Professional Google Workspace Administrator試験対策マニュアル

記事タイトルとURLをコピーする

G-gen の杉村です。 Google Cloud (GCP) 認定試験の一つである Professional Google Workspace Administrator 試験 (旧称 Professional Collaboration Engineer) は、 Google の提供するグループウェアである Google Workspace の専門知識を問う試験です。当記事では試験合格に役立つ内容をご紹介します。

Professional Collaboration Engineer

はじめに

Professional Google Workspace Administrator とは

Professional Google Workspace Administrator 試験は、 Google の提供するグループウェアである Google Workspace の専門知識を問う試験です。 企業 IT の管理者や導入担当者が Google Workspace に関する専門知識を得るために有用な試験となっています。

なお、当試験はかつて Professional Collaboration Engineer と呼称されていましたが 2022 年 4 月 29 日を持って改称され Professional Google Workspace Administrator となります。既に試験に合格していた人の保有資格名も自動的に改称されます。

当試験では後述のように Google Workspace の知識のみならず、企業 IT に関する幅広い知識が問われるため、情報システム部門のエンジニアにとっては知見を持っていることを示す良い客観材料となります。

当試験は日本語で受験することができます。
問題数は 50 問で、試験時間は 120 分です。

難易度

当試験の難易度は 比較的高い と言えます。
前提知識として、 IPA の基本情報処理技術者程度の IT 基礎知識に加え、 Active Directory などのディレクトリサービスに関する基礎知識や、 E メール基盤の基礎知識、シングルサインオン、 SAML 、 OAuth 、 OpenID Connect などの ID 連携に関する基礎知識があると良いでしょう。

これらの一般的な知識がある方が、 公式 試験ガイド や当記事を参考に Google サービスの知識をつけていけば、合格できるでしょう。

しかしながら、 Active Directory とのディレクトリ同期の際の細かい仕様や知識が求められたり、 Google Workspace 管理コンソールの細かい利用経験が無いと回答が難しい問題もあるため、高難易度としました。

問題数 50 問に対して試験時間は 120 分のため 1 問あたり 2.4 分という数字は厳しいようにも見えるかもしれませんが、落ち着いて解けば時間には余裕がある試験です。

学習方法

おすすめの学習方法は、以下です。

  1. 一般的な IT 知識として、以下のキーワードを理解する
    • シングルサインオン (SSO)
    • Active Directory
    • SAML
    • OAuth, OpenID Connect (OIDC)
    • E メールに関する一般的な知識 (SPF/DKIM などの送信ドメイン認証に関する知識含む)
  2. 実際に Google Workspace に触る
    • 管理画面をある程度自由に触れるのが理想
    • 自由に変更できない環境の場合は、閲覧権限だけでも手に入れ、各種設定画面を確認する
  3. 試験ガイド を読んで試験範囲を確認する
    • 試験範囲の中で理解できない内容や知らない単語を潰す
  4. 模擬試験 を受験し、分からなかった範囲をカバー勉強する
  5. 最後に、当記事を読んで知らない範囲を潰していく

注意点・出題傾向

当試験の注意点として以下のようなものがあります。

  • 日本語版試験は、英語版試験を翻訳したものですので、若干の違和感を感じる文章もあります。特に Google Workspace ドキュメントやコンソールの日本語訳と、試験の日本語訳が違う場合もあります。原文を想像して読む必要が出てきます
  • GSuite という表記がされている問題があります。 Google Workspace に読み替えましょう (2022 年 1 月現在)

出題傾向は、基本的には試験ガイドに沿うものになりますが、当記事ではより詳細に記載しますので、学習の参考にしてください。

当記事ではこれ以降、試験の出題傾向をジャンルごとに提示します。

ディレクトリ設計・管理

組織部門設計

組織部門 (Organizational Unit = OU) の設計に関する問題が出てきます。
ユースケースを想像しながら学習すると良いでしょう。

例えば「グローバル企業において、国別に管理者を配置し、分散管理としたい」などのユースケースを想像します。
組織部門ごとに管理者ロールを割り当てる というテクニックが使えるでしょう。

また組織部門を分けることで、 Gmail やカレンダーなどの設定を部門ごとに分けることができます。

カスタムディレクトリ

カスタムディレクトリ 機能を把握しておきましょう。
デフォルトでは、組織内のユーザーから他の全ユーザーのプロフィール情報を確認できます。 しかしカスタム ディレクトリを設定すると、連絡先、検索に表示するユーザーを限定することができます。

社外のメンバーを組織のディレクトリに追加し、社内の一部メンバーとだけコラボレーションさせたいときなどに活用できます。

セキュリティとコンプライアンス

Google Vault

コンプライアンス準拠のための重要なツールとして Google Vault があります。
Gmail のメール、ドライブのファイル、 Google Chat のメッセージなどを長期保管し、あまり考えたくないことですが、インシデント発生時の事後調査や訴訟に活かすことができます。

