Chrome 端末のポリシーを設定する

Google 管理コンソールから Chrome ポリシーを扱う管理者向けの内容です。

Chrome Enterprise 管理者は、ユーザーが管理対象の Chrome 端末(Chromebook など)を使用する場合に適用する設定を管理できます。端末を使用するすべてのユーザーに、端末レベルの設定が適用されます。ゲストとしてログインしている場合や、個人の Gmail アカウントでログインしている場合も適用対象です。

端末の設定を行う

始める前に: 特定の端末グループに対して設定を行うには、対象端末を組織部門に配置します。​

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[端末管理] にアクセスします。

    [端末管理] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 左側にある [Chrome 管理] をクリックします。
  4. [端末の設定] をクリックします。
  5. 左側で、設定を行う端末が含まれる組織を選択します。

    すべての端末の設定を行う場合は、最上位の組織を選択します。それ以外の場合は子組織を選択します。詳細 

  6. 必要な設定を行います。各設定の詳細はこちらをご覧ください。

    ヒント: 上部にある検索バーに入力すると設定が簡単に見つかります。

    組織に設定したポリシーは、下位レベルでオーバーライドされない限り、子組織の端末に継承されます。管理コンソールでは、設定が継承されているか、またはオーバーライドされているか([ローカルに適用しました] の表示)が示されています。

  7. 下部にある [保存] をクリックします。

    通常、設定は数分ほどで有効になりますが、全員に適用されるまでには 1 時間ほどかかる場合があります。

各設定の詳細

管理対象の Chromebooks と Chrome OS 搭載のその他の端末が対象です。

ただし、シングルアプリ キオスクとして登録されている端末に対しては、一部の設定を行えないことがあります。

登録とアクセス

強制的に再登録
この設定はデフォルトで [ワイプ後に端末をこのドメインに再登録します] に設定されています。この設定をオフにするには、[ワイプ後に端末を再登録しません] を選択します。[強制的に再登録] が有効になっている状態で、特定の Chrome 端末が再登録されないようにするには、その端末をプロビジョニング解除する必要があります。これについては、強制再登録の詳細をご覧ください。
確認済みアクセス

Chrome 端末に対して確認済みアクセスの設定を行うと、ウェブサービス クライアントが実行する Chrome OS に改変がなく、OS がポリシーに準拠している(管理者の要求に応じて確認済みモードで実行されている)ことの証明をウェブサービスがリクエストできるようになります。

確認済みアクセスの設定では、次の調整を行うことができます。

コンテンツ保護で有効にする - 有効の場合、組織内の Chrome 端末は一意のキー(Trusted Platform Module)を使用してコンテンツ プロバイダに対して ID の確認を行います。また、コンテンツ保護を有効にしていると、Chromebooks が確認済みブートモードで実行されていることをコンテンツ プロバイダに対して証明できます。

コンテンツ保護で無効にする - 無効にすると、ユーザーが一部のプレミアム コンテンツを利用できなくなる可能性があります。詳細

Enterprise Extensions で有効にする - 組織部門内の端末に対して確認済みアクセスを有効にできます。有効にすると、Chrome 拡張機能と端末上の Trusted Platform Module 間のやり取りが可能になります。

Enterprise Extensions で無効にする - 無効にすると、確認済みアクセスを試みる Chrome 拡張機能で権限のエラーが受信されます。

詳細や手順については、Chrome 端末で確認済みアクセスを有効にする(管理者向け)、Google Verified Access API デベロッパー ガイド(デベロッパー向け)をご覧ください。

確認済みモード

確認済みアクセスでブートモードのチェックが必要です - 端末の確認を正常に行うには、その端末が確認済みブートモードで実行されている必要があります。デベロッパー モードの端末は、確認済みアクセスのチェックで失敗します。

確認済みアクセスでブートモードのチェックを省略します - デベロッパー モードの端末が確認済みアクセスのチェックにパスするようにします。

端末 ID の受信を許可するサービス アカウント - Google Verified Access API に対する完全なアクセス権限を与えるサービス アカウントのメールアドレスのリストです。これらのサービス アカウントは、Google Developers Console で作成されたものです。

端末の確認にのみ使用され、端末 ID を受信しないサービス アカウント - Google Verified Access API に対する制限付きのアクセス権限を与えるサービス アカウントのメールアドレスのリストです。これらのサービス アカウントは、Google Developers Console で作成されたものです。

こうした設定を確認済みアクセスで使用する手順については、Chrome 端末で確認済みアクセスを有効にする(管理者向け)、Google Verified Access API デベロッパー ガイド(デベロッパー向け)をご覧ください。

無効になっている端末の返却手順

この設定では、無効になっている端末の画面に表示されるカスタムの文字列を指定できます。この画面を見たユーザーが端末を組織に返却できるように、返却先の住所と連絡先電話番号を含めることをおすすめします。

