Google では、管理対象ユーザー アカウントと一般ユーザー向けアカウントの 2 種類のユーザー アカウントをサポートしています。管理対象ユーザー アカウントは、Cloud Identity または Google Workspace の管理者が完全に管理できます。これとは対照的に、一般ユーザー向けアカウントは作成者が完全に所有、管理します。
ID 管理の基本原則は、組織全体の ID を 1 か所で管理することです。
Google を ID プロバイダ(IdP)として使用する場合は、Cloud Identity または Google Workspace が ID を管理する唯一の場所にする必要があります。従業員は、Cloud Identity または Google Workspace で管理するユーザー アカウントのみを使用する必要があります。
外部 IdP を使用する場合は、そのプロバイダが ID を管理するための単一の場所である必要があります。外部 IdP は Cloud Identity または Google Workspace でユーザー アカウントをプロビジョニングして管理する必要があり、従業員は Google サービスを使用する際にこれらの管理対象ユーザー アカウントのみを使用する必要があります。
従業員が一般ユーザー向けアカウントを使用すると、1 か所で ID を管理できなくなります。一般ユーザー向けアカウントは Cloud Identity、Google Workspace、外部 IdP の管理対象外です。したがって、認証の概要で説明されているように、管理対象アカウントに変換する一般ユーザー向けアカウントを特定する必要があります。
このドキュメントで後述する移行ツールを使用して一般ユーザー向けアカウントを管理対象アカウントに変換するには、特権管理者ロールを持つ Cloud Identity か Google Workspace の ID が必要です。
このドキュメントは、次の内容を理解して評価するうえで役立ちます。
- 組織の従業員が使用している既存のユーザー アカウントと、それらのアカウントを特定する方法。
- 既存のユーザー アカウントに伴う潜在的なリスク。
サンプル事例
従業員が使用する可能性のあるさまざまなユーザー アカウントを説明するため、このドキュメントでは「サンプル組織」という会社のサンプル事例を使用します。サンプル組織には、6 人の従業員と元従業員がおり、全員が Google ドキュメントや Google 広告などの Google サービスを使用しています。サンプル組織では、ID 管理を統合しようとしており、ID を 1 か所で管理する場所として外部 IdP を設定しました。各従業員は外部 IdP に ID を持ち、その ID は従業員のメールアドレスと一致します。
example.com のメールアドレスを使用する一般ユーザー向けのアカウント(キャロルとチャック)が 2 つあります。
- キャロルは、会社のメールアドレス(
carol@example.com)を使用して一般ユーザー向けアカウントを作成しました。 - 元従業員のチャックは、会社のメールアドレス(
chuck@example.com)を使用して一般ユーザー向けアカウントを作成しました。
2 人の従業員、グレンとグレースは Gmail アカウントを使用することにしました。
- グレンは Gmail アカウント(
glen@gmail.com))に登録しました。グレンはこのアカウントを使用して、個人と企業のドキュメント、その他の Google サービスにアクセスします。 - グレースも Gmail アカウント(
grace@gmail.com)を使用していますが、会社のメールアドレスgrace@example.comを予備のメールアドレスとして追加しました。
最後に、2 人の従業員、メアリーとマイクはすでに Cloud Identity を使用しています。
- メアリーは Cloud Identity のユーザー アカウント(
mary@example.com)を持っています。 - マイクは Cloud Identity アカウントの管理者で、自分用に 1 つのユーザー(
admin@example.com)を作成しました。
次の図は、さまざまなユーザー アカウントのセットを示しています。
外部 IdP を ID 管理の単一の場所として設定するには、既存の Google ユーザー アカウントの ID を外部 IdP の ID にリンクする必要があります。したがって、次の図では、外部 IdP の ID を表すアカウント セットを追加しています。
