティング部は other-company.com を除く世界中のすべてのユーザーと共有できます。
信頼ルールの無効化と再有効化はいつでも可能
デフォルトでは、新規作成したルールのステータスは [アクティブ] に設定されています。ただし、新規または既存のルールを [無効] に設定することができます。たとえば、新しいルールを作成し、使用する環境が整うまで無効にしておくことができます。
信頼ルールに関するよくある質問
信頼ルールの変更が反映されるまでにどのくらいの時間がかかりますか?
信頼ルールの範囲または条件に組織部門が含まれていない場合、その信頼ルールがドライブの共有に適用されるまでには最長で 24 時間ほどかかることがあります。ただし、信頼ルールの範囲または条件に 1 つ以上の組織部門が含まれる場合、組織部門の規模によっては、ルールが適用されるまでに最長で 48 時間ほどかかることがあります。
信頼ルールとルールの条件の数に上限はありますか?
最大数は次のとおりです。
- 有効な信頼ルール: 200
- 信頼ルール(有効または無効): 2,000
- 信頼ルールごとの条件: 150
- 次の種類の条件(組織の信頼ルール全体の合計): 500
- 組織部門
- グループ
- 許可リスト登録済み(信頼できる)ドメイン
- 外部ドメイン
- 特定のユーザー(1 ~ 200 人を 1 個、201 ~ 400 人を 2 個の条件としてカウント)
注: 次の種類の条件の数には、信頼ルール全体での上限はありません。
- 組織
- Google アカウントを持つすべてのユーザー
- (ルールごとに)範囲として含めるおよび除外する組織部門またはグループ: 500
ルールの範囲や条件には、どのような種類のグループを選択できますか?
管理コンソールの [グループ] リストで、管理者またはユーザーが作成したグループを選択できます。グループ アドレスの末尾は組織のドメインである必要があります。つまり、ルールの範囲や条件に外部グループを指定することはできません。
次のような種類のグループは、信頼ルールの対象にする際に考慮する必要があります。
-
動的グループ - ユーザーが組織に入ったとき、移動したとき、退職したときに、メンバーを自動的に管理します。動的グループは管理コンソールまたは Cloud Identity API で利用できるため、グループのメンバー構成の変更を手動管理する手間を省くメリットがあります。信頼ルール ポリシーに動的グループを使用するには、そのグループがセキュリティ グループ(セキュリティ ラベルが付いているもの)でもあることを確認してください。動的グループの詳細もご確認ください。
-
セキュリティ グループ - 標準グループまたは動的グループをセキュリティ グループに変換すると、権限管理とアクセス制御を行うためのグループを規制、監査、監視できるようになります。管理コンソールで、または Cloud Identity Groups API を使用してセキュリティ グループを作成するには、セキュリティ ラベルをグループに追加します。詳しくは、セキュリティ グループについての記事をご覧ください。
-
移行されたグループ - Google Cloud Directory Sync(GCDS)を使用して、Microsoft Active Directory などのツールで作成したグループを Google Workspace と同期できます。次に、同期されたグループを信頼ルールで使用します。詳しくは、GCDS の詳細をご覧ください。
外部ユーザーに信頼ルールを適用するにはどうすればよいですか?
外部ユーザーに信頼ルールを適用するには、外部アドレス(外部グループ、個人のアドレスなど)でグループを作成します。たとえば、組織の法務チームが外部の弁護士事務所の特定の弁護士とチームのファイルを共有する必要がある場合は、その弁護士のアドレスでグループを作成します。その後、次のようなルールを作成します。
- 範囲 - 法務チームの組織部門
- トリガー - ファイルの共有とファイルの受信
- 条件 - 特定の弁護士のアドレスで作成したグループ
- 操作 - 許可
ユーザーのアカウントからドライブが削除された場合、そのユーザーの共有ファイルには信頼ルールが引き続き適用されますか?
ユーザーが自身のアカウントで Google ドライブと Google ドキュメントを利用しなくなった場合(たとえば、アカウントから Google Workspace ライセンスが削除された場合)、そのユーザーが所有するファイルは組織内でのみ共有可能です。ファイルに適用された信頼ルールが外部共有を許可している場合でも同様です。特定の組織部門への共有を制限するなどの内部共有ルールは、ユーザーのファイルに適用されなくなります。ただし、他のライセンス ユーザーがファイルを受信できないようにするルールは引き続き適用されます。
ユーザーのファイルの外部共有制限を解除するには、そのユーザーのアカウントにアーカイブ ユーザー(AU)ライセンスを追加してください。詳しくは、アーカイブ ユーザー ライセンスを追加するをご覧ください。
ルールでユーザーが外部と共有することを許可していて、後でそのユーザーをルールから削除した場合、そのユーザーのファイルに外部からアクセスすることはできますか?
