ネットワークを管理する

従来の G Suite(無償版)をご利用の場合、この機能をご利用いただくには G Suite Basic にアップグレードしていただく必要があります。

注: この記事では、モバイル デバイス、Chromebook、Chromebox for meeting デバイス用にネットワークを設定する方法について説明します。

Google 管理コンソールでは、ドメインに登録した管理対象デバイスの Wi-Fi、イーサネット、バーチャル プライベート ネットワーク(VPN)アクセス、ネットワーク証明書を設定できます。ネットワーク設定を追加する際は、組織全体に同じネットワーク設定を適用することも、それぞれの組織部門に特定のネットワーク設定を適用することもできます。

ユーザーに基づくネットワーク設定を行った場合、その設定は特定の組織部門のすべてのユーザーのモバイル デバイスと Chromebook に適用されます。また、デバイスに基づくネットワーク設定を行うことで、Chromebook や Chromebox for meeting デバイス自体に直接設定を適用することもできます

すべて開く   |   すべて閉じる

始める前に

  • 組織内の Chromebook で静的 IP アドレスを使用する必要がある場合は、DHCP サーバーで IP アドレス予約を使用できます。ただし、DHCP には認証機能がないため、ネットワーク上の Chrome デバイスの ID を追跡するには、別の認証メカニズムを使用してください。
  • ネットワークを設定するときにパスワード欄を空欄のままにした場合、ユーザーがデバイスにパスワードを設定できます。管理者がパスワードを設定した場合は、そのパスワードがデバイスに適用され、ユーザーはパスワードを編集できません。

ネットワークを設定する

VPN 設定を追加する

管理対象の Chromebook と、Chrome OS を搭載するその他の端末が対象です。

ご利用の VPN により異なります。

サードパーティの VPN アプリ - Chrome ウェブストアからアプリをダウンロードします。サードパーティの VPN アプリは、他の Chrome アプリと同様にインストールして設定することができます。詳しくは、1 つのアプリに Chrome ポリシーを設定するをご覧ください。

内蔵の VPN - Chrome OS でネイティブにサポートされている VPN(Open VPN、L2TP over IPSec)のいずれかを使用する場合は、VPN 設定を追加します。手順は次のとおりです。

手順 1. VPN の全般情報を設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス管理] にアクセスします。左側にある [ネットワーク] をクリックします。

    共有デバイス設定の管理者権限が必要です。

  3. [VPN] をクリックします。
  4. 左側の一覧から該当する組織を選択します。
  5. 画面下部にある [VPN の追加] をクリックします。
  6. VPN の名前を入力します。
  7. [リモートホスト] ボックスに、VPN へのアクセスを提供するサーバーの IP アドレスか、完全なサーバーホスト名を入力します。
  8. (省略可)この VPN にデバイスを自動的に接続する場合は、[自動的に接続する] チェックボックスをオンにします。

手順 2. VPN 設定を行う

  1. VPN の種類を選択します。
    管理コンソールからプッシュできる OpenVPN 設定には制限があります。たとえば、TLS 認証を行う OpenVPN ネットワークの設定はプッシュできません。
  2. 以下の設定を行います。
    • [事前共有キーによる L2TP over IPsec] を指定した場合:
      1. VPN 接続に必要な事前共有キーを入力します。
        設定を保存すると、この値は非表示になります。
      2. VPN に接続するためのユーザー名を入力します。
        ユーザー名変数を使用できます。
      3. (省略可)パスワードを入力します。
        ユーザー名変数を使用する場合はパスワードを入力しないでください。設定を保存すると、この値は非表示になります。
    • [OpenVPN] を指定した場合:
      1. (省略可)リモートホストへの接続に使用するポートを入力します。
      2. VPN トラフィックに使用するプロトコルを選択します。
      3. ネットワーク接続で提供された証明書の認証時に許可する認証局を選択します。
        アップロード済みの証明書から選択します。
      4. サーバーがクライアント証明書を必要とする場合は、[クライアントの登録 URL を使用する] チェックボックスをオンにします。
        オンにした場合、[発行元のパターン] や [件名のパターン] に値を 1 つ以上入力します。
        • 指定したそれぞれの値が証明書の対応する値と正確に一致しなければ、証明書は使用されません。
        • サーバーから証明書を提供する際に、HTML5 の keygen タグを付ける必要があります。
      5. OpenVPN ユーザー名を入力します(ユーザー名変数を使用できます)。
        ログイン時にユーザー個人の認証情報を要求する場合は空欄にします。
      6. OpenVPN パスワードを入力します。
        ログイン時にユーザー個人の認証情報を要求する場合は空欄にします。
  3. VPN のプロキシ設定を指定します。

