Google Workspace

Google Workspace マルチドメインとマルチアカウント(別組織)、どちらを選ぶべきか? 比較と判断基準

#Google Workspace#マルチドメイン#マルチアカウント#グループ企業#テナント設計

Google Workspaceでグループ会社を管理する際にも、Microsoft 365と同様に「1つのアカウント(組織)にまとめるか、別々に分けるか」という設計判断が発生します。

Google Workspaceの場合、この選択肢はマルチドメイン構成(1つのGWSアカウントに複数ドメインを追加)とマルチアカウント構成(グループ会社ごとに別のGWSアカウントを契約)の2つです。

この記事では、Google Workspace特有の機能と制約を踏まえて、両者を比較します。

Google Workspaceのマルチドメインとは

マルチドメイン構成(1アカウント・複数ドメイン)

1つのGoogle Workspaceアカウント(組織)に複数のドメインを追加する構成です。プライマリドメイン(最初に登録したドメイン)に加えて、セカンダリドメインやドメインエイリアスを追加できます。

┌─────────────────────────────────────────────┐
│     Google Workspace アカウント(1つ)         │
│                                             │
│  ┌──────────────────┐  ┌─────────────────┐  │
│  │ contoso.jp       │  │ fabrikam.jp     │  │
│  │(プライマリドメイン)│  │(セカンダリドメイン)│  │
│  │ user-a@...       │  │ user-c@...      │  │
│  │ user-b@...       │  │ user-d@...      │  │
│  └──────────────────┘  └─────────────────┘  │
│                                             │
│  ・共通の管理コンソール                        │
│  ・共通の Google Drive / カレンダー            │
│  ・共通のディレクトリ(連絡先)                 │
│  ・共通の Google Vault                       │
│  ・組織部門(OU)でポリシーを分離可能           │
└─────────────────────────────────────────────┘

セカンダリドメイン: プライマリドメインとは別のドメインとして追加し、そのドメイン固有のユーザーを作成できます。たとえば、user@contoso.jp(プライマリ)と user@fabrikam.jp(セカンダリ)で別々のユーザーアカウントを持てます。

ドメインエイリアス: 既存のユーザーに別ドメインのメールアドレスを付与する機能です。user@contoso.jp のユーザーに user@contoso.co.jp のエイリアスを追加すると、どちらのアドレスでもメールを受信できます。ユーザーアカウントは1つのまま、複数ドメインのアドレスを使えるのが特徴です。

Google Workspaceでは1アカウントあたり最大600のセカンダリドメインまたはドメインエイリアスを追加できます。詳細はGoogleの公式ヘルプ「ユーザーのエイリアス ドメインまたはセカンダリ ドメインを追加する」を参照してください。

Google Workspaceのマルチアカウント構成とは

マルチアカウント構成(組織ごとに独立アカウント)

グループ会社ごとに独立したGoogle Workspaceアカウントを契約する構成です。各アカウントは別々の管理コンソール、別々のGoogle Driveストレージ、別々のユーザーディレクトリを持ちます。Microsoft 365で言うマルチテナントに相当します。

┌──────────────────────┐   ┌──────────────────────┐
│  GWSアカウントA(親会社)│   │  GWSアカウントB(子会社)│
│  contoso.jp           │   │  fabrikam.jp          │
│                      │   │                      │
│  ・独自の管理コンソール │   │  ・独自の管理コンソール │
│  ・独自の Drive       │   │  ・独自の Drive       │
│  ・独自のディレクトリ   │   │  ・独自のディレクトリ   │
│  ・独自の Vault       │   │  ・独自の Vault       │
│                      │   │                      │
│  user-a@contoso.jp   │   │  user-c@fabrikam.jp  │
│  user-b@contoso.jp   │   │  user-d@fabrikam.jp  │
└──────────┬───────────┘   └───────────┬──────────┘
           │                           │
           └──── 外部共有設定で連携 ──────┘
              (デフォルトでは分離)

比較:6つの観点

1. 管理の一元性

マルチドメイン: すべてのユーザーを1つの管理コンソールで管理できます。ユーザーの追加・削除、セキュリティ設定、アプリの管理が一箇所で完結します。組織部門(OU)を使えば、ドメインやグループ会社ごとに異なるポリシーを適用することも可能です。

マルチアカウント: アカウントごとに別々の管理コンソールが必要です。セキュリティポリシーの変更やユーザー管理を各アカウントで個別に行う必要があり、管理工数が倍増します。

判定: 管理効率を重視するならマルチドメインが有利。

2. データの共有範囲

マルチドメイン: 同一アカウント内のすべてのユーザーは、Google Driveのファイル共有、Googleカレンダーの予定表参照、Google Chatでのやり取りをシームレスに行えます。ディレクトリ(連絡先)も共有されるため、ドメインが異なる社員の連絡先を検索できます。

逆に言えば、同一アカウント内のユーザーはデフォルトで互いのファイルを検索・共有できるため、グループ会社間でデータを完全に隔離したい場合は、組織部門(OU)ごとの共有設定を細かく制御する必要があります。

マルチアカウント: アカウント間のデータは完全に分離されます。ファイル共有やカレンダー参照は、外部共有の設定を有効にしない限り行えません。データの機密性が高く、グループ会社間でもアクセスを制限したい場合に適しています。

