ベストプラクティス - ユーザー管理 – Box Support

Boxは、コンテンツの安全性を維持しながらも、簡単で効果的にコンテンツを共有できるように設計されています。そのために必要不可欠な管理ツールの1つとして、アカウントの内部(管理対象)ユーザーと外部ユーザーの両方を追加、編集、削除する機能があります。このガイドでは、ユーザー管理のベストプラクティスについて説明します。

管理対象ユーザーと外部ユーザー

まず、管理対象ユーザーと外部ユーザーの違いを理解しておくことが重要です。

管理対象ユーザーとは、管理コンソールから直接管理するBoxのアカウントを指します。従業員および仕事上緊密なパートナーは、きめ細かな管理や監督を必要とするため、管理対象ユーザーにする必要があります。

管理対象ユーザーは、「@box.com」のようなメールドメインが共通していることが多く、これらのユーザーに対しては、以下の操作を実行できます。

ストレージの割り当てを指定する
ユーザーをグループに入れて、そのアクセス権限を管理する
ユーザーのアカウントに迅速にログインしてアクティビティを監視する(Business Plus版とEnterprise版のみ)
作業に使用できるアプリケーションを管理する
ユーザーがパスワードをリセットしようとしている場合、または許可されていないブラウザでBoxにアクセスしようとしている場合に通知する(Enterprise版、またはSSO統合を利用)
ユーザーが退職した際、ユーザーのアクセス権限を一時的に保留あるいは完全に取り消しながらも、ユーザーが所有していたコンテンツは保持する

外部ユーザーとは、自分またはテナントのユーザーの、1つまたは複数のフォルダに対してコラボレータとして招待された人を指します。アカウント内の特定の情報にのみアクセスする必要のある見込み客、クライアント、パートナーは、外部ユーザーとして招待する必要があります。業務またはパートナーシップの性質が変化した場合は、いつでも外部ユーザーを管理対象ユーザーとして招待できます。

管理者向け、管理対象ユーザーと外部ユーザーの比較表:

管理対象ユーザー	外部ユーザー
チームメンバー	業者
長期契約者	顧客やクライアント
同僚	専門家またはコンサルタント
Boxアカウントのセキュリティポリシーを遵守する必要のあるユーザー	短期パートナー
長期パートナー	入札者

管理対象ユーザーの追加

管理者は、管理対象ユーザーの追加、編集、削除、セキュリティ設定の適用やアクティビティレポートの実行が可能です。これらのユーザーが自分のフォルダにアップロードしたファイルは、ストレージ割り当ての合計のカウント対象になります。

管理対象ユーザーを追加するには、以下の手順に従います。

[管理コンソール]をクリックします。
左側のナビゲーションで、[ユーザーとグループ]をクリックします。
上部にある[管理対象ユーザー]タブの内容が表示されていることを確認します。表示されていない場合はタブをクリックします。
[+ユーザー]をクリックします。

bestpractices - 1

[新規ユーザーアカウントの詳細]セクションが表示されます。ユーザー名、メールアドレス、ストレージ割り当て、言語を入力します。
[アクセス権限]セクションで、ユーザーのアカウントと所有するフォルダをあらかじめ指定し、ユーザーをグループに追加して、アカウント内の他の機能へのアクセス権限を設定できます(Box Syncの有効化/無効化や、外部コラボレーションの制限など)。
[ユーザーを追加]をクリックします。これで、新しい管理対象ユーザーが追加されます。

この手順を完了すると、新たに追加されたユーザーに確認用のリンクが記載されたメールが送信されます。ユーザーはこのリンクからパスワードを作成してアカウントにログインできます。

注

[共有連絡先]をオンにすると、このユーザーの[連絡先とコラボレータ]タブに他のすべての管理対象ユーザーが表示されます。このボックスをオフにすると、直接コラボレーションしているユーザーのみが表示され、自分の[連絡先]リストを手動で入力する必要があります。
[グループ]セクションで、作成したグループにユーザーを割り当てることができます。

管理対象ユーザーへのロールの割り当て

管理対象ユーザーが持つ権限はそれぞれ異なります。このセクションでは、アカウントでユーザーが果たすことができるさまざまなロールと、[ユーザーとグループ]メニューでこれらのロールを割り当てるときに考慮すべき事項を説明します。

