ChromeOS デバイスのポリシーを設定する

必要に応じて Chromebook を出荷時の状態に戻すことをユーザーに許可します。

デフォルトは [Powerwash のトリガーを許可する] です。

管理者が [Powerwash のトリガーを許可しない] を選択した場合でも、例外的にユーザーが Powerwash をトリガーできることがあります。Trusted Platform Module（TPM）ファームウェアの更新をデバイスにインストールすることを管理者がユーザーに許可しており、まだ更新していない場合がこれに該当します。更新時にデバイスのデータが消去されて出荷時の設定にリセットされることがあります。詳しくは、TPM ファームウェアの更新をご覧ください。

この設定を使用すると、ポリシーに準拠し、改変されていない ChromeOS デバイスがクライアントで実行されている（管理者の設定に応じてセキュアモードで実行されている）ことを示す証拠をウェブサービスがリクエストできるようになります。この設定には次の項目が含まれています。

• コンテンツ保護で有効にする - 組織内の ChromeOS デバイスは一意のキー（Trusted Platform Module）を使用し、コンテンツ プロバイダに対して ID の確認を行います。また、Chromebook が確認付きブートモードで実行されていることをコンテンツ プロバイダに対して証明できます。
• コンテンツ保護を無効にする - このコントロールを無効にすると、ユーザーが一部のプレミアム コンテンツを利用できなくなる可能性があります。

管理者向けの詳細情報については、ChromeOS デバイスで確認済みアクセスを有効にするをご覧ください。デベロッパー向けの詳細情報については、Google Verified Access API デベロッパー ガイドをご覧ください。

• 認証アクセスで確認付きブートを求める – デバイスの確認を正常に行うには、そのデバイスが確認付きブートモードで実行されている必要があります。この場合、デベロッパー モードのデバイスは、認証済みアクセスのチェックで必ず失敗します。
• 認証アクセスで確認付きブートをスキップする - デベロッパー モードのデバイスが認証済みアクセスのチェックにパスするようにします。
• フルアクセスが付与されているサービス – Google Verified Access API に対するフルアクセス権が付与されているサービス アカウントのメールアドレスを一覧表示します。これらのサービス アカウントは、Google Cloud Platform Console で作成されたものです。
• アクセスが制限されているサービス – Google Verified Access API に対して制限付きのアクセス権が付与されているサービス アカウントのメールアドレスを一覧表示します。これらのサービス アカウントは、Google Cloud Platform コンソールで作成されたものです。

管理者向けの詳細情報については、ChromeOS デバイスで確認済みアクセスを有効にするをご覧ください。デベロッパー向けの詳細情報については、Google Verified Access API デベロッパー ガイドをご覧ください。

紛失または盗難により無効になっているデバイスの画面に表示するカスタム テキストを指定します。メッセージにはデバイスの郵送先の住所と連絡先の電話番号を含めることをおすすめします。これにより、画面を見た人がデバイスを組織に返却できるようになります。

ユーザーが Titan M セキュリティ チップ搭載デバイスで 2 要素認証（2FA）を使用できるかどうかを指定します。

管理対象の ChromeOS デバイスでゲスト ブラウジングを許可するかどうかを指定します。[ゲストモードを許可する] を選択すると、ゲストとしてログインするオプションがユーザーのメインのログイン画面に表示されます。[ゲストモードを無効にする] を選択した場合、ユーザーは Google アカウントまたは Google Workspace アカウントを使用してログインする必要があります。ユーザーがゲストモードでログインした場合、組織のポリシーは適用されません。

小学校から高等学校の教育機関のドメインの場合、デフォルトは [ゲストモードを無効にする] です。

その他のドメインの場合、[ゲストモードを許可する] がデフォルトになります。

ChromeOS デバイスにログインできるユーザーを管理できます。

注: ゲスト ブラウジングまたは管理対象のゲスト セッションを許可すると、どの設定が選択されていてもユーザーはデバイスを使用できます。

次のいずれかを選択します。

• ログインをリスト内のユーザーのみに制限する - 指定したユーザーのみがデバイスにログインできます。他のユーザーにはエラー メッセージが表示されます。指定するユーザーのパターンを 1 行につき 1 つ入力します。
  • すべてのユーザーがログインできるようにする - 「*@[ドメイン名].com」と入力します。デバイスの [ユーザーを追加] ボタンを常に使用できます。
  • 特定のユーザーにのみログインを許可する - 「[ユーザー ID]@[ドメイン名].com」と入力します。指定したすべてのユーザーがデバイスにログイン済みの場合、[ユーザーを追加] ボタンは使用できません。
• すべてのユーザーにログインを許可する - Google アカウントを持つすべてのユーザーがデバイスにログインできます。ログイン画面で [ユーザーを追加] ボタンを常に使用できます。
• いずれのユーザーにもログインを許可しない - ユーザーは、Google アカウントでデバイスにログインできません。[ユーザーを追加] ボタンは使用できません。

ユーザーのログインページに表示するドメイン名を選択できます。ドメイン名を指定しておくと、ユーザーはログイン時にユーザー名の @[ドメイン名].com の部分を入力しなくてよくなります。

この設定を有効にするには、リストから [ログイン時のオートコンプリート機能に、以下のドメイン名を使用する] を選択してドメイン名を入力します。

ChromeOS デバイスのログイン画面に、これまでにそのデバイスにログインしたことのあるユーザーの名前と画像を表示するかどうかを指定します。

ログイン画面にユーザーの名前と画像を表示しておくと、ユーザーはすぐにセッションを開始できるため、この設定はほとんどの環境に適しています。最適なユーザー エクスペリエンスを実現するため、基本的にこの設定は変更しないことをおすすめします。

• ユーザー名と写真を常に表示 - ログイン画面でユーザーがユーザー アカウントを選択できるようにします（デフォルト）。

• ユーザー名と写真を表示しない - ログイン画面にユーザー アカウントが表示されないようにします。ユーザーはデバイスにログインするたびに、Google アカウントのユーザー名とパスワードを入力する必要があります。デバイスで SAML シングル サインオン（SSO）を利用している場合、SAML ID プロバイダ（IdP）ページが直接表示されるように設定しておけば、ユーザーはメールアドレスを入力しなくても SSO ログインページにリダイレクトされます。

  注: 2 段階認証プロセスに登録済みのユーザーは、デバイスにログインするたびに、2 つ目の認証プロセスの手順を実施するよう求められます。

ゲスト ブラウジングとログイン制限の設定を管理対象の ChromeOS デバイスに適用しない時間帯を、週単位でスケジュール設定します。

たとえば学校の管理者は、授業がある時間帯に、ゲスト ブラウジングをブロックすることや、ユーザー名の末尾が @[学校のドメイン名].edu のユーザーだけにログインを許可するような制限を設定できます。授業時間外には、ユーザーはゲストモードでブラウジングしたり、@[学校のドメイン名].edu 以外のアカウントを使用してデバイスにログインしたりすることができます。

ログイン画面のデフォルトの壁紙を独自の壁紙に変更できます。JPG 形式（.jpg または .jpeg ファイル）の画像をアップロードできます。アップロードできる画像のサイズは 16 メガバイトまでです。他のファイル形式はサポートされていません。

登録済みの ChromeOS デバイスからユーザーがログアウトするたびに、ローカルに保存されている設定とユーザーデータをすべて削除するかどうかを指定します。デバイスから同期されたデータはクラウドに残りますが、デバイス自体には残りません。[すべてのローカル ユーザー データを消去] に設定すると、ユーザーが使用できる保存容量はデバイスの RAM 容量の半分に制限されます。このポリシーを管理対象ゲスト セッションと一緒に設定した場合、セッション名やアバターはキャッシュに保存されません。

