Google Workspaceでアカウントを削除する際の業務フロー
Google Workspaceを導入している企業に於いて、退職時やアカウント削除は少々気を使うシーンです。削除を行う前にどんな作業をしておかなければならないのか?といったことをまず把握した上で、最終的に削除を実行する必要があります。また、削除後のユーザデータの取扱いという作業も待っています。
今回は、この「アカウントの削除」をする前の注意点についてまとめました。
目次
今回利用するサービス等
Google VaultはEnterprise Standard以上であれば標準で利用可能ですが、ソレ以下の環境の場合は別途Vaultライセンスを購入する必要があります。GoogleデータエクスポートはVaultとは無関係なので標準で利用可能です。また、Vaultで案件を作成しエクスポートせずに運用をする場合には、退職者ユーザに対してはGWSのライセンスの代わりに「アーカイブユーザライセンス」が必要になります。
また、Google Vault APIで操作することも可能です。
Google Vaultを利用する
Google Vaultについて
結構認識間違いをする方がいますが、Google Vaultは本来は「退職ユーザのデータをエクスポートする為のアプリ」ではありません。対象ユーザがおかしな行動を取っている場合に、法的な要請に応じる為に記録保持やデータの保護を行っておく為(勝手に削除や証拠隠滅を防ぐ)のものです。前者の記録保持はリティゲーションホールドと呼ばれ、無期限で保存を行い(通常の監査ログの保持は180日間)、対象案件がアクティブでなくなった時点で解除されます。
またそれまでの間データの保護を行い、証拠隠滅を防ぐのを目的としています。法的要請時に慌てずに記録保持を実行し、データの出力をいつでも出来るようにしておくためのGoogle Vaultとなります。よって、通常は退職者だけじゃなく一般ユーザも対象に利用されるものになります。
大企業向けというわけじゃなく、中小企業であっても導入を推奨するものになります。導入していない場合は、いざという時に大仕事になってしまうかもしれません。
また、特権管理者以外でもカスタムロールを作成することでGoogle Vaultへの限定的なアクセスを特定ユーザに対して付与することが可能です(例えば法務部の人たち)。今回のエントリーでは退職時のデータのエクスポートのみに焦点を宛てています。
アーカイブユーザライセンスについて
Google Vaultでのデータのエクスポートは、ユーザが所持してるメールやドライブ、カレンダー、Chat、グループの5種類のデータ出力に対応しています。また、データのエクスポートは指示を出して出力可能になってから15日間でエクスポート指示は消滅してしまうので、データ量が多い場合もう一度エクスポートの指示を出さなければなりません(過去に1人で100GBものデータを持っていたユーザがいた時は大変でした)。
故に毎回退職者が出る度に
- Vaultにて対象者のデータのエクスポートを実行
- エクスポートしたデータをNASやGoogle Driveにアップロードする
- アカウントを削除する
といった作業を行わければなりません。ユーザの状態によっては相当量のファイルのダウンロードが必要になります。そこでファイルのダウンロードをせず、ユーザアカウントをそのままにしながら、Google Workspaceのライセンスを剥がし、代わりに使うのがアーカイブユーザライセンスです。これでいつでもVaultにて出力は出来るし、ダウンロード完了するまでGWSライセンスを剥がせないみたいなことを避けることが可能です。
ちなみに以前は無償で利用できたそうですが、現在は以下のような形になっています。
- Business Plus以上でなければ利用することが出来ないようです(ただしこちらの資料だとStarterでも出来るっぽいことが書かれてる)
- ライセンス費用は1ユーザあたりの資料はこちら(見つけづらい場所にあった)。Enterprise Standardで$5程度。ただずっと払い続けることになるので運用ルールが必要と思われる。
- サブスクリプションからライセンスを追加する必要がある
- アーカイブ作業はAdmin SDKにて一括で指定することも可能
図:サブスクリプションから追加する
データのエクスポート
Vaultで案件を作成する
アーカイブユーザライセンスを用いずに、データをエクスポートして対象アカウントを削除するといった場合や、アーカイブ後に対象ユーザのデータを出力する必要がある場合は以下の手順で出力します。
