組織の中には、管理対象外のアカウントを使用して Google サービスにアクセスしている従業員が存在する場合があります。 管理対象外のアカウントとは、ユーザーが組織のドメインを使用して独自に作成した Google アカウントです。このようなケースは多く見受けられますが、ユーザーを管理したり、ユーザーの作業データを安全に保ったりするうえで、不都合が生じることが懸念されます。また、管理対象外のアカウントによってアカウント名の競合が生じる場合もあります。 管理対象外のアカウントと同じ名前で管理対象のアカウントを作成しようとすると、このような競合が発生します。
Google Workspace の特権管理者は、ユーザーのプロビジョニング中に競合するアカウントを処理する方法を指定できます。管理対象外ユーザーを招待してそのユーザーのアカウントをドメイン内の管理対象アカウントに変換したり、競合するアカウントを管理対象アカウントに一方的に置き換えたり、競合するアカウントを手動で管理したりすることができます。[競合するアカウントの管理] の設定を使用して、管理対象外のアカウントを処理する際のデフォルトのオプションを選択します。選択したオプションは、 ユーザー アカウントを Admin SDK Directory API を使用して作成する場合に適用されます。
管理対象外ユーザー用の移行ツール を使用すると、存在する管理対象外ユーザー アカウントを確認し、それらのユーザーのアカウントを自社ドメイン内の管理対象アカウントに変換するように招待できます。ユーザーによってこのリクエストが承諾されたら、管理コンソールでアカウントとデータを管理できるようになります。 競合を解決するには、移行ツールを使って管理対象外のアカウントを移行します。
注: [管理対象に含まれないユーザー用の移行ツール] と [競合する アカウントの管理] 設定で処理できるのは、アカウントの メインのメールアドレスにおける競合のみです。予備のメールアドレスまたはエイリアス メールアドレスの競合については、ユーザーの招待は対応していません。
管理対象外ユーザーのアカウントを処理するオプションを設定する
注: 選択したオプションは、Admin
SDK Directory
API
を使用して作成されたユーザー アカウントに適用されます。resolveConflictAccount=trueGoogle
Cloud Directory Sync(GCDS)または GAM を使用している場合、この
パラメータはデフォルトで true に設定されています。ただし、サードパーティのコネクタの場合、この機能が統合されていない限り、この値は設定されません。
-
Google 管理コンソールで、メニュー アイコン
[アカウント]
[アカウント設定]
[競合するアカウントの管理] に移動します。この操作を実施するには、特権管理者としてログインする必要があります。
[競合するアカウントの管理] で次のいずれかを選択します。
- ユーザーを自動的に招待して、競合する管理対象外のアカウント
から管理対象アカウントに移行する \- デフォルト設定 毎日のフォローアップ メールの時間を設定します。
選択したフォローアップ期間内にユーザーが招待を承諾しない場合は、次のいずれかを選択します。
- 競合するアカウントを管理アカウントに置き換える
- 競合するアカウントを保持する
招待状を表示して手動で管理するには、移行 ツールを使用します。
- ユーザーを自動的に招待して、競合する管理対象外のアカウント
から管理対象アカウントに移行する \- デフォルト設定 毎日のフォローアップ メールの時間を設定します。
選択したフォローアップ期間内にユーザーが招待を承諾しない場合は、次のいずれかを選択します。
[保存] をクリックします。
管理対象外ユーザーのアカウントを移行する
管理対象外ユーザーのステータスを確認する方法や、手動で移行する方法については、以下の記事をご覧ください。
注: 管理対象外の一般ユーザーがファミリー グループのメンバーになっている場合、そのユーザーを管理対象の Google Workspace アカウントに移行することはできません。
管理対象のアカウントと管理対象外のアカウント、競合するアカウント名
管理対象ユーザー アカウント
管理対象ユーザー アカウントとは、ドメインの所有権を証明済みのお客様が所有するアカウントです。管理対象ユーザー アカウントは Google Workspace または Cloud Identity の管理者の完全な管理下にあり、Google 管理コンソールで管理できます。
管理対象外ユーザー アカウント
管理対象外ユーザー アカウントは、作成したユーザーが完全に所有し、管理します。管理対象外ユーザー アカウントは、ドメインの所有権を証明済みのお客様が所有するものではなく、Google Workspace または Cloud Identity の管理者によって管理されません。 組織は、これらのアカウントの構成、セキュリティ、ライフサイクルを管理できません。
管理対象外のアカウントは、個人アカウントまたは 一般ユーザー向けアカウントと呼ばれることもあります。これは、個人ユーザーがメールアドレスに会社のドメイン名を使って Google の一般ユーザー向け サービスに登録する場合があるためです。
競合するアカウント
管理者が既存の管理対象外ユーザー アカウントと同じアカウント名を使用して管理対象の Google アカウントを作成すると、競合するアカウントが作成されます。こうした競合が発生した場合、特権管理者が管理対象に含まれないユーザー用の移行ツール を使用することで、アカウントの競合を解決できます。
管理対象外のアカウントの移行が必要な理由
従業員が管理対象外のアカウントを使用している場合、ユーザー ID を 1 か所で管理できるという前提が損なわれます。管理対象外のアカウントは、Google Workspace または Cloud Identity で管理されません。そのため、移行ツールを使用して、管理対象アカウントに変換する管理対象外ユーザー アカウントを特定し、管理対象外ユーザー アカウントを管理対象アカウントに移行できます。
ビジネスで使用され、会社のメールアドレスを使用している管理対象外のアカウントは、次のような複数のリスクをビジネスにもたらす可能性があります。
- 管理対象外ユーザー アカウントのライフサイクルを管理できません。退職した従業員が、管理対象外のアカウントを使用して会社のリソースにアクセスしたり、会社の費用を発生させたりする可能性があります。
- すべてのリソースへのアクセス権を取り消しても、管理対象外のアカウントはソーシャル エンジニアリングのリスクをもたらす可能性があります。ユーザー アカウントは会社のドメイン名を使用した信頼できる ID を使用しているため、元従業員が現在の従業員やビジネス パートナーにリソース(機密性の高いドライブ ファイルなど)へのアクセス権を再度付与するよう説得できる可能性があります。
- 管理対象外のアカウントを持つ元従業員が、組織のポリシーに沿わないアクティビティを行うためにユーザー アカウントを使用し、会社の評判を損なう可能性があります。
- 2 段階認証プロセスやパスワードの複雑さのルールなどのセキュリティ ポリシーを適用することはできません。
- ドキュメントとドライブのデータの地理的な保管場所を制限できないため、コンプライアンスのリスクとなる可能性があります。
- 管理対象外ユーザー アカウントからアクセスできる Google サービスを制限することはできません。