手順 3. VPN アクセス権を付与する

  1. (省略可)特定のデバイスへのアクセスを制限する場合は、該当するデバイスの横のチェックボックスをオフにします。
  2. [追加次に [変更を保存] をクリックします。
Wi-Fi またはイーサネット ネットワーク設定を追加する
イーサネット ネットワーク アクセスの設定は Chrome デバイスに対してのみ行うことができます。イーサネット設定は、Wi-Fi 設定の一部として設定できます。ドメイン内の最上位の組織でワイヤレス ネットワークを 1 つ以上設定し、[自動的に接続する] を選択することをおすすめします。この設定を行うことで、デバイスのログイン画面から、設定済みの Wi-Fi ネットワークにアクセスできるようになります。

モバイル管理に登録している管理対象デバイスには、設定済みの Wi-Fi ネットワークを自動的に追加することができます。ネットワークの管理設定は、すべての種類の G Suite のお客様にご利用いただけます。ユーザーは、Android 2.2 以降のデバイスに Google Apps Device Policy をインストールする必要があります。追加の 802.1x Wi-Fi ネットワークは Android 4.3 以降のデバイスでのみサポートされています。管理対象の iOS デバイスの場合、PEAP(Protected Extensible Authentication Protocol)、LEAP(Lightweight Extensible Authentication Protocol)、TLS(Transport Layer Security)、TTLS(Tunneled Transport Layer Security)の拡張認証プロトコル(EAP)がサポートされています。

注: モバイル デバイスには、常にそのユーザーの Wi-Fi ネットワーク設定が継承されます。したがって、モバイル デバイスのネットワーク設定には、ユーザーに基づく設定のみを適用できます。

ネットワークの全般情報を設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス管理] にアクセスします。左側にある [ネットワーク] をクリックします。

    共有デバイス設定の管理者権限が必要です。

  3. [Wi-Fi] をクリックします。
  4. 左側の一覧から該当する組織を選択します。
  5. 画面下部にある [Wi-Fi を追加] をクリックします。
  6. Wi-Fi ネットワークに付ける名前を入力します。
    この名前は参照用なので、ネットワークのサービスセット識別子(SSID)と同じでなくてもかまいません。
  7. Wi-Fi ネットワークの SSID を入力します。
    SSID では大文字と小文字が区別されます。
  8. (省略可)SSID がブロードキャストされないネットワークの場合は、[SSID はブロードキャストされない] チェックボックスをオンにします。
  9. (省略可)このネットワークが利用可能なときにデバイスを自動的に接続するように設定する場合は、[自動的に接続する] チェックボックスをオンにします。

セキュリティ設定を作成する

  1. ネットワークで使用するセキュリティの種類を選択します。
    注: Dynamic WEP(802.1x)は Chrome デバイスでのみサポートされています。
  2. (省略可)[WEP(安全でない)] または [WPA / WPA2] を選択した場合は、ネットワークのセキュリティ パスフレーズを入力します。
  3. (省略可)[WPA / WPA2 Enterprise(802.1X)] や [Dynamic WEP(802.1x)] を選択した場合は、次の項目を指定します。

    注: G Suite for Education で使う Android タブレットでは、生徒のタブレットの登録時に WPA / WPA2 Enterprise(802.1x)を指定することはできないため、登録後に手動で設定してください。

    1. ネットワークで使用する EAP を選択します。
    2. (省略可)「EAP-TTLS」または「PEAP」を選択した場合は、使用する内部プロトコルを指定します。
      通常は [自動] に設定します。
    3. (省略可)「EAP-TTLS」または「PEAP」を選択した場合は、ネットワークの外部プロトコルに提示するユーザー ID を入力します。
      ユーザー名変数を使用できます。
    4. ネットワーク管理に使用するユーザー名を入力します。
      ユーザー名変数を使用できます。
    5. (省略可)ユーザー名に対応するパスワードを入力します。
      [EAP-TLS] を選択した場合、パスワードは不要です。設定を保存すると、この値は非表示になります。
    6. (省略可)サーバー認証局を指定します。
      「LEAP」または「EAP-PWD」を選択した場合は不要です。
    7. (省略可)EAP-TLS ネットワークの場合は、次の項目を指定します。
      • クライアントの登録 URL を入力します。
      • [発行元のパターン] や [件名のパターン] に値を 1 つ以上入力します。
        指定したそれぞれの値が証明書の対応する値と正確に一致しなければ、証明書は使用されません。サーバーから証明書を提供する際に、HTML5 の keygen タグを付ける必要があります。
  4. ネットワークのプロキシ設定を指定します。
    1. [プロキシ設定] で次のいずれかを選択します。
      インターネットへの直接接続