ただし、データ形式は変換されるので、mailならばMBOX形式、Google SpreadsheetなどはExcel形式、カレンダーデータはicsファイルとなってしまうので、要注意(後述のアーカイブデータの利用法を参照)
一括で指定が出来ないので1項目ずつエクスポート指示が必要である点と、1度に出力指定出来るのが2個まで(ユーザが複数いてもトータルで2個が上限)となるので、たくさん退職者のデータを出力する際には結構な待ち時間が発生することになります。
- Google Vaultのページを開く
- 案件をクリックし、作成をクリックする
- 案件名を入力して作成をクリック(ここでは退職者管理と命名しました)
- 検索タブにて、サービスを選ぶ(GmailやDriveなど)
- ソースは基本はすべてのデータを指定、エンティティは特定のアカウントを指定する
- アカウントのメールアドレスは、エクスポートする対象者のメアドを入力する
- タイムゾーンは東京を指定する
- あとはお好みで指定するが退職者データなので今回は特に指定しない。
- エクスポートをクリックする
- ダイアログが出るので、エクスポートの名前を適当に入力し、形式はMBOXを指定(PSTも指定できますが、これはOutlook用になります)
- エクスポートをクリックします。
この時、Enterprise Standard等ではないラインセンスのユーザの場合、別途Vaultのライセンス割り当てをしていないとエクスポートが出来ませんので要注意。
※カレンダーの場合は、「現在までのすべてのイベント」で処理をすると未来の予定などは含まれないので要注意!!
図:データエクスポート指示の様子
データのダウンロード
前述の案件でエクスポート指示をした後、データのアーカイブが完了するとダウンロード出来るようになります。同じ画面の「エクスポートタブ」を見て、緑色のチェックマークがついてる状態であればダウンロードが可能です。特にこれに関する通知メールなどはこないので、アーカイブ完了については人間が常にウォッチが必要になります。
- ダウンロード可能な対象者レコードにカーソルを合わせると「ダウンロード」という文字が出てくるのでクリックする
- ダイアログが出てきて、最低5個のダウンロードリンクが表示される
- 実際に必要なのはZIP形式のデータのみ。ファイルサイズが大きい場合分割される(10GB程度単位毎)
- クリックするとダウンロードが開始される
- 完了をクリックして閉じる
- 不要になったのであれば、レコードのチェックにチェックを入れて、削除をクリックするとアーカイブが削除されます。
中身を確認する必要が生じた場合には、解凍してmbox形式等のデータを開けるアプリケーションで閲覧する。
図:ダウンロードを実行する
Googleデータエクスポートを利用する
Vaultでなくとも対象ユーザのデータをエクスポートする機能が別途用意されています。よって、記録保持やデータの保護はいらないという方であるならば、この手法で対象データのバックアップを取ればアーカイブデータを手に入れることが可能です。
この機能はユーザ個人が行うGoogleデータエクスポートと、管理コンソールから実行するGoogleデータエクスポートの2種類があり、両者は同じ名称ですが異なる機能です。ここでは後者の管理コンソールからの作業で説明します。
但し管理コンソールでこの機能を利用するには条件があります。
- 1000人未満のテナントであること
- 2段階認証が有効化されていること
- アカウント開設から30日以上経過していること
となっているので、条件に合わない場合は使えないことを心得ておく必要があります。エクスポートされるデータはすべて対象となるので、このあたりは個人で利用するデータエクスポートと同様です。
図:管理コンソールから作業を行う
所有権の移転を利用する
最も手軽ではあるものの、色々と問題を孕んでいるのが退職者アカウント削除時のオーナー権限移転の機能。主な問題点は以下の通り。
- Gmailについてはオーナー移転は直接できません。データ移行サービスを利用することやデータエクスポートは利用可能です。
- 削除アカウント宛のメールを取りこぼさないように時限付きでメールのルーティングを使って誰かが受信できるようにしておくと良いでしょう。
- 移転対象はドライブドキュメント、カレンダー、Looker Studioの3種類となります。
- 削除後20日間であればアカウント復元することが可能です。