注: デフォルトでは、ChromeOS デバイスはすべてのユーザーデータを暗号化し、複数のユーザーで共有する場合はディスク容量を自動的にクリーンアップします。デフォルトとなるこの動作はほとんどの環境に適しており、データのセキュリティと最適なユーザー エクスペリエンスを保証します。[すべてのローカル ユーザー データを消去] は、限定的な状況でのみ使用することをおすすめします。

デバイスに SAML SSO を設定しておく必要があります。ChromeOS デバイスに SAML シングル サインオンを設定するをご覧ください。

シングル サインオン（SSO）ユーザーが、最初にメールアドレスを入力しなくても SAML ID プロバイダ（IdP）のページを直接表示できるようにするには、[シングル サインオン ID プロバイダ（IdP）のリダイレクト] 設定を有効にします。

デバイスに SAML SSO が設定されている必要があります。ChromeOS デバイスに SAML シングル サインオンを設定するをご覧ください。

シングル サインオン（SSO）ユーザーが次回以降デバイスにログインするときに、同じ ID プロバイダ（IdP）を利用する内部ウェブサイトとクラウド サービスにログインできるかどうかを指定します。初回のログイン時には必ず SAML SSO Cookie が転送されます。

以降のログイン時にも Cookie を転送するには、[ログイン中のユーザー セッションへの SAML SSO Cookie の転送を有効にする] を選択します。この設定に加えて、組織内のサポート対象のデバイスに対して Android アプリも有効にした場合、Android アプリには Cookie が転送されません。

デバイスに SAML SSO が設定されている必要があります。ChromeOS デバイスに SAML シングル サインオンを設定するをご覧ください。

重要: 管理者がこのポリシーを有効にすると、ユーザーの代わりにユーザーのカメラへのアクセスをサードパーティに許可することになります。このポリシーでカメラへのアクセスを許可すると、システムからエンドユーザーに対して許可の同意を求めることがないため、管理者は適切な同意書を用意しておく必要があります。

SAML シングル サインオン（SSO）フローの処理中にユーザーのカメラに直接アクセスすることが許可されている、サードパーティのアプリまたはサービスを指定します。この設定を行うと、サードパーティの ID プロバイダ（IdP）は ChromeOS デバイスに新しい形の認証フローを提供できます。

IdP を許可リストに追加するには、各サービスの URL を 1 行に 1 つずつ入力します。

組織での Clever Badges のセットアップについて詳しくは、Clever のサポートサイトをご確認ください。

デバイスに SAML SSO を設定しておく必要があります。ChromeOS デバイスに SAML シングル サインオンを設定するをご覧ください。

シングル サインオン（SSO）サイトのクライアント証明書を管理できます。

管理者は URL パターンのリストを JSON 文字列として入力します。パターンに一致する SSO サイトがクライアント証明書を要求し、デバイス共通の有効なクライアント証明書がインストールされると、Chrome で自動的にそのサイトの証明書が選択されます。

証明書を要求するサイトがいずれのパターンとも一致しない場合、証明書は提供されません。

JSON 文字列の形式:

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"証明書の発行元の名前"}}}

ISSUER/CN パラメータでは、自動選択するクライアント証明書の発行元が実際に使用している認証局（CA）の名前を指定します。Chrome で任意の CA から発行された証明書を選択するには、“filter”:{} と入力し、このパラメータを空白のままにします。

例:

{"pattern":"https://[*.]ext.example.com","filter":{}}, {"pattern":"https://[*.]corp.example.com","filter":{}}, {"pattern":"https://[*.]intranet.usercontent.com","filter":{}}

ログイン画面のユーザー補助設定を管理できます。ユーザー補助設定には、大きいカーソル、音声フィードバック、高コントラスト モードなどがあります。

• ログアウト時に、ログイン画面のアクセシビリティ設定を無効にする - ログイン画面を表示したとき、またはユーザーがログイン画面で 1 分間操作しなかったときに、ユーザー補助設定をデフォルト値に戻します。
• ログイン画面のアクセシビリティ設定の制御をユーザーに許可する - ユーザーがログイン画面で有効または無効にしたユーザー補助設定が、デバイスを再起動しても復元されます。

ChromeOS デバイスのログイン画面に表示される言語を指定します。ユーザーに言語の選択を許可することもできます。

ChromeOS デバイスのログイン画面で使用できるキーボード レイアウトを指定します。

ログイン画面で SAML 認証を行う際に、デバイスで確認済みアクセスのチェックを実行するためにアクセスを許可する URL を指定します。

具体的には、ここに入力されたパターンの 1 つと URL が一致する場合、その URL はリモート認証の要求に対する応答を含む HTTP ヘッダーを受信し、デバイスの識別情報とステータスを確認することができます。

[IdP のリダイレクト URL の許可リスト] に URL を追加しない場合、ログイン画面でリモート認証に使用できる URL はありません。

HTTPS スキームを使用した URL を指定する必要があります（例: https://example.com）。

有効な URL パターンについては、Enterprise ポリシーの URL パターンの形式をご覧ください。

ログイン画面上にデバイスのシステム情報（ChromeOS のバージョンやデバイスのシリアル番号など）を表示するかどうかをユーザーが選択できるようにするか、デフォルトで常に表示するかを指定します。

デフォルトは [ユーザーが Alt+V キーを押してログイン画面にシステム情報を表示できるようにする] です。

電子プライバシー画面に対応した ChromeOS デバイスのみが対象です。

ログイン画面でプライバシー画面を常に有効にするか無効にするかを指定します。管理者が指定することも、ユーザーが選択できるようにすることもできます。

タッチスクリーンを搭載している ChromeOS デバイスのログイン画面とロック画面に、パスワードを入力するための数字キーボードを表示するかどうかを指定します。管理者が [パスワード入力用にデフォルトで数字キーボードを表示する] を選択した場合でも、ユーザーは英数字のパスワードを入力するために標準キーボードに切り替えることができます。

Manifest V2 拡張機能のサポートは今後非推奨となります。Manifest V2 のサポート タイムラインに沿って、すべての拡張機能を Manifest V3 に移行する必要があります。

ユーザーがデバイスのログイン画面で Manifest V2 拡張機能にアクセスできるようにするかどうかを指定します。

Chrome 向けのすべての拡張機能には、manifest.json という名前の JSON 形式のマニフェスト ファイルがあります。マニフェスト ファイルは拡張機能のブループリントで、拡張機能のルート ディレクトリに配置する必要があります。

マニフェスト ファイルには、以下の情報が含まれています。

• 拡張機能のタイトル
• 拡張機能のバージョン番号
• 拡張機能の実行に必要な権限

詳しくは、マニフェスト ファイルの形式をご確認ください。

次のいずれかを選択します。

• デバイスのデフォルトの動作（デフォルト） - ユーザーはデバイスのデフォルトの設定と Manifest V2 のサポート タイムラインに基づいて Manifest V2 拡張機能にアクセスできます。
• Manifest V2 拡張機能をログイン画面で無効にする - ユーザーは Manifest V2 拡張機能をインストールできません。また、既存の拡張機能は無効になります。
• Manifest V2 拡張機能をログイン画面で有効にする - ユーザーは Manifest V2 拡張機能をインストールできます。
• 自動インストールされた Manifest V2 拡張機能をログイン画面で有効にする - ユーザーは自動インストールされた Manifest V2 拡張機能のみにアクセスできます。これには、Google 管理コンソールの [アプリと拡張機能] ページから自動インストールされた拡張機能も含まれます。他のすべての Manifest V2 拡張機能は無効になります。このオプションは、移行のステージにかかわらず、いつでも利用できます。