      プロキシ サーバーを使用せずに、あらゆるウェブサイトに直接インターネット アクセスできます。

      注: G Suite for Education で使用される Android タブレットでは、[インターネットへの直接接続] はサポートされていません。

      手動プロキシ設定

      定義したプロキシ サーバーの設定を指定します。サーバーのホストの IP アドレスと使用するポート番号を入力します。プロキシ サーバーを回避して(iOS デバイスのトラフィックでは不可)、一部のドメインや IP アドレスにプロキシを使用しないようにする場合は、それらのリストをカンマで区切って入力します(スペースは入れません)。ワイルドカード文字を使って設定することも可能です。たとえば、google.com を含むすべてのアドレスを追加するには、「*google.com*」と入力します。

      自動プロキシ設定 プロキシ サーバーの自動設定(.pac)ファイルを使用して、使用するプロキシ サーバーを指定します。PAC ファイルの URL を入力します。
    2. (省略可)認証済みプロキシを使用する場合は、このリストのすべてのホスト名をホワイトリストに登録する必要があります。
      注: Chrome OS では、ブラウザのトラフィック専用の認証済みプロキシがサポートされます。Chrome OS では、ユーザーが存在しないトラフィックや Android アプリや仮想マシンからのトラフィックの認証プロキシはサポートされません。

ネットワーク アクセス権を付与する

  1. (省略可)特定のデバイスへのアクセスを制限する場合は、該当するデバイスの横のチェックボックスをオフにします。
  2. [ユーザー] と [デバイス] のどちらに基づいてネットワークを適用するかを指定します。

    [ユーザー] に基づくアクセスは、モバイル デバイスと Chromebook でのみ使用できます。[デバイス] に基づくアクセスは、Chromebook と Chromebox for meeting デバイスでのみ使用できます。G Suite for Education で使用する Android タブレットでは、[ユーザー] を選択します。

  3. [追加次に [変更を保存] をクリックします。

Wi-Fi ネットワークの設定に関するその他の注意事項

  • Wi-Fi ネットワークのセットアップが終わったら、パスワードを変更する前に、必ず別のネットワークをセットアップしてください。これは、ユーザーがデバイスで Wi-Fi 設定の更新を受け取れるようにするためです。
  • 複数の Wi-Fi ネットワークを設定した場合は、各ネットワークで個別にパスワードを変更する必要があります。
  • 非表示のネットワークは、Android デバイスでの検出に時間がかかる場合があります。
ポリシーでネットワーク認証情報を設定する

Chrome デバイス、Android デバイス、Apple® iOS® デバイスでは、ポリシーで指定されたユーザー名や ID 認証情報を使って、セキュリティで保護されたネットワークに自動的に接続を試みるように設定できます。たとえば、ログインしているユーザーのユーザー名や完全なメールアドレスを使用するよう指定すると、認証時にユーザーはパスワードを入力するだけですみます。

この機能を使用するには、Chrome デバイスで Enterprise(802.1x)、WPA / WPA2 Enterprise(802.1x)、Dynamic WEP(802.1x)、VPN の設定時に、[ユーザー名] か [外部 ID] 欄で次のいずれかの変数を指定します。

Chrome OS 搭載デバイスで、802.1x の設定で ${PASSWORD} 変数が指定されている場合、ユーザーの現在のログイン パスワードが認証に使用されます。それ以外の設定では、ログイン時にパスワードの入力が必要です。

次の表の「変数」列のとおりに、変数のテキストを入力します。たとえば、「${LOGIN_ID}」と入力すると、この変数がその値である jsmith に置き換えられます。

変数 サポートされるデバイス
${LOGIN_ID}

現在のユーザーのユーザー名(例: jsmith)。

: Chrome デバイスでは、ユーザーに基づくネットワークの適用時のみ、この変数が置き換えられます。

Android
iOS
Chrome
${LOGIN_EMAIL}

現在のユーザーの完全なメールアドレス(例: jsmith@[ドメイン名].com)。

: Chrome デバイスでは、ユーザーに基づくネットワークの適用時のみ、この変数が置き換えられます。

Android
iOS
Chrome
${CERT_SAN_EMAIL}

発行元のパターンまたは件名のパターンに基づいて、このネットワークと一致したクライアント証明書の最初の rfc822Name Subject Alternate Name フィールドです。
Wi-Fi ネットワーク接続で Google 以外のログインを使う場合、${LOGIN_EMAIL} と別のメールアドレスを指定できます。

