Google Workspace のデバイス管理機能は、従業員が日常的に利用するPCやスマートフォン、タブレットを一元的に管理し、企業の情報セキュリティを強化するための重要なツールです。
この記事を読んだほうが良い人
- Google Workspace を利用している企業の情シス担当者
- 従業員のデバイス管理に課題を感じている方
- 追加の MDM 製品導入を検討しているが、コストや運用負荷に懸念がある方
- Google Workspace のセキュリティ機能を GAS 自動化と組み合わせて活用したい方
Google Workspace MDM とは何か?その基本機能
MDM (Mobile Device Management) は、スマートフォンやタブレットなどのモバイルデバイスを一元的に管理し、セキュリティポリシーの適用や設定の配布、データの保護などを行うシステムです。Google Workspace のデバイス管理機能は、この MDM の概念を Google Workspace 環境に統合し、さらにPC (Windows, macOS, Chrome OS) まで管理対象を広げています。
Google Workspace のデバイス管理は、管理コンソールから以下のデバイスタイプを管理できます。
- モバイルデバイス: Android デバイス、iOS デバイス
- パソコン: Windows、macOS、Chrome OS デバイス
主な管理機能は多岐にわたります。
- デバイス登録と承認: 会社支給デバイスや従業員の個人所有デバイス (BYOD: Bring Your Own Device) を企業ネットワークに登録し、利用を承認またはブロックします。
- パスコードポリシーの適用: デバイスのロック解除に必要なパスコードの複雑さ、有効期限、再利用制限などを設定し、強制適用します。
- リモートワイプ・ロック: デバイスの紛失や盗難時に、遠隔からデバイスをロックしたり、企業データを消去したりできます。
- アプリの配布・ブロック: 業務に必要なアプリを配布したり、セキュリティリスクのあるアプリのインストールをブロックしたりします。
- データ暗号化の強制: デバイス内のデータを暗号化し、不正アクセスから保護することを義務付けます。
- ネットワーク設定: 企業 Wi-Fi や VPN の設定を自動で配布し、セキュアなネットワーク接続を促進します。
これらの機能により、情シス担当者は従業員が利用する多様なデバイスのセキュリティレベルを一定に保ち、情報漏洩のリスクを低減することが可能です。
なぜ情シスは Google Workspace MDM を活用すべきなのか?
情シス担当者が Google Workspace の MDM 機能を活用するメリットは大きく、特にリソースが限られる100名規模の企業にとって、その価値はより高まります。
Google Workspace との一元管理
最大の利点は、Google Workspace の管理コンソールを通じて、ユーザーアカウント、セキュリティ設定、そしてデバイス管理をまとめて行える点です。これにより、複数の管理ツールを行き来する必要がなくなり、管理業務の効率が向上します。
コストと運用の効率化
専用の MDM 製品を導入する場合、製品選定、ライセンス費用、導入設定、そして日々の運用に多くの時間とコストがかかります。Google Workspace の MDM 機能は、既存の Google Workspace ライセンスに含まれているため、追加コストを抑えられます。また、Google Workspace の知識があればすぐに使いこなせるため、学習コストも低く抑えられます。
セキュリティの強化
外部ツールを導入せずとも、Google Workspace の MDM 機能だけで基本的なデバイスセキュリティを担保できます。パスコードの強制、リモートワイプ、データ暗号化といった機能は、情報漏洩対策の第一歩として非常に重要です。特に、従業員が複数のデバイスを利用する現代において、一貫したセキュリティポリシーの適用は必須です。
従業員の利便性向上とAI時代のセキュリティ基盤
Google Workspace の MDM は、シングルサインオン (SSO) との連携により、従業員がセキュアな環境でスムーズに業務を開始できるようにします。ポリシーが適切に適用されたデバイスは、安定した動作を期待でき、トラブルシューティングの手間も減らせます。
さらに、Gemini for Workspace のような生成AIの活用が広がる中で、デバイスからの情報漏洩リスクはこれまで以上に重要になります。AIが機密情報を扱う機会が増えるにつれて、その情報を閲覧・編集するデバイス自体のセキュリティが、情報漏洩防止の要となります。Google Workspace MDM は、AI時代のセキュリティ基盤を構築する上で必要不可欠な要素です。
Google Workspace MDM の具体的な活用シナリオと設定のヒント
Google Workspace MDM を効果的に活用するための具体的なシナリオをいくつか紹介します。
シナリオ1: 会社貸与のスマートフォンをセキュアに管理する
会社から従業員に貸与するスマートフォンは、企業の重要な情報資産であり、厳格な管理が求められます。
- パスコード要件の設定: 管理コンソールで「パスコードの最小文字数」「数字、記号、大文字小文字の組み合わせ」「有効期限」などのポリシーを設定し、デバイスに強制適用します。これにより、単純なパスコードによる不正アクセスを防ぎます。
- リモートワイプの準備: デバイスの紛失や盗難に備え、リモートワイプ機能の存在を従業員に周知し、緊急時の対応フローを確立します。管理コンソールから特定デバイスのデータを遠隔で消去可能です。
- 承認済みアプリのリスト作成: 業務に必要なアプリのみをインストール可能とし、不要なアプリやセキュリティリスクのあるアプリのインストールをブロックします。Android デバイスの場合、Google Play マネージドアプリを通じて配布・管理ができます。