ログインの設定

ゲストモード

管理対象の Chrome 端末でゲスト ブラウジングを許可するかどうかを指定します。[ゲストモードを許可する](デフォルト)を選択すると、ユーザーのメインのログイン画面には、ゲストとしてログインする方法が表示されます。[ゲストモードを許可しない] を選択すると、ユーザーは Google アカウントまたは G Suite アカウントでログインする必要があります。ユーザーがゲストモードでログインした場合、組織のポリシーは適用されません。

ログインの制限

管理対象の Chrome 端末にログインする権限があるユーザーを指定できます。

デフォルトの [ログインを制限するユーザーのリスト] を選択した状態でテキスト ボックスを空のままにすると、Google アカウントまたは G Suite アカウントを持つすべてのユーザーがログインできるようになり、ログイン画面の [+ユーザーを追加] ボタンが使用できる状態になります。

テキスト ボックスにユーザー名を入力すると、入力したユーザーのみがログインできるようになり、それ以外のユーザーにはエラー メッセージが表示されます。ユーザー名は、メインのメールアドレスと名前をカンマで区切った形式で入力します。名前にはワイルドカードの *(任意の文字列に一致)を含めることができます。リストの一部のユーザーを端末に追加しなかった場合や、ワイルドカード(例: *@yourdomain.com)を使用している場合も [+ユーザーを追加] ボタンを使用できます。リストのすべてのユーザーが端末に追加されている場合、[+ユーザーを追加] ボタンはグレー表示になります。

[すべてのユーザーにログインを許可しない] を選択した場合、どのユーザーも Google アカウント または G Suite アカウントで Chrome 端末にログインすることができなくなります。また、ログイン画面の [+ユーザーを追加] ボタンはグレー表示になります。注: この設定は、Chrome OS 28 以降の Chrome 端末でのみ動作します。お使いのパソコンの Chrome OS がそれより前のバージョンのユーザーは引き続きログインできます。この設定は、公開セッション用の端末でよく使用されます。

ゲストモードまたは公開セッションを有効にすると、ユーザーは制限設定にかかわらず端末を使用できるようになります。

組織内のサポート対象の Chrome 端末に対して Android アプリを有効にしていても、このポリシーだけではユーザー セッション中に Android の設定でアカウントの追加を許可するかしないかを制御できません。これを制御するには、アカウント管理を使用します。

ドメインのオートコンプリート

[ログイン時にオートコンプリート機能を使用するドメイン名] 設定を使用すると、ユーザーのログインページに表示するドメイン名を選択できます。この設定を有効にすると、ユーザーがログインするときにユーザー名の「@domain.com」の部分を入力する必要がなくなります。

デフォルトでは、この設定はオフです。オンにするには、[ログイン時のオートコンプリート機能に、以下のドメイン名を使用する] をプルダウン リストから選択してドメイン名を入力します。

注: ユーザーはログイン時にユーザー名全体を入力して、この設定をオーバーライドすることができます。

ログイン画面

Chrome 端末のログイン画面に、これまでにその端末にログインしたことのあるユーザーの名前と写真を表示するかどうかを指定します。

  • 公開セッションが設定された Chrome 端末 - ユーザーは公開セッションの開始のみを行えます。端末にはログインできません。
  • ユーザーがログイン画面で自分のユーザー アカウントを選択できるようにするには - [ユーザー名と写真を常に表示] を選択します。
  • ログイン画面にユーザー アカウントが表示されないようにするには - [ユーザー名と写真を表示しない] を選択します。ユーザーは、Chrome 端末にログインするたびに、Google アカウントのユーザー名とパスワードの入力を求められます。Chrome 端末で SAML シングル サインオン(SSO)をご利用の場合は、SAML ID プロバイダ(IdP)ページが直接表示されるように設定しておけば、ユーザーはメールアドレスを入力しなくても SSO ログインページにリダイレクトされます。

ユーザーが 2 段階認証プロセスに登録済みの場合は、Chrome 端末にログインするたびに、2 つ目の認証プロセスの手順を実施するよう求められます。

時間外

ゲスト ブラウジングとログイン制限の設定が Chrome OS を実行中の管理対象端末に適用されていない場合、週ベースのスケジュールを設定できます。

たとえば学校の管理者は、ゲスト ブラウジングをブロックしたり、ユーザー名の末尾が @schooldomain.edu のユーザーのみが授業中にログインできるように設定できます。授業中以外は、ユーザーはゲストモードでブラウジングしたり、@schooldomain.edu アカウント以外のアカウントを使用して端末にログインしたりすることができます。

壁紙

ログイン画面のデフォルトの壁紙を独自の壁紙に変更できます。最大 16 MB の JPG 形式(.jpg または .jpeg ファイル)の画像をアップロードできます。他のファイル形式はサポートされていません。注: この設定は、Chrome OS 61 以降の Chrome 端末でのみ動作します。

ユーザーデータ

登録された Chrome 端末で、ユーザーがログアウトした後にローカルに保存された設定やユーザーデータをすべて削除するかどうかを指定します。端末から同期されたデータはクラウドに残りますが、端末自体には残りません。

