Google Workspace の「動的グループ」を試してみた

「Google Workspace にも動的グループの機能はあるのだろうか 🤔 」とググってみたら、ありました。 2021 年 2 月にリリースされていたんですね。

動的グループを使ってグループ メンバーシップを自動管理する機能の一般提供を開始動的グループを使ってグループ メンバーシップを自動管理する機能の一般提供を開始

動的グループ機能を使って、ユーザの契約形態や所属部門に応じてグループへの自動追加・削除ができるか試してみました。メーリングリストや共有ドライブのアクセス権設定用途として期待！！

前提・制約

ヘルプページからポイントになりそうな部分を抜粋します。

動的グループを使用してメンバーを自動的に管理する - Google Workspace 管理者 ヘルプ

プラン
動的グループを利用するためには以下プランの契約が必要です。

- Enterprise Standard、Enterprise Plus
- Education Standard, Plus
- Cloud Identity Premium

グループのネスト
「他のグループ (静的なグループ) に動的グループを追加することができない」のはちょっと残念です。。部門の階層化にも対応したかった。。

ユーザーのみがメンバーになれる
- グループはメンバーシップの条件を満たさないため、動的グループにグループを追加することはできません。また、他のグループに動的グループを追加することはできません。

通常の「グループ」からの変更
通常の静的なグループから動的グループへ変更することはできないとのこと。 ※ サポートに確認しました

動的グループで使えるユーザ属性
動的グループのクエリで利用可能なユーザ属性はこちらで確認できます。

動的グループの有効なユーザー属性  |  Cloud Identity  |  Google Cloud

今回は以下の属性情報で検証しました。
・従業員の種類 ... organization.description
・部門 ... organization.department

ユーザ属性の設定

ユーザの属性情報を登録します。
・organization.description: regular (正社員)
・organization.department: corp-it

動的グループの作成

グループの管理画面で [ 動的グループを作成 ] をクリックします。

クエリビルダーが表示されるので、目的の属性情報や判定ルールを入力します。[ 停止中のユーザを除外する ] のチェックボックスが標準で用意されているのは良いですね。

部門に応じた動的グループを作成するため、以下のとおり設定します。

org.department Equals corp-it

クエリが自動生成され、条件に該当するメンバーを確認することができます。意図したクエリであることが確認できたので [ 動的グループを作成 ] をクリックします。

※ ユーザ名、メールアドレスを塗りつぶしていますが、上記で属性を設定したユーザです。

動的グループのグループ名、説明(今回は空欄のまま)、メールアドレスを入力して [ 保存 ] をクリックします。

通常の(静的な)グループを作成する場合は、この画面でグループのオーナーを指定することができますが、動的グループではメンバーの追加・削除が自動的に行われるためオーナーの指定は不要です。

作成したグループには「動的」のラベルがついてきます。

メンバー管理画面では、所属ユーザを決定するためのクエリと実際に所属しているメンバーが表示されます。

動的グループも、メーリングリストや共有ドライブのアクセス権設定で使えました。

＊＊＊＊＊＊＊＊＊

organization.description でも同じ要領でクエリの設定、動的グループの作成ができました。

ユーザ属性を変更してみる

人事異動を想定して、organization.department を sales に変更してみます。

変更直後にグループの管理画面を更新すると、corp-it グループから当該メンバーが削除され、予め作成しておいた sales グループに追加されました。リアルタイムに反映されるようです。

「部門」 × 「契約形態」 の組み合わせを試してみる

組織によっては「部門 × 契約形態の組合わせで共有ドライブのアクセス権をコントロールしたい」ニーズがあると思います。動的グループは複数条件の組み合わせにも対応しているので試してみます。

パターン①: corp-it_regular グループ
・organization.department:  corp-it
・organization.description: regular (正社員)

パターン②: corp-it_subcontracting グループ
・organization.department:  corp-it
・organization.description: subcontracting (業務委託)

まずはパターン①で意図した動的グループに追加されていることを確認します。

organization.description の値を subcontracting に変更します。

corp-it_regular グループからは削除され、

corp-it_subcontracting グループに追加されていることが確認できました。

まとめ

新規にユーザを作成したり、人事異動・組織変更対応でグループへのユーザの出し入れを行うのは地味に大変です。。動的グループでこの辺りの工数が削減できるのは嬉しいですね。
人事マスタや ID 基盤 (SCIM) と Google Workspace の各ユーザ属性を同期させておけば、さらに自動化できて幸せになれそうです。

参考情報

メンバークエリの作成とテスト  |  Cloud Identity  |  Google Cloud

Google Workspace の料金設定 | Google Workspace (旧 G Suite)

ドライブの DLP を使用してデータの損失を防止する - Google Workspace 管理者 ヘルプ