注: 拡張機能を利用できるかどうかは、他のポリシーによっても制御されます。たとえば、Manifest ポリシーで許可された V2 拡張機能が Google 管理コンソールの [アプリと拡張機能] ページの 権限と URL 設定でブロックリストに登録された場合は、ブロック中に変わります。

ユーザー認証に SAML または OpenID Connect シングル サインオンを使用する場合や、ユーザー セッション外のキャプティブ ポータルとのネットワーク接続を構成する場合、ユーザーのログイン画面およびロック画面上のコンテンツを制御できます。

ブロックされる URL

ログイン画面およびロック画面上の URL にユーザーがアクセスするのを防ぐことができます。

これを設定するには、1 行に 1 つずつ URL を入力します。入力できる URL は最大 1,000 件です。

例

[ブロックされる URL] のエントリ	結果
example.com	example.com、www.example.com、sub.www.example.com に対するすべてのリクエストをブロックします。
http://example.com	example.com とそのサブドメインに対するすべての HTTP リクエストをブロックし、HTTPS リクエストは許可します。
https://*	あらゆるドメインへのすべての HTTPS リクエストをブロックします。
mail.example.com	mail.example.com に対するリクエストをブロックします。www.example.com や example.com に対するリクエストはブロックしません。
.example.com	example.com をブロックします。example.com/docs などのサブドメインはブロックしません。
.www.example.com	www.example.com をブロックします。サブドメインはブロックしません。
*	ブロックされる URL の例外として指定されているものを除き、URL に送信されるすべてのリクエストをブロックします。これには、http://google.com、https://gmail.com、chrome://policy などの URL スキームも含まれます。
*:8080	ポート 8080 へのすべてのリクエストをブロックします。
*/html/crosh.html	Chrome Secure Shell（Crosh Shell）をブロックします。
chrome://settings chrome://os-settings	chrome://settings へのすべてのリクエストをブロックします。
example.com/stuff	example.com/stuff とそのサブドメインへのすべてのリクエストをブロックします。
192.168.1.2	192.168.1.2 へのリクエストをブロックします。
youtube.com/watch?v=V1	ID に V1 を含む YouTube 動画をブロックします。

SAML や OpenID Connect シングル サインオンをユーザー認証に使用する場合や、キャプティブ ポータルとのネットワーク接続を設定する場合は、ユーザーのログイン画面およびロック画面に表示されるコンテンツを管理できます。

ブロックされる URL の例外

ログイン画面またはロック画面でブロックされる URL を設定するで指定した URL ブロックリストの例外を指定します。

これを設定するには、1 行に 1 つずつ URL を入力します。入力できる URL は最大 1,000 件です。

例

入力が許可される URL	結果
example.com	example.com、www.example.com、sub.www.example.com に対するすべてのリクエストを許可します。
https://*	あらゆるドメインへのすべての HTTPS リクエストを許可します。
*:8080	ポート 8080 へのすべてのリクエストを許可します。
*/html/crosh.html	Chrome Secure Shell（Crosh Shell）を許可します。
chrome://settings chrome://os-settings	chrome://settings へのすべてのリクエストを許可します。
example.com/stuff	example.com/stuff とそのサブドメインへのすべてのリクエストを許可します。
192.168.1.2	192.168.1.2 へのリクエストを許可します。

ChromeOS デバイスのログイン画面に表示されているテキストを読み上げさせます。必要に応じて、点字デバイスを接続してセットアップすることもできます。詳しくは、組み込みのスクリーン リーダーを使用すると Chromebook で点字デバイスを使用するをご覧ください。

特定のテキストが読み上げられるように、ユーザーがログイン画面で項目を選択できるようにします。選択した単語が ChromeOS によって読み上げられている間、各単語がハイライト表示されます。詳しくは、テキストを読み上げるをご覧ください。

ログイン画面を読みやすくするために、フォントと背景のカラーパターンを変更します。

ユーザーがログイン画面の全体を拡大（全画面拡大鏡）または一部を拡大（ドッキング拡大鏡）できるようにします。詳しくは、Chromebook の画面でズームや拡大鏡を使用するをご覧ください。

ユーザーが、複数のキーを同時に押すのではなく、キーを 1 つずつ順番に押してショートカット キーの組み合わせを入力できるようにします。たとえば、固定キーでアイテムを貼り付ける操作をする場合は、最初に Ctrl キーを押してから V キーを押します（Ctrl キーと V キーを同時には押しません）。詳しくは、キーボード ショートカットのキーを 1 つずつ入力するをご覧ください。

ユーザーが物理キーを使用せずに文字を入力できるようにします。タッチスクリーン インターフェース搭載のデバイスでは一般的に画面キーボードを使用しますが、タッチパッド、マウス、またはジョイスティックを使用することもできます。詳しくは、画面キーボードを使用するをご覧ください。

ユーザーが、ログイン画面でキーボードの代わりに音声でテキストを入力できるようにします。詳しくは、音声でテキストを入力するをご覧ください。

ユーザーがキーボードを使用して項目間を移動すると、ログイン画面上の項目をハイライト表示します。これにより、画面上でフォーカスがあたっている位置がわかりやすくなります。

ログイン画面でテキストを編集しているときに、テキスト カーソルの周囲がハイライト表示されます。

ログイン画面でマウスやタッチパッドのボタンを押さなくても、マウスカーソルが停止した位置で自動的にクリックされます。詳しくは、Chromebook で項目を自動的にクリックするをご覧ください。

ログイン画面上で見やすくなるように、マウスカーソルのサイズを大きくします。

ログイン画面上で見やすくなるように、マウスカーソルの周りに色付きのフォーカス リングを作成します。

ログイン画面でマウスボタンの左右の機能を逆にすることができます。デフォルトでは、マウスの左ボタンがメインのボタンになっています。

ステレオ サウンドの音を聞き逃すことのないよう、すべてのスピーカーで同じ音を再生します。

ユーザーがログイン画面でユーザー補助機能のキーボード ショートカットを使用できるようにします。詳しくは、Chromebook のキーボード ショートカットをご覧ください。

デバイスでの OS バージョンの自動更新を許可

ソフトウェア サポートは最新バージョンの ChromeOS でのみご利用いただけます。

新しいバージョンの ChromeOS がリリースされた際に ChromeOS デバイスを自動更新するかどうかを指定できます。ユーザーがアップデートの有無を自分で確認できるように指定することもできます。[アップデートを許可する] をオンにすることを強くおすすめします。

デバイスを登録して再起動する前に更新を停止するには:

• エンドユーザー使用許諾契約画面で、Ctrl+Alt+E キーを押します。キーを押さない場合、ユーザーがデバイスを再起動したときに、ポリシーでブロックしたはずのダウンロード済みの更新が適用されることがあります。

目的のバージョン

ソフトウェア サポートは最新バージョンの ChromeOS でのみご利用いただけます。

デバイスに更新を許可する ChromeOS バージョンの上限を指定します。指定したバージョンより新しい ChromeOS に更新されることはありません。最近リリースされた ChromeOS のバージョンがいくつか表示されます。ChromeOS のバージョンを更新する前に互換性に関する問題を解決する必要がある場合は、ChromeOS を特定のバージョンよりも新しいバージョンに更新できないようにします。また、デバイスを長期サポート（LTS）チャンネルに切り替える前に ChromeOS のアップデートを特定のバージョンに固定する必要がある場合も同様です。長期サポートに切り替える方法について詳しくは、ChromeOS の長期サポートをご覧ください。

[最新バージョンを使用] を選択すると、最新バージョンが利用可能になったときに ChromeOS が更新されます。

目的のバージョンにロールバック

デバイスで実行されている ChomeOS のバージョンが [目的のバージョン] で指定したものより新しい場合に、目的のバージョンまでロールバックするかどうかを指定します。

