Google 管理コンソールから Chrome ポリシーを設定する管理者を対象としています。
Chrome Enterprise の管理者は、組織で 2 段階認証プロセス(2-SV)または多要素認証(MFA)を実装し、ユーザーによる ChromeOS デバイスへの定期的なログインを必須にできます。
これにより、ユーザーは定期的に 2 段階またはそれ以上の段階を踏む方法でアカウントにログインする必要が生じ、組織に追加のセキュリティが提供されます。
認証要素とは
認証要素とは、セキュリティ上の目的でユーザーの ID を認証するために用いられる一種の情報でありプロセスです。
認証要素は、3 つのグループに分類されます。
- パスワードや個人識別番号(PIN)など、自分が知っている情報
- セキュリティ キーやスマートフォンなど、自分が所有するもの
- 指紋や顔認証など、自分の一部(生体認証)
ユーザーが 2-SV または MFA を使用してログインする際、要求される認証方法をすべて完了しないとアクセスは許可されません。
認証の例として、次のようなものがあります。
- ユーザーがアカウントを ChromeOS デバイスに追加する際に 2-SV を使用する
- ユーザーがユーザー アカウントにログインする際に 2-SV を使用する
- ユーザーが ChromeOS デバイスのロックを解除する際に 2-SV を使用する
- ChromeOS デバイスでロック画面を解除する際にユーザーが指紋または PIN を使ってパスワードレス認証を使用する
組織で 2-SV または MFA を使う理由と状況について詳しくは、2 段階認証プロセスでビジネスを保護するをご確認ください。
始める前に
- Chrome をすでに導入している場合は、指定された日に管理対象の Google アカウントにログインする必要があることを事前にユーザーに通知します。
ステップ 1: ポリシーを選択する
SAML シングル サインオン(SSO)を使用せずに ChromeOS デバイスにログインするユーザーに対しては、次のポリシーを使用できます。
SAML シングル サインオン(SSO)を使用して ChromeOS デバイスにログインするユーザーに対しては、次のポリシーを使用できます。
ステップ 2: ポリシーを確認する
以下のポリシーを必要に応じて組み合わせて設定できます。
ポリシー | 説明と設定 |
---|---|
GaiaOfflineSigninTimeLimitDays |
SAML シングル サインオン(SSO)を使用せずに ChromeOS デバイスにログインするユーザーに対して、ログイン画面でのオンライン ログインを強制する頻度を設定します。 値を日数で入力します。
この値を空白のままにした場合、ユーザーが定期的にオンライン ログインを使用する必要はありません。 |
GaiaLockScreenOfflineSigninTimeLimitDays |
SAML シングル サインオン(SSO)を使用せずに ChromeOS デバイスにログインするユーザーに対して、ロック画面でのオンライン ログインを強制する頻度を設定します。 値を日数で入力します。
この値を空白のままにした場合、ユーザーが定期的にオンライン ログインを使用してロック画面のロックを解除する必要はありません。 |
SAMLOfflineSigninTimeLimit |
SAML ベースのシングル サインオン(SSO)を使用するユーザーに対して、ログイン画面でのオンライン ログインフローを強制する頻度を設定します。 ログインの頻度のオプションを選択します。 [なし] を選択した場合、ユーザーがオンライン ログインを使用する必要はありません。 |
SamlLockScreenOfflineSigninTimeLimitDays |
SAML を使用するユーザーに対して、ロック画面でのオンライン ログインを強制する頻度を設定します。 値を日数で入力します。
この値を空白のままにした場合、ユーザーが定期的にオンライン ログインを使用してロック画面のロックを解除する必要はありません。 |
手順 3: ポリシーを設定する
以下をクリックし、ポリシーの運用方法に基づいて手順を確認してください。
この設定は、任意のデバイスのログイン ユーザーに対して適用できます。詳しくは、設定が適用されるタイミングを理解するをご覧ください。
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] に移動します。デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン [Chrome ブラウザ] [設定] に移動します。
-
全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
-
[セキュリティ] に移動します。
-
SAML シングル サインオン(SSO)を使用しないユーザーに対しては、次のように設定します。
-
[Google のオンライン ログインの頻度] をクリックして、値を日数で入力し、[保存] をクリックします。
-
0 - 常にオンライン ログインを使用する必要があります。
-
1~365 - 指定した期間が経過した後、ユーザーはセッションの開始時にオンライン ログインを使用する必要があります。
-
-
[Google のオンライン ロック解除の頻度] をクリックして、値を日数で入力し、[保存] をクリックします。
-
0 - ユーザーはロック画面で常にオンライン ログインを使用する必要があります。
-
1~365 - 指定した期間が経過した後、ユーザーはロック画面のロックを解除する際にオンライン ログインを使用する必要があります。
-
-
-
SAML シングル サインオン(SSO)を使用するユーザーに対しては、次のように設定します。
-
[SAML シングル サインオンによるログインの頻度] をクリックして、オンライン ログインを強制する期間を設定し、[保存] をクリックします。
-
[SAML シングル サインオンのロック解除の間隔] をクリックして、値を日数で入力し、[保存] をクリックします。
-
0 - ユーザーはロック画面で常にオンライン ログインを使用する必要があります。
-
1~365 - 指定した期間が経過した後、ユーザーはロック画面のロックを解除する際にオンライン ログインを使用する必要があります。
-
-
ステップ 4: ポリシーが適用されていることを確認する
Chrome ポリシーの適用後、設定を有効にするためには Chrome ブラウザを再起動する必要があります。管理者は、ユーザーのデバイスにポリシーが正しく適用されたかどうかを確認できます。
- 管理対象の Chrome デバイスで、chrome://policy にアクセスします。
- [ポリシーを再読み込み] をクリックします。
- [値が設定されていないポリシーを表示する] チェックボックスをオンにします。
- [GaiaOfflineSigninTimeLimitDays]、[GaiaLockScreenOfflineSigninTimeLimitDays]、[SAMLOfflineSigninTimeLimit]、[SamlLockScreenOfflineSigninTimeLimitDays] の [ステータス] が [OK] になっていることを確認します。
- すべてのポリシーで [値を表示] をクリックし、項目の値がポリシーで設定した値と同じであることを確認します。