この機能に対応しているエディション: Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus。エディションを比較する
複数の関係者による承認を使用すると、Google 管理コンソールでの悪意のある操作を防ぐことができます。機密性の高い設定の変更はすべて、特権管理者、またはその操作を実行する権限と、複数の関係者による承認の審査権限を委任する権限を持つ管理者のいずれかによる承認が必要です。
始める前に
複数の関係者による承認の設定
管理コンソールの次の設定で、複数の関係者による承認をオンまたはオフにできます。
セキュリティ設定
- 2 段階認証プロセス
- アカウント復元
- 高度な保護機能プログラム
- Google セッションの管理
- ログイン時の本人確認
- パスワードレス
- サードパーティの IdP による SSO
- ドメイン全体の委任
- コンテキストアウェア アクセス
セキュリティ設定への API アクセス
カレンダーの設定
グループ設定
ドメインの設定
Google Vault の設定
複数の関係者による承認をオンまたはオフにする手順については、このページの複数の関係者による承認をオンまたはオフにするをご覧ください。
注: アプリやサービスは、API を介して特定の管理コンソール設定にアクセスすることもできます。公開 API 呼び出しを通じて実行される機密情報に関する操作は、別途複数の関係者による承認によって保護されます。
販売パートナー ドメインでの複数の関係者による承認
販売パートナー経由で購入されたお客様のドメインで複数の関係者による承認がオンになっている場合、販売パートナーの管理者が機密性の高い設定を更新しようとすると、その承認リクエストは販売のパートナー経由で購入されたお客様の管理者にのみ送信され、この管理者のみがリクエストを承認、拒否、閲覧できます。
複数の関係者による承認リクエストを審査する管理者権限を割り当てる
特権管理者は、他の管理者に「複数の関係者による承認」のリクエストの審査と承認に必要な権限を付与できます。
- 管理者に付与する複数の関係者による承認の権限を含むカスタムの管理者ロールを作成します。
ヒント: 管理コンソールの一部の操作(2 段階認証プロセス(2SV)のオンとオフの切り替えなど)を実行するには、特権管理者である必要があります。これらの操作のいずれかで複数の関係者による承認が有効になっている場合は、関連する複数の関係者による承認リクエストを審査する別の特権管理者が必要です。詳しくは、ユーザーを特権管理者にするをご覧ください。 - ステップ 1 で作成したカスタムの管理者ロールを 1 人または複数の管理者に割り当てます。
詳しくは、特定の管理者ロールを割り当てるをご覧ください。 - ステップ 2 で割り当てたロールの設定を保存します。
複数の関係者による承認をオンまたはオフにする
この操作を実施するには、特権管理者としてログインする必要があります。管理コンソールの [複数の関係者による承認] 設定を使用して、組織全体、個々の管理コンソールのセキュリティ設定、セキュリティ設定にアクセスできる公開 API に対して、この機能をオンまたはオフにします。
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [認証] [複数の関係者による承認の設定] に移動します。この操作を実施するには、特権管理者としてログインする必要があります。
組織で複数の関係者による承認をオンまたはオフにするには、[複数の関係者による承認の設定] をクリックし、[機密情報に関する操作に対して複数の関係者による承認を必須にする] チェックボックスをオンまたはオフにして、[保存] をクリックします。
注: 組織で複数の関係者による承認をオンからオフに切り替えた場合、以下のようになります。
- 保留中のリクエストは、承認、拒否、キャンセル、期限切れになるまで、同じ期間アクティブのままになります。
- 機密情報に関する管理操作を伴う新しい設定の変更では、個別の設定で複数の関係者による承認がオンになっていても、複数の関係者による承認リクエストは作成されません。
1 つまたは複数の個々のセキュリティ設定に対して複数の関係者による承認をオンまたはオフにするには、[セキュリティ設定に関する複数の関係者による承認] をクリックし、複数の関係者による承認をオンまたはオフにする各設定に対応するチェックボックスをオンまたはオフにして、[保存] をクリックします。
注: 個別の設定で複数の関係者による承認がオンになっている場合、管理コンソールで設定を変更しても、組織全体で複数の関係者による承認がオンになっていないと、複数の関係者による承認リクエストは作成されません。