詳しくは、ChromeOS を以前のバージョンにロールバックするをご覧ください。

リリース チャンネル

この設定は、最上位の組織部門には使用できません。組織部門単位で設定する必要があります。

デフォルトでは、Stable チャンネルの更新が適用されます。長期サポート（LTS）チャンネル、長期サポート候補（LTC）チャンネル、Beta チャンネル、Dev チャンネルも選択することもできます。

一部のデバイスで Dev チャンネルまたは Beta チャンネルを使うように設定しておくと、新しいバージョンの Chrome に互換性の問題があるかどうかを調べることができます。詳しくは、ChromeOS リリースのおすすめの使用方法をご覧ください。ユーザーに割り当てるチャンネルを決める際には、ChromeOS リリースのおすすめの使用方法を参考にしてください。

Chrome バージョン 96 以降では、LTC チャンネルに切り替えて安定性を高めることができます。LTC チャンネルのリリース サイクルは Stable チャンネルよりも長く、セキュリティ修正は引き続き頻繁に受信しますが、機能の更新は 6 か月に 1 回のみとなります。詳しくは、ChromeOS の長期サポート（LTS）をご覧ください。

ユーザーがチャンネルを選択できるようにするには、[ユーザーに設定を許可] を選択します。ユーザーはリリース チャンネルを切り替えて、Chrome の最新機能をテストできるようになります。ChromeOS デバイスでチャンネルを切り替える方法について詳しくは、Stable、Beta、Dev の間でソフトウェアを切り替えるをご覧ください。

ユーザーが Dev チャンネルを選択できるようにするには、デベロッパー ツールのユーザー ポリシーを [常に組み込みのデベロッパー ツールの使用を許可する] に設定する必要があります。詳しくは、デベロッパー ツールをご覧ください。

展開スケジュール

管理対象の ChromeOS デバイスにアップデートを展開する方法を指定します。

次のいずれかを選択します。

• デフォルト（新しいバージョンがリリースされるとデバイスが更新されます） - 新しいバージョンの ChromeOS がリリースされると、デバイスが自動更新されます。
• 指定したスケジュールでアップデートを展開 - 一定の割合のデバイスのみを最初に更新して、徐々に更新対象を増やしていきます。[ステージング スケジュール] を使用して、展開スケジュールを設定します。
• 更新を分散させる - ネットワーク帯域幅の制限がある場合、最長で 2 週間にわたって更新を分散させることができます。[自動更新を複数の日に分散] を使用して、分散させる日数を指定できます。

ステージング スケジュール

[指定したスケジュールでアップデートを展開] を選択した場合にのみ使用できます

デバイスを ChromeOS の新しいバージョンに更新するための展開スケジュールを指定します。この設定を使用することで、ChromeOS の新しいバージョンを一定の割合のデバイスにだけ適用することができます。デバイスの更新を行う日付は、リリース日より後にする必要があります。更新するデバイスを段階的に追加して、すべてのデバイスが更新されるようにします。

自動更新を複数の日に分散

分散して更新することを選択した場合にだけ使用できます。

更新がリリースされてから、管理対象のデバイスに更新がダウンロードされるまでのおおよその日数を指定します。この設定を使用すると、古いネットワークや帯域幅に余裕のないネットワークでのトラフィックの急増を避けることができます。デバイスがこの期間中にオフラインになっていた場合、再びオンラインにしたときに更新がダウンロードされます。

利用しているネットワークではトラフィックの急増に対処できないことがわかっている場合を除き、[自動更新を分散しない] を選択するか、日数に小さい数値を選択してください。更新の分散をオフにすると、ユーザーは Chrome の新しい機能や改善された機能をすぐに利用できるようになります。また、組織内に並存するバージョン数を最小限に抑えられるので、更新期間中の変更管理が簡単になります。

その他のブラックアウトの時間帯

Chrome が更新の自動チェックを一時的に停止する日時を指定します。デバイスが更新中の場合、Chrome は更新を一時的に停止します。ブラックアウトの時間帯は、必要に応じていくつでも設定できます。ブラックアウトの時間帯にユーザーや管理者が手動で開始した更新チェックはブロックされません。

注: このポリシーを設定すると、デバイスがブラックアウトの時間帯に自動更新をダウンロードできないため、ステージング スケジュールに影響を与える可能性があります。

更新後の自動再起動

更新後にデバイスを自動的に再起動するかどうかを指定します。デバイスがキオスクとして設定されている場合は、すぐに再起動されます。キオスク以外のユーザー セッションまたは管理対象ゲスト セッションの場合は、ユーザーがログアウトした後で自動的に再起動されます。

• 自動再起動を許可する - 自動更新が正常に行われた後、ユーザーがログアウトしたときに ChromeOS デバイスが再起動されます。
• 自動再起動を許可しない - 自動再起動が無効になります。

注: ユーザー セッションの場合は、再起動通知のユーザー ポリシーも設定して、最新の更新を取得するためにデバイスを再起動するようユーザーに通知することをおすすめします。詳しくは、再起動通知をご覧ください。

モバイル接続を介した更新

ChromeOS デバイスで ChromeOS を新しいバージョンに自動更新するときに使用できる接続のタイプを指定します。デフォルトでは、デバイスは Wi-Fi またはイーサネットに接続している場合にだけ更新を自動的にチェックしてダウンロードします。[モバイル接続を含むすべての接続形態で自動更新を許可する] を選択すると、モバイル ネットワークに接続しているときでもデバイスを自動更新できるようになります。

ピアツーピア

ピアツーピアを ChromeOS 更新ペイロードに使用するかどうかを指定します。[ピアツーピアの自動更新のダウンロードを許可する] を選択すると、デバイスは LAN 上で更新ペイロードを共有して使用しようとするため、インターネット帯域幅の使用量と輻輳が減る可能性があります。更新ペイロードが LAN 上で使用できない場合、デバイスは更新サーバーからのダウンロードにフォールバックします。

更新の適用

ChromeOS バージョン 86 以降を搭載しているデバイスの場合

• 次の期間が経過した後にデバイスとユーザー セッションがブロックされます - 指定したバージョンより古いバージョンの ChromeOS デバイスに適用されます。指定した期間を経過すると、ユーザーはデバイスからログアウトされます。1～6 週間の範囲で指定してください。デバイスが更新されるまでユーザーを即座にログアウトするには、[警告を表示しない] を選択します。
• 次のバージョンより古いバージョンを実行している場合 - ユーザーのデバイスで実行可能な最も古い ChromeOS のバージョンを指定します。

• 自動更新を受信しないデバイスがまだブロックされていない場合に、この期間を次の期間に延長 - ChromeOS のバージョンが指定したバージョンより古く、自動更新を受け取らなくなったデバイスに適用されます。自動更新が停止した後、ユーザーがデバイスからログアウトされるまでの期間を指定します。1～12 週間の範囲で指定してください。ユーザーを即座にログアウトするには、[警告を表示しない] を選択します。

• 最後の自動更新についてのアラート メッセージ - ChromeOS のバージョンが指定したバージョンより古く、自動更新を受け取らなくなったデバイスで、ユーザーに表示するメッセージを指定します。書式設定されていない書式なしテキストを使用してください。マークアップ形式は使用できません。空白のままにすると、ユーザーにはデフォルトのメッセージが表示されます。
  デバイスの自動更新について詳しくは、自動更新ポリシーをご覧ください。
  ユーザーのデバイス上のメッセージ表示は、[次の期間が経過した後にデバイスとユーザー セッションがブロックされます] で管理者が指定した期間を経過したかどうかによって異なります。
  • デバイスが指定した期間に達するまで - ユーザーがログインすると、Chrome 管理ページにメッセージが表示されます。
  • デバイスが指定した期間に達した後 - ユーザーのログイン画面にメッセージが表示されます。デバイスはブロックされ、ユーザーはログインできません。

