G Suite の特定の共有ドライブのみ社外アカウントとの共有を許可したい

スミニヤシ
2020-06-27 追記
けっこうアクセスが多いので、いくつか修正し更新しました。
・チームドライブを共有ドライブに変更 (ごめんなさい画面キャプチャはそのままです…)
・その他、表記が不正確な点を修正

標題のことを実現しようとしたら、思った以上に苦戦したのと、ややこしくて忘れそうなのでメモしておきます。

現場ニーズ

代理店の方とGoogleドライブでファイル共有したい。見積書のやりとりや、スプレッドシートを使ったスケジュール管理など。

問題点

当社のドメイン全体としては、Googleドライブの社外共有を禁止しています。G Suite Business エディションだと、特定の OU (組織ユニット) に対してのみ社外共有を許可できるので、現場担当者 (Aさん) のみ社外共有を許可した OU に移し、Aさんのマイドライブ上で代理店の方のGoogleアカウント (@gmail.com でもOK) と共有すれば良いかな、と思いました。

ただ、Aさんは無制限に社外アカウントと共有できてしまうため、故意でなくても手が滑って思わぬ事故を招く可能性があります。Aさん以外にもファイルを取り扱う人が増えた場合 (たとえばBさん)、Bさんにも無制限に社外アカウントと共有できる権限を付与しなければいけません。

また、せっかく G Suite Business を導入して共有ドライブが使えるようになったのに、個人がファイルオーナーとなるマイドライブを使うと、担当者が変更になった際にオーナー移管が必要となり面倒です。

こんなのできないかな

・共有ドライブに「X代理店共有ドライブ」を作成。
・上記共有ドライブのみ社外アカウントとの共有を許可。他の共有ドライブは許可しない。
・社外アカウントの追加・削除は特権管理者にて実施。

なかなかうまくいかない

まず、共有ドライブの設定で「XXX(自ドメイン) 外との共有」をONにしようとすると、編集ボタンがグレーアウトされていて変更できない。

画像1

サポートに問い合わせたところ、ドメインの最上位 OU で、Googleドライブの社外共有が許可されていないと、このオプションは有効にならないとのこと。えー、それじゃドメインの全ユーザーに、マイドライブ上での社外共有を許可することになっちゃうじゃないか。それは危険なのでちょっと避けたいです。

さらにサポートとやり取りを続けると、どうやら「最上位 OU だけ社外共有を許可して、その配下の OU は許可しなくてよい」との回答。幸い、当社は最上位 OU 直下にユーザーを置いていなかった (第2階層の OU を自社グループの会社単位にしていた) ので、言われたとおり、最上位 OU にて社外共有を許可したのち、第2階層の 全OU に対しポチポチと不許可設定を行う。

おお、できた!
この状態で、各ユーザーのマイドライブから社外共有は不可のままであることは確認済み。

画像2

これで、社外共有したい共有ドライブの管理者をAさん・Bさんではなく特権管理者だけにしておけば、社外アカウントの追加・削除も特権管理者のみが管理できることになります。Aさん・Bさんは社外アカウントを追加・削除してほしいときは特権管理者に依頼。

あとは、この設定画面には他の共有ドライブの管理者もアクセスできるので、うっかり他の共有ドライブを社外共有OKにしてしまう可能性があります。これは上部にある「すべての権限があるメンバーによる共有ドライブ設定の変更を禁止します」をチェックしておけばOK。

画像3

ちなみに、共有ドライブを新規作成したときのデフォルトの設定が社外共有OKになってしまうようなので、新規作成するときは要注意です。

まとめ

共有ドライブで特定の共有ドライブのみ社外との共有を許可するためには、
・最上位 OU で Googleドライブの社外共有を許可する。ただし、その配下の OU については許可する必要はない。
・個々の共有ドライブで社外共有の設定をONにする。
・個々の共有ドライブの管理者に社外共有の設定を変更させたくない場合は、「すべての権限があるメンバーによる共有ドライブ設定の変更を禁止します」をチェック。

ご参考になれば幸いです。