全社員に同じ設定を当てていませんか — 組織部門(OU)で部署ごとに分ける | GH Media
URLがコピーされました

全社員に同じ設定を当てていませんか — 組織部門(OU)で部署ごとに分ける

URLがコピーされました
全社員に同じ設定を当てていませんか — 組織部門(OU)で部署ごとに分ける

「入社したばかりのアルバイトの方にも、役員と同じように外部へのファイル共有や、あらゆるアプリの利用が許可されている状態でした。さすがに不用心だと思うのですが、設定をいじると全社員に影響が出そうで、怖くて触れずにいます」——先日、社員五十名ほどの会社のIT担当の方から、こんな相談を受けました。Google Workspaceを導入したときのまま、全社員をひとまとめにして一つの設定で運用している会社に、とても多いお悩みです。

導入初期は、全社員が同じ設定でも問題は起きません。ところが人数が増え、雇用形態や部署が多様になると、「全員に同じルール」が急に窮屈になります。新入社員や業務委託の方には権限を絞りたい、経理や人事のように機密を扱う部署だけセキュリティを強めたい、特定の部署でだけ新しい機能を試したい——こうした「一部だけ変えたい」が、全社一律の運用では実現できないのです。本記事では、この壁を越えるための組織部門(OU)という仕組みを、発注する側の目線で整理します。

「全社一律」がなぜ窮屈になるのか

まず、なぜ全社一律の運用が行き詰まるのかを押さえます。ここを理解しておくと、何を分ければよいかが見えてきます。

Google Workspaceの各種設定は、原則として「適用する範囲」を持っています。全社員をひとまとめにしていると、その範囲は常に「全員」です。だから、あるアプリの利用を止めたければ全員で止めるしかなく、外部共有を制限すれば全員が制限される。「新入社員だけ」「経理だけ」といった一部への適用ができません。

これが実務で効いてくる場面は、たとえばこうです。試用期間中の社員には一部の機能を使わせたくないのに、全員に開いてしまっている。機密を扱う部署だけメールの外部転送を止めたいのに、全社で止めると他部署の業務が回らない。ある部署で新機能を試したいのに、オンにすると全社に一斉展開されてしまう。「全員か、誰も使わないか」の二択しかない——これが全社一律の限界です。人と組織が育つほど、この窮屈さは強まります。

組織部門(OU)は「設定を分けるための箱」

この窮屈さを解くのが、組織部門(OU)です。名前は少し硬いですが、要は設定を分けて当てるための箱だと考えると分かりやすいです。

管理コンソールの中に、部署や役割に対応した箱(OU)を作り、そこに社員を振り分けます。そのうえで、箱ごとに「このアプリは使える/使えない」「外部共有は可/不可」「メールのセキュリティはこの強さ」といった設定を変えられます。たとえば「新入社員」という箱を作って権限を絞る、「経理部」という箱を作ってセキュリティを一段強める、といった具合です。全社を一つの箱で運用していた状態から、必要な単位に箱を分けていくイメージです。

ここで理解しておきたいのが、箱には親子関係があり、子の箱は親の設定を引き継ぐという点です。全社という大きな箱の下に部署の箱がぶら下がり、部署の箱は全社の設定を受け継ぎつつ、必要なところだけ上書きできます。だから、全部をゼロから設定し直す必要はありません。全社の土台はそのままに、変えたい部署だけ差分を当てる。この「引き継ぎと上書き」の仕組みがあるおかげで、部署ごとの調整が現実的な手間で済みます。この考え方は、Gmailの受信側セキュリティを部署ごとに調整する記事で触れた「全社の土台+部署ごとの強度調整」と同じ骨格です。