更新版のダウンロード

ChromeOS デバイスが HTTP または HTTPS 経由で ChromeOS のアップデートをダウンロードするかどうかを指定します。

デバイスの Chrome OS が、選択したアプリで指定されたバージョンより新しいものに更新されないようにします。

[アプリを選択] をクリックすると Chrome ウェブストアが開きます。そこから目的のアプリを探して選択できます。

自動起動のキオスクアプリでのみ使用できます

自動起動のキオスクアプリに対して ChromeOS のバージョン管理を許可することで、デバイスの Chrome がそのアプリで指定されたバージョンより新しいものに更新されないようにします。

アプリのマニフェスト ファイルに "kiosk_enabled": true と記述し、必要な ChromeOS のバージョンを required_platform_version で指定する必要があります。マニフェスト ファイルの更新がデバイスに適用されるまでには、最長で 24 時間かかる場合があります。アプリのマニフェスト ファイルで設定を行う方法については、キオスクアプリで Chrome のバージョンを管理するをご覧ください。

Chrome のバリエーションを完全に有効にするか、重要な修正に対してのみ有効にするか、デバイスで無効にするかを管理できます。

バリエーションを使用すると、ブラウザの新しいバージョンを送信せずに、既存の機能を選択的に有効または無効にして Google Chrome に修正を加えることができます。

注: Google Chrome デベロッパーが重要なセキュリティ修正を適切なタイミングで提供できなくなる可能性があるため、バリエーションを無効にすることはおすすめしません。

詳しくは、Chrome のバリエーション フレームワークを管理するをご覧ください。

Chrome Kiosk デバイスの電源がオフになっているときにアラートを受け取るには、[アラートをメールで受け取る]、[アラートを SMS で受け取る] のいずれかまたは両方のチェックボックスをオンにします。

Chrome Kiosk デバイスのステータスに関する最新情報を取得します。

• 最新情報をメールで受け取る - [アラートを受け取るメールアドレス] の横にメールアドレスを 1 行につき 1 つ入力します。
• 最新情報を SMS で受け取る - [アラートを受け取る携帯電話番号] の横に電話番号を 1 行につき 1 つ入力します。

ブロックされる URL

Chrome ブラウザのユーザーが特定の URL にアクセスできないようにします。

これを設定するには、1 行に 1 つずつ URL を入力します。入力できる URL は最大 1,000 件です。

ブロックされる URL の例外

URL 拒否リストの例外を指定します。

これを設定するには、1 行に 1 つずつ URL を入力します。入力できる URL は最大 1,000 件です。

例

[ブロックされる URL] のエントリ	結果
example.com	example.com、www.example.com、sub.www.example.com に対するすべてのリクエストをブロックします。
http://example.com	example.com とそのサブドメインに対するすべての HTTP リクエストをブロックし、HTTPS リクエストは許可します。
https://*	あらゆるドメインへのすべての HTTPS リクエストをブロックします。
mail.example.com	mail.example.com に対するリクエストをブロックします。www.example.com や example.com に対するリクエストはブロックしません。
.example.com	example.com をブロックします。example.com/docs などのサブドメインはブロックしません。
.www.example.com	www.example.com をブロックします。サブドメインはブロックしません。
*	ブロックされる URL の例外として指定されているものを除き、URL に送信されるすべてのリクエストをブロックします。これには、http://google.com、https://gmail.com、chrome://policy などの URL スキームも含まれます。
*:8080	ポート 8080 へのすべてのリクエストをブロックします。
*/html/crosh.html	Chrome Secure Shell（Crosh Shell）をブロックします。
chrome://settings chrome://os-settings	chrome://settings へのすべてのリクエストをブロックします。
example.com/stuff	example.com/stuff とそのサブドメインへのすべてのリクエストをブロックします。
192.168.1.2	192.168.1.2 へのリクエストをブロックします。
youtube.com/watch?v=V1	ID に V1 を含む YouTube 動画をブロックします。

キオスクモードのプログレッシブ ウェブ アプリケーション（PWA）に適用されます。

有効にする仮想キーボードの機能を指定します。ユーザーに利用を許可する機能のチェックボックスをオンにします。

• 自動候補 - 自動修正またはスペルチェックの機能で単語を自動的に修正します。また、ユーザーの入力時に候補となる単語を表示します。
• 手書き入力認識 - ユーザーの手書き入力を読み取ります。仮想キーボードを使用せずに、画面に直接文字を入力できます。
• 音声入力 - 音声をテキストに変換します。通常はキーボードで入力する場所のほとんどに、音声でテキストを入力できます。

画面キーボードの使用方法について詳しくは、画面キーボードを使用するをご覧ください。

注: キオスクの仮想キーボード機能を設定する前に、画面キーボードが無効になっていないことを確認してください。詳しくは、キオスクの画面キーボードの設定をご覧ください。

本番環境のデバイスでトラブルシューティング ツールを有効にすることはおすすめしません。ツールを有効にする場合は、対象のデバイスの子組織部門を作成し、その子組織部門で設定を適用します。デバイスを本番環境にデプロイする前に、この設定を無効にするようにしてください。

管理者は、ユーザーがキオスク セッションでキオスクのトラブルシューティング ツールにアクセスできるかどうかを管理できます。

詳しくは、ChromeOS キオスク デバイスのトラブルシューティングをご確認ください。

キオスク セッションでのURL キーによる匿名化データの収集を実行するかどうかを指定できます。

ChromeOS キオスクに対してオンに設定されている場合、キオスクアプリに関する URL キーの指標を収集します。設定されていない場合、デフォルトで有効になり、ユーザーは変更できません。

Chrome リモート デスクトップ セッションに含まれるキオスク デバイスから、管理者によるファイルのアップロードとダウンロードを許可するかどうかを指定できます。有効にすると、管理者はトラブルシューティングの際にデバイスからログをダウンロードしたり、必要なデータをデバイスにアップロードしたりできるようになります。

ファイルの転送はデフォルトでは許可されていません。

ユーザーがデバイスのカバーを閉じたときに、デバイスをスリープ状態にするか、シャットダウンするか、何もしないかを選択します。

AC 電源を使用しているキオスク デバイスに適用されます。

アイドル タイムアウト（分単位）

値を分単位で入力し、キオスク デバイスがスリープ状態になるまで、ログアウトするまで、シャットダウンするまでのアイドル時間を指定します。

システムのデフォルト値（デバイスによって異なります）を使用する場合は、ボックスを空のままにします。アイドル時に操作が行われないようにするには、[アイドル時の操作] で [何もしない] を選択します。

アイドル警告のタイムアウト（分単位）

デバイスが現在のユーザーをログオフさせる、またはデバイスをシャットダウンすることを知らせる警告が表示されるまでのアイドル時間を指定するには、値を分単位で入力します。

アイドル警告を表示させないようにするには、次のいずれかの操作を行います。

• [アイドル警告のタイムアウト（分単位）] で、「0」を入力します。
• [アイドル時の操作] で、[スリープ] を選択します。
• [アイドル時の操作] で [何もしない] を選択します。

システムのデフォルト（システムによって異なる）を使用する場合は、[アイドル警告のタイムアウト（分単位）] を空白のままにします。

アイドル時の操作

アイドル時間が経過した後のデバイスの挙動を選択します。

• スリープ - デバイスをスリープモードにします。
• ログアウト - キオスクの現在のセッションを終了します。
• シャットダウン - キオスク デバイスをシャットダウンします。
• 何もしない - 何もしません。