Chrome 51 以降でサポートされます。

Chrome 51 以降
${CERT_SAN_UPN}

発行元のパターンまたは件名のパターンに基づいてこのネットワークと一致したクライアント証明書の最初の Microsoft User Principal Name otherName フィールドです。

Chrome 51 以降でサポートされます。

Chrome 51 以降
${PASSWORD} 現在のユーザーのパスワード(例: password1234)。 Chrome
 

注:

  • ${CERT_SAN_EMAIL} や ${CERT_SAN_UPN} は、証明書の X509v3 Subject Alternate Name フィールドのみを読み取ります。具体的には、これらの変数では Subject Name フィールドからの読み取りを行いません。
  • 読み込むフィールドがクライアント証明書にない場合、値を読み込まず、文字列値がそのまま ID フィールドで使われます。
  • 証明書からの値の読み込みは Wi-Fi でのみ利用できます。VPN では利用できません。
  • ${PASSWORD} 変数を使用した自動接続と認証は、Chrome 68 以降のすべてのデバイスで動作します。Chrome 66 と 67 では、登録されたデバイスでのみ動作します。

ネットワークを管理する

既存の設定を変更または削除する

既存の VPN、Wi-Fi、イーサネットのネットワーク設定を変更または削除できます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス管理] にアクセスします。左側にある [ネットワーク] をクリックします。

    共有デバイス設定の管理者権限が必要です。

  3. 変更または削除する設定の種類に応じて、次のいずれかの操作を行います。
    • [Wi-Fi] をクリックします。
    • [イーサネット] をクリックします。
    • [VPN] をクリックします。
  4. 左側の一覧から該当する組織を選択します。
  5. (省略可)既存の設定を編集する場合は、次の操作を行います。
    1. 該当するネットワークの右側にある [編集] をクリックします。
    2. 変更を加え、[適用] をクリックします。
  6. (省略可)組織でローカルに適用したネットワークを元に戻す場合は、該当するネットワークの右側にある [元に戻す] をクリックします。
    • このネットワークが現在の組織に追加されている場合は、完全に削除されます。
    • ネットワークが親組織から継承され、その後に編集された場合、ローカルに適用した変更は元に戻り、親組織の変更は継承されます。
  7. (省略可)継承されたネットワークを下位組織から削除する場合は、該当するネットワークの右側にある [削除] をクリックします。
  8. [変更を保存] をクリックします。
証明書を管理する

ネットワークの設定が完了すると、X.509 PEM 形式の新しい証明書を追加したり、不要な証明書を削除したりできます。

始める前に

  • Chrome OS バージョン 61〜72 では、組織に追加された証明書は、デバイスのネットワーク設定とキオスクアプリの両方で使用できます。それより前のバージョンでは、証明書はデバイスのネットワーク設定でのみ使用できます。
  • Chrome OS バージョン 73 以降では、組織に追加された証明書は、ネットワーク設定、キオスクアプリ、デバイス上の管理対象ゲスト セッションで利用できます。
  • PEAP、TLS、TTLS を使用する一部の設定では、アクセスできるようにするためにサーバー側の証明書が必要です。
  • EAP Wi-Fi ネットワークで証明書を使用するには、パスワード、PIN、またはパターンの確認によって、デバイスをセキュリティ保護する必要があります。
  • 秘密鍵を含む証明書はアップロードしないでください。

セーフサーチ

ウェブ トラフィック上にプロキシを導入する場合、Google に送信されるすべての検索リクエストに「safe=strict」を付けるようにプロキシを設定することもできます。このパラメータを使用すると、検索設定ページの設定内容にかかわらず、すべての検索で厳格なセーフサーチができるようになります。ただし、SSL を使用する検索には適用されません。SSL 検索でコンテンツ フィルタをバイパスできないようにする方法に関する記事をご覧ください。

証明書を追加または削除する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス管理] にアクセスします。左側にある [ネットワーク] をクリックします。