セキュリティ設定にアクセスできる公開 API に対して複数の関係者による承認をオンまたはオフにするには、[セキュリティ設定への API アクセスに関する、複数の関係者による承認] をクリックし、[サードパーティ IDP による SSO] チェックボックスをオンまたはオフにして、[保存] をクリックします。
カレンダー設定に対して複数の関係者による承認をオンまたはオフにするには、[カレンダー設定に対する複数の関係者による承認] をクリックし、複数の関係者による承認をオンまたはオフにする各設定に対応するチェックボックスをオンまたはオフにして、[保存] をクリックします。
グループ設定に対して複数の関係者による承認をオンまたはオフにするには、[グループ設定に関する複数の関係者による承認] をクリックし、複数の関係者による承認をオンまたはオフにする各設定に対応するチェックボックスをオンまたはオフにして、[保存] をクリックします。
機密性の高いドメイン操作に対して複数の関係者による承認をオンまたはオフにするには、[管理設定に関する複数の関係者による承認] をクリックし、[ドメイン API] チェックボックスをオンまたはオフにして、[保存] をクリックします。
Vault 設定に対して複数の関係者による承認をオンまたはオフにするには、[Vault 設定に対する複数の関係者による承認] をクリックし、[エクスポートを作成] チェックボックスをオンまたはオフにして、[保存] をクリックします。
リクエストを表示、承認、キャンセルする
申請者または承認者は、[複数の関係者による承認] ページで保留中または過去のリクエストを表示できます。[送信済みリクエスト] タブでリクエストをクリックすると、そのリクエストの詳細ページが表示されます。リクエストの詳細ページでは、申請者はリクエストをキャンセルできます。また、承認者はリクエストを承認または拒否できます。
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [認証] [複数の関係者による承認のリクエスト] に移動します。この操作を実施するには、特権管理者としてログインする必要があります。
ご自身が作成したリクエストに加え、同じ管理コンソール操作を実行する権限と複数の関係者による承認リクエストを確認する権限の両方を持っている場合、他のユーザーが作成したリクエストも確認できます。リクエストの詳細には、リクエストのステータス、リクエストを行ったユーザーの名前、リクエストの作成日、リクエストされている設定変更、リクエストの有効期限が含まれます。
特定のリクエストの詳細を表示するには、[操作] 列のリンクをクリックします。
- 申請者の詳細ページには、リクエストをキャンセルするオプションが表示されます。
- 承認者の詳細ページには、リクエストを承認または拒否するオプションが表示されます。
[複数の関係者による承認] をクリックして、承認リストのページに戻ります。
機密性の高い管理コンソールの操作と変更リクエストの審査に関する権限
複数の関係者による承認が必要な機密性の高い管理コンソール操作の承認リクエストを表示するには、以下の表に記載されている操作レベルの権限、または機密情報に関するすべての操作に対して複数の関係者による承認を確認できる権限が必要です。
| 管理コンソールの設定 | 操作の実行に必要なロールまたは権限 | 操作に対する複数の関係者による承認リクエストを審査するために必要なロールまたは権限 |
|---|---|---|
| 2 段階認証プロセス | 特権管理者のロール | 特権管理者のロール |
| アカウント復元 | 特権管理者のロール | 特権管理者のロール |
| Google セッションの管理 | [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [セキュリティ操作を確認] |
| 高度な保護機能プログラム | [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [セキュリティ操作を確認] |
| ログイン時の本人確認 | [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [セキュリティ操作を確認] |
| パスワードレス | [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [セキュリティ操作を確認] |
| ドメイン全体の委任 | 特権管理者のロール | 特権管理者のロール |
| サードパーティの IdP による SSO | [セキュリティ] > [セキュリティ設定の読み取りと書き込みの管理] または [セキュリティ] > [受信 SSO 設定の読み取りと書き込みの管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [セキュリティ操作を確認] |