従業員が ID を 1 か所で管理するために外部 IdP を設定する場合は、管理対象ユーザー アカウントのみを使用し、外部の IdP でこれらのユーザー アカウントを管理する必要があることを思い出してください。
このシナリオでは、これらの要件を満たしているのはメアリーのみです。メアリーは、管理対象ユーザー アカウントである Cloud Identity ユーザーを使用しており、ユーザー アカウントの ID は外部 IdP の彼女の ID と一致しています。他のすべての従業員は、一般ユーザー向けアカウントを使用しているか、アカウントの ID が外部 IdP の ID と一致していません。要件を満たさない場合のリスクと影響は、ユーザーごとに異なります。各ユーザーは、さらに調査が必要なユーザー アカウントのセットを表します。
調査するユーザー アカウント セット
次のセクションでは、問題がある可能性のあるユーザー アカウントのセットについて説明します。
一般ユーザー向けアカウント
このユーザー アカウントのセットは、次のいずれかに該当するアカウントで構成されています。
- 従業員が、多くの Google サービスが提供する登録機能を使用して作成した。
- ID として会社のメールアドレスが使用されている。
このサンプル事例では、キャロルとチャックがこれに該当します。
ビジネス目的で使用され、会社のメールアドレスを使用している一般ユーザー向けアカウントには、次のようなリスクがあります。
一般ユーザー向けアカウントのライフサイクルは管理できません。退職した従業員が、引き続きユーザー アカウントを使用して企業のリソースにアクセスするとこや、会社の費用を生成することもできます。
すべてのリソースへのアクセス権を取り消しても、アカウントはソーシャル エンジニアリングのリスクをもたらす可能性があります。ユーザー アカウントは
chuck@example.comのような一見信頼できる ID を使用しているため、元の従業員が現在の従業員やビジネス パートナーにリソースへのアクセスを再び許可させることができます。同様に、元の従業員がユーザー アカウントを使用して組織のポリシーに違反するアクティビティを実行して、会社の評判が損なわれる恐れがあります。
アカウントに MFA 確認やパスワードの複雑さのルールなどのセキュリティ ポリシーを適用することはできません。
コンプライアンス リスクとなる可能性があるため、地理的な Google ドキュメントと Google ドライブのデータ保存場所は制限できません。
このユーザー アカウントを使用してアクセスできる Google サービスを制限することはできません。
サンプル組織が Google を IdP として使用する場合、一般ユーザー向けアカウントに対処する最適な方法は、Cloud Identity または Google Workspace に移行するか、所有者にユーザー アカウントの名前を変更させて削除することです。
サンプル組織が外部 IdP を使用する場合は、次の項目をさらに区別する必要があります。
- 外部 IdP に一致する ID がある一般ユーザー向けアカウント。
- 外部 IdP に一致する ID のないユーザー向けアカウント。
以下の 2 つのセクションでは、この 2 つのサブクラスについて詳しく説明します。
外部 IdP に一致する ID がある一般ユーザー向けアカウント
このユーザー アカウントのセットは、次のすべてに一致するアカウントで構成されます。
- 従業員によって作成された。
- メインのメールアドレスとして会社のメールアドレスが使用されている。
- ID が外部 IdP の ID と一致する。
このサンプル事例では、キャロルがこれに該当します。
これらの一般ユーザー向けアカウントに外部 IdP と一致する ID があるということは、これらのユーザー アカウントが現在の従業員に属し、保持される必要があることを意味します。したがって、これらのアカウントを Cloud Identity または Google Workspace に移行することを検討してください。
外部 IdP と一致する ID がある一般ユーザー向けアカウントは次のように特定します。
- 一般ユーザー向けアカウントの登録に使用されたと思われるすべてのドメインを Cloud Identity または Google Workspace に追加します。特に、Cloud Identity または Google Workspace のドメインのリストには、メールシステムがサポートするすべてのドメインを含める必要があります。
