トップ > Google Cloud認定資格 > Associate Google Workspace Administrator試験対策マニュアル

Associate Google Workspace Administrator試験対策マニュアル

Google Cloud認定資格 Google Workspace Google Cloud
記事タイトルとURLをコピーする

G-genの杉村です。Google Cloud(旧称 GCP)の認定資格である Associate Google Workspace Administrator 資格の試験対策に有用な情報を記載します。

基本的な情報

Associate Google Workspace Administrator とは

Associate Google Workspace Administrator 試験は、Google Cloud(旧称 GCP)の認定資格の一つです。当試験は2024年10月22日、Beta 版として公開され、2025年1月にGA(一般公開)されました。

当試験は Associate レベルの資格であり、Google Workspace の日常的な管理業務や、トラブルシューティングに関する知識や技能が問われます。

試験時間は120分、問題数は50〜60問です。2025年1月現在、英語版のみが提供されています。

Google Workspace 関連の認定資格としては、かつて Professional Google Workspace Administrator がありましたが、この試験は2025年1月に当試験の一般公開と同時に廃止されました。

難易度

Associate Google Workspace Administrator 試験の難易度は、他の認定試験と比較して中程度 といえます。

基本情報技術者試験レベルの IT 基礎知識(DNS、E メール基盤、特権管理など)に加えて、Google Workspace の管理画面に日常的に触れている方であれば、追加の学習を数日〜1ヶ月程度行うことで十分に合格を狙えます。

受験者に推奨される経験として、公式サイトには「実際の環境またはテスト環境での Google Workspace 特権管理者としての6か月間の経験。Business Plus エディションの実践経験と Enterprise エディションの機能に関する知識。」とあります。ただし、管理画面の UI における細かな操作を問われるわけではありませんので、試験ガイドや当記事を参考にして Google Workspace の備える各機能の根本を理解していれば、合格を狙うことができます。

出題傾向

出題では、実践的なシチュエーションを題材にして、Google Workspace の管理機能に関する知識が問われます。

例えば、「自社の Google Workspace 利用者が退職しても〇〇になるようにするにはどうすればよいか。」など、短めのシナリオに対して、適切な機能を提案できるようになる必要があります。ただし、Google Cloud 認定試験の Professional レベル試験と比較すると問題文はそこまで長くはありません。複雑なシナリオに対して複数の機能を組み合わせて課題を解決するというよりも、一問一答のようにして、ある課題に対してある機能をぶつける、といったレベル感です。

また、仮に詳細を知らない機能についての問いが出題されても、IT 一般の常識的な感覚があれば答えを導き出せるものもあります。この資格試験への対策を機に、E メール基盤、DNS、ネットワーク、特権管理、SaaS の管理業務、ID 連携(SAML や OAuth)などについて学ぶことも、今後の IT 関連業務に大いに役立つはずです。

試験対策

以下の勉強方法はあくまで一例であり、最適な方法は、受験者の予備知識や経験によって異なるものとご了承ください。

  1. 前掲の IT インフラ基礎知識をキーワードベースで理解する
  2. Google Workspace の管理画面に触れる
  3. 試験ガイドを読み、知らないキーワードや機能について公式ドキュメントで学ぶ
  4. 当記事の出題傾向を読み足りない知識領域をカバーする学習を行う
  5. 公式のサンプル問題を解く

Google Workspace の管理画面に触れたことがない方は、自由に触れる環境を自ら契約するなどして、必ず触れておくことをおすすめします。無料で利用できる Cloud Identity の Free エディションは、Google Workspace と管理画面の UI が共通していますので、ベーシックな機能を確認するにあたって有用です。ただし、有償の Google Workspace と比較して多くの機能が制限されていることに注意してください。Cloud Identity Free エディションの利用開始方法については、以下の記事を参考にしてください。

blog.g-gen.co.jp

なお公式のサンプル問題は、以下の試験概要ページからアクセスできます。

当記事ではこれ以降、試験にあたって何を勉強しておくべきか、機能分野ごとに紹介しますので、参考にしてください。当記事では Google Workspace の基礎知識を詳細にお伝えすることはありませんので、公式ドキュメント等を参照してください。また、当記事の内容は Beta 版公開時のものですので、現在の試験内容とは一部が異なる場合がある点もご了承ください。

ユーザーアカウント

ID 連携

Google Workspace は、他の IdP と連携が可能です。特に出題される可能性のある分野としては、Active Directory との連携です。

Active Directory(AD)のユーザーアカウントやグループ設定は、Google Cloud Directory Sync(GDCS)を使うことで、Google Workspace に継続的に同期することができます。AD のパスワードを Google Workspace に同期するための Password Sync 機能を使えば、AD 側に設定されている複雑なパスワードポリシーをそのまま Google Workspace に適用することができます。

