「管理者に任命されたものの、管理コンソールのどこから手をつければよいかわからない」——Google Workspace を導入したばかりの組織では、こうした声がよく聞かれます。
管理コンソール(admin.google.com)は、ユーザーアカウントの作成・削除、セキュリティポリシーの設定、デバイス管理、利用サービスの制御など、組織全体の IT ガバナンスを担う中枢です。使いこなせれば管理コストを大幅に削減できますが、設定漏れや誤設定はセキュリティリスクに直結します。
本記事では、管理コンソールを初めて担当する方が「最初の 1 週間」で完了させるべき初期設定と、その後の日常運用で押さえておきたいポイントを順を追って解説します。
Google Workspace の契約・初期セットアップ全体については Google Workspace 導入完全ガイド【2026年版】 を、セキュリティ観点の網羅的なチェックリストは Google Workspace セキュリティチェックリスト 2026 をあわせてご参照ください。
管理コンソールの基本構成を把握する
管理コンソールへのログインは admin.google.com から行います。ログインには管理者権限を付与されたアカウントが必要で、通常は Google Workspace 契約時に登録したスーパー管理者アカウントを使います。
ダッシュボードは大きく以下のセクションで構成されています。
| セクション | 主な用途 |
|---|---|
| ディレクトリ | ユーザー・グループ・組織部門の管理 |
| デバイス | PC・スマートフォンのエンドポイント管理 |
| アプリ | Google サービスおよびサードパーティアプリの利用制御 |
| セキュリティ | 認証・アクセス・データ保護ポリシーの設定 |
| レポート | 監査ログ・アラートセンター・利用状況レポート |
| お支払い | プラン・請求の管理 |
初めて管理コンソールを開いたときは「何でもできすぎて迷う」という印象を持つ方が多いです。まずは ディレクトリ → セキュリティ → アプリ の順に設定を固めることを推奨します。
ステップ 1:スーパー管理者アカウントを守る
管理コンソールで最初に行うべきは、スーパー管理者アカウント自体の保護です。スーパー管理者は組織のあらゆる設定を変更できる権限を持つため、このアカウントが侵害されると被害は甚大になります。
推奨アクション
- スーパー管理者アカウントは 2〜3 名まで に限定する。日常業務には使わない専用アカウントにする
- 2 段階認証(2FA)を セキュリティキー(ハードウェアキー)で必須化する。SMS 認証は SIM スワッピング攻撃に弱いため管理者には推奨しない
- スーパー管理者の操作ログをアラートセンターで監視し、権限変更・パスワードリセット・MFA 変更が行われた際に即座に通知が届くよう設定する
設定場所:「セキュリティ」→「認証」→「2 段階認証プロセス」
ステップ 2:組織部門(OU)を設計する
**組織部門(Organizational Unit:OU)**は、Google Workspace のポリシーを部門・役割ごとに分けて適用するための仕組みです。OU を適切に設計することで、「営業部にはこのアプリを使わせる、開発部には別の設定を適用する」といった柔軟な制御が可能になります。
OU は親子の階層構造を持てるため、現実の組織図に合わせて設計するのが一般的です。たとえば以下のような構成が考えられます。
(ルート組織)
├── 正社員
│ ├── 営業部
│ ├── 開発部
│ └── 管理部
└── 業務委託OU の設計で陥りやすいミスは「最初に細かく作りすぎること」です。まずは 3〜5 つ程度のシンプルな構成から始め、運用しながら細分化していくアプローチが現実的です。
設定場所:「ディレクトリ」→「組織部門」
ステップ 3:全ユーザーに 2 段階認証を適用する
MFA(多要素認証)を有効化したアカウントは、有効化していないアカウントと比較して侵害リスクが 99% 低下するとされています(CISA データ)。Google Workspace ではポリシーを設定するだけで、特定の OU または全組織に 2 段階認証を強制できます。
設定手順:
- 「セキュリティ」→「認証」→「2 段階認証プロセス」を開く
- 「2 段階認証プロセスの適用を許可する」を ON にする
