Windows、Mac、Linux のパソコンを Chrome ブラウザ クラウド管理に登録する管理者向けです。
Chrome ブラウザ バージョン 95 以降
ユーザーが管理対象外のデバイスで管理対象の Google アカウントを使用して Chrome ブラウザにログインする際に、Chrome Enterprise の管理者はユーザーに別のプロファイルを作成するよう要求できます。複数の Chrome プロファイルを作成しておくと、管理対象アカウントとその他の Google アカウント(個人アカウントやテスト アカウントなど)をログアウトせずに切り替えることができます。異なるプロファイル間でデータやコンテンツが共有されることはありません。
Google 管理コンソールにあるユーザーレベルの Chrome ポリシーと設定は、管理対象プロファイルのみに適用され、その他のプロファイルには適用されません。管理対象プロファイルを管理、モニタリングすることで、次のようなことができます。
- 組織に Chrome 拡張機能をインストールする
- 未承認の特定の拡張機能のインストールをブロックする
- 管理対象プロファイルにインストールされている拡張機能を把握する
- 組織を離れたユーザーなどの管理対象プロファイルを削除する
- 管理対象プロファイル内にある特定のブラウザ設定を自動適用する
- Chrome Enterprise Premium を使用して、安全なブラウザ セッションから企業データへのアクセスを可能にする
注: ユーザーが個人のデバイスで新しい管理対象プロファイルを作成すると、ユーザーが管理対象となることに同意したことになります。
セキュリティ上の考慮事項
ユーザーは引き続き Chrome 以外のブラウザを使用して、管理対象の Google アカウントにログインできます。Chrome Enterprise Premium を使用すると、企業のリソースにアクセスできるユーザーを、脅威対策とデータ保護の機能が有効になっている管理対象の Chrome プロファイルのみに制限できます。詳しくは、Chrome Enterprise Premium で Chrome ユーザーを保護するをご覧ください。
ステップ 1: ポリシーを確認する
| ポリシー | 説明 |
|---|---|
|
ユーザーが現在使用しているアカウントとは異なる Google アカウントにログインしたときに、Chrome ブラウザでプロファイルの作成画面またはプロファイルの切り替え画面を表示するかどうかを制御します。 未設定の場合: ユーザーに別のプロファイルの作成を求める画面は表示されません。 |
|
|
SigninInterceptionEnabled と一緒に使用すると、ユーザーが管理対象外のデバイスで管理対象の Google アカウントにログインするときに、別のプロファイルを作成するよう要求できます。 一部のユーザーが現在ログインしているプロファイルとは異なるプロファイルでログインすると、Chrome ブラウザをゲストモードで開くよう促すリンクがユーザーに表示されます。 未設定の場合: ユーザーは管理対象の Google アカウントを使用できます。別のプロファイルを作成する必要はありません。 |
ステップ 2: ポリシーを設定する
管理コンソール任意のデバイスのログイン ユーザー、または Windows、Mac、Linux 上の登録済みブラウザに対して適用できます。詳しくは、設定が適用されるタイミングを理解するをご覧ください。
-
-
管理コンソールで、メニュー アイコン
[デバイス]
[Chrome]
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン
[Chrome ブラウザ]
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [ログイン設定] に移動します。
- [ログイン インターセプト] をクリックします。
- [ログイン インターセプトを有効にする] を選択します。
- [保存] をクリックします。
- [管理対象の Google Identity 用の別のプロファイル] をクリックして、ユーザーが管理対象アカウント用に別のプロファイルを作成することを必須にします。オプションを選択して [保存] をクリックします。
- 別のプロファイルを適用する - 管理対象アカウントがメインのアカウントになります。このプロファイルには予備のアカウントが存在することがあります。
- 別のプロファイルを適用し、予備の管理対象アカウントは禁止する - 管理対象アカウントがメインのアカウントになります。このプロファイルには予備のアカウントはありません。
- [ログイン インターセプト] をクリックします。
Chrome ブラウザで管理対象のアカウントにログインしている Windows ユーザーを対象としています。
グループ ポリシーを使用する
Microsoft Windows のグループ ポリシー エディタ([コンピュータの構成] または [ユーザーの構成] フォルダ)で、次の操作を行います。
- [ポリシー]
- [ログイン インターセプトを有効にする] を見つけて有効にします。
ヒント: このポリシーが表示されない場合は、最新のポリシー テンプレートをダウンロードしてください。 - [管理対象アカウントに制限を追加する] で、次のいずれかを選択します。
- primary_account
- primary_account_strict
このポリシーを未設定のままにした場合は、上記の未設定の場合の動作が適用されます。
- 更新をユーザーに展開します。
Chrome の設定プロファイルで次のキーを追加するか、すでに存在する場合は更新し、変更をユーザーに展開します。
- SigninInterceptionEnabled キーを true に設定します。
- ManagedAccountsSigninRestriction キーを primary_account または primary_account_strict に設定します。