また逆に、Google Workspace を IdP として、他のアプリケーションに SSO することもできます。Box や Salesforce などの SaaS には簡単な設定で SSO できるよう設定できるほか、カスタム SAML アプリを設定することで、SAML 2.0 準拠の SSO が設定できます。

アーカイブユーザーライセンス

退職者など、もう Google Workspace アカウントを使わなくなった人のデータを保持するにはいくつか方法があります。アカウントを削除してしまうと、Gmail や Google ドライブのデータは失われてしまいます。以下のドキュメントにあるように、「削除プロセスの途中でデータのオーナー権限を別のアカウントに移動する」「Google Vault で書き出す」「アーカイブユーザーライセンスを割り当てる」などがあります。

Google Vault は、Google Workspace のデータを法的理由などで保持するための仕組みで、データを長期に、コンプライアンスに準拠した形で保持することができます。Google Vault については頻繁に出題されるため、後述します。

アーカイブユーザーライセンスは、もうログインされないアカウントのデータを保持するためのライセンスであり、通常ライセンスより安価なライセンスです。このライセンスを割り当てると、退職者はデータにアクセスできなくなりますが、データは組織で保持されます。

Google グループ

Google グループと設定グループ

Google グループは、Google アカウントをグルーピングするための機能です。Google グループはメーリングリストとして使うこともできますが、Google ドライブの権限管理や、Workspace 上の各種設定の適用にも使えます。

このようにグループを管理設定の適用に利用するときの Google グループは設定グループ(configuration group)と呼ばれ、試験問題中にも繰り返し登場します。

設定グループを使って適用が可能な設定には、以下のようなものがあります。

  • データロケーション(データの地理的な保存場所)
  • 共有ドライブのアクセス権限
  • ストレージ使用上限
  • 外部へのファイル共有の制限
  • コアサービス以外の Google サービス(YouTube 等)の設定

管理機能の設定を、組織内の一部メンバーのみに適用したい場合の方法としては他に組織部門(OU)がありますが、設定グループへ適用した設定は、組織部門(OU)に適用した設定よりも優先されます。組織(部署)の形は組織部門で形成し、そこから外れて例外的に設定をオーバーライド(上書き)したい場合は設定グループを利用する、といったユースケースがよく出題されます。

動的グループ

動的グループは、条件に基づいて自動的に Google グループにメンバーを追加できる、Google グループの拡張機能です。

例えば、部門名が「経理」の従業員は、自動的に accounting@ グループに所属する、のように設定できます。このようにして、グループ管理の工数を削減することができます。

共同トレイ

共同トレイ(Collaborative Inbox)は、Google グループに所属するアカウント間で共有利用可能な、メールの受信ボックスです。共同トレイを使うと、カスタマーサポートのような業務を、チームで行うことが可能になります。

共同トレイを使って組織外部とメールのやりとりをするには、まずグループで明示的に共同トレイを有効化し、その後にグループ設定で「投稿できるユーザー」を「ウェブ上のすべてのユーザー」にします。

ビジネス向け Google グループ

ビジネス向け Google グループ(Google Group for Business)は、有償の Google Workspace で利用可能なグループ機能の呼称です。Google Workspace ではデフォルトで有効化されているため、おそらく Google Workspace 管理者の多くの方が意識せずビジネス向け Google グループをすでに利用しています。

ビジネス向け Google グループが有効だと、Google Workspace のアプリランチャー(画面右上の9つの点のアイコン)に「グループ」が表示されます。この画面から、ユーザー自らグループを作成したり(管理者設定で許可するかどうか設定可能)、共同トレイ機能を使ったり、グループ内でスレッド形式の会話を行ったりできるようになります。

管理者でないメンバーがグループを作成したり、グループにメンバーを追加することを許可できますが、管理者設定で組織外部のメンバーの追加を禁止することもできます。

組織部門(OU)

前掲の通り、組織部門(OU)は、組織の形(部署等)にあわせて設計します。以下のようなシチュエーションが考えられます。

  • 「営業部門」「マーケティング部門」「エンジニア部門」のユーザーアカウントをそれぞれ異なる組織部門(OU)に格納する
  • 営業部門とマーケティング部門の組織部門(OU)には、組織外部へのファイル共有を許可する
  • エンジニア部門の組織部門(OU)には、組織外部へのファイル共有を禁止する