シナリオ2: 従業員の個人所有デバイス (BYOD) を安全に利用させる
BYOD を許可する場合、個人のプライバシーと企業セキュリティのバランスが重要です。Google Workspace のモバイル管理には「基本のモバイル管理」と「高度なモバイル管理」があり、BYOD 環境では「高度なモバイル管理」が推奨されます。
- Work Profile (Android Enterprise) による個人領域と仕事領域の分離: Android デバイスの場合、Work Profile を利用することで、個人のアプリやデータと、仕事用のアプリやデータを完全に分離できます。これにより、企業データが個人の領域に漏れることを防ぎつつ、従業員のプライバシーも保護します。
- データ保護ポリシー: 仕事用プロファイル内のアプリから個人領域へのコピー&ペースト制限や、スクリーンショットの禁止など、きめ細かいデータ保護ポリシーを適用します。
- デバイスの承認: 従業員が Google Workspace アカウントで初めてログインする際に、デバイスを承認制にすることで、未承認デバイスからのアクセスを制限します。
シナリオ3: Windows/macOS PC の基本的なセキュリティを確保する
モバイルデバイスだけでなく、PC の管理も Google Workspace MDM の重要な機能です。
- Google Credential Provider for Windows (GCPW) を利用した Windows への適用: GCPW を導入することで、Windows PC に Google アカウントでログインできるようになり、Google Workspace のデバイスポリシーを適用できます。これにより、パスコード(Windows のパスワード)の複雑性や自動ロックなどのポリシーを集中管理できます。
- Chrome 拡張機能の強制インストール: 企業で利用を推奨するセキュリティ拡張機能や業務効率化ツールを、従業員の Chrome ブラウザに強制的にインストールできます。
- デバイスの承認とブロック: 登録された PC を管理コンソールから承認またはブロックし、不正なデバイスからのアクセスを制限します。
Google Workspace MDM をさらに強化するための視点
Google Workspace MDM の機能を最大限に引き出し、より強固なセキュリティ体制を構築するために、以下の視点も押さえておきたいところです。
Context-Aware Access (CAA) との連携
Context-Aware Access (CAA) は、デバイスのセキュリティ状態、IPアドレス、地理的位置などのコンテキスト情報に基づいて、Google Workspace リソースへのアクセスを制御する機能です。MDM で設定したデバイスポリシー(例: デバイスが暗号化されているか、特定の OS バージョンであるか)と CAA を組み合わせることで、「セキュリティポリシーに準拠したデバイスからのみ、特定のアプリケーションにアクセスを許可する」といった、よりきめ細かいアクセス制御を実現できます。
セキュリティレポートの活用
Google Workspace 管理コンソールでは、デバイスに関する様々なセキュリティレポートが提供されています。これらのレポートを定期的に確認することで、ポリシーに違反しているデバイスや、不審なアクティビティを早期に特定し、対応できます。例えば、パスコードが設定されていないデバイスや、長期間同期されていないデバイスなどを把握し、是正措置を講じることが可能です。
GAS + Admin SDK でデバイス管理を自動化する
Google Workspace Admin SDK の Directory API と Google Apps Script (GAS) を組み合わせると、デバイス管理の定型作業を自動化できます。ここでは「30日以上同期されていないモバイルデバイスを検出してメールで通知する」スクリプトを実装例として紹介します。
事前準備として、Apps Script エディタの「サービス」メニューから Admin SDK Directory API を追加しておく必要があります。
以下のスクリプトを GAS プロジェクトに貼り付け、時間主導型のトリガー(週次など)で実行すると、同期切れデバイスを自動的に把握できます。
/**
* 30日以上同期されていないモバイルデバイスをメールで通知する
* トリガー: 週次など時間主導型で実行すること
* 権限: 管理者アカウントで実行(スーパー管理者または委任管理者)
*/
function alertOutdatedDevices() {
const DAYS_THRESHOLD = 30; // 何日以上未同期で対象にするか
const ALERT_EMAIL = Session.getActiveUser().getEmail(); // 実行アカウントに通知
const cutoffDate = new Date();
cutoffDate.setDate(cutoffDate.getDate() - DAYS_THRESHOLD);
let pageToken;
const outdatedDevices = [];
// ページネーションを処理しながら全デバイスを取得する
do {
const response = AdminDirectory.Mobiledevices.list('my_customer', {
maxResults: 100,
pageToken: pageToken,
});
const devices = response.mobiledevices || [];
devices.forEach(device => {
const lastSync = new Date(device.lastSync);
