MAS-206 Workspace 管理コンソール設定メモ

用途: MAS-206 (外部共有の制限と警告設定) を運用するために Google Workspace 管理コンソールで実施すべき設定のクイックリファレンス

作成日: 2026-04-21 関連: dev_mas-206_external_sharing_policy.md / ADR-0008 の subprocessor 管理と連動 対象者: Workspace 管理者 (bizlp 代表者)

Workspace 設定 (共有ポリシー)

設定場所

admin.google.com → アプリ → Google Workspace → ドライブとドキュメント → 共有設定

推奨値一覧

設定値の関係性

• アクセスチェッカー「受信者のみ」 は Gmail 等 Drive 外のサービス経由で共有した時の提案範囲を制御。「リンクを知っている人への共有 = 無効」とセットで、匿名共有ルートを完全封鎖
• 組織外との共有「オン (警告あり)」 の場合は、ホワイトリスト (許可ドメイン/メール) を 03_sys_params の SHARING_WHITELIST に登録して、バッチ監視側で誤検知を除外
• 組織外からファイルを受信「ON」 はアウトバウンドとは別論点。クライアントワーク売上 100% の bizlp では必須

GAS 側の付帯設定

03_sys_params シートに追加

GAS プロジェクト設定

1. Admin SDK API の手動有効化

   • GAS エディタ → 左メニュー「サービス」→ 「Admin SDK API」を追加
   • 📌 clasp push では自動有効化されない

2. 日次トリガー登録 (PR #264 マージ済)

   • GAS エディタの関数プルダウンで installAuditCheckerTrigger を選択 → 実行
   • 自動で日次 JST AM6 時のトリガーが登録される
   • 解除: uninstallAuditCheckerTrigger を実行
   • 📌 dev 環境では登録スキップ (アラートのみ)、prod 専用

運用開始の手順 (チェックリスト)

• 上記 Workspace 設定 5 項目を推奨値に設定
• 03_sys_params に SHARING_WHITELIST / CFG_ADMIN_EMAIL の 2 キー追加
• GAS エディタで Admin SDK API を手動有効化
• prod で installAuditCheckerTrigger を実行
• GAS トリガー一覧で checkExternalFileSharing_ の日次 AM6 トリガー登録を確認
• テスト: 外部メアドに Drive ファイルを共有
• 翌日のバッチ実行を待つ or 手動で checkExternalFileSharing_ を実行
• CFG_ADMIN_EMAIL にホワイトリスト外共有の通知メールが届くことを確認
• ホワイトリストに登録したドメインは通知対象外になることを確認

変更時の記録

運用中に設定値を変更した場合は、本ドキュメントの「推奨値一覧」テーブルに追記するか、以下の変更履歴に記録すること。

変更履歴

関連ドキュメント

• MAS-206 開発仕様書 — 本運用メモの元仕様
• ADR-0008 本番 AI API を Vertex AI に集約 — subprocessor 管理の方針
• ADR-0009 環境分離戦略 — Phase 3 以降のガバナンス強化
• SaaS・AI ツール経費規程 — 業務ツールの承認フロー