管理者: Boxアカウントの最上位権限を持ち、以下の操作を実行できます。

任意のユーザーのアカウントにログインする(Enterpriseのみ)
共有、アプリケーション、通知、セキュリティなど、アカウント全体の設定を構成する
アカウントのアクティビティを監視するレポートを実行する
セキュリティ設定の変更を監査するレポートを実行する(Enterpriseのみ)

理想的な管理者候補となるのは、あなたか、Boxアカウントおよびその管理に対して完全な制御権を必要とする人物です。

ヒント
特にユーザー数が多い場合は、管理者の責任を別の担当者と分担するとよいでしょう。

管理者を変更するには、以下の手順に従います。

アカウントの[管理コンソール]を開き、左側のナビゲーションで[ユーザーとグループ]をクリックします。
ユーザーのリストから自分のアカウントを見つけ、名前をクリックします。
[ユーザーアクセス権限を編集]セクションで、[アカウント管理者の変更]をクリックします。

共同管理者: 管理者と同じ操作を実行できますが、管理者の権限を変更することはできません。共同管理者のデフォルト設定では、ほぼすべての管理者ツールと機能を使用できます。ただし、共同管理者には以下の制約が適用されます。

支払い情報にアクセスできない
管理者(または他の共同管理者)のアカウントにログインできない
サイレントモードツールにアクセスできない
主要管理者の設定を編集できず、また主要管理者のパスワードをリセットできない
フォルダにコラボレータを招待できない([Enterprise設定]で[招待を制限]が選択されている場合)

主要管理者は、必要に応じて、共同管理者ごとに特定の共同管理者機能をオフにすることができます。これにより、管理チーム内の各担当者に合わせてロールをカスタマイズできます。

共同管理者に対して、以下の機能を選択できます。

ユーザーの管理: 新規ユーザーを追加、または既存のユーザー情報およびアクセスレベルを編集する
グループの管理: 新規グループを追加、グループマネージャーを割り当てる、または既存のグループを編集する
管理対象ユーザーのファイルとフォルダの表示: すべてのユーザーのコンテンツにアクセスする(読み取り専用アクセス)
管理対象ユーザーのファイルとフォルダの編集: 任意のユーザーのコンテンツを修正する
インスタントログイン: 管理対象ユーザーのアカウントへのログイン
エンタープライズ設定を照会: 組織の設定に読み取り専用アクセスする
エンタープライズ設定の編集: 組織の設定を修正する
レポートの実行と照会: 既存のレポートにアクセス、および新規レポートを作成する
[会社のポリシー設定を表示できます]: 組織の既存ポリシーへの読み取り専用アクセス
[会社のポリシーを作成、編集、削除できます]: 組織のポリシーを作成、追加、または変更
[会社の自動化設定を表示できます]: 組織の既存の自動化プロセスへの読み取り専用アクセス
[会社の自動化を作成、編集、削除できます]: 組織の自動化プロセスを作成、追加、または変更
会社のメタデータテンプレートの作成および編集: 組織全体で使用するメタデータテンプレートの作成および変更

理想的な共同管理者の候補: アカウントを管理する時間があり、セキュリティ許可を持つIT専門家またはパートナー

注
共同管理者と管理権限を持たないユーザーは、アカウント内のすべてのフォルダとコンテンツを表示することはできません。表示するには、ユーザーのアカウントにEnterprise管理者としてログインする必要があります。

グループ管理者: 一部のユーザーのみ管理する必要がある人がチームに存在する場合、このロールを割り当ててください。グループ管理者は、以下を実行できます。

自分の特定グループから、使用状況、ファイル、およびユーザー統計に関するレポートを取得する
特定グループのアカウントに管理対象ユーザーを追加する
特定グループ内のメンバーおよびフォルダ権限を管理する

通常ユーザー: 上記のいずれの権限も持ちませんが、アカウント全体の設定に応じて、明示的に許可された操作を実行する権限があります。通常のユーザーは、デフォルトではフォルダにコラボレータとグループを招待できます。ただし、フォルダ所有者と管理者のみがコラボレータに共有フォルダへの招待を送信できるようアカウント権限を設定することもできます。個人グループの権限についても、管理コンソールの[グループ]タブで変更できます。