シングル サインオン ID プロバイダ(IdP)のリダイレクト

この設定の要件: Chrome 端末に SAML SSO を設定する

シングル サインオン ユーザーが最初にメールアドレスを入力しなくても SAML ID プロバイダ(IdP)のページを直接表示できるようにするには、[シングル サインオン ID プロバイダ(IdP)のリダイレクト] を有効にします。この設定はデフォルトで無効になっています。

シングル サインオン Cookie の動作

この設定の要件: Chrome 端末に SAML SSO を設定する

シングル サインオンのユーザーが、今後 Chrome 端末にログインするときに同じ ID プロバイダを利用する内部ウェブサイトやクラウド サービスにログインできるようにするには、SAML SSO Cookie を有効にします。この設定はデフォルトで無効になっています。

SAML SSO Cookie は最初のログイン時に必ず転送されますが、以降のログイン時にも Cookie を転送するには、このポリシーを有効にする必要があります。

組織内のサポート対象の Chrome 端末に対して Android アプリを有効にしていて、このポリシーを有効にした場合、Cookie は Android アプリに転送されません。

シングル サインオンによるカメラへのアクセスの許可

この設定の要件: Chrome 端末に SAML SSO を設定する

SAML シングル サインオンを行う際に、サードパーティ製アプリケーションやサービスに対してユーザーのカメラへの直接アクセスを許可する必要があるため、ユーザーに代わって管理者がシングル サインオンによるカメラへのアクセスの許可を有効にすることができます。この設定を使用することで、サードパーティ ID プロバイダ(IdP)は Chrome 端末に新しい形の認証フローを提供できます。

IdP をホワイトリストに追加するには、各サービスの URL を 1 行に 1 つずつ入力します。この設定はデフォルトで無効になっています。

この設定を使用して組織に対して Clever Badges™ をセットアップする場合は、Clever のサポートサイトのページをご覧ください。
このポリシーを有効にすることで、管理者はユーザーに代わってサードパーティにカメラへのアクセスを許可します。なお、このポリシーによってカメラへのアクセスが許可されるとエンドユーザーに同意書が提示されないため、管理者はユーザー向けに適切な同意書を用意しておく必要があります。
シングル サインオンのクライアント証明書

この設定の要件: Chrome 端末に SAML SSO を設定する

シングル サインオン(SSO)サイトのクライアント証明書を管理できます。

URL パターンの一覧を JSON 文字列として入力します。パターンに一致する SSO サイトがクライアント証明書を要求し、端末共通の有効なクライアント証明書がインストールされると、Chromeで自動的にそのサイトの証明書が選択されます。

証明書を要求するサイトがいずれのパターンとも一致しない場合、証明書は提供されません。

JSON 文字列の形式:

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"証明書の発行元の名前"}}}

ISSUER/CN パラメータでは、自動選択するクライアント証明書の発行元が実際に使用している認証局(CA)の名前を指定します。Chrome で任意の CA から発行された証明書を選択するには、“filter”:{} と入力し、このパラメータを空白のままにします。

例:

{"pattern":"https://[*.]ext.example.com","filter":{}}, {"pattern":"https://[*.]corp.example.com","filter":{}}, {"pattern":"https://[*.]intranet.usercontent.com","filter":{}}

アクセシビリティ コントロール

[ログアウト時に、ログイン画面のアクセシビリティ設定を無効にする] チェックボックスがオンになっている場合、ログイン画面の表示時またはユーザーがログイン画面で操作しないまま 1 分経過すると、アクセシビリティ設定(大きいカーソル、音声フィードバック、ハイコントラスト モード、拡大鏡のタイプ)がデフォルト値に戻ります。

このチェックボックスがオフになっている場合、ユーザーが有効または無効にしたアクセシビリティ設定は、端末を再起動してもログイン画面が表示されるたびに保存されたまま復元されます。

ログイン言語

Chrome 端末のログイン画面に表示される言語を指定します。端末のログイン画面が表示される言語をユーザーが選択できるようにすることもできます。

ログイン画面のキーボード

Chrome 端末のログイン画面で使用できるキーボード レイアウトを指定します。

端末の更新の設定

: 下記の自動更新設定を変更する前に、Chrome 端末の自動更新を展開する方法をご覧ください。

自動更新の設定

新バージョンの Chrome OS がリリースされた際に Chrome 端末を自動更新するかどうかを指定します。ここでは、[自動更新を許可する] をオンにすることを強くおすすめします。最新バージョンの Chrome OS がリストに表示されます。

端末を登録して再起動する前にバックグラウンドでのアップデートのダウンロードを停止するには、エンドユーザー ライセンス使用許諾契約の画面で Ctrl+Alt+E キーを押します。キーを押さない場合、ユーザーが端末を再起動したときに、ダウンロードされたアップデートが適用される可能性があるため、ポリシーでブロックする必要があります。
ソフトウェア サポートは最新バージョンの Chrome OS でのみご利用いただけます。

Google Chrome のバージョンを次までに制限する

Chrome 端末が、指定したバージョンの Chrome OS 以降に更新されないようにします。この設定は、以降のバージョンの Chrome OS を使うとドメイン内のツールと互換性の問題が発生し、その問題を Chrome OS バージョンの更新前に解決する必要がある場合にのみ使用することをおすすめします。