なお、一部の設定は設定グループ単位では適用できず、組織部門(OU)単位でならば適用できることがあります。例として Gemini for Google Workspace 等のアドオンライセンスの自動適用は、設定グループ単位ではできませんが、組織部門(OU)単位では可能です。

Google Vault

Google Vault とは

Google Vault は、法的要件に準拠しつつ Google Workspace のデータを保持し、関係者に適切に開示するための仕組みです。Google Vault を使うと、Gmail や Google ドライブ、Google カレンダー、Google Chat などのデータを保持したり、書き出したりすることができます。対象のユーザーには、Google Workspace ライセンスに加えて Vault ライセンスも必要になります。

リティゲーションホールドと案件

リティゲーションホールド(英名は単に holds)を作成すると、アカウントの Gmail データを恒久的に保存し、法的義務へ対応することができるようになります。

リティゲーションホールドとセットで理解しておきたい概念に、案件(matters)があります。案件(matters)は、リティゲーションホールド、データの検索や書き出しのための管理空間です。M&A における調査や訴訟案件など、データの保持と公開が重要になる場面で使われるシチュエーションが考えられます。

アクセス制御

セキュリティキー

Google Workspace では、全アカウントに二段階認証(2SV)を設定することが推奨されます。SMS(ショートメッセージサービス)や Google Authenticator などを使った二段階認証が設定できますが、特にセキュリティキー(物理的な認証デバイス)がフィッシング対策などにもっとも有用とされています。

コンテキストアウェアアクセス

コンテキストアウェアアクセス(Context-Aware Access)は、デバイスの OS などの設定状況や、アクセス元の地理的条件などをベースに、Google Workspace サービスへのアクセスを制限できる機能です。当機能は、Enterprise エディション等で利用できます。

アクセスの条件として、デバイスの OS や接続元 IP アドレス、ロケーション(どの地域からアクセスしようとしているか)などが設定できます。

アクセス条件を定義する設定オブジェクトはアクセスレベルと呼ばれます。

セキュリティセンター

セキュリティセンターとは

セキュリティセンター(Security Center)は、Google Workspace 管理画面に備え付けのセキュリティツールです。セキュリティセンターは以下の機能で構成されています。

機能名(和名) 機能名(英名) 概要
セキュリティダッシュボードのレポート Security dashboard reports 観測されたセキュリティリスクをレポートとして一覧表示する画面
セキュリティの状況ページ Security health page セキュリティ関係の管理設定をまとめて確認できる画面
セキュリティ調査ツール Security Investigation Tool 各種ログなどを検索できるツール

セキュリティダッシュボードのレポート(Security dashboard reports)では、組織内のセキュリティリスクを一覧表示できます。パスワードの試行回数や、不審なアクティビティをグラフで表示したり、深堀りした調査が可能です。

セキュリティの状況ページ(Security health page)は、管理コンソールで設定できるセキュリティ関連設定を一覧表示できる画面です。現在のセキュリティ設定の棚卸しをしたいとき、例えば複数ある組織部門(OU)の設定をすべて見に行かなくても、この画面で一覧表示できます。

セキュリティ調査ツールについては後述します。

セキュリティ調査ツールとは

セキュリティ調査ツール(Security Investigation Tool)とはセキュリティセンターの1機能であり、Google Workspace 管理画面に備え付けのログ調査ツールです。以下のような情報を検索し、一覧化することができます。当機能は、Enterprise エディション等で利用できます。

  • Gmail のメールコンテンツやメタデータ(フィッシングメールを調査する等)
  • Google ドライブのアクセスログ(潜在的なデータ漏洩リスクを調査する等)
  • Google Meet の情報(主催者不在の Meet 会議を検索して終了する等)
  • デバイスの設定情報やログ

このツールにより、例えばフィッシングメールのような悪意があるメールが届いたようなシチュエーションで、どの範囲の従業員までメールが届いているかを調べたり、送信元を確認したりすることができます。上記に挙げた確認可能な情報から、ユースケースを想像しておきましょう。

アクティビティルール

アクティビティルール(Activity rules)とは、ある条件を満たした場合に、自動的にアクションが行われるように設定できる機能です。セキュリティ調査ツールの下位機能として存在しています。

例えば、アクティビティルールを使うと以下のような自動化処理が設定可能です。

  • 1時間に20回以上、ログイン試行が失敗したら、ユーザーにパスワード変更を求める
  • アカウント乗っ取りのリスクを早期検知するため、アカウントのパスワードがリセットされたら、管理者にメール通知する

デバイス管理

モバイルエンドポイント管理

Google Workspace には Windows、MacOS、Android、iOS、ChromeOS などのデバイスを管理する機能が備わっています。

基本のエンドポイント管理(Fundamental endpoint management)と高度なエンドポイント管理(Advanced endpoint management)の2つのレベルが存在し、Google Workspace によって利用可能なレベルが決まります。

