この機能に対応しているエディション: Frontline Plus、Enterprise Plus、Education Standard、Education Plus。 エディションを比較する
管理者は、Google Workspace クライアントサイド暗号化(CSE)で暗号化されたコンテンツへのアクセスを外部ユーザーに許可できます。外部アクセスを許可する方法は 2 つあります。
- CSE も使用する外部組織に対してアクセスを設定する。この方法では、外部組織がユーザーと CSE の要件を満たしている場合に、暗号化されたコンテンツへのアクセスを許可できます。
- すべての外部ユーザーにアクセスを許可するゲスト ID プロバイダ(IdP)を設定する この方法を使用すると、ユーザーは Google アカウントと Google 以外のアカウントの両方にクライアントサイド暗号化コンテンツへのアクセスを許可できます。外部組織は CSE を設定する必要はなく、その組織のユーザーに Google Workspace や Cloud Identity のライセンスは必要ありません。
暗号化されたメールへの外部アクセスについて
クライアントサイド暗号化が適用されたメールへの外部アクセスを許可する方法は 2 つあります。
オプション 1: S/MIME を使用せずに Gmail E2EE を使用する
ユーザーが、クライアントサイド暗号化が適用されたメールを S/MIME を使用していない可能性のある外部ユーザーとやり取りする場合は、[ゲスト アカウントでの暗号化] オプションを使用できます。このオプションでは、Gmail のエンドツーエンドの暗号化(E2EE)を使用して、従来の S/MIME の設定や証明書を必要とせずに、外部ユーザーとの暗号化された通信を自動的に処理します。Gmail E2EE を使用すると、ユーザーは暗号化されたメールを任意の外部ユーザーに送信できます。 アクセスするには、Assured Controls または Assured Controls Plus のアドオンが必要です。
Gmail E2EE を使用して外部アクセスを許可するには:
- このページで後述するように、ゲスト IdP を設定する必要があります。
- ユーザーが暗号化されたメールを組織外に送信すると、外部の受信者にゲスト アカウントを作成してメールを開くよう求めるメッセージが表示されます。
- ゲスト アカウントは、管理コンソールの [Workspace ゲスト] 組織部門で管理できます。この組織部門は、[ゲスト アカウントでの暗号化] をオンにしてゲスト IdP を設定すると自動的に作成されます。詳しくは、Workspace ゲストを管理するをご覧ください。
クライアントサイド暗号化が適用されたメールの送受信とゲスト アカウントの作成について詳しくは、Gmail クライアントサイド暗号化についてをご覧ください。
オプション 2: S/MIME 証明書を使用する
ユーザーがクライアントサイド暗号化が適用されたメールを S/MIME を使用している外部ユーザーとのみやり取りする場合は、追加の設定は必要ありません。ゲスト IdP を使用する必要はなく、外部ユーザーに Google Workspace や Cloud Identity のライセンスは必要ありません。
CSE を使用する外部組織に対して外部アクセスを設定する
外部組織と組織が次の要件を満たしている場合は、ドライブとドキュメント、カレンダー、Meet の組織のクライアントサイド暗号化コンテンツへの外部アクセスを許可できます。
外部ユーザーのライセンス要件
外部ユーザーが CSE で暗号化されたデータにアクセスするには、Google Workspace または Cloud Identity のライセンスが必要です。
注: この外部アクセス方法を使用すると、一般ユーザー向け(管理対象外の)Google アカウントまたはビジター アカウントを使用しているユーザーは、組織のクライアントサイド暗号化コンテンツにアクセスできません。
外部組織向けの設定要件
組織のクライアントサイド暗号化コンテンツにアクセスするには、外部組織も CSE を設定する必要があります。
組織向けの設定要件
- 外部組織の IdP サービスが暗号鍵サービスの許可リストに登録済みである。通常、IdP サービスは一般公開されている .well-known ファイルに記載されています(設定されている場合)。記載されていない場合は、外部組織の Google Workspace 管理者に IdP の詳細についてお問い合わせください。
- 組織の暗号化されたコンテンツを表示または編集するためにユーザーが鍵サービスに認証トークンを提供する必要があることを、管理者が理解していることを把握している。認証プロセスでは、ユーザーが IP アドレスやその他の ID 情報を共有する必要があります。詳しくは、クライアントサイド暗号化 API リファレンス ガイドの認証トークンをご覧ください。
- ご自身と外部組織のセキュリティ ポリシーによっては、組織の暗号化されたコンテンツにアクセスするためのウェブ クライアント ID とモバイル クライアント ID を別々に作成する必要があります。暗号鍵サービスで、これらのクライアント ID が許可リストに登録されている必要があります。
すべての外部ユーザーに対してゲスト IdP を設定する
外部組織がクライアントサイド暗号化コンテンツにアクセスできるようにするには、外部ユーザーを認証するためのゲスト IdP を設定します。この IdP は使用しているものでも別のものでもかまいません。ゲスト IdP を使用すると、組織が CSE も使用しているかどうかに関係なく、ユーザーは暗号化されたコンテンツを外部組織の他のユーザーと共有できます。
注: CSE も使用している組織に対してすでに外部アクセスを設定している場合(このページで前述)、ゲスト IdP を設定すると、その設定は無視されます。
管理コンソールでゲスト IdP を設定する
クライアントサイド暗号化で使用する ID プロバイダに接続するの手順に沿って、IdP を設定します。設定時に行う操作は次のとおりです。
- OIDC 準拠の IdP を選択する - Gmail と Google Meet では、サードパーティの IdP または Google の ID を使用できます。ただし、Google ドライブとドキュメント エディタでは、サードパーティの IdP のみを使用できます。この制限により、ビジター アカウントのドライブとドキュメントがサポートされるようになります。サードパーティの IdP は、ユーザーに使用しているものと同じ IdP でも別の IdP でも構いません。
- Google Meet 用の追加のクライアント ID を作成する - ウェブサービス用のクライアント ID を作成する手順で、Google Meet 用の追加のクライアント ID を作成する必要があります。
ウェブサービスのメイン クライアント ID は鍵暗号化サービスに使用され、Google のシステムとは共有されません。Meet 用の追加のクライアント ID は、Meet にログインしていないゲストが会議に招待されたことを確認するために使用されます。
- 管理コンソールを使用してゲスト IdP を設定する - 管理コンソールを使用してゲスト IdP 接続を設定し、[**ゲスト IdP を設定する**] オプションを選択する必要があります。.well-known ファイルを使用してゲスト IdP を設定することはできません。
ゲスト IdP の認証オプションを設定する
管理コンソールで IdP の設定が完了したら、IdP のツールを使用して外部ユーザーの認証方法を設定できます。ゲスト IdP の実装によっては、次のオプションを使用できる場合があります。
- ゲスト用に別のアカウントを設定し、アカウントのパスワードを提供します。
- ゲストにワンタイム コードを送信してメールアドレスを確認します。
- ゲストが事前構成済みの IdP(Google、Apple、Microsoft など)を使用できるようにします。
注: Google ID を使用すると、ユーザーは自分の Google アカウントでログインできます。アカウントを持っていない場合は、作成できます。
いずれの認証方法でも、クライアントサイド暗号化コンテンツにアクセスするには、ゲストに ID プロバイダにログインするよう求めるポップアップ メッセージが表示されます。