判定: 共有重視ならマルチドメイン、分離重視ならマルチアカウント。

3. セキュリティポリシーの柔軟性

マルチドメイン: Google Workspaceの組織部門(OU)を使って、部署やグループ会社ごとに異なるポリシー(2段階認証の強制、モバイルデバイス管理、アプリのアクセス制限など)を適用できます。ただし、すべての設定がOU単位で制御できるわけではなく、一部の設定はアカウント全体に適用されるものもあります。

マルチアカウント: アカウントごとに完全に独立したセキュリティポリシーを適用できます。金融や医療など、厳格なコンプライアンス要件がある子会社に対して、親会社とはまったく異なるセキュリティ基準を適用する場合に有効です。

判定: 厳密なポリシー分離が必要ならマルチアカウント。通常のグループ企業運用ならマルチドメイン+OU制御で十分。

4. ライセンスコスト

マルチドメイン: 1アカウント内で一括契約するため、ライセンス単価の交渉や管理が容易です。Google Workspaceの料金はユーザー数ベースであり、1アカウントにまとめた方がボリュームディスカウントの対象になりやすいです。

マルチアカウント: アカウントごとに別契約となるため、子会社の規模が小さい場合にボリュームディスカウントを受けにくく、割高になる可能性があります。支払い先や請求書も分かれるため、経理上の管理工数も増えます。

判定: コスト最適化の観点ではマルチドメインが有利。

5. メール送信上限への影響

マルチドメイン: ドメインが異なっていても、同一アカウント内のユーザー間のメールは「内部メール」として扱われます。そのため、グループ会社間のメールは外部送信制限(2,000通/日)の対象外となり、制限を気にせず送受信できます。

マルチアカウント: 別アカウントのユーザーへのメールは「外部メール」として扱われます。グループ会社間であっても外部送信制限の対象となるため、グループ会社間で大量のメールをやり取りする場合に制限に抵触するリスクがあります。

判定: グループ会社間のメールが多い場合、マルチドメインが明確に有利。

6. Google Vaultとコンプライアンス

マルチドメイン: Google Vault(メール・チャット・Driveのアーカイブ・eDiscovery機能)を1つの管理コンソールからすべてのドメインのユーザーに対して適用できます。法的保持や監査対応を一元的に管理できます。

マルチアカウント: Vaultはアカウントごとに管理する必要があります。法的保持が必要になった際に、複数アカウントを横断した検索・エクスポートができず、対応が煩雑になります。

判定: コンプライアンス管理を重視するならマルチドメインが有利。

Google Workspace特有の注意点

プライマリドメインは変更できない

Google Workspaceのプライマリドメイン(最初に登録したドメイン)は後から変更できません。グループ企業の統合で親会社のドメインをプライマリにしたい場合、新しいアカウントを作り直す必要があります。マルチドメインを選択する場合は、プライマリドメインの選定を慎重に行ってください。

セカンダリドメインとドメインエイリアスの使い分け

セカンダリドメインは「そのドメイン固有のユーザーを作る」場合に使い、ドメインエイリアスは「既存ユーザーに別ドメインのアドレスを追加する」場合に使います。M&A後に買収先のドメインでメールを受信し続ける必要があるが、ユーザーアカウントは親会社側で管理したい場合などは、ドメインエイリアスが適しています。

Enterprise プランのマルチパーティション機能

Google Workspace Enterprise Plusでは、同一アカウント内でデータの論理的な分離を行うマルチパーティション機能が提供されています。これにより、マルチドメイン構成でありながら、グループ会社間のデータ分離を実現できます。ただし、Enterprise Plusは最も高額なプランであるため、コストとのバランスを検討する必要があります。

どちらを選ぶべきか ― 判断基準

マルチドメインが適するケース:

  • グループ会社間でGmail、Drive、カレンダーを日常的に共有する
  • 管理者リソースが限られており、管理工数を最小化したい
  • ライセンスコストを最適化したい
  • グループ会社間のメールが多い
  • Vaultによるコンプライアンス管理を一元化したい

マルチアカウントが適するケース:

  • 法規制やセキュリティポリシーでグループ会社間のデータ完全分離が必要
  • 子会社に完全な自治権を持たせたい(独自のIT管理者、独自のポリシー)
  • M&A直後でまだ統合の方針が決まっていない
  • 海外子会社で現地のデータ所在地規制に対応する必要がある

中小企業のグループ経営では、ほとんどの場合マルチドメインで十分です。セキュリティの分離が必要な場合は、組織部門(OU)による共有制限で対応できるケースがほとんどです。

まとめ

Google Workspaceのマルチドメインとマルチアカウントの選択は、Microsoft 365の場合と同様に「管理効率・コラボレーション」対「セキュリティ分離・自治権」のトレードオフです。

中小企業の場合、管理者が限られていること、グループ企業間の連携が重要であること、コストを最適化したいことを考えると、マルチドメインが第一選択肢になります。まずはマルチドメインで構成し、将来的に法規制やセキュリティ要件でデータ分離が必要になった段階でマルチアカウントへの分離を検討する、というアプローチが現実的です。

情シス365では、Google Workspaceのドメイン設計・組織部門設計から、M&A後のアカウント統合まで支援しています。「グループ会社のGWSをどう構成すべきかわからない」という方は、お気軽にご相談ください。

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談