    共有デバイス設定の管理者権限が必要です。

  3. [証明書] をクリックします。
  4. 左側で、証明書を追加または削除する組織部門を選択します。
    全ユーザーを対象とする場合は、最上位の組織部門を選択します。それ以外の場合は、該当する組織を選択して、その組織のユーザーに設定を適用します。初期設定では、組織の設定は親組織から継承されます。
  5. 証明書を追加するには、次の操作を行います。
    1. [証明書を追加] をクリックします。
    2. アップロードする証明書を選択し、[開く] をクリックします。
  6. 証明書を削除する場合は、[削除] または [元に戻す] を選択して [OK] をクリックします。
  7. (省略可)ブラウザがサーバーのデジタル証明書チェーン全体を検証できるようにする場合、または証明書を TLS インスペクション ウェブ フィルタのルート CA として使用する場合は、[HTTPS の認証局としてこの証明書を使用します。] チェックボックスをオンにします。

自動接続機能を使用する

Chromebook を管理対象ネットワークに自動接続する

Chromebook または Chrome OS 搭載の他のデバイスで、ネットワークに自動接続するよう設定できます。[管理対象のネットワークにのみ自動接続を許可する] チェックボックスをオンにすると、Chromebook は [デバイス管理] > [ネットワーク] > [Wi-Fi] または [デバイス管理] > [ネットワーク] > [イーサネット] で指定したネットワークにのみ自動接続できるようになります。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス管理] にアクセスします。左側にある [ネットワーク] をクリックします。

    共有デバイス設定の管理者権限が必要です。

  3. [全般設定] をクリックします。
  4. [管理対象のネットワークにのみ自動接続を許可する] チェックボックスをオンにします。
  5. [変更を保存] をクリックします。

注: この設定が有効な場合でも、手動で Chrome デバイスを管理対象外のネットワークに接続できます。

Chrome 40 以降を搭載するデバイスで EAP-TLS ネットワークに自動接続を行う方法

Chrome 40 以降を搭載する Chrome デバイスで EAP-TLS(クライアント証明書を必要とするネットワーク)に接続している場合、Chromebook では次の処理が行われます。

  • 拡張機能によってクライアント証明書がインストールされた後、EAP-TLS(クライアント証明書を必要とするネットワーク)に自動接続します。
  • 初回ログイン後(一時的ログインモードの場合も含む)、デバイス証明書と EAP-TLS ネットワークがある場合は、再び、証明書を必要とする EAP-TLS ネットワークに自動的に切り替わります。
  • 管理コンソールで、デバイス共通の管理対象ネットワーク(証明書を必要としないものも含む)が設定されている場合は、ログイン画面で、セキュリティが「最も強固」な管理対象ネットワークに自動接続します。

Chrome 40 以降を搭載するデバイスで EAP-TLS 以外のネットワークに自動接続を行う方法

EAP-TLS 以外の 802.1X ネットワークの場合、自動接続の動作は異なります。具体的には、そのネットワークに、各ユーザーに関連付けられた一意の認証情報がある場合、そのデバイスで初めてログインするときに、ユーザーは手動で 802.1X ネットワークに接続する必要があります。これは、自動接続が設定されていて、変数を使用する場合にも適用されます。最初にユーザーが手動で接続すると、ログイン認証情報がデバイスのプロファイルに保存されます。その後のログインでは、ネットワークに自動接続するようになります。

自動接続を行うネットワークを選択する方法

Chrome バージョン 72 以降に適用されます。

自動接続が有効でネットワークが複数ある場合、Chrome OS 搭載デバイスでは次の優先順位に基づいてネットワークを選択します。優先規則は以下のリストの順でデバイスに適用されます。複数のネットワークが同じ規則に準じている場合は、リストの次の規則を適用することで優先順位を決定します。

  1. テクノロジー -- Wi-Fi ネットワークよりもイーサネット ネットワークが優先されます。
  2. 管理対象 -- ユーザーやデバイスを設定した管理対象外のネットワークよりも、ポリシーを使用して設定した管理対象ネットワークが優先されます。
  3. セキュリティ レベル -- PSK で保護されたネットワークよりも、TLS で保護されたネットワークが優先されます。TLS、PSK ネットワークのどちらも利用できない場合に限り、オープン ネットワークが選択されます。
  4. プロフィール -- デバイス レベルで設定したネットワークよりも、ユーザー プロフィール レベルで設定したネットワークが優先されます。

次のステップ

Chrome デバイス用の Wi-Fi やネットワークの設定(TLS または SSL コンテンツ フィルタの設定など)について詳しくは、Chrome デバイス向けの企業ネットワークの準備をご覧ください。

ユーザー補助機能: ネットワーク管理設定には、スクリーン リーダーを使ってアクセスできます。詳しくは、Google のユーザー補助機能G Suite のユーザー補助に関する管理者向けガイドをご覧ください。問題を報告するには、Google ユーザー補助機能のフィードバック ページをご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。