管理対象ユーザーリストの並べ替えとフィルタリング

管理対象ユーザーリストの並べ替えやフィルタリングを行うには、以下の手順に従います。

[管理対象ユーザー]ウィンドウの右上にある上下矢印のアイコンをクリックします。フィルタメニューが表示されます。
フィルタメニューで、[並べ替え]カテゴリ、[フィルタ条件]カテゴリ、または[ロール]カテゴリを選択できます。

これらのカテゴリのいずれかを選択すると、選択した条件に基づいて、管理対象ユーザーリストのフィルタリングまたは並べ替えが行われます。

[並べ替え]

次のいずれかの基準を選択して、管理対象ユーザーリストを並べ替えることができます。

[ログイン]
[名前]
[追加日]
[使用済みスペース]
[最終ログイン]

[フィルタ条件]

次のいずれかを選択して、管理対象ユーザーリストにフィルタを適用できます。

[すべてのグループ]、または
[デバイス上限を免除]。

[ロール]

次のいずれかを選択して、ロールを基準にフィルタを適用できます。

[すべてのロール]
[管理者と非管理者]
[管理者] — メイン管理者、共同管理者、グループ管理者を含みます
[管理者以外]
[アプリユーザー]

ロールを基準に管理対象ユーザーをフィルタリングする場合、デフォルトでは[管理者と非管理者]が選択されます。他のロールを選択してフィルタリングするには、該当するロールを選択する必要があります。

ユーザーのアクセス権限

Box内で、ユーザーはどのコンテンツにアクセスできるのでしょうか? 簡単に言えば、アクセス権限のあるすべてのコンテンツです。

ユーザーにすべてのコンテンツに対するアクセス権限を与えない限り、ユーザーは、Boxアカウントのフォルダ構造全体を見ることはできません。ルートとサブフォルダレベルでユーザーにアクセス権限を与えるか、またはBox内の特定フォルダに対してのみユーザーを招待することができます。また共有フォルダに、他のユーザーや特定のグループを招待できるユーザーを制限することもできます。さらに、個々のフォルダに対してユーザーが持つ権限をいつでも設定できます。

ユーザーは、招待されていないフォルダにはアクセスできません。また、アクセス権限がサブフォルダレベルで付与されている場合、アクセス権限を与えられたフォルダよりも上位にあるフォルダにアクセスすることもできません。

クイックヒント

外部ユーザーのアカウントは削除できませんが、コンテンツに対する外部ユーザーのアクセス権限は設定できます。また、外部ユーザーを自分のネットワークから削除したり、再度、管理対象ユーザーとして招待することもできます。

フォルダコラボレータのデフォルトのアクセスレベルは編集者であり、これは大部分の管理対象ユーザーのロールとして適しています。編集者は、ファイルをアップロード、ダウンロード、プレビュー、共有、編集、および削除できますが、フォルダのセキュリティ設定に対してのアクセス権限はありません。このアクセスレベルでは、フォルダ内での作業が可能であり、またその中にサブフォルダを作成することができます。

その他のアクセスレベルは、必要に応じてユーザーの権限を細かく調整できるため、外部ユーザーを招待するときに役立ちます。例えば、アップローダーロールは、ユーザーに対してコンテンツのアップロードのみを許可します。

例えば、仮想ディールルームを作成している場合、ディールルームフォルダ内のコラボレータにはビューアーロールを割り当てるのが適切です。

次の表に、各種のロールとその権限を示します。

サブフォルダには、ウォーターフォール権限モデルを通じて、親フォルダの権限が継承されます。つまり、所有者からアップローダーまで、すべての権限が、フォルダのサブフォルダに「ウォーターフォール」方式で継承されます。これは、ルートフォルダかサブフォルダかに関係なく、特定のレベルでアクセス権を付与されたユーザーは、そのフォルダ内のすべてのファイルだけでなく、その下のすべてのサブフォルダに対して同じアクセス権を持つことを意味しています。これにより、ルートフォルダの所有者は、所有者が下位レベルコンテンツを作成したかどうかに関係なく、下位のすべてのサブフォルダとコンテンツも所有することが保証されます。