一部の Chrome 端末を Dev チャンネルまたは Beta チャンネルを使うよう設定しておくと、新しいバージョンの Chrome OS で互換性の問題が起きるどうか調べることができます。詳しくは、Chrome リリースのおすすめの使用方法をご覧ください。

ソフトウェア サポートは最新バージョンの Chrome OS でのみご利用いただけます。

自動更新をランダムに配布

アップデートのリリース後、組織内の管理対象の Chrome 端末にアップデートをダウンロードする期間を日数で指定します。トラフィックが急増しないよう、指定期間中に何度かに分けてダウンロードが行われるので、古いネットワークや帯域幅に余裕のないネットワークへの影響を抑えることができます。この期間中に端末がオフラインの状態だった場合は、オンラインになった時点でアップデートがダウンロードされます。

ご利用のネットワークがトラフィックの急増に対処できないことがわかっている場合を除き、このポリシーはデフォルト(なし)または小さい数字に設定してください。こうすることで、ユーザーは Chrome の向上した機能と新機能をいち早く使用できるようになり、組織内に並存するバージョン数を最小限に抑えることができるほか、更新期間中の変更管理も簡単になります。

更新後の自動再起動

[自動再起動を許可する] を選択した場合は、自動更新が正常に行われた後、ユーザーがログアウトしたときに Chrome 端末が再起動されます。[自動再起動を許可しない] を選択したままの場合、自動再起動は行われません。

現在、自動再起動が行われるのは、端末が公開セッション キオスクに設定されていて、ログイン画面が表示されている場合のみです。
アプリでアップデートを管理

特定のキオスクアプリに対して、そのアプリが実行されている端末の Chrome OS バージョンの管理を許可することができます。この設定を行うことで、端末の Chrome OS が指定バージョンより新しいものに更新されるのを防ぐことができます。

[アプリを選択] をクリックするとダイアログ ボックスが表示され、Chrome ウェブストアのキオスクアプリを検索して選ぶことができます。

  • 端末の Chrome OS バージョンの管理を行う Chrome キオスクアプリとして指定できるのは、一度に 1 つのみです。
  • アプリのマニフェスト ファイルに "kiosk_enabled": true を記述し、必要な Chrome OS バージョンを required_platform_version で指定する必要があります。マニフェスト ファイルの更新が端末に反映されるまでには、最長で 24 時間ほどかかることがあります。アプリのマニフェスト ファイルでの設定方法について詳しくは、Chrome OS のバージョン管理をアプリに許可するをご覧ください。
  • 端末の Chrome OS のバージョンを、特定のキオスクアプリと自動起動されたキオスクアプリで同時に管理することはできません。
リリース チャンネル

リリース チャンネルの設定で、より実験的なバージョンにチャンネルを切り替えると、ユーザーが Chrome の最新機能を試すことができます。ユーザーにアップデートを送信するには、Chrome でサポートされる 3 つのリリース チャンネルを使用します。管理者は、ユーザー向けのチャンネルを選択することも、ユーザーがチャンネルを選択できるようにすることもできます。

ドメインの最上位レベルの組織でリリース チャンネルを変更することはできません。リリース チャンネルは組織部門単位でのみ変更できます。
  • ユーザーに設定を許可する: 使用するリリース チャンネルをユーザーが選択できます。ユーザーが Dev チャンネルを選択できるようにするには、[デベロッパー ツール] ユーザー ポリシーを [常に組み込みのデベロッパー ツールの使用を許可する] に設定する必要があります。
  • Stable チャンネルへ移行: このチャンネルは完全にテストされていて、クラッシュやその他の問題を回避したい場合に最適です。マイナー アップデートは 2~3 週間に 1 回行われ、メジャー アップデートは 6 週間に 1 回行われます。
  • Beta チャンネルへ移行: 小さめのリスクで今後の変更や改善を確認したい場合は、このチャンネルを使用します。アップデートはほぼ毎週行われ、メジャー アップデートは 6 週間に 1 回行われます(Stable チャンネルより 1 か月以上早いリリースです)。
  • Dev チャンネルへ移行: Chrome の最新機能を確認したい場合は、このチャンネルを選択します。Dev チャンネルのアップデートは週に 1~2 回行われます。このビルドはテスト済みですが、不具合が発生することもあります。

多くの組織は Stable チャンネルを使用するか、ユーザーにチャンネルの選択を許可することを選びますが、一部の IT 担当者やユーザーが Beta チャンネルや Dev チャンネルを使い続けると次のような利点があります。

  • 新機能が Stable チャンネルに登場する前に新機能に慣れておく。
  • ユーザー インターフェースに変更がある場合、アップデートの前にユーザー向けに準備を行う。
  • トラブルシューティングの際に、特定のバージョンの Chrome に固有の問題かどうかを判断する。
  • 新しい Chrome アップデートに関するフィードバックを提供する。
注:
  • Stable チャンネルから Beta チャンネルに移行するなど、Chrome の古いバージョンから新しいバージョンにユーザーを移行する場合は、ユーザーが端末を再起動することで変更が有効になります。
  • Dev チャンネルから Stable チャンネルに移行するなど、Chrome の新しいバージョンから古いバージョンに移行する場合は、変更が有効になるまで時間がかかることがあります。このシナリオでは、Stable チャンネルが現在の Dev チャンネルに追いつくまで、端末は Dev チャンネルのままになり、この状態が数週間続くことがあります。