- 適用開始日を設定し、ユーザーへの猶予期間(推奨:1〜2 週間)を確保する
- 管理者アカウントは「セキュリティキーのみ」に制限する
猶予期間中にユーザーへの周知と設定サポートを行い、適用開始日を迎える流れが運用上スムーズです。
ステップ 4:パスワードポリシーとセッション制御を設定する
パスワードポリシーは「セキュリティ」→「パスワード」から設定します。最低限、以下の 3 点を確認してください。
- 最小文字数:8 文字以上(推奨は 10〜12 文字)
- パスワードの再利用を禁止:過去のパスワードを使い回せないようにする
- 強度の適用:脆弱なパスワードを弾くフィルタリングを ON にする
あわせて「セッション管理」(「セキュリティ」→「Google セッションのコントロール」)で、ウェブセッションの有効期限を設定することを推奨します。特に外部委託スタッフが多い組織では、セッションを 8〜24 時間に制限することで、貸与端末の紛失・放置リスクを低減できます。
ステップ 5:アプリのアクセス制御を構成する
Google Workspace では、組織で許可するアプリを管理コンソールから制御できます。デフォルトでは多くのサードパーティアプリが「信頼済み」として扱われますが、これを見直すことが重要です。
「アプリ」→「Google Workspace Marketplace アプリ」→「設定」 から、以下のポリシーを選択できます。
- すべてのアプリを許可:管理負荷が最小だが、シャドーIT が発生しやすい
- 管理者が承認したアプリのみ許可(推奨):ホワイトリスト方式でアプリを制御
- すべてのアプリを禁止:最も厳格。エンタープライズ向け
中小企業では「管理者が承認したアプリのみ許可」を基本方針とし、業務上必要なアプリを申請ベースで承認するフローを整備するのが現実的です。
また、OAuth スコープの管理も重要です。「セキュリティ」→「API コントロール」では、サードパーティアプリが Google データに何のスコープでアクセスしているかを確認・制限できます。Gmailへの全権アクセスを要求するアプリには特に注意してください。
日常運用で押さえるべき 3 つのポイント
アラートセンターを週次で確認する
「レポート」→「アラートセンター」には、不正ログイン試行・マルウェア検知・ユーザーの不審な操作などのアラートが集約されます。週に 1 回程度、アラートの内容を確認する習慣をつけてください。重要なアラートはメール通知を設定しておくと見落としを防げます。
ユーザーのライフサイクル管理を徹底する
退職者・離脱メンバーのアカウントが残り続けることは、典型的なセキュリティリスクです。退職が決まった時点でアカウントを「一時停止」し、データの引き継ぎ後に「削除」するフローを HR・情報システム間で事前に合意しておくことが重要です。
管理コンソールでは「ユーザーの一時停止」操作でログインをすぐに無効化できます。削除するとデータの復元期間(20 日間)が設けられるので、慌てずに対応できます。
利用状況レポートで棚卸しをする
「レポート」→「アプリ」では、各 Google サービスや連携アプリの利用状況を確認できます。ほとんど使われていないライセンスや、特定のユーザーのみが使う高コストアプリを定期的に棚卸しすることで、ライセンス費用の最適化につながります。特に 20〜30 名以上の組織では、半期に 1 回程度の棚卸しを推奨します。
まとめ:管理コンソールは「設定して終わり」ではない
管理コンソールの初期設定は、スーパー管理者の保護・OU 設計・MFA の全員適用・パスワードポリシー・アプリ制御の 5 ステップで基盤を固めることが優先です。そのうえで、アラートの定期確認・ユーザーライフサイクル管理・利用状況の棚卸しを日常運用として組み込むことで、セキュアで効率的な環境を維持できます。
管理コンソールの設定は「一度やって終わり」ではなく、組織の成長や Google Workspace のアップデートにあわせて継続的に見直すものです。最初の設定をしっかり固めておくことが、後々の運用負荷を大きく左右します。
Google Workspace の管理コンソール設定や、組織全体への導入支援についてご相談がある場合は、お気軽にお問い合わせください。初期設定のレビューから運用フローの整備まで、グリームハブがサポートします。