特に出題可能性のあるシナリオとしては、デバイスの利用者が退職したり、デバイスを紛失したケースの対応です。基本のエンドポイント管理では、アカウントのリモートワイプが使えます。アカウントのリモートワイプでは、管理画面から、デバイスの Google Workspace データのワイプ(削除)が可能です。

高度なエンドポイント管理では、デバイスのリモートワイプが可能です。こちらであれば、デバイス自体を工場出荷時の状態に戻すことができます。

これらのワイプを利用するには細かく要件があります。詳細は以下のドキュメントを参照してください。

Chrome ブラウザ

管理下の Chrome ブラウザに対して、強制的にアプリや機能拡張を配信したいときは、アプリと拡張機能の自動インストール(force-install)が利用可能です。

データロケーション

Google Workspace では、データの地理的な保管場所を指定できます。現在のところ選択できるのは EU(ヨーロッパ)と US(米国)の2種類です。法的要件や監査要件で、各国の従業員が使うデータの保存場所を明示したい場合は、この機能が使えます。

たとえば、同じ組織に米国の従業員とドイツの従業員が存在している場合、それらの従業員を設定グループもしくは組織部門(OU)で分類し、設定グループもしくは組織部門(OU)に対してデータロケーションを指定することが可能です。

Gmail

MX レコード

Gmail を使い始めるにあたって必要な MX レコードの追加などの概念は、基本的な DNS の仕組みとともに理解が必須です。たとえば、オンプレミスで運用していたメールサーバーから、同じドメイン名を使って Gmail に移行する場合は、DNS ゾーンの MX レコードを Gmail に向けることで、メールサーバーを切り替えることができます。

以下の記事も参考にしてください。

blog.g-gen.co.jp

添付ファイルの検疫

添付ファイルはセキュリティ上の関心事項となりがちです。添付ファイルのコンプライアンスルールで、特定のファイルタイプの添付ファイルを受信する前に削除することなどができます。

スパムの偽陽性

正当な送信元であるのにも関わらず、Gmail のスパムフィルタにスパムメールであると認識されてしまい、E メールが迷惑メールフォルダに分類されてしまうことがあります(偽陽性)。

そのような場合は、スパムフィルタをバイパス(迂回)させたいメールアドレスやドメイン名を承認済み送信者リストに登録することができます。その場合、メールは基本的にはユーザーに配信され、ユーザー自信がそのメールがスパムであるかどうかを判断することができます。

TLS 接続

特定のドメイン名のメールアドレスとの間でやりとりするメールが TLS 暗号化のもとに行われるよう、明示的に設定することができます。

金融機関など、機密情報の扱いが厳重に求められる場合は、設定を検討します。

SPF、DKIM

SPFDKIM は、メールの送信元を認証する仕組みです。なりすましを防止するために考案された仕組みであり、Gmail 特有の仕組みではなく、E メール基盤に関する一般的な仕様です。その目的や基本的な仕組みは理解しておいてください。

トラブルシューティング

従業員から、特定のメールが配信されていないというトラブルが報告されたとき、以下のドキュメントを参考にしてトラブルシューティングが可能です。セットアップの初期であれば MX レコードが正しく設定されていることを確認しますし、メールログ検索(Email Log Search、略称 ELS)ツールを使うと迷惑メールと判断されたり誤ってルーティングされたメールを探す際に役に立ちます。

Gmail の Web UI の読み込みが異常に遅いなど、ブラウザ上の挙動の問題である場合、HAR ファイルと呼ばれるファイルを収集することで、トラブルシューティングの役に立つことがあります。

HAR ファイルには機密情報が含まれている可能性もゼロではありません。HAR ファイルを Google サポートに共有する際は、アクセスコントロールを自社側で持てるよう、例えば自社の Google ドライブにアップロードし、アクセス権限を Google サポートに渡すことなども検討します。

Google ドライブ

共有ドライブとロール

組織で Google ドライブを利用する場合、共有ドライブ機能への理解が必須です。アクセス権限は設定グループを用いて行うのが一般的です。設定グループに対して「管理者」「コンテンツ管理者」「投稿者」などのロールを付与します。

特に投稿者(Contributor)ロールの理解をしておいてください。投稿者は、ファイルの編集や新規作成はできますが、削除はできません。共有ドライブに対して自社メンバーにはコンテンツ管理者のロールを持たせ、共有相手の他社メンバーには投稿者ロールをもたせる、といったシナリオが考えられます。