キオスクの設定

キオスクの設定
キオスクを設定する前に、キオスクとして端末を登録する必要があります。登録が完了すると、管理コンソールの [端末管理] > [Chrome 搭載端末] で表示される画面にその端末が表示されるようになります。

公開セッション キオスク

Chrome 端末を公開セッション キオスクとして設定する前に、端末が割り当てられている組織に公開セッションの設定が適用済みであることを確認する必要があります。その後、キオスクを公開セッション キオスクとして設定するには、[公開セッション キオスクを許可する] を選択します。公開セッションの設定が組織に適用済みである場合は、[公開セッションの設定を管理] をクリックして設定を編集できます。

公開セッションの設定について詳しくは、公開セッション端末を管理するをご覧ください。

公開セッションを自動起動する

公開セッション キオスクとして Chrome 端末を自動起動するには、[はい] を選択し、[自動ログインするまでの秒数] を「0」に設定します。

キオスクアプリを自動起動する

シングルアプリ キオスクとして Chrome 端末を自動起動するには、リストからキオスクアプリを選択します。次回の起動時に、選択したアプリが全画面モードで自動的に起動します。

1 台の端末で指定できるキオスクアプリは一度に 1 つのみです。リストにキオスクアプリが表示されない場合は、[キオスクアプリ] セクションで [キオスクアプリの管理] をクリックしてアプリを指定します。

端末の稼働状況の監視を有効にする

[端末の稼働状況の監視を有効にする] を選択すると、キオスクの稼働状況に関するレポートを取得できます。この設定を行うと、端末がオンライン状態にあり、正常に動作しているかどうかを確認できます。

詳しくは、稼働状況監視ステータスの表示をご覧ください。

端末のシステムログのアップロード有効化

[端末のシステムログのアップロード有効化] を選択すると、キオスク端末についてのシステムログが自動的に取得されます。ログは 12 時間おきに取得されて管理コンソールにアップロードされ、最長で 60 日間保存されます。各回につき 7 つのログをダウンロードできます(内訳は過去 5 日間の毎日 1 つずつ、30 日前の 1 つ、45 日前の 1 つです)。

詳しくは、キオスクの稼働状況を確認するをご覧ください。

ログのアップロードを有効にするには、端末操作が監視されている可能性があること、端末に入力したデータが誤ってログに記録され、共有される可能性があることを、管理対象のキオスク端末のユーザーに通知することが義務付けられます。上の内容をユーザーに通知せずにこの設定を有効にした場合は、Google との契約条項違反となります。

画面の回転(右回り)

キオスク端末の回転を設定するには、目的の画面の向きを選択します。たとえば、画面を回転して縦向きにするには、[90 度] を選択します。このポリシーは、端末の画面の向きを手動で変更するとオーバーライドできます。

注: このポリシーは、公開セッションまたはキオスクアプリを自動起動するよう設定されている端末でのみ使用できます。

OS のバージョン管理をキオスクアプリに許可する

この機能を使用すると、自動起動されたキオスクアプリを実行する端末の Chrome OS のバージョンを管理できます。アプリで指定されたバージョン以降の Chrome バージョンに更新しないように設定できるので、最新の Chrome OS との互換性がない場合でも、キオスクアプリは安定して動作を続けることができます。

自動起動されたキオスクアプリで端末の Chrome OS バージョンを管理するには、[OS のバージョン管理をキオスクアプリに許可する] を選択します。

注:

  • このポリシーは、選択した組織部門で自動起動するようキオスクアプリが設定されている場合にのみ使用できます。
  • アプリのマニフェスト ファイルで、必要な Chrome OS バージョンが指定されている必要があります。詳しくは、Chrome キオスクアプリを作成するをご覧ください。
  • このポリシーを有効にするには、[端末の更新の設定] で [自動更新の設定] ポリシーを [自動更新を停止する] に設定する必要があります。このポリシーは、自動更新を許可している場合は使用できません。自動更新を有効にするには、[OS のバージョン管理をキオスクアプリに許可する] ポリシーを無効にします。
キオスクアプリ

[キオスク アプリケーションの管理] をクリックするとダイアログ ボックスが表示され、Chrome ウェブストアのキオスクアプリを検索して選ぶことができます。また、ID と URL を入力して独自のアプリを指定することもできます。複数のアプリを選択した場合は、[キオスク アプリケーションを自動起動] の下のプルダウンを使用して Chrome 端末で起動するアプリを選択できます。この変更を適用するには、Chrome 端末を再起動する必要があります。