Google Vault には 案件 という管理単位があり、記録保持 (リティゲーション ホールド) 、検索、書き出しを管理できます。

例えば企業の法務部門が Google Vault にアクセスできるように、案件への「権限付与」を行う必要がある、という概念を押さえてください。

また重要ポイントとして、従業員が退職した際に Google アカウントを削除してしまうと、 そのユーザーの Vault データもすべて削除されてしま います。
アカウントを削除するのではなく、 アーカイブユーザーライセンス の利用を検討しましょう。

Google Vault に関して基本機能を理解したら、ドキュメント Google Vault に関するよくある質問 も読んでおきましょう。

ダッシュボードと監査ログ

Google Workspace には、セキュリティ事項のレポートなどを確認するための各種ダッシュボードや監査ログの取得機能が備わっています。
以下のドキュメントは数が多いですが、一通り読んでおくことをお勧めします。

例えば「 Google Drive のファイルが、今週はいくつ外部共有されたか」ということを知りたい場合、「レポート>レポート>アプリレポート>ドライブ」から外部との共有数などをグラフで閲覧可能です。

なお使用状況レポートや監査ログは BigQuery へエクスポート することが可能です。

OAuth トークンのログや SAML の監査ログの確認が可能な点については意識しておきましょう。
前者は Google アカウント データ (カレンダー、ドライブなど) へのアクセスがサードパーティ製アプリケーションに対して承認された場合等に、記録されます。
後者は逆に、 Google Workspace からサードパーティアプリに SSO するときに Google Workspace から発行される SAML トークンに関するログです。
それぞれ、ログが記録・確認される場面が違うことを意識しておきます。

不審なアクティビティの確認

前述のレポートや監査ログのドキュメントから、管理者が不審なアクティビティの確認をどうやって行うかを想像しておきましょう。
ログイン監査ログ を用いたり デバイスの不正使用とみなされるイベント レポート を確認することも多いはずです。

前者ではログイン失敗履歴や、パスワードの漏洩の形跡、 "政府が支援する攻撃" などの兆候も確認できます。

二段階認証

Google が推奨するアカウント保護の方式として二段階認証があります。
ドキュメント 2 段階認証プロセスでビジネスを保護する によると、二段階認証時のパスワードに次ぐ2要素目の認証要素として Google は 物理的なセキュリティキー を最も推奨しています。
これ以外にもテキストメッセージ (SNS) や Google 認証アプリも選択肢としてありますが、最も安全なのは物理キーであるという考え方のようです。

データ保護

データ保護 (Data Loss Prevention) に関連する出題もあります、。
ドキュメント DLP で機密情報を保護する に目を通し、 Google Workspace に備え付けの DLP 機能を押さえておきましょう。

DLP 機能を利用すると、 Gmail でのメールのやりとりにクレジットカード番号やマイナンバーなどの機密情報が入っていることを検知することができたり、そのような機密情報を含む Google Drive ファイルが外部共有された際に検知することができます。

コラボレーション

共同トレイ

共同トレイという機能をご存知でしょうか。
例えば営業チームが共用メールアドレスを利用しており、顧客からのリクエストを共同で対応したいといった場合に、この機能が役に立ちます。
当社記事をご参照いただき、機能の概要を押さえてください。

blog.g-gen.co.jp

Google Meet Hardware

Google Meet でリモート会議をするためのハードウェア製品として Google Meet Hardware が存在しますが、これに関する出題もあります。

特筆すべき便利機能として Google Meet Hardware を会議室カレンダーもしくは個人カレンダーと 関連づける ことができます。
これを設定することで、指定した時間になるとデバイスの画面に会議名が表示されるので、スムーズに会議へ参加できます。

共有の外部連絡先

従業員が皆で共有して使う外部連絡先を登録することで、送信先メールアドレスの誤入力を減らせるかもしれません。
ドキュメント ディレクトリに共有の外部連絡先を追加する を参照すると、外部連絡先を追加するには3つの方法があることが分かります。

  1. Domain Shared Contacts API
  2. Google Workspace Marketplace アプリ
  3. Google Cloud Directory Sync

1 はプログラム経由で追加する方法。 2 はサードパーティアプリで追加する方法。 3 は Active Directory (または LDAP) から同期して追加する方法です。
これらの方法があるのだ、ということを把握しておきましょう。

クラウドサービスの魅力の一つとして、外部から API コールでリソースを制御できる点が挙げられます。
Domain Shared Contacts API の名前は覚えておいて損はないでしょう。

管理対象外ユーザーアカウント

Google Workspace が会社に導入される前に、管理者の知らないうちに、従業員が会社のドメイン名を使って個人の Google アカウントを作成した場合に、アカウント名の発生することがあります。
このような状況を「管理対象外ユーザーアカウントとアカウント名が競合した」と表現します。

