【Google Drive】社給スマホだけDriveアプリを許可したい時に見るログ

会社支給のスマートフォン(社給スマホ)だけGoogle Driveアプリを許可し、私物端末からのアクセスを制限したいケースはよくあります。Google Workspaceの管理コンソールには、このような制御を実現するためのログや設定が用意されていますが、どのログを確認すればよいか迷うことも少なくありません。本記事では、社給スマホ限定でDriveアプリを許可するために参照すべきログの種類と確認手順、そして実際の運用で陥りやすい失敗パターンを解説します。この記事を読めば、適切なログをたどって原因を特定し、管理者と連携して設定を修正できるようになります。

1. 社給スマホだけDriveアプリを許可したい場面とは

企業によっては、業務データの保護のためにGoogle Driveへのアクセスを会社支給の端末に制限する場合があります。例えば、営業職が社給スマホで見積書やプレゼン資料を参照する必要がある一方、私物のスマートフォンからはアクセスさせたくないといったケースです。Google Workspaceでは、デバイス管理ポリシーとアプリのアクセス制御を組み合わせて、許可する端末を細かく指定できます。しかし、この設定が意図通りに動作しているかを確認するには、管理コンソールのログを適切に読み解く必要があります。

2. 確認すべきログの種類と役割

社給スマホだけを許可するには、以下の3つのログと設定を確認します。それぞれが異なる情報を提供してくれるため、問題の切り分けに役立ちます。

2.1 デバイス管理ログ(エンドポイント管理)

このログには、どの端末が管理下に登録されているか、OSのバージョンやコンプライアンスステータスが記録されます。社給スマホが正しく登録されていなければ、アプリの許可設定が効きません。確認場所は「管理コンソール → デバイス → モバイルデバイス」です。ここで端末が「承認済み」または「準拠」と表示されていれば、管理対象として認識されています。

2.2 アクセス監査ログ

アクセス監査ログ(「レポート → 監査と調査 → アクセス管理」)には、誰がいつどの端末からGoogle Driveにアクセスしたか、アクセスが許可されたか拒否されたかが記録されます。特定のユーザーが社給スマホからアクセスした際にログが残っているか、また拒否された場合はその理由(例:端末未管理、ポリシー違反)が表示されるため、原因特定の決め手になります。

2.3 アプリ許可設定の確認

アプリの許可設定は「アプリ → Google Workspace → ドライブとドキュメント → アクセス制御」で行います。ここで「信頼できるアプリのみ許可」や「管理対象デバイスのみ許可」といったオプションを有効にすることで、社給スマホだけに制限できます。ただし、この設定が正しく適用されているかは、ユーザー単位のテストや前述のアクセス監査ログで確認します。

3. 各ログの確認手順

1. スーパー管理者アカウントでGoogle管理コンソール(admin.google.com)にログインします。
2. 左側のメニューから「レポート」をクリックし、「監査と調査」→「アクセス管理」を選択します。これがアクセス監査ログです。
3. フィルタを使用して、対象ユーザーのメールアドレス、アプリ(Google Drive)、アクション(アクセス許可/拒否)を指定します。日付範囲は問題が発生した前後に設定します。
4. ログの結果を確認します。拒否されたイベントがある場合、「理由」列に「デバイスポリシー違反」や「アプリの許可設定によりブロック」などの詳細が表示されます。
5. デバイスの管理状況を確認するには、「デバイス」→「モバイルデバイス」で該当端末を検索します。端末がリストに表示されない場合は、まだ管理対象として登録されていません。
6. アプリの許可設定は、「アプリ」→「Google Workspace」→「ドライブとドキュメント」→「アクセス制御」で、「管理対象デバイスからのアクセスのみ許可」などのチェックがオンになっているか確認します。
7. 必要に応じて、別のユーザーアカウントでテストアクセスを行い、同様のログを確認します。