Chrome ウェブストアでアプリを検索すると、キオスク対応のアプリのみがダイアログ ボックスに表示されます。

Chrome キオスクアプリ追加用のダイアログ ボックス

または、アプリ ID(アプリの URL の末尾にある文字列)を入力して任意の Chrome ウェブアプリを追加することもできます。たとえば、Chrome リモート デスクトップの URL は https://chrome.google.com/webstore/detail/chrome-remote-desktop/gbchcmhmhahfdphkhkmpfmihenigjmpp、アプリ ID は「gbchcmhmhahfdphkhkmpfmihenigjmpp」です。

注:

  • 1 台の端末を公開セッション キオスクとシングルアプリ キオスクの両方に設定できますが、自動起動できるセッションやアプリの種類は一度に 1 つのみです。たとえば、[公開セッションを自動起動] を選択した場合、同じ端末で [キオスク アプリケーションを自動起動] を同時に利用することはできません。

参考情報:

キオスクの端末ステータスのアラート配信

Chrome キオスク端末に関するアラートを受け取るには、[アラートをメールで受信する] と [アラートを SMS で受信する] の一方または両方のチェックボックスをオンにし、メールアドレスや携帯電話番号を上の欄に入力してください。アラートは、端末の状態がオンからオフに変わったときに送信されます。

キオスクの端末ステータスのアラートの送信先(連絡先情報)

Chrome キオスク端末に関するステータス更新情報を受け取るには、[キオスクの端末ステータスのアラートの送信先(メール)] 欄にメールアドレスを入力します(複数の場合はカンマで区切ります)。

Chrome キオスク端末に関する更新情報を SMS で受け取るには、[キオスクの端末ステータスのアラートの送信先] の欄に携帯電話番号を入力します。番号が複数の場合は、「+1XXXYYYZZZZ, +1AAABBBCCCC」のようにカンマで区切ります。アラートは、端末の状態がオンからオフに変わったときに送信されます。

ユーザーと端末の報告

端末の報告

端末の状態の報告

この設定はデフォルトでオンになっています。ドメインの登録済み Chrome 端末から、ファームウェア、Chrome やプラットフォームのバージョン、ブートモードといった現在の端末の状態を報告するかどうかを指定します。管理コンソールの [端末管理] > [Chrome] > [端末] に移動し、端末のシリアル番号をクリックして端末の詳細を表示します。

組織内のサポート対象の Chrome 端末に対して Android アプリを有効にしていても、このポリシーは Android で処理されるログやレポートには影響しません。

端末のユーザーの追跡

この設定はデフォルトでオンになっています。管理コンソールの [端末管理] > [Chrome] > [端末] > 端末のシリアル番号 > [最近のアクティビティ] の下で端末をクリックすることによって、最近の端末のユーザーを追跡できます。 この設定は、ユーザー情報をすべて消去する設定が有効な場合は機能しません。

利用していない端末からの通知

利用していない端末の通知の報告

デフォルトでは、この設定はオフです。この設定を有効にすると、ドメインで利用していない端末に関するレポートが、指定したアドレスにメールで送信されます。このレポートには次の情報が含まれます。

  • ドメインで利用していないすべての端末([利用されていない日数] で指定した期間を過ぎても同期されていない端末)に関する情報。
  • 利用していない端末の組織部門ごとの合計数(新たに利用されなくなった端末の台数を含む)。
  • 各端末の詳細情報(組織部門、シリアル番号、アセット ID、最終同期日(新たに利用されなくなった端末が 30 台未満の場合)など)へのリンク。

注: このレポートの一部の情報には、最長で 1 日の遅延が生じる場合があります。たとえば、直前に「利用していない端末」であった端末を同期してから 24 時間を過ぎていない場合、実際にはその端末はすでに利用中ですが、利用していない端末のリストにまだ表示されていることがあります。

利用されていない日数

指定した日数を過ぎても端末が管理サーバーにチェックインされていない場合、その端末は利用されていないとみなされます。1 より大きい整数で日数を設定します。

たとえば、過去 1 週間以内に同期されていないすべての端末を「利用していない端末」とする場合は、[利用されていない日数] 欄に「7」と入力します。

通知の間隔

利用していない端末のレポートを送信する頻度を指定するには、[通知の間隔] 欄に日数を入力します。

通知レポートの宛先メールアドレス

通知レポートの宛先メールアドレスを指定するには、アドレスを 1 行に 1 つずつ入力します。

匿名での統計情報の報告

システムやブラウザのプロセスでエラーが発生したときに Chrome 端末から Google に使用統計情報や障害レポートを送信するかどうかを指定します。

使用統計情報には、設定、ボタンのクリック数、メモリの使用状況などの集計情報が含まれますが、ウェブページの URL や個人情報は含まれません。障害レポートには、障害発生時のシステム情報が含まれます。障害発生時の状況によっては、ウェブページの URL や個人情報が含まれる場合もあります。

組織内のサポート対象の Chrome 端末に対して Android アプリを有効にしている場合、このポリシーで Android の使用状況や診断データの収集も管理します。