任意の JSON ファイル エディタを使用して次の操作を行います。
- /etc/opt/chrome/policies/managed フォルダに移動します。
- JSON ファイルを作成するか、すでに存在する場合は更新します。
- 次の設定を適用します。
- SigninInterceptionEnabled を 1 に設定します。
- ManagedAccountsSigninRestriction を primary_account または primary_account_strict に設定します。
- 222larabrown@gmail.com - 個人の Google アカウント
- lara@examplepetstore.com - 管理対象の Google アカウント
- lara@altostrat.com - 管理対象の別の Google アカウント
例 1
事例
管理コンソールで次のように設定します。
- ログイン インターセプト - ログイン インターセプトを有効にする
- 管理対象の Google Identity 用の別のプロファイル - 別のプロファイルの使用を強制する
結果
- ユーザーが個人の Google アカウント 222larabrown@gmail.com を使用して Chrome ブラウザにログインします。ユーザーが管理対象の Google アカウント lara@examplepetstore.com を使用してウェブサイトにログインしようとすると、lara@examplepetstore.com 用の別のプロファイルを作成するように求められ、分離が強制的に適用されます。
- ユーザーが管理対象の Google アカウント lara@examplepetstore.com を使用して Chrome ブラウザにログインします。ユーザーが個人の Google アカウント 222larabrown@gmail.com や管理対象の別の Google アカウント lara@altostrat.com を使用してウェブサイトにログインしようとすると、コンテンツ エリアやウェブサイトにはログインできますが、ブラウザにはログインできません。ユーザーは別のプロファイルを作成するように求められますが、分離が強制的に適用されることはありません。
例 2
事例
管理コンソールで次のように設定します。
- ログイン インターセプト - ログイン インターセプトを有効にする
- 管理対象の Google Identity 用の別のプロファイル - 別のプロファイルの使用を強制され、予備の管理対象アカウントは禁止する
結果
- ユーザーが個人の Google アカウント 222larabrown@gmail.com を使用して Chrome ブラウザにログインします。ユーザーが Gmail で管理対象の Google アカウント lara@examplepetstore.com に切り替えようとすると、lara@examplepetstore.com 用の別のプロファイルを作成するように求められ、分離が強制的に適用されます。
- ユーザーが管理対象の Google アカウント lara@examplepetstore.com を使用して Chrome ブラウザにログインします。ユーザーが Gmail で個人の Google アカウント 222larabrown@gmail.com に切り替えようとすると、新しいプロファイルを作成せずにアカウントを切り替えることができます。ユーザーは別のプロファイルを作成するように求められることがありますが、分離が強制的に適用されることはありません。
- ユーザーが管理対象の Google アカウント lara@examplepetstore.com を使用して Chrome ブラウザにログインします。ユーザーが Gmail で管理対象の別の Google アカウント lara@altostrat.com に切り替えようとすると、lara@altostrat.com 用の別のプロファイルを作成するように求められ、分離が強制的に適用されます。altostrat.com ドメインでポリシーが設定されている場合でも同様です。このようにすることで、ユーザーが複数の組織の管理対象 Google アカウントを使用している場合でも、ユーザーのデータやコンテンツがプロファイル間で共有されることはありません。
ステップ 3: ポリシーが適用されていることを確認する
Chrome ポリシーを適用した後、その設定を有効にするためにユーザーは Chrome を再起動する必要があります。管理者は、ユーザーのデバイスにポリシーが正しく適用されたことを確認できます。
- ユーザーのデバイスで chrome://policy にアクセスします。
- [ポリシーを再読み込み] をクリックします。
- [値が設定されていないポリシーを表示する] チェックボックスをオンにします。
- 設定したポリシーについて、次の項目の [ステータス] が [OK] に設定されていることを確認します。
- ManagedAccountsSigninRestriction
- SigninInterceptionEnabled
- 設定したポリシーについて、ポリシーの値が設定した値と一致していることを確認します。
- ManagedAccountsSigninRestriction - none、primary_account、または primary_account_strict
- SigninInterceptionEnabled - true または false
ユーザーのデバイスで Chrome プロファイルがどのように管理されているかを確認するには、chrome://management にアクセスしてください。
既知の問題
Chrome ブラウザ 98 以前のデバイスで同期を有効にしているユーザーは、新しいプロファイルを作成する際に Chrome のデータをアカウントにリンクするように求められます。続行するには、[新しいプロファイルを作成] をクリックする必要があります。