画面消灯のタイムアウト（分単位）

デバイスの画面が消灯するまでのアイドル時間を指定するには、値を分単位で入力します。画面を消灯しないようにするには、「0」と入力します。システムのデフォルト値（デバイスによって異なります）を使用する場合は、ボックスを空のままにします。

画面オフのタイムアウト（分単位）

デバイスの画面がオフになるまでのアイドル時間を指定するには、値を分単位で入力します。画面をオフにしないようにするには、「0」を入力します。システムのデフォルト値（デバイスによって異なります）を使用する場合は、ボックスを空のままにします。

バッテリーを使用しているキオスク デバイスに適用されます。

アイドル タイムアウト（分単位）

値を分単位で入力し、キオスク デバイスがスリープ状態になるまで、ログアウトするまで、シャットダウンするまでのアイドル時間を指定します。

システムのデフォルト値（デバイスによって異なります）を使用する場合は、ボックスを空のままにします。アイドル時に操作が行われないようにするには、[アイドル時の操作] で [何もしない] を選択します。

アイドル警告のタイムアウト（分単位）

デバイスが現在のユーザーをログオフさせる、またはデバイスをシャットダウンすることを知らせる警告が表示されるまでのアイドル時間を指定するには、値を分単位で入力します。

アイドル警告を表示させないようにするには、次のいずれかの操作を行います。

• [アイドル警告のタイムアウト（分単位）] で、「0」を入力します。
• [アイドル時の操作] で、[スリープ] を選択します。
• [アイドル時の操作] で [何もしない] を選択します。

システムのデフォルト（システムによって異なる）を使用する場合は、[アイドル警告のタイムアウト（分単位）] を空白のままにします。

アイドル時の操作

アイドル時間が経過した後のデバイスの挙動を選択します。

• スリープ - デバイスをスリープモードにします。
• ログアウト - キオスクの現在のセッションを終了します。
• シャットダウン - キオスク デバイスをシャットダウンします。
• 何もしない - 何もしません。

画面消灯のタイムアウト（分単位）

デバイスの画面が消灯するまでのアイドル時間を指定するには、値を分単位で入力します。画面を消灯しないようにするには、「0」と入力します。システムのデフォルト値（デバイスによって異なります）を使用する場合は、ボックスを空のままにします。

画面オフのタイムアウト（分単位）

デバイスの画面がオフになるまでのアイドル時間を指定するには、値を分単位で入力します。画面をオフにしないようにするには、「0」を入力します。システムのデフォルト値（デバイスによって異なります）を使用する場合は、ボックスを空のままにします。

デフォルトで、Chrome Kiosk アプリを実行しているデバイスでは、ユーザー補助メニューが非表示になっています。[キオスクモードでユーザー補助のフローティング メニューを表示する] を選択すると、そのデバイスではユーザー補助機能の設定メニューが常に表示されるようになります。ユーザー補助機能の設定メニューは画面右下に表示されます。メニューでアプリのコンポーネント（ボタンなど）が隠れてしまう場合は、メニューを画面の別の隅に移動できます。

[キオスクモードでユーザー補助のフローティング メニューを表示しない] が選択されている場合でも、ユーザーはショートカットを使用してユーザー補助機能を有効にすることができます。ただし、管理者が管理コンソールで目的のユーザー補助設定を無効にしておらず、対応するショートカットが存在する場合に限られます。詳しくは、Chromebook のキーボード ショートカットをご覧ください。

注: 通常、Shift+Alt+L キーのショートカットでは、ランチャー ボタンとシェルフ上のアイテムがフォーカスされますが、Chrome Kiosk アプリを実行しているデバイスでは、このショートカットでユーザー補助メニューにフォーカスがあたります。

キオスク デバイスが画面に表示されているテキストを読み上げます。必要に応じて、点字デバイスを接続して設定することもできます。詳しくは、組み込みのスクリーン リーダーを使用すると Chromebook で点字デバイスを使用するをご覧ください。

特定のテキストが読み上げられるように、ユーザーが画面上の項目を選択できるようにします。選択した単語が ChromeOS によって読み上げられている間、各単語がハイライト表示されます。詳しくは、テキストを読み上げるをご覧ください。

画面を読みやすくするために、フォントと背景のカラーパターンを変更します。

ユーザーが、複数のキーを同時に押すのではなく、キーを 1 つずつ順番に押してショートカット キーの組み合わせを入力できるようにします。たとえば、固定キーでアイテムを貼り付ける操作をする場合は、最初に Ctrl キーを押してから V キーを押します（Ctrl キーと V キーを同時には押しません）。詳しくは、キーボード ショートカットのキーを 1 つずつ入力するをご覧ください。

ユーザーが物理キーを使用せずに文字を入力できるようにします。タッチスクリーン インターフェース搭載のデバイスでは一般的に画面キーボードを使用しますが、タッチパッド、マウス、またはジョイスティックを使用することもできます。詳しくは、画面キーボードを使用するをご覧ください。

キーボードの代わりに音声でテキストを入力することができます。詳しくは、音声でテキストを入力するをご覧ください。

ユーザーがキーボードを使用して項目間を移動すると、画面上の項目をハイライト表示します。これにより、画面上でフォーカスがあたっている位置がわかりやすくなります。

画面でテキストを編集しているときに、テキスト カーソルの周囲がハイライト表示されます。

マウスやタッチパッドのボタンを押さなくても、画面上のマウスカーソルが停止した位置で自動的にクリックされます。詳しくは、Chromebook で項目を自動的にクリックするをご覧ください。

マウスカーソルのサイズを大きくし、画面上で見やすくします。

画面上で見やすくなるように、マウスカーソルの周りにカラー フォーカス リングを作成します。

キオスクでマウスボタンの左右の機能を逆にすることができます。デフォルトでは、マウスの左ボタンがメインのボタンになっています。

ステレオ サウンドの音を聞き逃すことのないよう、すべてのスピーカーで同じ音を再生します。

ユーザー補助機能のキーボード ショートカットをユーザーが使用できるようにします。詳しくは、Chromebook のキーボード ショートカットをご覧ください。

画面全体を拡大（全画面拡大鏡）または一部を拡大（ドッキング拡大鏡）することができます。詳しくは、Chromebook の画面でズームや拡大鏡を使用するをご覧ください。

登録済みの ChromeOS デバイスで、現在の OS の状態に関する情報（OS のバージョン、起動モード、更新ステータスなど）をレポートするかどうかを指定します。

管理者は OS に関するすべての情報のレポートを有効または無効にできます。または、[カスタマイズ] を選択してレポートする情報を選択できます。

組織内のサポート対象のデバイスで Android アプリを有効にしている場合でも、この設定は Android のロギングやレポートには影響しません。

登録済み ChromeOS デバイスで、現在のハードウェア情報（重要な製品データ、システム情報、タイムゾーン ステータスなど）をレポートするかどうかを指定します。

ハードウェアに関するすべての情報のレポートを有効または無効にできます。または、[カスタマイズ] を選択してレポートする情報を選択できます。

組織内のサポート対象のデバイスで Android アプリを有効にしている場合でも、この設定は Android のロギングやレポートには影響しません。

[ハードウェアのステータス] と [ネットワーク インターフェース] のオプションは、ChromeOS バージョン 95 以前のデバイスにのみ適用されます。

登録済みの ChromeOS デバイスで、主要なコンポーネント（CPU、メモリ、ストレージ、グラフィックなど）のステータスに関するデバイス テレメトリーをレポートするかどうかを指定します。