4. 許可設定の失敗パターンと対処法

実際に運用すると、意図通りにブロック・許可ができないケースがあります。代表的な失敗パターンとその対処法を紹介します。

4.1 デバイスが未登録のまま放置されている

社給スマホを配布しただけで、デバイス管理に登録するステップを省略してしまうと、その端末は「管理外」とみなされます。アクセス監査ログでは「DEVICE_NOT_COMPLIANT」や「DEVICE_NOT_MANAGED」という理由で拒否されます。対処法は、デバイス管理の登録プロセス(Google Endpoint Managementのプロファイルをインストール)を確実に行うことです。管理者は、全社給スマホが「モバイルデバイス」一覧に表示されているか定期的に確認する必要があります。

4.2 ポリシーが組織部門に正しく適用されていない

アプリの許可設定は組織部門(OU)単位で適用されます。対象ユーザーが所属するOUに正しくポリシーが設定されていないと、社給スマホでもアクセスが拒否される場合があります。また、親OUで設定したポリシーが子OUで上書きされているケースも考えられます。確認方法は、管理コンソールの「アプリ」→「Google Workspace」→「ドライブとドキュメント」→「アクセス制御」で「継承」と「カスタム」の状態を確認します。必要に応じて、該当ユーザーに適用されている実際のポリシーを「ユーザー」→「該当ユーザー」→「セキュリティ」で確認することもできます。

5. 管理者に伝えるべき情報と比較表

トラブルシューティングの際、管理者に以下の情報を伝えると迅速な対応が可能です。

• アクセス監査ログのスクリーンショット(特に拒否されたイベントの詳細)
• 対象ユーザーのアカウントID、端末の機種・OSバージョン
• 社給スマホがデバイス管理に登録されているかどうかの確認結果
• アプリの許可設定がどの組織部門にどのように適用されているか

ログの種類	確認場所	活用方法
デバイス管理ログ	デバイス → モバイルデバイス	端末が管理対象か、コンプライアンス状態を把握
アクセス監査ログ	レポート → 監査と調査 → アクセス管理	アクセスの許可/拒否と理由を確認
アプリ許可設定	アプリ → Google Workspace → ドライブとドキュメント → アクセス制御	現在の制限ポリシーの内容を確認・変更

6. よくある質問(FAQ)

Q1. 社給スマホからDriveにアクセスできるはずなのに、突然ブロックされました。何を確認すべきですか?
A1. まずアクセス監査ログで拒否されたイベントを確認し、理由を特定します。次にデバイスが管理下から外れていないか(例:iOSのアップデートでプロファイルが消失)、ポリシーが変更されていないかを確認します。

Q2. 私物端末からのアクセスを完全にブロックしたいですが、社給スマホだけ許可する設定がうまくいきません。
A2. 「信頼できるアプリのみ許可」だけでは不十分な場合があります。「管理対象デバイスのみ許可」に加えて、デバイス管理ポリシーで「デバイスが準拠している必要がある」を有効にしてください。また、テストは必ず管理対象の端末で行ってください。

Q3. アクセス監査ログに「アプリの許可設定によりブロック」と表示されますが、設定は正しいはずです。
A3. 組織部門の継承設定を確認してください。ユーザーが子OUに属している場合、親OUの設定が上書きされている可能性があります。ユーザーの「セキュリティ」タブで実際のポリシーを確認するか、テスト用のOUを作成して検証してください。

7. まとめ

社給スマホだけGoogle Driveアプリを許可するには、デバイス管理の登録状態、アクセス監査ログ、アプリ許可設定の3つを正しく連携させる必要があります。問題が発生したら、まずアクセス監査ログで拒否理由を確認し、デバイス管理ログで端末の状態を確認します。設定が正しくてもブロックされる場合は、組織部門のポリシー継承やユーザー単位の適用状況を見直しましょう。管理者に依頼する際には、具体的なログのスクリーンショットと端末情報を添えるとスムーズです。本記事の手順を参考に、安全で効率的なアクセス制御を実現してください。