- 管理対象に含まれないユーザー用の移行ツールで、Cloud Identity または Google Workspace に追加したドメインのいずれかに一致するメールアドレスを使用している、一般ユーザー向けアカウントを特定します。また、このツールを使用すると、影響を受けるユーザーのリストを CSV ファイルとしてエクスポートすることもできます。
- 一般ユーザー向けアカウントのリストを外部 IdP の ID と比較し、対応する一般ユーザー向けアカウントを見つけます。
外部 IdP に一致する ID のない一般ユーザー向けアカウント
このユーザー アカウントのセットは、次のすべてに一致するアカウントで構成されます。
- 従業員によって作成された。
- ID として会社のメールアドレスが使用されている。
- ID が外部 IdP の ID と一致しない。
このサンプル事例では、チャックがこれに該当します。
外部 IdP で一致する ID がない一般ユーザー向けアカウントには、次の項目を含む原因が考えられます。
- アカウントを作成した従業員が退職したため、対応する ID が外部 IdP に存在しなくなった。
一般ユーザー向けアカウントの登録に使用したメールアドレスと、外部 IdP が認識する ID が一致していない。このような不一致は、メールシステムで次のようなバリエーションが許可されている場合に発生します。
- 代替ドメインの使用。たとえば、
johndoe@example.orgとjohndoe@example.comが同じメールボックスのエイリアスになっていても、IdP ではjohndoe@example.comのみが認識される可能性があります。 - 代替ハンドルの使用。たとえば、
johndoe@example.comとjohn.doe@example.comが同じメールボックスを参照していても、IdP が片方のスペルしか認識しない可能性があります。 - 大文字と小文字が異なる場合。たとえば、バリアント
johndoe@example.comとJohnDoe@example.comが同じユーザーとして認識されないことがあります。
- 代替ドメインの使用。たとえば、
外部 IdP で一致する ID がない一般ユーザー向けアカウントは、次の方法で処理できます。
一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行してから、別のドメイン、ハンドル、大文字と小文字の違いを調整できます。
ユーザー アカウントが不正と思われる場合や、今後使用するべきでないと思われる場合は、所有者にユーザー アカウントの名前を変更させて一般ユーザー向けアカウントを削除できます。
外部 IdP で一致する ID のない一般ユーザー向けアカウントは、次のように特定できます。
- 一般ユーザー向けアカウントの登録に使用されたと思われるすべてのドメインを Cloud Identity または Google Workspace に追加します。特に、Cloud Identity または Google Workspace のドメインのリストには、メールシステムがサポートするすべてのドメインをエイリアスとして含める必要があります。
- 管理対象に含まれないユーザー用の移行ツールで、Cloud Identity または Google Workspace に追加したドメインのいずれかに一致するメールアドレスを使用している、一般ユーザー向けアカウントを特定します。また、このツールを使用すると、影響を受けるユーザーのリストを CSV ファイルとしてエクスポートすることもできます。
- 一般ユーザー向けアカウントのリストと外部 IdP の ID を比較して、対応するものがない一般ユーザー向けアカウントを見つけます。
外部 IdP に一致する ID のない管理対象アカウント
このユーザー アカウントのセットは、次のすべてに一致するアカウントで構成されます。
- Cloud Identity または Google Workspace 管理者によって手動で作成された。
- ID が外部 IdP の ID と一致しない。
このサンプル事例では、管理対象アカウントの ID admin@example.com を使用したマイクがこれに該当します。
外部 IdP に一致する ID がない管理対象アカウントの原因は、外部 IdP に一致する ID がない一般ユーザー向けアカウントの場合と同様です。
- アカウントを作成した従業員が退職したため、対応する ID が外部 IdP に存在しなくなった。
- 外部 IdP の ID と一致する会社のメールアドレスが、メインのメールアドレスとしてではなく予備のメールアドレスまたはエイリアスとして設定されている。