テレメトリーに関するすべての情報のレポートを有効または無効にできます。または、[カスタマイズ] を選択してレポートする情報を選択することもできます。

組織内のサポート対象のデバイスで Android アプリを有効にしている場合でも、この設定は Android のロギングやレポートには影響しません。

デバイスの最近のユーザーを追跡するかどうかを指定します。

デフォルトでは、[最近のユーザーの追跡を有効にする] が選択されています。また、[ユーザーデータ] の設定が [すべてのローカル ユーザー データを消去] になっていて、ユーザーがログアウトしたときにデバイス上のすべてのユーザーデータが消去されるようになっている場合、この設定は無視されます。詳しくは、ユーザーデータをご覧ください。

キオスクモードの登録済み ChromeOS デバイスで、セッション ステータスをレポートするかどうかを指定します。

キオスクモードの登録済み ChromeOS デバイスで、キオスク アプリケーションに関する情報をレポートするかどうかを指定します。

登録済み ChromeOS デバイスで、印刷ジョブと印刷の使用状況を追跡するかどうかを指定します。

詳しくは、印刷レポートを表示するをご覧ください。

ChromeOS がデバイスのステータスをアップロードする間隔を分単位で指定します。指定できる最小値は 60 分です。

利用していないデバイスに関する通知レポート

ドメインで利用されていないデバイスに関するレポートがメールで届きます。このレポートには次の情報が含まれます。

• ドメインで利用されていないすべてのデバイス（[利用されていない日数] で指定した期間を経過しても同期されていないデバイス）に関する情報。
• 利用されていないデバイスの組織部門ごとの合計数（最近利用されなくなったデバイスの台数を含む）。
• 各デバイスの詳細情報（組織部門、シリアル番号、アセット ID、最終同期日など）へのリンク（新たに利用されなくなったデバイスが 30 台未満の場合）。

注: このレポートの一部の情報には、最長で 1 日の遅延が生じる場合があります。たとえば、利用されていなかったデバイスを同期してから 24 時間が経過していない場合、実際にはそのデバイスはすでに利用中であるものの、利用されていないデバイスのリストに表示されたままになることがあります。

利用されていない日数

指定した日数を経過してもデバイスが管理サーバーにチェックインしていない場合、そのデバイスは利用されていないとみなされます。日数には 1 より大きい整数を設定できます。

たとえば、過去 1 週間以内に同期されていないすべてのデバイスを「利用されていないデバイス」とする場合は、[利用されていない日数] の横に「7」と入力します。

通知の間隔（日）

利用されていないデバイスに関するレポートの送信頻度を指定するには、[通知の間隔（日）] に日数を入力します。

通知レポートの受信メールアドレス

通知レポートの受信メールアドレスを指定するには、アドレスを 1 行につき 1 つずつ入力します。

システムやブラウザのプロセスでエラーが発生したときに ChromeOS デバイスが Google に使用統計情報や障害レポートを送信するかどうかを指定します。

使用統計情報には、設定、ボタンのクリック数、メモリの使用状況などの集計情報が含まれます。ウェブページの URL や個人情報は含まれません。障害レポートには、障害発生時のシステム情報が含まれます。障害発生時の状況によっては、ウェブページの URL や個人情報が含まれる場合もあります。

組織内のサポート対象のデバイスに対して Android アプリを有効にしている場合、このポリシーで Android の使用状況と診断データの収集も管理します。

この設定を有効にした場合は、デバイスから管理サーバーにシステムログが送信されるので、管理者はログを確認できます。

デフォルトは [デバイスのシステムログのアップロードを無効にする] です。

ユーザーがシステム トレース サービスを使用して、システム全体のパフォーマンス トレースを収集できるようにするかを指定します。

デフォルトでは、ユーザーはシステム全体のトレースを収集できません。この設定では、システム全体のトレース収集のみが無効になります。ブラウザのトレース収集には影響しません。

XDR イベントは管理コンソールに表示されません。XDR イベントがプロバイダに報告されるようにするには、この設定をオンにする前に XDR プロバイダの設定を行ってください。詳しくは、ChromeOS デバイスの XDR を設定するをご覧ください。

ChromeOS デバイスが XDR イベントを送信するかどうかを指定します。

広範な検出と対応（XDR）システムは、プロセス、ネットワーク、その他のセキュリティに関連するイベントを監視することで、管理対象デバイスにおける一連の不審なアクティビティの特定をサポートします。

広範な検出と対応（XDR）イベントに関する情報を報告するを選択すると、登録済みデバイスは XDR イベントに関連する情報をプロバイダに報告します。

デバイスのディスプレイの解像度とスケーリング ファクタを設定します。

外部ディスプレイの設定は、接続しているディスプレイに適用されますが、指定した解像度やスケーリングに対応していないディスプレイには適用されません。

ユーザーによる変更を許可する

デフォルトでは、[既定のディスプレイ設定の変更をユーザーに許可する（推奨）] が選択されています。ユーザーはディスプレイの解像度とスケーリング ファクタを変更できますが、設定は次の再起動時にデフォルトに戻ります。ユーザーがディスプレイの設定を変更できないようにするには、[既定のディスプレイ設定の変更をユーザーに許可しない] を選択します。

外部ディスプレイの解像度

デフォルトでは、[常にネイティブ解像度を使用する] が選択されています。[外部ディスプレイの幅] と [外部ディスプレイの高さ] に入力された値は無視され、外部ディスプレイはネイティブの解像度に設定されます。

[カスタムの解像度を使用] を選択した場合、カスタムの解像度がすべての外部モニターに適用されます。カスタムの解像度に対応していないディスプレイには、ネイティブの解像度が適用されます。

外部ディスプレイの拡縮率

ChromeOS デバイスに接続されている外部モニターのディスプレイの拡縮率を指定します。

内部ディスプレイの拡縮率

ChromeOS デバイスの内部ディスプレイの拡縮率を指定します。

ログイン画面が表示されている（ログインしているユーザーがいない）ChromeOS デバイスを、指定時間の経過後にスリープ状態にするか、シャットダウンするか、またはログイン画面を表示したままにするかを指定します。この設定は、キオスクモードで使用しているデバイスがシャットダウンされないようにする場合に便利です。

現在のところ、この設定が適用されるのは、ログイン画面が表示されているキオスク デバイスのみです。

デバイスを再起動するまでの日数を指定できます。場合によっては、デバイスの再起動が同じ時刻に行われなかったり、次回ユーザーがログアウトするまで延期されたりすることもあります。セッションが実行中の場合、最長で 24 時間の猶予期間が適用されます。

Google では、定期的にアプリやデバイスをシャットダウンして再起動できるようにキオスクアプリを設定することをおすすめしています。

次の中から選択できます。

• ユーザーがシャットダウン アイコンまたは物理的な電源ボタンを使用してデバイスの電源をオフにできるようにする（デフォルト） - ユーザーはデバイスの物理ボタン、キーボード、マウス、または画面を使用してデバイスの電源をオフにできます。
• ユーザーが物理的な電源ボタンを使用してのみデバイスの電源をオフにできるようにする - ユーザーはボタンを使ってデバイスの電源をオフにできますが、キーボード、マウス、画面を使ってデバイスの電源をオフにすることはできません。

この設定は、キオスクまたはデジタル サイネージとして ChromeOS デバイスを使用しているような特殊な環境で役立ちます。

Dell Latitude 5300 2-in-1、5400、7410、7410 2-in-1 の Chromebook Enterprise デバイスに適用されます。

Dell Latitude 5300 2-in-1、5400、7410、7410 2-in-1 の Chromebook Enterprise デバイスに適用されます。

メイン バッテリーの充電モードを設定できます。次のいずれかを選択します。

• 標準 - 標準速度でバッテリーをフル充電します
• アダプティブ - 典型的な使用パターンに基づいて自動的にバッテリーを最適化します
• 高速充電 - 短時間でバッテリーを充電します
• メイン AC - 主に AC から充電することにより、バッテリーの寿命を延ばします
• カスタム - バッテリー残量に基づいて充電を開始および停止するタイミングを指定できます

