GWSの特権を課金ユーザの追加なしで分離する

Google Workspaceを1ユーザで使用している場合、必然的に課金ユーザ=特権管理者となりますが、Googleアカウントは通常ログインしっぱなしのことが多いため、不必要な権限を持った状態で放置するのは避けたいところです(一応管理コンソールは一定時間で再認証が入りますが)。

しかし特権管理用に普通にアカウントを作成すると2ユーザ分のライセンスが必要になってしまい、月額料金が増加します。そこで特権管理用のアカウントに課金することなく権限を分離する方法を紹介します。

Cloud Identity Free

以下の特徴を持ったアカウントライセンスです。

• ライセンス料金は不要
• ほとんどのGoogle Workspaceのアプリ(Gmailを含む)が無効化されている
• SAMLやOAuthでログイン可能

いわゆる「ログインだけできるアカウント」を追加することができるライセンスです。無料でユーザを作成することができますが、Google Workspaceの基本機能であるGmailを使うことができません。主にGoogle Workspaceのアプリが不要で、SAMLやOAuthのIdPとしてのみ使用するユーザを追加するために存在する機能のようです。

Google Workspaceのアプリは一部を除き使用できませんが、管理コンソールなどの各種管理機能は通常通り使用できるので、このアカウントを使用して特権を管理していきます。

Google Cloud Platformとの関連

Google Cloud Platform(GCP)にもCloud Identityサービスが存在します。似たようなサービスですが、GCP側のCloud IdentityはGoogle Workspaceに紐付くとは限りません。

本記事の以下の内容は、自組織のユーザとしてアカウントを追加する方法となります。
(Google Cloud PlatformではなくGoogle WorkspaceのCloud Identityです)

手順

まずは以下の手順を現在の特権管理者で実行します。

1. Cloud Identity Freeを有効化する

   • 管理コンソール左側メニューの「お支払い」→「購入またはアップグレード」を開き、「Google Cloudの管理」セクションにある「Cloud Identity Free」を開き、画面の指示に従い購入する

     (画像では購入済みですが、未購入の場合は同じ位置に購入ページへのリンクがあります)

     

     • 購入画面が表示されますが、0円のため購入に費用はかかりません

2. (オプション) 新規ユーザの作成時に課金ライセンスを割り当てないようにする

   • 管理コンソール左側メニューの「お支払い」→「ライセンス設定」を開き、「自動ライセンス」を「オフ」に設定する

     

3. 新特権管理者用のアカウントを作成する

4. 新特権管理者アカウントに特権を付与する

   • 管理コンソール左側メニューの「アカウント」→「管理者ロール」を開き、特権管理者のAdminsに新特権管理者アカウントのユーザを追加する

ここから先は新特権管理者アカウントで実行します。

1. メールのルーティングを設定する
   • 管理コンソール左側メニューの「アプリ」→「Google Workspace」→「ルーティング」を開き、ルーティングもしくはアドレスマップで新特権管理者アカウントのアドレスを元の特権アカウントのメールアドレスに設定
2. メイン管理者を変更する
   • 管理コンソール左側メニューの「アカウント」→「アカウント設定」を開き、「プロファイル」セクションのメイン管理者のメールアドレスを新特権管理者のメールアドレスに設定
3. 元の特権アカウントから特権管理者権限を剥奪する
   • 管理コンソール左側メニューの「アカウント」→「管理者ロール」を開き、特権管理者のAdminsから元の特権管理者アカウントのロールの割り当てを解除
4. (オプション) 必要に応じて元の特権アカウントに残しておきたい特権ロールを設定する

以上で、課金アカウントを増やさずに特権を別アカウントに移譲できます。