Google Workspace 管理者コンソール｜契約直後にやるべき設定10項目

Google Workspace（旧G Suite）を契約し、管理画面に初めてログインした際、その設定項目の多さに圧倒される担当者は少なくありません。しかし、初期設定を「なんとなく」で済ませてしまうと、メールの不達や情報漏洩といった致命的なリスクを招くことになります。

本記事では、Google Workspaceの管理者が契約直後、本格運用の前に完了させておくべき10の必須設定項目を、実務者の視点でステップバイステップで解説します。これを完了させることで、セキュリティと利便性を両立した「標準的なクラウドオフィス環境」が整います。

Google Workspace 導入直後に管理者が行うべき初期設定の全体像

Google Workspaceの管理における鉄則は、「デフォルト設定は必ずしも自社にとって安全ではない」という認識を持つことです。初期状態では、ユーザーが自由に外部とファイルを共有できたり、強度の低いパスワードが許容されていたりします。

なぜ「最初」の設定が重要なのか

特にメールサーバー（DNS）周りの設定は、一度間違えると社外へのメールが届かなくなる、あるいはなりすましメールに悪用されるといった実害が即座に発生します。また、ユーザーが利用を開始した後にセキュリティ強度を上げようとすると、「昨日までできたことができない」という不満や混乱を招きます。導入初日に「自社のルール」をシステム的に強制しておくことが、運用の安定化への近道です。

ライセンス体系の再確認

設定を進める前に、現在契約しているライセンスで利用可能な機能を把握しておきましょう。特にセキュリティ設定やストレージ容量、共有ドライブの可否はライセンスによって異なります。

※料金は2024年時点の年払換算参考値。詳細は公式料金ページを確認してください。

【必須】契約後すぐに完了させるべき10の設定項目

それでは、具体的な設定手順に入ります。管理者コンソール（admin.google.com）にログインし、以下の順序で設定を進めてください。

1. ドメインの所有権確認とMXレコードの設定

独自ドメインでメールを送受信するためには、DNSサーバーに「Googleのメールサーバーを使います」という宣言をする必要があります。

1. 管理コンソールの「ドメインを管理」から、ドメインの所有権を確認（TXTレコードの追加）。
2. お名前.comやCloudflare等のDNS管理画面で、Googleが指定するMXレコードを設定します。
3. 優先度: 1 値: ASPMX.L.GOOGLE.COM.（等、公式ヘルプに従い5本程度設定）

2. メールのなりすまし対策（SPF、DKIM、DMARC）

現代のメール運用において、SPF設定だけでは不十分です。特にGmailの送信者ガイドラインが厳格化された現在、以下の3点セットは必須です。

• SPF: v=spf1 include:_https://www.google.com/search?q=spf.google.com ~all をTXTレコードに設定。
• DKIM: 管理コンソールの[アプリ] > [Google Workspace] > [Gmail] > [メールの認証]から鍵を生成し、DNSに公開。
• DMARC: SPF/DKIMが失敗した際の振る舞いを定義。最初は p=none で監視し、最終的に p=quarantine 以上を目指します。

3. 特権管理者アカウントの分離と予備管理者の作成

日常業務（メール送受信やドキュメント作成）に使うアカウントに特権管理者（Super Admin）を付与するのは避けてください。アカウントが乗っ取られた際、組織全体が支配されます。

推奨構成: 管理用アカウント（例: admin-user@example.com）を別途作成し、普段は一般ユーザーとして業務を行う。また、メイン管理者がログインできなくなった場合に備え、特権管理者は必ず2名以上（あるいはバックアップ用を1つ）用意してください。

4. 二要素認証（2段階認証）の強制適用

パスワード漏洩による被害を最小限に抑えるため、組織全体に二要素認証（2SV）を強制します。

手順: [セキュリティ] > [認証] > [2 段階認証プロセス] から、「適用」をオンにします。ただし、いきなりオンにするとログインできなくなるユーザーが出るため、「新ユーザーの猶予期間」を1週間程度設定し、その間に登録を促すのが実務上のコツです。

5. 組織部門（OU）とグループの設計

ユーザー全員に同じ制限をかけるのではなく、部署ごとに設定を変えるための「組織部門（OU）」を作成します。

• 組織部門（OU）: 「営業部」「開発部」などで分け、特定の部署だけ外部サービス連携を許可する、といった制御に使用。
• Google グループ: info@ や sales@ などのメーリングリスト、およびフォルダ共有の権限付与対象として使用。

この組織設計を疎かにすると、後のDX推進において「誰にどの権限があるか不明」という事態に陥ります。特に現場主導のツール活用を進める場合は、以下のガイドも参考にしてください。

Excelと紙の限界を突破する「Google Workspace × AppSheet」業務DX完全ガイド

6. Google ドライブの外部共有制限と共有ドライブの作成

デフォルトでは「誰とでも共有可能」になっています。これを以下のレベルに制限することを検討してください。

推奨設定: [アプリ] > [Google Workspace] > [ドライブとドキュメント] > [共有設定] にて、「信頼できるドメイン」のみに制限、あるいは「外部共有時に警告を表示」を設定。また、個人所有の「マイドライブ」ではなく、組織が所有する「共有ドライブ」を標準の保存先に指定します。