| コンテキストアウェア アクセス | [サービス] > [データ セキュリティ] > [アクセスレベルの管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [セキュリティ操作を確認] |
| Domains API | [Admin API の権限] > [ドメイン管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] > [ドメインの操作を確認する] |
| カレンダーの共有 | [カレンダー] > [すべての設定] > [設定を管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [カレンダーの操作を確認する] |
| カレンダーの全般設定 | [カレンダー] > [すべての設定] > [設定を管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [カレンダーの操作を確認する] |
| カレンダーのサードパーティによるアーカイブの設定 | [サードパーティによるアーカイブ] > [サードパーティによるアーカイブの設定の管理] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [カレンダーの操作を確認する] |
| グループ共有 | [ビジネス向け Google グループ] > [グループ サービスの設定] | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] または [複数の関係者による承認] > [グループの操作を確認する] |
| (Vault)エクスポートを作成 | 特権管理者のロール | [複数の関係者による承認] > [機密情報に関するすべての操作に対して複数の関係者による承認を確認できる] > [Vault の操作を確認する] |
複数の関係者による承認のロールと権限の詳細
- 他の管理者に複数の関係者による承認権限を付与したり、管理コンソールで複数の関係者による承認設定を更新したりできるのは特権管理者のみです。
- 承認リクエストを 1 件以上送信した管理者は、管理コンソールでそのリクエストを確認できます。
- 特権管理者は、複数の関係者による承認の管理者ロールに関連付けられている権限を表示できます。
- 他の管理者が送信したリクエストを確認するには、管理者に複数の関係者による承認リクエストを審査する権限と、審査中の設定を変更する権限の両方が必要です。
複数の関係者による承認の仕組み
この例では、複数の関係者による承認により、2 段階認証プロセスの設定を変更するという機密情報に関する操作が保護されています。
- この Workspace 特権管理者は、[セキュリティ] [認証] [2 段階認証プロセスの設定] に移動し、設定をオンからオフにしようと試みます。
- この特権管理者に対し、この操作は別の管理者の承認が必要であることを示すボックスが表示されます。申請者は、必要に応じて、承認のリクエストを送信する前に説明メッセージを入力できます。
注: 設定変更の承認に対する保留中のリクエストがある場合、保留中のリクエストが解決されるまで新しいリクエストは一時的にブロックされます。リクエストがブロックされている管理者は、競合するリクエストを確認できます。 - リクエストした特権管理者には、承認リクエストが送信されたことを通知する確認メールが届きます。
承認元の管理者は、承認をリクエストするメールを受け取ります。メール内のリンクをクリックすると、管理コンソールの [複数の関係者による承認] ページが開き、以下の詳細情報が表示されます。
- 変更をリクエストしているユーザー
- 現在の設定(変更前)と提案された設定(変更後)
- リクエストを承認または拒否するオプション
注: グループベースのロールの割り当てによって、管理者が機密性の高い操作を実行する権限や複数の関係者による承認リクエストを審査する権限を取得した場合、メールで審査リクエストが届くことはありません。管理者は、[複数の関係者による承認] ページにアクセスして、審査権限のあるすべてのリクエストを確認できます。
承認元の管理者はリクエストの詳細を審査し、リクエストを承認または拒否します。
- リクエストが承認されると、2 段階認証プロセスの設定の変更は自動的に行われるため、リクエスト元の管理者による対応は不要です。
- 承認元の管理者が対応しなかった場合、リクエストは 3 日後に期限切れとなります。
リクエストが承認または拒否された場合、またはリクエストに対して操作が行われず期限切れになった場合は、申請者にメールが届きます。