重要
フォルダにコラボレータを招待するときには、そのコラボレータが見る必要のないコンテンツに対してアクセス権限を付与することを防止するため、できるだけ下位のフォルダレベルで招待してください。

ユーザーの削除

ユーザーが退職した場合や、コンテンツにアクセスする必要がなくなった場合、管理対象ユーザーを削除する必要がある場合があります (ユーザーの退職時の処理については、従業員の退職処理のベストプラクティスガイドを参照してください)。

Box内にファイルを所有していないユーザーを削除する場合は、単にそのユーザープロフィールを開いて、[ユーザーアカウント情報を編集]セクションを表示してから、[このユーザーを削除]をクリックします。ダイアログボックスが開き、確認を求められます。

従業員が退職し、Box内にコンテンツを所有している場合には、ダイアログボックスで[他のユーザーにコンテンツを転送]オプションをクリックして、別のユーザーを指定します。

注
ユーザーのごみ箱にあるコンテンツは転送されません。

自分がEnterprise管理者の場合は、退職した従業員のアカウントにログインし、さらに詳細にコンテンツを再割り当てすることもできます。その場合、フォルダを開いて、コラボレータの1人をフォルダ所有者に昇格させることにより、任意のフォルダを別のユーザーに再割り当てします。

クイックヒント

短期的な回避策としては、ユーザーをBoxからロックアウトし、そのコンテンツを凍結して、そのユーザープロフィールの[ユーザーアクセス権限を編集]セクションで非アクティブに設定することもできます。

ただし、すでにユーザーを非アクティブにしている場合、ユーザーと同じ画面が表示されますが、これはそのアカウントが非アクティブであることを示しています。その時点で、ユーザーのコンテンツにアクセスするには、コンテンツマネージャを使用してください。

管理対象ユーザーのレポート

管理対象ユーザーのレポートには、Box内のすべての管理対象ユーザーのユーザーアカウントの詳細、権限、およびグループの概要が表示されます。

管理対象ユーザーのレポートをエクスポートする方法:

[管理コンソール]で、[ユーザーとグループ]をクリックします。
[管理対象ユーザー]タブの[ユーザーのエクスポート]をクリックします。
レポートはExcelファイルとしてBoxフォルダにエクスポートされます。完了すると、メッセージが表示されます。
レポートを表示するには、[フォルダへ移動]をクリックします。

管理対象ユーザーのレポートに含まれる情報

名前	管理対象ユーザーの名前
メール	管理対象ユーザーのプライマリメールアドレス
予備のメールアドレス	管理対象ユーザーの予備のメールアドレスの一覧
グループ	管理対象ユーザーが属するグループの一覧
ストレージ	管理対象ユーザーのストレージの割り当て
外部コラボレーションを制限	有効または無効
ステータス	管理対象ユーザーのBoxアカウントのステータス。表示される値は次のとおりです。アクティブ非アクティブ削除と編集ができない削除、編集、アップロードができない
使用済みストレージ	管理対象ユーザーのアカウントで使用されているストレージ
前回のパスワード変更	管理対象ユーザーが最後に自分のパスワードを変更した日付
ストレージポリシー	管理対象ユーザーのデータレジデンシーゾーン
最終ログイン	管理対象ユーザーが最後にログインし、ウェブアプリケーション、Sync、Drive、またはモバイルアプリケーションで新しいセッションを開始した日付。最終ログインは、[ユーザーアクティビティ]レポートに表示される最新のユーザーアクティビティを示すものではありません。
ロール	社内におけるこの管理対象ユーザーのロール。管理対象ユーザーは、管理者、共同管理者、またはメンバーになることができます。
管理対象ユーザーの権限	共有連絡先や外部コラボレーション制限など、この管理対象ユーザーに割り当てられたアクセス権限のリスト。これらの設定は、[ユーザーアクセス権限を編集]セクションでユーザーの詳細を表示したときに変更できます。
共同管理者の権限	ユーザー管理やグループ管理など、共同管理者に割り当てられたアクセス権限のリスト。これらの設定は、[ユーザーアクセス権限を編集]セクションで共同管理者の詳細を表示したときに変更できます。