【AGWA】WEB問題集:ユーザー管理編

WEB問題集

AGWA#1(user-management)

管理者が新入社員 1 名を管理コンソールから手動で追加します。最初のログインで本人にパスワードを必ず変更させたい場合、ユーザー作成時に行う最も適切な操作はどれですか。

A. ユーザー作成後にパスワードリセット処理を行い、システム生成パスワードを本人へ私用メールで送付して通知する
B. 本人に Google アカウント回復フローを実行させて任意のパスワードを設定させる
C. Cloud Identity の API を呼び出して password change required 属性を後から付与する
D. 新規ユーザー追加画面で「次回ログイン時にパスワード変更を要求」を有効にしてアカウントを作成する

正解と解説ディスカッション 0

正解：D

正解の根拠

管理コンソールで新規ユーザーを作成する画面には「次回ログイン時にパスワードを変更するよう要求する」という設定があり、有効にすると初回ログイン時に強制的にパスワード変更画面が表示されます。これが管理者が事前に行う標準的な手順です。

初回ログイン強制変更の方法比較

方法	事前設定	運用負荷
新規ユーザー作成画面のチェック	可能	低
後からパスワードリセット	追加操作必要	中
API による属性付与	可能だが過剰	高

不正解の理由

A: 後からのリセットは追加手順となり、初回ログイン時の強制変更フラグを直接設定するほうが効率的です。
C: API は同じ属性を扱えますが、UI で完結する場面で API を使うのは過剰です。
B: アカウント回復フローはユーザー側の操作であり、管理者の事前設定として不適切です。

参考：ユーザーアカウントを追加する

AGWA#2(user-management)

退職者が出ました。本人のメールや Drive のデータは別の社員に引き継ぎたいですが、ライセンスはすぐに開放したくありません。どの順序で操作するのが適切ですか。

A. ユーザーを即削除し、削除後 20 日以内に管理者が復元手続きを実施して、データを別アカウントに移行する運用とします
B. 停止後にデータ移行ツールで Gmail/Drive を別ユーザーへ移し、Archived User ライセンスへ切り替える
C. 管理者ロールを剥奪したうえで本人に Drive と Gmail のエクスポート及びデータ引き継ぎを期限内に依頼して完了させます
D. OU を退職者用 OU に移動して各種サービスを全部オフにし、アカウント本体は現状のまま維持する運用に切り替えます

正解と解説ディスカッション 0

正解：B

正解の根拠

退職処理ではまずアカウントを停止してログインを止め、その後に Gmail のデータ移行や Drive の所有権移行を実施します。長期保管が必要な場合は Archived User ライセンスへ切り替えると、検索や eDiscovery を維持しつつコストを抑えられます。

退職処理の選択肢比較

処理	データ保持	ライセンス
削除	20 日のみ復元可	即解放
停止	保持	占有
Archived User	長期保持	低コスト

不正解の理由

A: いきなり削除するとデータの取り扱いが不安定で、Vault や移行手段が制限されます。
C: 退職者本人に管理権限以外の操作を依頼するのはガバナンス上不適切です。
D: アカウントを残したままサービスをオフにしてもライセンスは消費され、コスト面で非効率です。

参考：退職した社員のデータを管理する

AGWA#3(user-management)

営業部 200 名を一度に Workspace に追加します。最も標準的かつスケールする方法はどれですか。

A. 管理コンソールのユーザー追加画面から 200 名のアカウント情報を 1 件ずつ手動入力していく方法を採用する
B. Gmail から 200 名分の招待メールを送信して各自に登録させる
C. Google フォームでアカウント作成希望を集めて手動入力する
D. 管理コンソールの「ユーザーを一括更新」で CSV をアップロードして追加する

正解と解説ディスカッション 0

正解：D

正解の根拠

管理コンソールには CSV による一括追加機能があり、最大 150,000 行まで一度に処理できます。テンプレート CSV をダウンロードし、必須列 (First Name、Last Name、Email Address、Password、Org Unit Path) を埋めてアップロードします。

追加方法のスケール比較

手段	件数目安	用途
手動	~10	少数
CSV 一括	~150,000	大量追加
Directory API/GCDS	継続的	HR システム連携

不正解の理由

A: 200 名を 1 件ずつ追加するのは時間がかかり実務に合いません。
B: Workspace アカウントは管理者が作成するもので、ユーザーが招待で自己登録する仕組みではありません。
C: フォーム集計後に手動入力するのは CSV 一括より工数がかかります。

参考：CSV ファイルから複数のユーザーを追加する

AGWA#4(user-management)

本社の HR システム (Active Directory) を信頼できる単一のユーザーソースとして、Workspace のユーザーを継続的に同期したいです。Google が公式に提供する同期ツールはどれですか。

A. Google Workspace Migrate
B. Google Cloud Directory Sync (GCDS)
C. Google Drive for desktop
D. Apps Script の Time-driven Trigger

正解と解説ディスカッション 0

正解：B

正解の根拠

GCDS は LDAP 互換 (Active Directory など) を読み取り、Workspace のユーザー、グループ、組織単位を継続的に同期する公式ツールです。差分同期、シミュレーション実行、スケジュール実行に対応します。

主要ツールの目的比較

ツール	主目的
GCDS	LDAP からのユーザー同期
Workspace Migrate	他社サービスからのデータ移行
Drive for desktop	Drive のクライアント同期
Apps Script	軽量自動化

不正解の理由

A: Workspace Migrate はメールやファイルの一回限りの移行ツールで、継続的なディレクトリ同期向けではありません。
C: Drive for desktop はファイル同期クライアントです。
D: Apps Script で同期を作ることは可能ですが、信頼性の点で公式ツールに劣ります。

参考：Google Cloud Directory Sync について

AGWA#5(user-management)

本社の Active Directory に対して GCDS を使用したテスト同期を行いたいです。本番に変更を加える前に差分の確認だけを行いたい場合、どのオプションを使いますか。

A. Sync & apply changes (実行と反映)
B. Rollback (ロールバック)
C. Simulate sync (シミュレーション同期)
D. Generate audit log (監査ログ生成)

正解と解説ディスカッション 0

正解：C

正解の根拠

GCDS Configuration Manager にはシミュレーション機能があり、Workspace 側へ書き込みを行わずに「追加・削除・更新の対象」を表示します。本番反映前の確認手順として推奨されています。

GCDS の実行モード

モード	動作
Simulate sync	差分表示のみ
Sync & apply	実際に書き込み

不正解の理由

A: これは実際に Workspace に変更を反映するモードで、テスト目的ではありません。
B: GCDS にはロールバック機能はなく、誤同期は再同期で修正します。
D: ログ生成は補助機能で、差分の事前確認手段ではありません。

参考：GCDS の同期をシミュレーションする