前回のブログ記事では、PPAPの問題点と、Googleドライブを利用した解決方法についてお話しました。今回は、管理者として管理コンソールの必要な設定を確認していきましょう!
脱PPAPのためにGoogle Workspaceの管理者ができること
管理者側で必要な一連の対応について以下のとおりです。
- 管理コンソールにて外部共有の設定
- 共有ドライブの作成
- 外部との共有時に利用する共有ドライブの準備
では早速①から手順を確認していきましょう。
管理コンソールで外部共有の設定を許可する
共有ドライブでの外部共有を許可するには、管理コンソールからルート組織(トップの組織)の共有設定をオンにする必要があります。合わせて、以下3つの設定を推奨します。
①「xxのユーザーが所有するファイルを外部と共有するときに警告する」
→外部ユーザーと共有しようとしていますよというメッセージが表示されます!
②「xxのユーザーが、電算システム外のGoogle以外のアカウントに招待状を送信することを許可する」のチェックを入れる。
→Googleアカウントを持っていないユーザーとやりとりをするためにオンにします!
③「xxの外部との共有が許可されている場合〜xx内のユーザーは、リンクを知っているすべてのユーザーに対して、ファイルおよび公開済みのウェブ コンテンツを公開することができます」のチェックを外す。
→リンクを知っていれば誰でもアクセスできてしまうという意味になりますので、情報漏洩のリスクを避けるためにもオフにすることをお勧めします。
ここで、現状の組織構成について確認しましょう。ルート組織にユーザーは所属していますか?誰もいない状態でしょうか?
ルート組織にユーザーが所属しない組織構成の場合は、ルートの組織だけ外部共有を許可して、ユーザーが所属している下位組織に対して外部共有のチェックを外します。
ポイントは、ルート組織の外部共有は「オン」にしてユーザーは誰も所属していない空っぽな状態にして、ユーザーが所属する下位組織に対しては外部共有の設定をオフにすることです!
では、ルート組織にユーザーが所属している場合はどうすればよいのでしょうか。
このままルート組織の外部共有をオンにしてしまうと、そこに所属するユーザーのマイドライブからも外部共有ができてしまいます。一方で、「ルート組織にユーザーが所属したまますでに運用は開始しているし、組織構成を今から作り直すのは難しい…」といったように組織の再構成が難しい場合もあるでしょう。
そんなときにはグル―プを使ってみましょう。組織だけでなく、グループ単位でもGoogle Workspace設定を制御することができます。
■全社員が所属するグループを作ってみる
組織の再編成が難しい場合は、グループを使ってみましょう。
皆さんは全社員が所属するグループを作成したことはありますか?実は知らない方も多い機能ですので、ここでは全社員が所属するグループの作成方法についてご紹介します。
①管理コンソールから全社員が所属するグループを作成します。
②メンバーの追加から、[詳細]をクリックします。
③xx の現在と将来のユーザー全員を、[すべてのメール] の設定を適用してこのグループに追加するにチェックを入れて保存します。
→今後作成するアカウントについても、自動的にこのグループに所属することができます!
④組織内のすべてのユーザーが所属するグループの完成です!
ドライブとドキュメントの設定に戻ります。
ルートの組織の外部共有は「オン」、グループにたいして、外部共有の設定を「オフ」にすることで、マイドライブからの外部共有はできませんが、共有ドライブからの外部共有ができるようになります!
共有ドライブを作成する
共有ドライブの作成では、詳細な設定をすることが可能です。
共有ドライブを作成するユーザーを制限するか、管理者権限があるユーザーが設定を変更できるか…このあたりは会社ごとの運用によって変わってくるところではありますが…。
私のお勧めは、管理が煩雑になるのを避けるためにもなるべくユーザーに触らせない以下の方法です!
- 「xx のユーザーが新しい共有ドライブを作成できないようにする」
→ユーザーが自由に共有ドライブを作成できてしまうことを避けるために、共有ドライブの作成は組織を分けて、限られたユーザーのみが作成できるようにすることを推奨しています。
- 「管理者権限を持つユーザーが、以下の設定をオーバーライドできるようになります」のチェックを外す。
→管理コンソールからしか、共有ドライブの設定を触れないようにする設定です。Googleドライブの設定画面から、ユーザーが設定値を変更させないようにコントロールできます。
- 「閲覧者およびコメント可の閲覧者がファイルをダウンロード、印刷、コピーできるようになります」
→チェックを外すと閲覧者権限のファイルのダウンロード等を禁止にさせることができます。
ただ、PPAPの代替手段として相手にファイルを渡すのであればダウンロードができないのは不便かもしれません。Googleドライブから外に持ち出してほしくない場合には有効な設定です!
管理者で外部専用の共有ドライブを作成してみましょう
共有ドライブの設定を確認してみましょう。外部とやり取りできる共有ドライブは、「xx 外のユーザーにファイルへのアクセス権を付与できるようにする」にチェックが入っています。逆を返せば、このチェックが入っていないドライブでは外部共有をすることはできません。
管理コンソールからしか共有ドライブの設定を触れないようにしたので、ユーザーはドライブ画面から設定を変更することができません。
管理者は、管理コンソールから各共有ドライブの設定を確認・変更することが可能です。
管理コンソールから外部共有の設定を許可して、「外部共有専用」のドライブを作成しました。配下にユーザーが利用できる環境(フォルダ)を作成し、外部とやり取りします。
例えば、共有ドライブの中に部門ごとや各ユーザーごとのフォルダを用意します。各ユーザーにはそのフォルダの中で外部との共有を実施してもらいます。これで、パスワード付きZipファイルをメールに添付しなくても、ユーザーはGoogleドライブを利用して外部とやりとりができるようになりました!
まとめ
今回は、Googleドライブの外部共有について、管理者目線での設定方法をご紹介しました。セキュリティは大丈夫なのか、不安に思われることはたくさんあるかと思います。脱PPAPを目指してGoogleドライブを利用してみませんか?
☆一緒に読みたいブログ紹介☆
『ドライブ見直し編 外部共有とPPAPの実現』
☆セミナー案内☆
【ユーザー限定】Google Workspace フル活用セミナー「今だからこそ見直したいGoogle Workspaceの設定:第3回」
日程:9月14日(水)14時〜15時
詳細:詳細はこちらから
ご参加のほどお待ちしております!
執筆者紹介
