この機能に対応しているエディション: Enterprise Standard および Enterprise Plus、Education Standard および Education Plus、Enterprise Essentials Plus。エディションを比較
Google Workspace 管理者は、複数の関係者による承認を使用して、Google 管理コンソールでの悪意のある操作を防ぐことができます。複数の関係者による承認がオンになっている場合、機密性の高い設定を変更するには 2 人目の管理者の承認が必要になります。
複数の関係者による承認は、特定のセキュリティ、Google グループ、ドメイン、Google カレンダー、Google Vault の設定に使用できます。複数の関係者による承認で保護できる管理コンソールのすべての設定を確認するには、複数の関係者による承認の設定 (このページの後半)をご覧ください。
注: アプリやサービスは、API を介して特定の管理コンソール設定にアクセスすることもできます。公開 API 呼び出しを通じて実行される機密情報に関する操作は、別途複数の関係者による承認によって保護されます。
始める前に
- 機密性の高い管理コンソール操作のリクエストを確認するには、特権管理者以外の管理者は、機密情報に関するすべての操作に対して複数の関係者による承認を確認できる 権限、または機密性の高い操作を実行するために必要な権限を持っている必要があります。
- 組織で複数の関係者による承認をオフにすると、保留中のリクエストは承認、拒否、キャンセル、期限切れになるまでアクティブのままになります。
- 販売パートナー経由で購入されたお客様のドメインで複数の関係者による承認がオンになっている場合に、販売パートナーの管理者が機密性の高い設定を更新しようとすると、承認リクエストは販売のパートナー経由で購入されたお客様の管理者にのみ送信されます。この管理者のみがリクエストを承認、拒否、閲覧できます。
ステップ 1: 複数の関係者による承認をオンまたはオフにする
この操作を実施するには、特権管理者としてログインする必要があります。-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**認証**]
[**複数の関係者による承認の設定**] に移動します。 - [複数の関係者による承認の設定] をクリックします。
- [機密情報に関する操作に対して複数の関係者による承認を必須にする] チェックボックスをオンまたはオフにします。
- [保存] をクリックします。
- 設定のカテゴリと設定を選択します。設定について (このページの後半)をご覧ください。
- 設定に対して複数の関係者による承認を必須にするには、チェックボックスをオンにします。
- [保存] をクリックします。
ステップ 2: 管理者に複数の関係者による承認の権限を付与する
この操作を実施するには、特権管理者としてログインする必要があります。1 つ以上のカスタム管理者ロールを作成します。各ロールには、管理者に付与する 複数の関係者による承認の権限が含まれます。
ヒント: 管理コンソールの一部の操作(2 段階認証プロセス(2SV)のオンとオフの切り替えなど)を実行するには、特権管理者である必要があります。これらの操作のいずれかで複数の関係者による承認が有効になっている場合は、関連する複数の関係者による承認リクエストを別の特権管理者が審査する必要があります。詳しくは、ユーザーを特権管理者にするをご覧ください。
ステップ 1 で作成したカスタムの管理者ロールを 1 人以上の管理者に割り当てます。詳しくは、特定の管理者ロールを割り当てるをご覧ください。
ステップ 2 で割り当てたロールの設定を保存します。
ステップ 3: 複数の関係者による承認のリクエストを確認する
ご自身が作成した複数の関係者による承認のリクエストと、確認する権限が付与されている他のユーザーのリクエストを確認できます。
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ]
[認証]
[複数の関係者による承認のリクエスト] に移動します。この操作を実施するには、特権管理者としてログインする必要があります。
- リクエストを承認または拒否するには、リクエスト名をクリック [Approve request] または [Deny request] をクリックします。
- 送信したリクエストをキャンセルするには、[送信済みリクエスト] リクエスト名 [リクエストをキャンセル] をクリックします。
複数の関係者による承認の設定
セキュリティ設定の複数の関係者による承認
2 段階認証プロセス
組織の 2SV 設定の変更に対して複数の関係者による承認を必須にするには、チェックボックスをオンにします。リクエストは特権管理者が承認する必要があります。詳しくは、2 段階認証プロセスでビジネスを保護するをご確認ください。
アカウント復元
組織のアカウント復元設定を変更するには、複数の関係者による承認が必要です。リクエストは特権管理者が承認する必要があります。詳しくは、ユーザーのパスワードの再設定方法を設定するをご覧ください。
Google セッションの管理
組織の Google セッションの管理設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [セキュリティ操作を確認]
- [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理]
詳しくは、 Google サービスのセッション継続時間を設定するをご覧ください。
高度な保護機能プログラム
組織の高度な保護機能プログラムの設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [セキュリティ操作を確認]