電源とシャットダウン

電源管理

Chrome 端末にログイン画面が表示されている状態のとき(ログインしているユーザーがいないとき)、指定時間経過後にスリープまたはシャットダウンを行うか、またはログイン画面を表示したままにするかを設定します。この機能は、キオスクモードで使用している Chrome 端末がシャットダウンされないようにする場合に便利です。

スケジュールされた再起動

[再起動までの日数] を指定すると、その端末は指定した日数の経過後に再起動されます。再起動は、同じ時刻に行われず次回のログアウト時まで延期されることもあります。現在、自動再起動が行われるのは、端末が公開セッション キオスクに設定されていて、ログイン画面が表示されている場合のみです。

シャットダウン

デフォルトの設定は [ユーザーが画面上の [シャットダウン] アイコンや物理的な電源ボタンを使用して端末の電源をオフにできるようにします] です。[ユーザーが物理的な電源ボタンを使用してのみ端末の電源をオフにできるようにします] を選択すると、ユーザーはキーボード、マウス、画面から端末の電源をオフにできなくなり、端末の電源を物理的にオフにするほかなくなります。

この設定は Chrome 端末をキオスクまたはデジタル サイネージ ディスプレイとして実行している場合など、特定の導入の状況下で役立ちます。

その他

クラウド プリント

この機能を使用すると、Chrome 端末のどのユーザーも、クラウド プリントを使用して印刷できるようになります。この設定は、公開セッション用に設定された Chrome 端末でよく使用されます。

  1. [有効にするクラウド プリンタを選択してください] の横にある [管理] をクリックします。
  2. 表示される [クラウド プリント] ダイアログで、選択した組織の端末に使用するクラウド プリンタを検索して追加します。
  3. [保存] をクリックします。

選択した組織のすべての Chrome 端末でプリンタを共有できるようになるまでには、最長で 24 時間ほどかかることがあります。対象の端末では、ゲストモードのユーザーも、公開セッションのユーザーも、すべてのユーザーが共有のクラウド プリンタを使って印刷できます。

お客様が所有していないものの、お客様のドメインで共有しているプリンタは、ダイアログ ボックスの [その他のプリンタ] に表示されます。使用しなくなったプリンタやドメインで所有しなくなったプリンタは、[削除] をクリックして [その他のプリンタ] ボックスから削除します。

注: 端末ポリシーで共有されたプリンタは、「Google クラウド プリント」セクションではなく、「ローカルの送信先」セクションに表示されます。

導入に関する注意事項:

  • 管理コンソールで Google クラウド プリントにプリンタを追加するには、そのプリンタの所有者である必要があります。ドメインで複数のプリンタを使用する場合は、Google クラウド プリントのプリンタ管理専用の役割を持ったアカウントを作成することをおすすめします。ドメインにこうしたアカウントがすでにある場合は、そのアカウントでログインして、プリンタをドメイン内の Chrome 端末と共有してください。この役割のアカウントにドメインの特権管理者の権限を付与しない場合は、Chrome の委任管理者の役割を使用して、[端末の設定を管理] の権限のみを付与できます。
  • 環境やプリンタによっては、Chrome のローカル印刷を使用できる場合があります。

報告されている問題:

  • プリンタの所有権は G Suite アカウントに関連付けられます。そのため、ドメインに複数のドメイン管理者がいる場合は、ドメイン管理者によって異なる複数のプリンタが使用可能になっている可能性があります。
  • 管理者は、別のドメイン管理者が共有しているプリンタを削除できます。たとえば、「管理者 2」が所有しているプリンタを「管理者 1」が削除した場合、「管理者 1」はそのプリンタを再度追加することはできません。
  • 現在、以下の報告済みの問題により、[その他のプリンタ] セクションに表示されているプリンタが有効なものなのか、それとも削除済みであるのかを見分けられない状況が発生しています。Google では、この問題の解消に向けて取り組みを進めています。
    • 管理者が https://www.google.com/cloudprint/#printers でプリンタを削除すると、そのプリンタは使用できなくなるものの、[その他のプリンタ] には表示される。
    • プリンタの所有者が削除された場合、所有者がいなくなったプリンタが [その他のプリンタ] に表示される。
タイムゾーン

システム タイムゾーン

ユーザーの端末に設定するタイムゾーンをプルダウン リストから指定します。

システムのタイムゾーン自動検出

いずれかの設定を選択し、端末の現在のタイムゾーンを検出して設定する方法を指定します。

  • ポリシーの設定なし(デフォルト = ユーザーによる設定を許可する): ポリシーが設定されていない場合、ユーザーは Chrome OS の日時の設定を使用してタイムゾーンの自動検出を有効または無効にするかどうかを決定します。
  • ユーザーによる設定を許可する: ユーザーは標準の Chrome OS の日時の設定を使用してタイムゾーンの自動検出ポリシーを指定します。
  • タイムゾーンを自動検出しない: ユーザーは手動でタイムゾーンを選択します。
  • 常にタイムゾーンを簡易検出する: 端末の IP アドレスを使用してタイムゾーンが設定されます。
  • タイムゾーン解決中に常に Wi-Fi アクセス ポイントをサーバーに送信する: 端末が接続されている Wi-Fi アクセス ポイントを使用して、タイムゾーンが設定されます。これは、最も正確なタイムゾーンを取得できる設定です。
モバイル データ ローミング