このような状況の解決方法については、ドキュメント 移行ツールを使用して管理対象外ユーザーを移行する を参照してください。

新機能リリース

企業の情シスにとって、 SaaS がアップデートして勝手に UI が変わってしまい、ユーザーから問い合わせが多発するというシチュエーションは悩みの種だと思います。
Google Workspace では 計画的リリース という設定がデフォルトで選択されており、受け入れの準備を整えることができます。
残念ながら「組織部門ごとにリリース方式を選択する」ようなことはできないので、テスト用のテナントは別で用意する必要があるかもしれません。

また、情シス担当者にとっては新機能のリリース情報を早めにキャッチすることは重要です。
新情報確認のためのリンクはドキュメント 新しいリリースを確認する にまとまっています。

またかつては Cloud Connect Community と呼ばれていた (現在では Google Cloud Communities) コミュニティへの参加も、選択肢の一つです。

ディレクトリ同期

Google Cloud Directory Sync (GCDS)

Active Directory や LDAP ディレクトリと Google Workspace の同期に関する問題が多数出題されます。

その際に重要になるのが Google Cloud Directory Sync (略称 GCDS) です。

Microsoft Active Directory の場合は、ドメインコントローラーのサーバに GCDS をインストールし、 Google Workspace にデータを送信して同期します。

GCDS が行うのは、 Active Directory 等からユーザー、グループなどのデータを Google Workspace に対して同期する 一方向の 同期となります。
カスタムマッピング を行ったり、除外ルールを設定して一部を対象から外したりするなどの設定も可能です。

同期のための設定は XML 形式の 設定ファイル に保存されます。

シングルサインオン

Google Workspace を IdP として他社サービスに対するシングルサインオンを設定することができます。
200 以上のクラウドサービスと簡単に統合ができるようになっている他、対応していないサービスに対しても、カスタム SAML アプリケーションとしてシングルサインオンを設定できます。

大まかな設定手順をドキュメント カスタム SAML アプリを設定する で把握しておくと、回答に役立ちます。
またドキュメント シングル サインオン(SSO)のトラブルシューティング にも目を通しておきましょう。

メール

メールの転送、リダイレクト

例えばチームのマネージャーが、チームメンバーに届くメールなどが複製されて自分にも届くようにしたいとします。
このようなときにアドレスマップという機能が使えます。 ドキュメント アドレスマップを使って受信メールをリダイレクトする を参照してください。

また、オンプレミスのメールサーバから Gmail へ移行する際の過渡期などに、受信メールを Gmail と既存メールサーバの両方に受信させたいとします。
このようなときは メールの二重配信設定 (英語: Dual delivery) の活用を検討します。

また関連したまぎらわしい概念として 送信メールのゲートウェイ受信メールのゲートウェイ 、という概念もあります。
これらは Gmail の手前にゲートウェイサーバを配置するときに用いる設定です。

これらのよく似た概念は、整理して正しく答えられるようにしておきましょう。

メールのフッター

標準フッター を設定することで、組織のメンバーが送るメールの末尾に決まった文言を自動的に追加できます。
「このメールが不要な方は Unscribe を申し込んでください」のような規定の文言を追加することで法令に順守したい、というようなときに活用できます。

SPF / DKIM

メール送信元の偽装を防いだり、自分の会社を騙って送られたメールを相手に気づいてもらう方法として、 SPF や DKIM があります。
そもそもの SPF / DKIM の概念については、各種サイトで説明されていますので、確認しておきましょう。

Gmail における SPF と DKIM については、ドキュメントを確認しておいてください。

デバイス管理

Google Workspace では、 Windows 、 Chrome OS 、 iOS 、 Android といった OS を積んだデバイスを管理対象にできます。

細かいですが、例えば ネットワーク設定を配布 できる対象 OS は限られているなど、細かい制約が存在します。
一例として Wi-Fi 設定を配布できる対象 OS は以下のとおりです。

  • Android
  • iOS
  • Chrome OS
  • Google Meeting Room Hardware

また Chrome デバイスに関しては、アップデートの管理なども行うことができます。
展開スケジュール を設定することで、複数ある Chrome デバイスのアップデートを分散し、ネットワーク帯域の輻輳を分散できるなどの細かいところも押さえておきましょう。

細かい点としては、以下ドキュメントも軽く読んでおきましょう。

Google Workspace のエンドポイント管理機能にはほぼ全エディションでサポートされている「基本のエンドポイント管理」と、 Business Plus 以上のエディション等で利用可能な「高度なエンドポイント管理」があり、できることに違いがあります。
当社の以下の記事もご参照ください。

blog.g-gen.co.jp

blog.g-gen.co.jp

杉村 勇馬 (記事一覧) (Facebook)

クラウドソリューション部 部長

元・警察官という経歴を持つ現・エンジニア。クラウド管理運用やネットワークに知見。AWS 12冠、Google Cloud認定資格10冠。

2022年5月現在、ハマっているものはモンスターエナジーウルトラ。