このドキュメントでは、Cloud Identity または Google Workspace アカウントを作成する方法と、本番環境へのデプロイに向けて必要な準備について説明します。
始める前に
Cloud Identity や Google Workspace のアカウントを準備するには、次のことを行う必要があります。
- リファレンス アーキテクチャに基づいて、本番環境デプロイのターゲット アーキテクチャを選択します。
- 本番環境用またはステージング用を目的として、追加の Cloud Identity アカウントまたは Google Workspace アカウントが 1 つ以上必要かどうかを確認します。使用する適切なアカウント数を特定する方法については、アカウントと組織の計画に関するベスト プラクティスをご覧ください。
- 適切なオンボーディング プランを特定し、既存のユーザー アカウントを統合する前提条件としてプランで定義しているすべてのアクティビティを完了します。
作成する必要がある Cloud Identity または Google Workspace アカウントごとに、次のことを確認します。
- プライマリ ドメイン名として使用する DNS ドメイン名を選択している。このドメイン名によって、関連付けられた Google Cloud 組織の名前が決まります。プライマリ ドメイン名として中立的なドメイン名を使用することもできます。
- アカウントに追加するセカンダリ DNS ドメイン名を選択している。アカウントごとに合計 600 ドメインを超えないようにしてください。
新しい Cloud Identity アカウントまたは Google Workspace アカウントの登録プロセスを完了するには、次の情報も必要です。
- 連絡先の電話番号とメールアドレス。アカウントで問題が発生した場合、Google はこの電話番号と住所を使用してお客様に連絡します。
最初の特権管理者ユーザー アカウントのメールアドレス。メールアドレスにはプライマリ DNS ドメインを使用する必要があります。既存の一般ユーザー向けアカウントは使用できません。
後で連携を設定する場合は、外部 ID プロバイダ(IdP)のユーザーにマッピングするメールアドレスを選択します。
新しい Cloud Identity または Google Workspace アカウントを作成するには、組織内の複数のチームや関係者間で共同作業が必要になる場合があります。これには、次の関係者が参加する場合があります。
- DNS 管理者。プライマリ DNS ドメインとセカンダリ DNS ドメインを確認するには、両方の DNS ゾーンに対する管理者権限が必要です。
- 外部 IdP の管理者(外部 IdP を使用する場合)。
- Google Cloud 組織の今後の管理者。
アカウントの準備プロセス
次のフローチャートは、Cloud Identity アカウントまたは Google Workspace アカウントの準備プロセスを示しています。次の両側で示しているように、異なるチームによる共同作業が必要になる可能性があります。
Cloud Identity または Google Workspace に登録します。登録プロセスでは、連絡先の電話番号とメールアドレス、使用するプライマリ ドメイン、最初の特権管理者ユーザー アカウントのユーザー名を指定する必要があります。
DNS サーバーの対応する DNS ゾーンに TXT または CNAME レコードを作成して、プライマリ ドメインの所有権を確認します。
Cloud Identity または Google Workspace アカウントにセカンダリ ドメインを追加します。
DNS サーバーの対応する DNS ゾーンに TXT または CNAME レコードを作成して、セカンダリ ドメインの所有権を確認します。
セキュリティ設定を構成してアカウントを保護します。
ユーザー アカウントにデフォルトの構成を作成します。
アカウントへの安全なアクセス
登録プロセス中に、Cloud Identity または Google Workspace アカウントに最初のユーザーを作成します。このユーザー アカウントには特権管理者権限が割り当てられ、Cloud Identity または Google Workspace アカウントへの完全アクセス権が付与されています。
Cloud Identity または Google Workspace アカウントの初期構成を完了するには、特権管理者権限が必要です。初期構成を完了した後に、特権管理者権限が必要になることはほとんどありませんが、ビジネスの継続性を考慮すると、管理者と許可された担当者が Cloud Identity または Google Workspace アカウントへの特権管理者権限を維持することが重要です。
このアクセス権を維持するには、次の操作を行います。
- Cloud Identity または Google Workspace アカウントへの特権管理者権限を持つべき管理者グループを選択します。ユーザー数を少なくすることをおすすめします。
- 管理者ごとに専用の特権管理者ユーザー アカウントを作成します。
- ユーザーに Google の 2 段階認証プロセスを適用します。スマートフォンや USB キーを紛失した場合でもアクセスできるように、バックアップ コードを作成します。
- 必要な場合にのみ特権管理者アカウントを使用するように管理者に指示し、そのアカウントの日常的な使用を禁止します。
