はじめに
GSuiteのユーザ管理についてどのような運用方法がいいか、調査している中でのメモ。
動作保証などはないためご容赦願いたい。
目的
GSuiteにはゲストアカウントがないため開発会社等の協力会社をプロジェクトに参加する場合は
アカウントを発行することとなる。
先方がGsuiteを利用していれば連携はグループを使って簡単にできる面もあるが
自社だけで完結させる場合のプラクティスを模索中。
管理方法的には将来的にGCPの管理にも使えると思っている。
GSuiteでいうユーザ
利用しているGSuiteのサービスを利用できる(Basic,Business,Enterpriseによってかわる)
メールアドレスでログイン。
ユーザ作成時に組織に属することができる。
その他のGoogleサービスも利用可能。
組織とグループについて
グループわけとして、グループと組織がある。
グループ
エイリアスのメールアドレスが発行される。
共有するアイテム、共有ドライブはグループあてに可能。
アプリの制限のほか、サービスの制限(Photo,GCP,Youtube,Domainsなど)ができる。
1つのユーザは複数のグループに所属可能。
グループは階層化できない(グループ内グループというのができるっぽいが未検証
組織
メールアドレスは発行されない。
共有相手としては選択できない。
アプリの制限のほか、サービスの制限(Photo,GCP,Youtube,Domainsなど)ができる。
1つのユーザは1つの組織のみ所属可能
組織を階層化できる。組織のアプリ利用の制限を継承可能。
どのような使い分けがいいのか
参考
https://support.google.com/a/answer/9050643
https://support.google.com/a/answer/4352075?hl=ja
わかりやすい図がありました。上記URLより引用。
目的としては外部の会社用のアカウントとする場合、
組織をわけてそこに所属、目的にアプリやサービスだけを有効にするのがよさそう。
そうすれば勝手にメールを使われたりもしない。
サブドメインの利用方法
自社の組織と別にする場合、プライマリドメインとは別にサブドメインを追加し、
ユーザアカウントもそのサブドメインにするのがよさそう。
利用設計
サブドメインの追加
外部の協力会社ようのサブドメインを追加
例)vender.yourdomain.com
組織を追加
協力会社という組織を作り、その下に実際の会社を配置。
利用可能なアプリケーション
協力会社の組織でON/OFFをわける。
この例はGdrive関係のみオン
グループの作成
サブドメインでグループを作成する
ユーザの作成
サブドメインでユーザを作成し、組織部門に所属させる。
グループへの追加だけはユーザ追加後に設定
例
実際に作ったユーザでGdriveにアクセス。
共有ドライブのみが表示(事前に所属グループに対し権限を付与)
右側にあるアプリへのショートカットが表示されない
許可されてないアプリへのアクセス
メール
カレンダー
必要なアプリだけが利用できる外部用ユーザができたと思う