グループがファイルを外部と共有できるようにするルールを作成した後で、そのグループからユーザーを削除すると、そのユーザーが外部と共有したファイルに組織外からアクセスできなくなります。
信頼ルールが付帯しない Google Workspace ライセンスを持つユーザーに、信頼ルールを適用できますか?
信頼ルールが付帯しない Google Workspace ライセンスを持つユーザーが混在する組織では、それらのユーザーとそのファイルにも信頼ルールを適用できます。また、ユーザーのアカウントで、信頼ルールが付帯する Google Workspace ライセンスから信頼ルールが付帯しないライセンスに切り替えられた場合も、そのユーザーとファイルには信頼ルールが引き続き適用されます。
ドライブで外部グループとファイルを共有できるのはなぜですか?信頼ルールにより共有は禁止されないのでしょうか?
信頼ルールはグループではなくユーザーに適用されます(グループに信頼ルールでブロックされないメンバーが含まれる可能性があるため)。ドライブ ファイルを外部グループと共有することはできますが、信頼ルールに従ってグループ メンバーのアクセスはブロックされます。
組織が、信頼ルールが付帯しない Google Workspace エディションに切り替えた場合、信頼ルールはどうなりますか?
組織が、信頼ルールが付帯しない Google Workspace エディションに切り替えても、組織のアクティブな信頼ルールは引き続きアクティブで適用されます。信頼ルールの表示は可能ですが、編集と削除はできません。特権管理者は、信頼ルールを無効にしてドライブの共有設定を使用するようにできます。
信頼ルールを無効にした場合: 組織のドライブの共有設定が再び有効になり、信頼ルールを有効にする前の状態に戻ります。作成した信頼ルールは完全に削除されます。
Google Workspace サブスクリプションを解約しており、Cloud Identity ライセンスしかない場合は、ドライブの共有設定を使用できません。
[リンクを知っている全員] の共有オプションを使用できなくなったのはなぜですか?
次のすべてに該当する場合、ファイルを共有するときに [リンクを知っている全員] を選択できます。
- ユーザーのファイルに適用される信頼ルールを使用すると、組織内のすべてのユーザー、Google アカウントを持つ全員、ビジター アカウントとファイルを共有できる。
- ユーザーのファイルに、ファイルの共有をブロックする信頼ルールが適用されていない。
- ドライブの共有設定で [[ドメイン名] の外部との共有が許可されている場合、[ドメイン名] 内のユーザーは、リンクを知っているすべてのユーザーに対して、ファイルおよび公開済みのウェブ コンテンツを公開することができます] がオンになっている。この設定について詳しくは、ユーザーのドライブの共有権限を設定するをご覧ください。
信頼ルールはサービス アカウントで機能しますか?
はい。サービス アカウントは [Google アカウントを持つ全員] の条件に含まれます。たとえば、信頼ルールを作成して、組織内のユーザーが Google アカウントを持つ全員と共同編集できないようにすると、このルールの保護対象のファイルにもサービス アカウントではアクセスできなくなります。
信頼ルールによって回答者のフォームへのアクセスがブロックされるのはなぜですか?
信頼ルールでフォームへのアクセスがブロックされるのは、フォームにファイルのアップロードが必要な質問が含まれていて、かつ信頼ルールにファイル共有の制限がある場合のみです。信頼ルールの範囲内のユーザーは、回答者にファイルのアップロードを求めないフォームには制限なく回答できます。
信頼ルールに関して報告されている問題
既知の問題のリスト
| 問題 | 詳細 |
|---|---|
| 信頼ルールのログに詳細が記録されていない | 信頼ルールの管理ログには、変更を行ったユーザーと変更の種類(作成、更新、削除)が記録されます。ただし、変更の内容と変更された設定はまだログに含まれません。 |
| ルールの [クイックビュー] を開く権限がない管理者に、通知メッセージが表示されない |
代理管理者が [ルール] リストで信頼ルールの [クイックビュー] リンクをクリックしても、その管理者が閲覧に必要なすべての権限([組織部門] > [読み取り] 権限など)がない場合はルールの詳細が表示されません。この場合は、追加の権限が必要であることを示すメッセージも表示されません。 |
| メールによる確認済みの組織が所有する共有ドライブにユーザーがアクセスできない |
信頼ルールを有効にすると、ユーザーはメールによる確認済みの Google Workspace アカウントを持つ別の組織所有の共有ドライブで共同編集ができなくなります。 |