特権管理者ユーザーを保護する方法については、特権管理者アカウントのベスト プラクティスをご覧ください。アカウントが適切に保護されていることを確認するには、中規模および大規模ビジネス向けのセキュリティ チェックリストに従ってください。
ユーザー アカウントのデフォルト設定を構成する
Cloud Identity と Google Workspace では、ユーザー アカウントのセキュリティを保護するためのさまざまな設定がサポートされています。
- 2 段階認証を必須にする。
- Google Workspace と Google サービスにアクセスできるユーザーを制御する。
- 安全性の低いアプリへのアクセスを許可または禁止する。
- Cloud Identity Premium または Google Workspace のライセンスを割り当てる。
- データの地理的位置を選択し、追加のデータ ストレージを制御管理する(Google Workspace のみ)。
管理作業を最小限に抑えるため、これらの設定を構成することをおすすめします。構成すると、これらの値はデフォルトとして新しいユーザーに適用されます。デフォルト設定は次のレベルで構成できます。
- グローバル: グローバル設定はすべてのユーザーに適用されますが、優先度は最も低くなります。
- 組織部門(OU): 組織部門の設定は、組織部門とその下位組織部門のすべてのユーザーに適用され、グローバル設定よりも優先されます。
- グループ: グループに構成した内容は、グループのすべてのメンバーに適用され、OU やグローバルな設定よりも優先されます。
OU 構造を作成する
組織部門の構造を作成すると、Cloud Identity または Google Workspace アカウントのユーザー アカウントを別々のセットに分割でき、管理が容易になります。
Cloud Identity を外部 IdPと組み合わせて使用する場合、カスタムの組織部門を作成する必要はありません。代わりに、グローバル設定とグループ固有の設定を組み合わせて使用できます。
- すべてのユーザー アカウントをデフォルトの OU のままにします。
- 特定の Google サービスへのアクセスが許可されたユーザーを制御するには、外部 IdP で
Google Cloud Users and Google Ads Users
などの専用グループを作成します。これらのグループを Cloud Identity にプロビジョニングし、適切なデフォルト設定を適用します。その後、外部 IdP でグループ メンバーを変更してアクセスを制御できます。
一部またはすべてのユーザーが Google Workspace を使用している場合は、Google Workspace 固有の設定を適用できないため、カスタム OU 構造が必要になることがあります。外部 IdP を使用する場合は、次のように OU の構造をシンプルにすることをおすすめします。
- 基本的な OU 構造を作成して、ライセンスの割り当て、データの地理的な保管場所の選択、追加のデータ ストレージの制御を行います。その他の設定については、グループごとに設定を適用することをおすすめします。
- 新しいユーザーが適切な OU に自動的に割り当てられるように外部 IdP を構成します。
- 外部 IdP で
Google Cloud Users and Google Ads Users
などの専用グループを作成します。これらのグループを Google Workspace にプロビジョニングし、適切なデフォルト設定を適用します。その後、外部 IdP でグループ メンバーを変更してアクセスを制御できます。
デフォルトの OU がアカウントの移行に与える影響
Cloud Identity または Google Workspace に移行する予定の一般ユーザー向けアカウントがある場合、デフォルトの OU は特別な役割を担います。一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行する場合、そのアカウントは常にデフォルトの OU に配置され、どのグループにも属しません。
一般ユーザー向けアカウントを移行するには、アカウントの移行を開始する必要があります。この移行は、一般ユーザー向けアカウントのオーナーが承認する必要がありますが、オーナーが同意するタイミングを管理者側で制限し、移行を完了することもできます。
移行が完了すると、デフォルトの OU に適用されたすべての設定が、移行したユーザー アカウントに反映されます。関連する従業員の作業を妨げないように、これらの設定により、Google サービスへの基本レベルのアクセス権を付与します。
ベスト プラクティス
Cloud Identity または Google Workspace アカウントを準備する場合は、次のベスト プラクティスに従ってください。
- 外部 IdP を使用する場合は、Cloud Identity または Google Workspace のユーザーが外部 IdP の ID のサブセットとなるようにします。
- デフォルトのセッションの長さと Google Cloud で使用されるセッションの長さを短くすることを検討してください。外部 IdP を使用する場合は、セッションの長さを IdP に合わせます。
- デフォルトの保持期間を超えて保持する場合は、監査ログを BigQuery にエクスポートします。
- アカウントの安全性を維持するため、中規模および大規模ビジネス向けセキュリティ チェックリストを定期的にご確認ください。
次のステップ
- 既存のユーザー アカウントを統合する方法を確認する。