GWS 管理済みアプリ転送設定：OU設計判断ガイド

2026年6月3日、Google Workspace に「管理済みサードパーティアプリへの拡張データ保護」がGA（正式リリース）となりました。Google Workspace 管理済みアプリへのデータ転送設定として新たに加わった機能で、OFF by default・OU単位・エンドユーザー設定なし、という三つの特徴を持ちます。

この記事を読んだほうが良い人

• Slack・Salesforce・Zoom など業務用サードパーティアプリとGWSを併用している情シス担当者
• GWSのデータ転送に関するポリシーをOU単位で整備したい方
• BYOD混在環境でMDM管理の徹底度に差があるOUを抱えている方
• Enterprise Standard 以上、またはEducation Standard/Plus等の対象エディションでGWSを運用中の方（詳細は本文参照）

「trusted ecosystem」と呼ばれる新しい制御軸

この機能を理解するうえで重要なのは、既存の「アプリのアクセス制御」とは別の制御軸であるという点です。

既存のOAuthベースのアプリアクセス制御は、「サードパーティアプリがGWSデータに対してAPIアクセスする権限」を管理します。一方、今回の新機能はアプリ間でのデータ転送（コピー&ペーストや共有）そのものを対象にしています。管理コンソールの設定画面も別系統です。

Googleはこの機能を「trusted ecosystem（信頼済みのエコシステム）」と表現しています。MDM（Mobile Device Management：モバイルデバイス管理）で管理された業務アプリを「信頼済みの輪」として定義し、その範囲内でのデータ転送を許可するとともに、個人アカウントや管理外のアプリへの転送はブロックする、という設計です。

具体的には次のような挙動になります。

• 会社のGmailからコピーしたテキストを、MDM管理下にある業務用Slackへ貼り付ける → 許可
• 同じテキストを、個人のGmailや管理されていないアプリへ貼り付ける → ブロック

ブロック時にはユーザーに「この情報は組織のGoogle Workspaceアプリ内でのみ共有できます」というメッセージが表示されます（Google Workspace Updates Blog より）。エンドユーザー側にポリシーを変更する手段はなく、制御は完全に管理者側にあります。

対象エディションとデフォルト設定の意味

この設定を利用できるエディションは次の通りです（Google Workspace Updates Blog, 2026年6月）。

• Enterprise Standard / Enterprise Plus
• Education Standard / Education Plus
• Frontline Standard
• Enterprise Essentials Plus
• Cloud Identity Premium

Business プラン（Starter / Standard / Plus）は対象外です。100名規模のGWS運用では、まず現在のプランが対象かどうかを確認するところから始まります。

デフォルトはOFFです。有効化しない限り、従来のデータ転送挙動がそのまま維持されます。裏を返せば、この機能は有効化してはじめてtrusted ecosystemのメリットが得られるものであり、放置していれば、管理外アプリへの転送をブロックするtrusted ecosystemによる保護は適用されません。

OFFの状態では管理コンソール側に変更を加えていないため、既存業務への影響はゼロです。段階的な展開が設計しやすい点は、この機能の実用上の利点といえます。

どのOUで有効化するかを決める設計判断

Workspace アプリアクセス OU設定として展開する際、「全組織で一括有効化」は推奨しません。MDM管理の徹底度がOUによって異なる場合、「管理済みアプリ」として扱えるアプリの範囲が揃っていないからです。

前提として確認すること：管理済みアプリの定義

「管理済みアプリ」とはMDMを通じて配布・管理されているアプリを指します。ユーザーが個人でApp StoreやGoogle Playからインストールしたアプリは管理外です。有効化前に、業務で使う主要なサードパーティアプリ（Slack・Zoom・Salesforceなど）がMDMの配布対象になっているかを確認します。MDM未登録のアプリが多いOUでは、有効化しても「許可される管理済みアプリ」の範囲が実質的に空になります。