- [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理]
詳しくは、 高度な保護機能プログラムでユーザーを保護するをご覧ください。
ログイン時の本人確認
組織のログイン時の本人確認の設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [セキュリティ操作を確認]
- [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理]
詳しくは、 セキュリティ チャレンジで Google Workspace アカウントを保護するをご覧ください。
パスワードレス
組織のパスワードレスの設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [セキュリティ操作を確認]
- [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理]
詳しくは、 ログイン時にパスワードの入力をスキップできるようにするをご覧ください。
ドメイン全体の委任
組織のドメイン全体の委任の設定を変更するには、複数の関係者による承認が必要です。リクエストは特権管理者が承認する必要があります。詳しくは、API アクセスをドメイン全体の委任で制御するをご覧ください。
サードパーティ ID プロバイダ(IdP)による SSO
組織のサードパーティ IdP によるシングル サインオン(SSO)の設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [セキュリティ操作を確認]
- [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理]
- [セキュリティ] > [受信 SSO 設定の読み取りと書き込みの管理]
詳しくは、 SSO を設定するをご覧ください。
コンテキストアウェア アクセス
組織のコンテキストアウェア アクセスの設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [セキュリティ操作を確認]
- [セキュリティ] > [データ セキュリティ] > [アクセスレベルの管理]
詳しくは、 コンテキストアウェア アクセスをオンまたはオフにするをご覧ください。
セキュリティ設定への API アクセスに関する、複数の関係者による承認
サードパーティの IdP による SSO
API を介して組織のサードパーティ IdP による SSO の設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [セキュリティ操作を確認]
- [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理]
- [セキュリティ] > [受信 SSO 設定の読み取りと書き込みの管理]
ドメイン管理者設定に対する複数の関係者による承認
Domains API
次の機密性の高いドメインの設定には、複数の関係者による承認が必要です。
リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [ドメインの操作を確認する]
- [Admin API] > [ドメイン管理]
カレンダー設定に対する複数の関係者による承認
カレンダーの共有
組織のカレンダーの共有設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [カレンダーの操作を確認する]
- [カレンダー] > [すべての設定] > [設定を管理]
詳しくは、Google カレンダーの共有オプションを設定するをご覧ください。
カレンダーの全般設定
組織のカレンダーの全般設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [カレンダーの操作を確認する]
- [カレンダー] > [すべての設定] > [設定を管理]
詳しくは、ユーザーのカレンダーを管理するをご覧ください。
カレンダーのサードパーティによるアーカイブの設定
組織のカレンダーのサードパーティによるアーカイブの設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [カレンダーの操作を確認する]
- [サードパーティによるアーカイブ] > [サードパーティによるアーカイブの設定の管理]
詳しくは、カレンダーとサードパーティ製アーカイブ ソリューションとの連携をご覧ください。
グループ設定に対する複数の関係者による承認
グループ共有
組織のビジネス向け Google グループの共有設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または次のいずれかの権限を持つ管理者が承認する必要があります。
- [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる]
- [複数の関係者による承認] > [グループの操作を確認する]
- [ビジネス向け Google グループ] > [グループ サービスの設定]
詳しくは、グループを使用するための組織全体のポリシーを設定するをご覧ください。
Vault 設定に対する複数の関係者による承認
エクスポートを作成
組織の Google Vault のエクスポート設定を変更するには、複数の関係者による承認が必要です。リクエストは、特権管理者または [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] > [Vault の操作を確認する] 権限を持つ管理者が承認する必要があります。
詳しくは、Vault のエクスポートに対する複数の関係者による承認を設定するをご覧ください。