- オーナー移転されると移転先のドライブに対象者のアドレスでフォルダができてファイルが移動されます。
- カレンダーについても新しいカレンダーで作成されて移行されます。
また、センシティブな問題点として、個人的なファイルについて果たして所有権移転しても良いのか?(ポエムなど)、またそれを他人が許諾なく閲覧しても良いのか?というプライバシーの問題があります。会社のドライブなのだから当然という考え方もできますが、そうではないデータも含まれる可能性があるので、内部の運用フローとしてこの辺はクリアにしておくべきでしょう。
※オーナー移転では各項目のサブチェック項目はいれるかいれないか?はお好みに応じて。
図:オーナー移転画面
アーカイブデータの利用方法
概要
Vaultのアーカイブデータもデータエクスポートのデータも、どちらもメールならばmbox形式やpst形式、スプレッドシートはExcel形式へと変換されてダウンロードされます。一部注意したいのがGoogle keepなどはテキスト形式に変換されていますので、そのままインポートして利用することはできません。
さて、とりわけGmailやCalendarデータについてはThunderbirdを使って中身を確認することが可能です。またこの手法が一般的ですが、他のメーラーでも実現は可能です。また、変換ツールを使って個別のeml形式にすることも可能です。
本エントリーではMozilla Thunderbirdを使ってメールとカレンダーデータを閲覧できるようにします。
MBOX形式を取り込み閲覧する
Thunderbirdのセットアップ
以下はWindowsの場合の手順ですが、macOSでも同じような手順です。
- Thunderbirdをダウンロード(msiでもexeでもどちらでも可)
- 標準インストールで問題ない
- デフォルトのメーラーにするかどうか聞かれるので、好きに選択する
- セットアップが終わる「古いバージョンを起動してる」と聞かれた場合は、新しいプロファイルを作成するをクリック
- 新しいメールアドレスのセットアップ画面では、自身のGmailアカウントなどでプロファイルを作っておく。
プロファイルがあれば十分なので、アカウント自体は削除してしまっても構いません。ローカルフォルダ内でだけで作業を行うので。
図:とりあえずここまでは簡単に来れる
アドオンのインストール
次に、アドオンを追加する。
- こちらのページにブラウザでアクセスする
- 今すぐダウンロードをクリックすると拡張子がxpiのアドオンがダウンロードされる
- Thunderbirdのタイトルバー右上にある「≡」をクリックして、アドオンとテーマをクリック
- 歯車をクリックしてファイルからアドオンをインストールをクリック
- ダウンロードしたxpiファイルを選択
- 追加をクリックする
- 追加されましたと表示されたら成功です
図:ファイルからアドオンを追加する
MBOXを取り込む
以下の手順でmboxをインポートします
- メーラーの左側のローカルフォルダペインで右クリック=>=>ImportExportTool NGをクリック
- mboxファイルをインポート⇒個々のmboxファイルをクリック
- ダウンロードしておいたmboxファイルを指定する
すると、個別のフォルダが作成された上でその中にMBOXの中身が展開されるようになります。メールが忠実に復元され添付ファイルも開くことが可能です。
図:ローカルフォルダ上で作業をする
図:インポート成功しました
icsファイルを閲覧する
カレンダーデータはicsという拡張子のファイルとしてエクスポートされます。Outlookの場合はPST形式としてエクスポートされます。以下の手順でicsファイルを取り込みます。
- Thunderbirdの左サイドバーのカレンダーアイコンをクリックする
- 左下のカレンダーにて右クリック⇒新しいカレンダーをクリックする
- このコンピュータに保存するをクリックして、次へをクリック
- 適当な名前をつけて、カレンダーを作成をクリックする
- 作成したカレンダーを選択した状態にして、メニューから「予定とToDo」⇒「ファイルから読み込む」をクリック
- 続けるをクリックする
- ファイルを指定する
- 続けるをクリックする
- 読み込み先として、2.で作成したカレンダーを指定する
- 読み込み開始をクリックする
- 完了をクリックするとカレンダーに反映する
但し、添付ファイルなどは、Google DriveにアップロードされてるものへのURLとなっているので要注意。
図:ICSインポート画面
図:カレンダーに反映されました。