どこで箱を分けるべきか — よくある切り口

では、どんな単位で箱を分ければよいのか。むやみに細かく分けると管理が煩雑になるので、実務で効く切り口から始めるのが定石です。

一つ目は雇用形態・在籍状況です。正社員/業務委託・アルバイト/試用期間中、といった区切りで、権限や使えるアプリを変える。特に、外部の方や入社直後の方の権限を絞るのは、情報漏洩を防ぐうえで効果が大きい切り口です。二つ目は機密を扱う部署です。経理・人事・法務など、給与や個人情報、契約に触れる部署だけ、外部共有やメール転送の制限、セキュリティの強度を一段上げる。三つ目は拠点・グループ会社です。複数拠点や関連会社が同じ環境を使っている場合、拠点ごとに管理者を分けたり、設定を変えたりできます。

分ける切り口主な狙い
雇用形態・試用期間外部・新規メンバーの権限を絞る
機密を扱う部署(経理・人事など)外部共有・転送の制限、セキュリティ強化
拠点・グループ会社拠点ごとの設定と管理者の分担

もう一つ、箱を分けると管理そのものを部署に任せられる利点もあります。特定の箱についてだけ操作できる管理者を置けるので、たとえば拠点のリーダーに、その拠点のメンバーのパスワード再発行だけを任せる、といった委任ができます。全社の管理者がすべてを抱え込まずに済むわけです。ただし、箱を細かくしすぎると設定の全体像が見えにくくなるので、最初は大きく二つ三つに分け、必要に応じて増やすのが安全です。

事例: 新入社員の権限を絞り、経理だけ守りを固めた会社

具体例を挙げます。冒頭に近い、社員五十名ほどの会社(社名は伏せます)から、「全社員が同じ設定で、新入社員も業務委託も何でもできてしまう。経理だけは特に守りを固めたいが、全社をいじるのが怖い」という相談を受けました。

そこでいきなり細かく分けるのではなく、まず「全社(土台)」「新規・試用」「経理」という三つの箱から始めました。全社の箱には、これまで通りの基本設定を土台として残します。「新規・試用」の箱では、外部へのファイル共有を当面制限し、使うアプリも業務に必要なものに絞りました。「経理」の箱では、メールの外部転送を止め、受信側のセキュリティを一段強めました。全社の設定は触っていないので、他の社員の業務には一切影響が出ません。加えて、退職や異動のときにアカウントを適切な箱へ移す手順も定めました(この移動の考え方は退職者アカウントの受け渡しの記事とも地続きです)。効いたのは大がかりな作り直しではなく、「まず変えたい部署だけを、全社の土台から切り出したこと」でした。

まず「全員に同じでは困る設定」を一つ挙げる

組織部門の設計は、いきなり全社を細かく分類する作業から始める必要はありません。まず手をつけるべきは、「これは全員一律だとまずい」と感じる設定を一つ挙げることです。新入社員の外部共有、経理の外部転送、特定部署だけ試したい機能——どれか一つで構いません。その一点を、全社の土台から切り出す最初の箱にします。

大きく二つ三つの箱から始めて、全社の設定は土台として残し、変えたい部署だけ差分を当てる。運用が回ってきたら、必要に応じて箱を増やしていく。この小さく始める進め方が、全社一律の窮屈さと、細かく分けすぎた煩雑さの、どちらも避けさせてくれます。管理コンソールの基本とあわせて、自社の分け方を一度見直してみてください。

新入社員や業務委託の権限を絞りたい、経理や人事だけセキュリティを強めたい、拠点ごとに管理を分けたいが全社をいじるのが怖い——そうしたお悩みがあれば、グリームハブのIT・Google Workspace無料相談からお気軽にご相談ください。現状の設定の棚卸しから、無理のない組織部門の設計、部署ごとの権限とセキュリティの当て込み、管理の委任まで、全社を止めずに進める形をご一緒します。

Sources

URLがコピーされました

グリームハブ株式会社は、変化の激しい時代において、アイデアを形にし、人がもっと自由に、もっと創造的に生きられる世界を目指しています。

記事を書いた人

鈴木 翔

鈴木 翔

技術の可能性に魅了され、学生時代からプログラミングとデジタルアートの分野に深い関心を持つ

関連記事