if (lastSync < cutoffDate) {
outdatedDevices.push({
email : (device.email || [])[0] || '不明',
model : device.model || '不明',
type : device.type || '不明',
lastSync: Utilities.formatDate(lastSync, 'Asia/Tokyo', 'yyyy/MM/dd'),
});
}
});
pageToken = response.nextPageToken;
} while (pageToken);
if (outdatedDevices.length === 0) {
Logger.log('未同期デバイスなし');
return;
}
const lines = [
`${DAYS_THRESHOLD}日以上同期されていないデバイス: ${outdatedDevices.length}件`,
'',
'ユーザー / モデル / 種別 / 最終同期日',
...outdatedDevices.map(
d => `${d.email} / ${d.model} / ${d.type} / ${d.lastSync}`
),
'',
'管理コンソールのデバイス一覧で対象デバイスを確認してください。',
'https://admin.google.com/ac/devices/mobile',
];
MailApp.sendEmail({
to : ALERT_EMAIL,
subject: `[GWS MDM] 未同期デバイスあり: ${outdatedDevices.length}件`,
body : lines.join('\n'),
});
Logger.log(`アラート送信完了: ${outdatedDevices.length}件`);
}
変更が必要な箇所は DAYS_THRESHOLD(検出しきい値の日数)と ALERT_EMAIL(通知先)の2か所です。my_customer はドメイン内の GAS スクリプトでそのまま使用できる予約値なので変更不要です。
このスクリプトを起点に、検出したデバイスを自動的にブロックするワークフローや、Google Chat への通知を組み込む拡張も同じ Admin SDK の Mobiledevices.action メソッドで実装できます。
実務でつまずきやすいポイント
MDM 設定は管理コンソールで完結しているように見えて、実装時に見落としやすい落とし穴が複数あります。
- GCPW 導入後のローカルアカウント棚卸しを忘れない
GCPW を導入すると Google アカウントで Windows にログインできるようになります。ただし、既存のローカル管理者アカウントは自動では削除されません。GCPW の設定後、管理コンソールのデバイス一覧と実機のローカルユーザー一覧を突き合わせ、不要なローカルアカウントを整理する作業が別途必要です。この棚卸しを先送りにすると、GCPW を経由しない抜け道ログインが残り続けることになります。
- CAA でデバイス属性を条件にするには Endpoint Verification が必要
CAA でデバイスの暗号化状態や OS バージョンをアクセス条件に設定する場合、対象デバイスに Endpoint Verification Chrome 拡張がインストールされていることが前提条件です。拡張の展開を忘れると、CAA ポリシーの設定が完了しているにもかかわらずデバイス属性が「不明」扱いになり、アクセスがブロックされるケースがあります。MDM と CAA を連携させる計画がある場合は、Endpoint Verification の展開を初期設定のチェックリストに組み込んでおくことを勧めます。
- iOS BYOD は管理できる項目に限りがある
Android の Work Profile と異なり、iOS 端末をユーザー登録モードで組み込む場合、Apple Business Manager (ABM) との連携なしでは設定できるポリシーが限られます。Google Workspace 管理コンソールから iOS BYOD に適用できる代表的な設定は、パスコード要件の強制と業務アプリの配布程度です。MDM の導入計画を立てるときは、社内の iOS 端末比率と ABM 導入の要否を合わせて検討する価値があります。
まとめ
Google Workspace の MDM 機能は、情シスが直面するデバイス管理とセキュリティの課題に対し、費用対効果の高いソリューションを提供します。
整理すると、実務で押さえるべき順序はこうです。まず管理コンソールで「高度なモバイル管理」を有効化し、デバイス登録・パスコードポリシー・リモートワイプの基本設定を固めます。次に GCPW で Windows PC を管理対象に加え、ローカルアカウントの棚卸しをセットで実施します。その後、Endpoint Verification を全端末に展開してから CAA ポリシーを段階的に適用する、という流れが安定します。
最後に GAS + Admin SDK の自動化を組み込み、未同期デバイスや未承認デバイスを人手を介さず検出できる仕組みを作ることで、運用の持続可能性が一段上がります。「設定して終わり」ではなく、定期的な状態監視まで自動化して初めてデバイス管理は機能します。
AIの活用が広がる現代において、デバイスセキュリティは情報漏洩防止の要です。本記事で紹介した内容を参考に、Google Workspace MDM を活用して貴社のデバイス管理体制を強化してください。
コーポレートITのご相談はお気軽に
この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。
御社の IT 部門、ここにあります。
「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。