Chrome 搭載端末のユーザーが、別の携帯通信会社が管理するモバイル ネットワークを使用して接続できるようにするかどうかを指定します。この設定を使用すると、Chrome 搭載端末の [設定] の [インターネット] ページにある [モバイル データ ローミングを許可する] チェックボックスの設定が固定され、変更できなくなります。

データ ローミングを許可すると、契約に応じて料金がかかります。

着脱可能な USB のホワイトリスト

この機能を使用すると、Citrix Receiver などのアプリケーションから直接アクセスできる USB 端末のリストを指定できます。キーボード、署名パッド、プリンタやスキャナ、その他の USB 端末などをリストに含められます。このポリシーが設定されていない場合、着脱可能な USB 端末のリストは空になります。

端末をリストに追加するには、USB のベンダー ID(VID)とプロダクト ID(PID)をコロンで区切った 16 進数値のペア(VID:PID)の形式で、各端末を 1 行に 1 つずつ入力します。たとえば、VID が 046E で PID が D626 のマウスと、VID が 0404 で PID が 6002 の署名パッドをリストに追加するには、テキスト ボックスに下記を入力します。

046E:D626
0404:6002

注: VID と PID は、必ず 16 進数値の形式で入力してください。
Bluetooth

いずれかの設定を選択し、端末で Bluetooth を有効または無効にします。

  • ポリシーの設定なし(デフォルト = Bluetooth を無効にしない)- ポリシーが設定されていない場合、Bluetooth は端末で有効になっています。
  • Bluetooth を無効にしない - Bluetooth は端末で有効になっています。
  • Bluetooth を無効にする - Bluetooth は端末で無効になっています。

ポリシーを [Bluetooth を無効にする] から [Bluetooth を無効にしない] または [ポリシーの設定なし] に変更した場合は、変更が反映されるよう端末を再起動する必要があります。

ポリシーを [Bluetooth を無効にしない] または [ポリシーの設定なし] から [Bluetooth を無効にする] に変更した場合は、変更がすぐに反映されるため端末を再起動する必要はありません。

端末の帯域幅の調整

[ネットワーク帯域幅調整を有効にします] を選択すると、Chrome 56 以降の Chrome 端末で端末レベルの帯域幅の使用量を制御できます。この設定を行った後で、ダウンロード速度とアップロード速度を kbps 単位で指定します。接続を途切れさせずに端末でポリシーや Chrome OS アップデートを取得するには、513 kbps 以上の速度を指定してください。

Wi-Fi、イーサネット、USB イーサネット アダプタ、USB モバイル通信ドングル、USB ワイヤレス カードなど、端末のあらゆるネットワーク インターフェースで帯域幅が調整されます。OS アップデートを含むすべてのネットワーク トラフィックで帯域幅が調整されます。

キオスクモード、公開セッション モード、ユーザーモードの Chrome 端末で帯域幅を調整できます。

TPM ファームウェアの更新

デフォルトでは、ユーザーが Trusted Platform Module(TPM)ファームウェアのアップデートを端末にインストールすることはできません。ユーザーが TPM ファームウェアのアップデートをインストールして、端末のセキュリティ保護を強化できるようにするには、[ユーザーに TPM ファームウェアの更新を許可する] をオンにします。ファームウェアのアップデートをインストールする方法については、Chromebook のセキュリティのアップデートをご覧ください。

: TPM ファームウェアのアップデートをインストールすると、端末上のデータが消去され、端末が初期状態にリセットされる場合があります。また、更新の失敗が何度も繰り返されると、端末が使用不能になる可能性があります。

Chrome 管理 - パートナー アクセス

Chrome 管理 - パートナー アクセス

[Chrome 管理 - パートナー アクセス] は、EMM パートナーがプログラムで端末ポリシーへのアクセス、端末情報の取得、リモート コマンドの実行を行えるようにするための端末設定です。パートナーはこのアクセス機能を使用して、Google 管理コンソールの機能を EMM コンソールと連携させることができます。

パートナー アクセスがオンになっている場合、EMM パートナーは Chrome 端末を個別に管理できます。つまり、端末の管理には、管理コンソールの組織構造ではなく、EMM コンソールで設定された構造を使用できます。パートナー アクセスと管理コンソールを使用して、同じ端末に同じポリシーを同時に設定することはできません。パートナー アクセス コントロールを使用して設定された端末レベルのポリシーは、管理コンソールで設定された組織レベルのポリシーよりも優先されます。端末に対して組織レベルでポリシーを適用するには、[Chrome 管理 - パートナー アクセスを有効にします] をオフにする必要があります。

EMM コンソールを使用してユーザー ポリシーを設定することもできます。ただし、Chrome Kiosk サービスのみに登録している場合は、設定できるのは端末ポリシーのみになります。

: 現在、G Suite for Education ドメインではこの設定をご利用いただけません。

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。