OU別の設計判断マトリクス

OU例	有効化の優先度	判断の根拠
営業・カスタマーサポート（CRM・Slackをフル活用）	高	管理済みアプリへのデータ転送が業務上不可欠。制限解除の恩恵が大きい
会社支給デバイスのみのOU	高	MDM管理が前提なので「管理済みアプリ」の範囲が明確
役員・経営企画（高機密データ取扱い）	慎重に検討	許可するアプリリストとMDM管理の徹底度を先に確認する
BYOD混在のOU	慎重に検討	個人デバイスにインストールされたアプリを「管理済み」と見なせるか要確認

BYODと会社支給デバイスのOU分割が整っていない状態でこの設定を展開すると、ポリシーが形骸化するリスクがあります。まずOU設計とMDM管理の整備を先行させることが現実的です。

OU設計の見直しが必要なケース

この設定はOU単位での管理です。既存のOU構成がデバイス管理の実態（会社支給/BYOD/部門別など）を反映していない場合、展開前にOU再設計を先行させる判断も必要になります。

iOS端末でのAppConfig連携が必要な理由

管理コンソール側でOUに有効化しても、iOS端末ではそれだけでは不十分な場合があります。iOSの仕組み上、GWSアプリ（Gmail・Drive・Meetなど）それぞれに対してMDMプロバイダー経由でAppConfig（Managed App Configuration）を配布する必要があります（Google Workspace管理者ヘルプ「iOS端末での誤ったデータ漏洩を防ぐ」より）。

iOS AppConfigとは、MDM管理下にあるiOSアプリに対してアプリの動作設定を管理者側から配布できる仕組みです。GWSアプリへのiOS AppConfigを使ったデータ共有制限では、コピー&ペーストの制限や、iOSの共有シートを通じた個人アカウントへの転送ブロックなどを、アプリ単位で設定します。

具体的な設定キー名はお使いのMDMプロバイダーのドキュメントと公式ヘルプを参照してください。ここで重要なのは、管理コンソールでのOU設定と、MDM側でのAppConfig配布の両方が揃ってはじめてiOS端末でポリシーが完全に機能するという点です。どちらかが欠けると、片方のデバイス群だけで設定が未適用という状態が生まれます。

AppConfigの配布が必要なGWSアプリは複数あります。Gmail・Drive・Meetなど各アプリに個別に設定が必要なため、アプリ数が多い組織ではMDM側の設定作業量も考慮に入れてください。展開前にパイロット端末での動作確認を行うことを強く推奨します。

有効化前に整理しておくポリシー

展開後の混乱を最小化するために、以下を事前に合意しておきます。

ユーザーへの事前周知

有効化後、ユーザーが個人アカウントや管理外アプリへのデータ転送を試みるとブロックメッセージが表示されます。「急に操作できなくなった」という問い合わせを防ぐため、展開前に対象部門へ変更内容と理由を案内します。

段階的なOU展開

まず影響範囲の小さいテスト用OUか1部門に限定して有効化し、業務への影響を確認します。問題がなければ順次展開するプロセスで、予期しない業務停止を避けられます。

例外対応の定義

特定の用途でどうしても管理外アプリへのデータ転送が必要なケースが出てくることがあります。その場合の申請ルートや暫定対応（デバイスをMDM登録してアプリを管理済みにするなど）を事前に決めておくと、展開後の運用がスムーズです。

展開の順序と注意点

この機能の設計で見落とされやすいのは、管理コンソールとMDMの連携が不可欠だという点です。この二つを独立したタスクとして並行進行させると、片方が先行して設定済みだが実際には動いていないという状態が続きます。

筆者が推奨する展開の順序は次の通りです。

1. 業務利用するサードパーティアプリをMDMで配布・管理済み状態にする
2. iOS端末向けのAppConfig設定をMDMプロバイダー側で準備する
3. パイロットOUに限定して管理コンソール側の設定を有効化する
4. パイロット端末（特にiOS端末）で実際の挙動を確認する
5. 問題がなければ他のOUへ順次展開する

特に1と2が後手に回ると、管理コンソール側の設定だけが先行して実態が伴わない状態になります。MDM側の準備が整った段階で管理コンソールを有効化するという順序を守ることが、展開を成功させる鍵です。

GWSのOU設計やMDM連携の設計については、DRASENAS 公式サイトでもご支援しています。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。