Google Workspaceの組織部門（OU）設計ガイド ― 部署・グループ会社ごとにポリシーを使い分ける方法

Google Workspaceの管理コンソールで設定するポリシー（アプリの有効/無効、外部共有の制限、モバイル管理等）は、組織部門（OU：Organizational Unit）単位で適用されます。OU設計が雑だと「全員に同じポリシー」しか適用できず、部署ごとの要件に対応できません。

OUとは

OUは、GWSのユーザーをグループ化する階層構造です。Active Directoryの「組織単位（OU）」と同じ概念で、OU単位でポリシーを継承・上書きできます。

最上位には「ルート組織」があり、その配下にOUを作成します。子OUは親OUのポリシーを継承しますが、個別に上書きすることも可能です。

OU設計のパターン

パターン1：部署ベース（最も一般的）

ルート組織
├── 経営管理部
├── 営業部
├── 開発部
├── 管理者（IT担当）
└── 外部委託・パートナー

部署ごとに異なるアプリ設定やDrive共有ポリシーを適用できます。

パターン2：グループ会社ベース（M&A後の統合環境）

ルート組織
├── 親会社
│   ├── 営業部
│   └── 管理部
├── 子会社A
│   ├── 営業部
│   └── 製造部
└── 子会社B

グループ会社ごとに異なるセキュリティポリシーを適用する場合に有効です。

パターン3：役職ベース（セキュリティ重視）

ルート組織
├── 経営層（厳格なポリシー）
├── 管理職
├── 一般社員
├── アルバイト・パート（制限付き）
└── IT管理者

OUで制御できる主な設定

Gmailの設定： 外部送信の制限、免責事項の自動追加、メールルーティング

Driveの設定： 外部共有の許可/禁止、ダウンロード制限、共有ドライブの作成権限

アプリの有効/無効： 特定のOUでのみYouTubeやGeminiを無効化

モバイル管理： OUごとに異なるモバイルポリシー（画面ロック要件、アプリ制限）

2段階認証： OUごとに強制の有無や許可する認証方法を設定

設計時の注意点

1ユーザーは1OUにのみ所属： GWSのOUは「1ユーザーが複数OUに所属」はできません。兼務者のポリシー適用はGoogleグループ（設定グループ）で補完します。

OU変更の即時反映： ユーザーのOU移動は即座にポリシーに反映されます。人事異動時のOU移動は慎重に。

OUの階層は浅く： 3階層以上のネストは管理が複雑になります。2階層（ルート→部署）で十分なケースが大半です。

最初からすべてを作らない： まずルート直下に「IT管理者」OUだけ作り、管理者に厳格なポリシーを適用するところから始めるのが現実的です。

まとめ

OU設計は「部署」または「グループ会社」ベースで2階層が基本です。最初に全部署分のOUを作る必要はなく、管理者OUから始めて段階的に拡張してください。

情シス365では、Google Workspaceの組織設計を支援しています。お気軽にご相談ください。