ストレージクォータ

Google Workspace では、ストレージクォータ(ストレージの保存容量の上限)をユーザーアカウントや組織部門(OU)、または設定グループごとに設定できます。ストレージクォータは Google ドライブだけでなく、Gmail や Google フォトとも共通です。

例えば、組織全体では10 GB がクォータとして設定されている場合でも、特定メンバーを設定グループに所属させ、その設定グループに100 GB のクォータを設定する、のように、一部のメンバーだけ異なる設定を与えることもできます。

外部共有の禁止

Google ドライブの外部共有は便利な機能ですが、セキュリティリスクでもあります。組織全体で外部共有を禁止することもできますし、組織部門(OU)や設定グループごとに、外部共有の許可または禁止を設定できます。

その他の Google Workspace サービス

Google カレンダー

Google カレンダーも同様に、基本的な使い方を理解しておきましょう。

Google カレンダーにはオフィスビルディングや会議室といった現実世界のオブジェクトを、リソースとして登録しておくことができます。新しいオフィスが追加されるときなどは大量のリソースを一括登録することがありますが、CSV をアップロードすることで一括登録が可能です。

また、複数のリソースを同時に編集する場合は、一度 CSV 形式でリソース一覧をダウンロードし、CSV を編集してから再度アップロードすることで、既存リソースを編集することができます。

Google Meet

Google Meet には Meet 品質ツール(Meet quality tool)があり、音質や画質などのトラブルを調査できます。このツールで何ができるかは、押さえておきましょう。

Google Chat

Google Chat のいくつかの管理設定を理解しておきましょう。

チャットの履歴は、デフォルトでは有効です。オフにすると、会話は24時間後に削除されます。組織全体あるいは組織部門(OU)で会話の履歴を「オン」にし、かつユーザーには、会話ごとに自分でオン・オフを選ばせることも可能です。

スペースは、複数メンバーが参加可能な、いわゆる「部屋」のことです。スペースには管理者を設定でき、管理者はメンバーを追加・削除したり、メッセージを削除したりできます。

Data Loss Prevention(DLP)

Data Loss Prevention(DLP)を使うと、Google ドライブのファイルに、自動的なラベル付けが可能です。ルールに基づいて、コンテンツの中身に応じたラベルが自動的に付与されるようになります。

ラベルはファイルの分類に使われるほか、検索時にも利用できます。例えば契約書類には「契約(Contracts)」というラベルを付与しておき、検索時に容易に見分けがつくようにできます。

また DLP では、クレジットカード番号などの機密情報を含む情報が外部共有されないように、Google Chat 等のメッセージを自動検閲してブロックすることが可能です。

AppSheet

AppSheet は Google Workspace に付属するノーコード開発ツールです。なお、Google Workspace に付属しているのは Core と呼ばれるティアのエディションであり、最低限の機能が利用できます。より高度な機能を持つ Enterprise Plus エディションを追加購入することが可能です。

試験にあたり、以下のポイントを押さえてください。

  • Google スプレッドシートのデータを利用して(スプレッドシートをデータベースとして利用して)アプリが作成できる
  • Web ブラウザ向けアプリとモバイル向けアプリが開発できる
  • ノーコード開発ツールなので、プログラミングの知識が不要

AppSheet と文字面が似ている App Script(Google App Script とも呼称。GAS と略されることもある)も選択肢に登場する可能性があるため、混同しないように注意してください。App Script は Google の基盤上で実行可能なスクリプト実行ツールであり、JavaScript ライクな文法のプログラミング言語で記述します。App Script は Google スプレッドシート等と連携してプログラムが実行可能であるため、Microsoft Office 製品における「マクロ」と似たイメージで理解ができます。

Gemini for Google Workspace

Gemini for Google Workspace は、Google Workspace で使える生成 AI アシスタントツールです。

Gmail、Google ドキュメント、Google スライド、Google スプレッドシートなどの各ツールで、生成 AI 基盤モデルである Gemini の強力なアシストを受けることができます。

利用には Gemini Business や Gemini Enterprise といったアドオンライセンスが必要です。アドオンライセンスは明示的にユーザーアカウントに割り当てます。アドオンライセンスは、組織全体もしくは組織部門(OU)単位で自動的に割り当てることが可能です。

杉村 勇馬 (記事一覧)

執行役員 CTO / クラウドソリューション部 部長

元警察官という経歴を持つ現 IT エンジニア。クラウド管理・運用やネットワークに知見。AWS 12資格、Google Cloud認定資格11資格。X (旧 Twitter) では Google Cloud や AWS のアップデート情報をつぶやいています。