- Cloud Identity または Google Workspace のユーザー アカウントに使用されているメールアドレスが、外部 IdP で識別された ID と一致しない。Cloud Identity と Google Workspace のいずれも、ID として使用されるメールアドレスが存在するかどうかを検証することはありません。したがって、代替ドメイン、代替ハンドル、または大文字と小文字の違いだけでなく、入力ミスや人的ミスでも不一致が発生する可能性があります。
原因に関係なく、外部 IdP に一致する ID がない管理対象アカウントは、意図しない再利用や名前の不正占拠の影響を受ける可能性があるため、これらのアカウントを調整することをおすすめします。
外部 IdP で一致する ID のない一般ユーザー向けアカウントは、次のように特定できます。
- 管理コンソールまたは Directory API を使用して、Cloud Identity または Google Workspace のユーザー アカウントのリストをエクスポートします。
- アカウントのリストと外部 IdP の ID を比較して、対応するものがないアカウントを確認します。
企業で使用する Gmail アカウント
このユーザー アカウントのセットは、次に一致するアカウントで構成されます。
- 従業員によって作成された。
- ID として
gmail.comのメールアドレスが使用されている。 - ID が外部 IdP の ID と一致しない。
このサンプル事例では、グレースとグレンがこれに該当します。
企業で使用する Gmail アカウントには、外部 IdP に一致する ID がない一般ユーザー向けアカウントと同様のリスクがあります。
- 一般ユーザー向けアカウントのライフサイクルは管理できません。退職した従業員が、引き続きユーザー アカウントを使用して企業のリソースにアクセスするとこや、会社の費用を生成することもできます。
- アカウントに MFA 確認やパスワードの複雑さのルールなどのセキュリティ ポリシーを適用することはできません。
そのため、Gmail アカウントに対処する最善の方法は、これらのユーザー アカウントによるすべての企業リソースへのアクセス権を取り消し、それにより影響を受ける従業員に新しい管理対象ユーザー アカウントを提供することです。
Gmail アカウントはドメインとして gmail.com を使用しているため、組織との明確な関係はありません。関係が明確でないということは、企業で使用してきた Gmail アカウントを特定するには、既存のアクセス制御ポリシーを除去する以外に、体系的な方法がないことを意味します。
予備のメールアドレスとして会社のメールアドレスを使用する Gmail アカウント
このユーザー アカウントのセットは、次のすべてに一致するアカウントで構成されます。
- 従業員によって作成された。
- ID として
gmail.comのメールアドレスが使用されている。 - 予備のメールアドレスとして会社のメールアドレスが使用されている。
- ID が外部 IdP の ID と一致しない。
このサンプル事例では、グレースがこれに該当します。
リスクの観点からは、予備のメールアドレスとして会社のメールアドレスを使用する Gmail アカウントは、外部 IdP に一致する ID がない一般ユーザー向けアカウントと同じになります。これらのアカウントは一見信頼できる会社のメールアドレスを 2 つ目の ID として使用するため、ソーシャル エンジニアリングのリスクがあります。
アクセス権と Gmail アカウントに関連する一部のデータを保持したい場合は、ユーザー アカウントから Gmail を削除するよう所有者に依頼してください。その後、Cloud Identity または Google Workspace に移行できます。
会社のメールアドレスを予備のメールアドレスとして使用する Gmail アカウントを処理する最適な方法は、サニタイズすることです。アカウントをサニタイズする際は、同じ会社のメールアドレスで管理対象ユーザー アカウントを作成することで、所有者に会社のメールアドレスを強制的に放棄させます。また、すべての企業リソースへのアクセス権を取り消し、それにより影響を受ける従業員に代わりの新しい管理対象ユーザー アカウントを提供することをおすすめします。
次のステップ
- Google Cloud のさまざまなタイプのユーザー アカウントについて確認する。
- 一般ユーザー向けアカウントの移行プロセスの方法を詳しく見る。
- Google Cloud と外部 ID プロバイダの連携に関するベスト プラクティスを確認する。