7. パスワードポリシーの設定とログインチャレンジ

最低文字数（8文字以上、推奨12文字以上）を設定し、再利用の禁止期間を定めます。また、「ログインチャレンジ」の設定を確認し、不審な場所からのアクセス時に本人確認が走るようにします。

8. モバイル管理（基本管理）の有効化

従業員のスマートフォンで社内メールを確認する場合、紛失リスクへの対策が必要です。Business Standard以下のライセンスでも「基本管理」は利用可能です。これにより、管理者は万が一の際、端末内の「会社のデータのみ」をリモートでワイプ（消去）できるようになります。全損ワイプと異なり、個人の写真などは消えないため、BYOD（私物端末の業務利用）でも導入のハードルが低くなります。

9. 指定URLへのリダイレクトとロゴ設定

ユーザーが迷わないよう、ログイン画面やサービスに会社のロゴを表示させます。また、カスタムURL（例: https://www.google.com/search?q=mail.example.com）を設定することで、ブラウザから直接アクセスしやすくします。これは地味ですが、シャドーIT（個人用Gmailの利用）を防ぐための視覚的な「公式感」を出すのに有効です。

10. Google Workspace Marketplace アプリのインストール制限

ユーザーが勝手にサードパーティ製アプリ（カレンダー連携ツールや診断ツールなど）を導入し、メールやドライブへのフルアクセス権限を与えてしまうのを防ぎます。

推奨設定: 「管理者が許可したアプリのみインストールを許可する」に変更。必要なアプリは管理者が個別に承認するフローを構築します。

実務で差が出る「組織構造」と「グループ」の使い分け

管理を効率化するコツは、「個別に設定しない」ことです。100人のユーザーに1人ずつ設定を行うのは現実的ではありません。

組織部門（OU）による階層管理

OUは「設定を流し込む器」です。例えば、「正社員OU」には全てのアプリを許可し、「業務委託OU」にはGoogle ドライブの外部共有を一切禁止する、といったポリシ制御を行います。これはPCのグループポリシーに近い概念です。

Google グループによる権限管理

一方、グループは「権限を束ねる器」です。共有ドライブのアクセス権限や、社内ツールのログイン権限（SAML連携）は、個人メールアドレスではなくグループに対して付与します。これにより、異動や退職が発生した際も、グループからの脱退だけで全ての権限を剥奪でき、作業漏れを防げます。

アカウント管理の自動化については、退職者対応の自動化アーキテクチャに関する以下の記事が詳しく解説しています。

SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ

運用フェーズを見据えたデータの統合と拡張

Google Workspaceの真価は、単なるメールやドキュメント作成ツールにとどまりません。管理者が初期設定を終えた後、次に目指すべきは「データ基盤としての活用」です。

将来的なDXへの布石

例えば、Google Workspace上のデータは、Google CloudのBigQueryとノーコードで連携可能です。スプレッドシートに蓄積された業務データをBigQueryに集約し、BIツール（Looker Studio等）で可視化する流れは、モダンなデータスタックの第一歩となります。また、AppSheetを活用すれば、プログラミングなしで業務アプリを構築できます。

SaaSコストの最適化

Google WorkspaceをIDプロバイダ（IdP）として活用し、他のSaaS（freeeやSalesforce等）とシングルサインオン（SSO）連携させることで、ログインの手間を減らしつつセキュリティを強化できます。SaaSの乱立に悩む場合は、以下の「標的」と「剥がし方」の解説が参考になります。

SaaSコストを削減。フロントオフィス＆コミュニケーションツールの「標的」と現実的剥がし方【前編】

よくあるトラブルとFAQ

Q. MXレコードを設定したが、メールが届かない。

A. DNSの反映（浸透）には数時間から最大48時間かかる場合があります。また、旧サーバーのMXレコードが残っていないか確認してください。Google Toolboxの「Check MX」を使うと、設定の不備を自動診断できます。

Q. 二要素認証を強制したら、ユーザーがログインできなくなった。

A. 管理者コンソールのユーザー詳細から、一時的に「ログインチャレンジの無効化（10分間）」を行うか、バックアップコードを発行して対応します。バックアップ用電話番号の登録を徹底させることが重要です。

Q. 管理者アカウントを1つしか作っておらず、その人が退職してしまった。

A. ドメインの所有権（DNSの操作権限）があれば、Googleのサポートを通じて管理権限を回復できる場合がありますが、手続きに数週間かかることがあります。必ず複数の特権管理者を維持してください。

Google Workspaceの管理は、一度土台を固めてしまえば、その後の拡張性は無限大です。まずはこの10項目を確実に完了させ、安全で効率的なデジタルワークプレイスを構築しましょう。