注: この設定は、高度な充電モード設定と同時には使用できません。

Dell Latitude 5300 2-in-1、5400、7410、7410 2-in-1 の Chromebook Enterprise デバイスに適用されます。

1 日に 1 回だけフル充電することにより、バッテリーの寿命を延ばすことができます。バッテリーの劣化を抑えるために、指定した時間帯以外は、システムが電源に直接接続されていても低充電状態が維持されます。

[高度な充電モード] を有効にする場合は、毎日の開始時刻と終了時刻を入力します。

注: デバイスを低充電状態にするために、終了時間前の最後の 1.5 時間の間は電池が充電されなくなることがあります。

[AC 電源接続時に起動] を有効にした状態でデバイスをシャットダウンした場合、AC アダプターに接続するとデバイスはオンになります。

注: 電源に接続された Dell WD19 ドッキング ステーションにデバイスを接続すると、この設定が無効になっていても Chromebook はオンになります。

Chromebook がオフの状態で電源に接続されている場合、ユーザーは特殊な USB ポートを介してスマートフォンなど他のデバイスを充電できます。Chromebook がスリープモードの場合は、すべての USB ポートでデバイスを充電できます。

関連付けられていないユーザーにのみ適用されます。

ユーザーがログアウトしたときにデバイスを強制的に再起動するかどうかを指定します。デフォルトでは、[ユーザーのログアウト時に再起動しない] が選択されています。

デバイスを再起動する時刻、頻度（毎日、毎週、毎月）、曜日、月を指定できます。スケジュールは、デバイスのタイムゾーン設定に基づいています。

ユーザー セッションまたは管理対象ゲスト セッションの場合は以下が適用されます。

• 予定時刻の 1 時間前に、再起動が行われることがユーザーに通知されます。ユーザーは、すぐに再起動するか、スケジュールに基づいて再起動されるまで待つかを選択できます。スケジュール設定済み再起動を遅らせることはできません。
• デバイスの起動後 1 時間は猶予期間となります。猶予期間中はスケジュール設定済み再起動が行われず、設定に応じて、翌日、翌週、翌月にスケジュール変更されます。

デフォルトでは、スケジュール設定済み再起動は無効になっています。

Google では、定期的にアプリやデバイスをシャットダウンして再起動できるようにアプリを設定することをおすすめしています。たとえば、デバイスを毎週月曜日の午前 2 時にシャットダウンするようスケジュール設定します。

関連付けられていないユーザーが Linux アプリをサポートするために仮想マシンを使用できるかを管理できます。この設定は新しい Linux コンテナを起動する際に適用され、すでに実行されているコンテナには適用されません。

デフォルトの設定は [Linux アプリをサポートするために必要な仮想マシンの使用を、関連付けられていないユーザーに禁止する] であり、関連付けられていないユーザーは Linux アプリを利用するために仮想マシンを使用することができません。

[Linux アプリをサポートするために必要な仮想マシンの使用を、関連付けられていないユーザーに許可する] を選択すると、関連付けられていないすべてのユーザーが Linux 仮想マシンを使用できます。

関連付けられているユーザーに対してこの設定を有効にするには、[ユーザーとブラウザ] ページで [Linux アプリをサポートするために必要な仮想マシンの使用をユーザーに許可する] を選択します。詳しくは、関連付けられていないユーザー向けの Linux 仮想マシン（ベータ版）をご覧ください。

注: この機能は、一般ユーザー向け ChromeOS デバイスのベータ版では廃止されました。管理対象デバイスと管理対象ユーザー向けのベータ版には残ります。

管理者は ChromeOS デバイスごとに、信頼できない提供元の Android アプリの使用を管理できます。この設定は Google Play には適用されません。

• このデバイスのユーザーによる ADB サイドローディングの使用を禁止します - デフォルトで、信頼できない提供元の Android アプリをこのデバイスでは使用できないようにします。これにより、Chromebook を出荷時の状態に戻すようにユーザーが強制されることはありません。
• このデバイスのユーザーによる ADB サイドローディングの使用を禁止し、以前にサイドローディングが有効になっていた場合はデバイスの Powerwash を強制的に実行します - 信頼できない提供元の Android アプリをこのデバイスでは使用できないようにし、以前にサイドローディングが有効になっていた場合は Chromebook を出荷時の状態に戻すことをユーザーに強制します。
• このデバイスの関連ユーザーに ADB サイドローディングの使用を許可します - このデバイスの関連ユーザーに、信頼できない提供元の Android アプリの使用を許可します。[提供元が信頼されていない Android アプリ] ユーザー設定も有効にする必要があります。詳しくは、信頼できない提供元の Android アプリをご覧ください。

DHCP リクエストとともに DHCP サーバーに渡すホスト名を指定できます。

このポリシーを空白以外の文字列に設定した場合は、DHCP リクエストの際にその文字列がデバイスのホスト名として使用されます。

この文字列には ${ASSET_ID} 変数、${SERIAL_NUM} 変数、${MAC_ADDR} 変数、${MACHINE_NAME} 変数、${LOCATION} 変数を含めることができます。これらの変数は、デバイスで検出された値で置き換えられます。置き換えられた後の名前は RFC 1035 の 3.1 項に準拠した有効なホスト名である必要があります。

このポリシーを設定しない場合、または変数の解決後の名前が有効なホスト名ではない場合、DHCP リクエストにホスト名は設定されません。

プリンタへの接続が保護されており（ipps:// URI スキーム）、印刷ジョブを送信するユーザーが組織に所属している場合のみ有効になります。[client-info] をサポートするプリンタにのみ適用されます。

印刷ジョブのインターネット印刷プロトコル（IPP）印刷先に渡す [client-name] を設定できます。

[client-name] 属性のテンプレートを追加すると、追加した [client-info] が IPP プリンタに送信された印刷ジョブに送信されます。追加した [client-info] の [client-type] メンバーは [other] に設定されます。追加した [client-info] の [client-name] メンバーには、プレースホルダ変数を置換後のポリシーの内容が設定されます。

以下のプレースホルダ変数がサポートされています。

• ${DEVICE_DIRECTORY_API_ID}
• ${DEVICE_SERIAL_NUMBER}
• ${DEVICE_ASSET_ID}
• ${DEVICE_ANNOTATED_LOCATION}

サポートされていないプレースホルダ変数は置換されません。[client-name] は 127 文字以内で指定してください。

以下のような値を指定できます。

• アルファベット（英語）の小文字と大文字
• 数値
• ダッシュ（-）
• ドット（.）
• アンダースコア（_）

ポリシーが空白のまま、または無効な値が追加されている場合は、追加した [client-info] が印刷ジョブ リクエストに追加されません。

詳しくは、ChromeOS デバイスの詳細を表示するをご覧ください。

システム タイムゾーン

ユーザーのデバイスに設定するタイムゾーンを指定します。

システムのタイムゾーン自動検出

いずれかの設定を選択し、デバイスの現在のタイムゾーンを検出して設定する方法を指定します。

• ユーザーによる設定を許可する - ユーザーは Chrome の標準的な日時設定を使用してタイムゾーンを管理します。
• タイムゾーンを自動検出しない - ユーザーは手動でタイムゾーンを選択する必要があります。
• 常にタイムゾーンを簡易検出する - デバイスの IP アドレスを使用してタイムゾーンが設定されます。
• タイムゾーンの解決中に常に Wi-Fi アクセス ポイントをサーバーに送信する - デバイスが接続されている Wi-Fi アクセス ポイントの位置を使用してタイムゾーンが設定されます（最も正確な設定です）。
• 位置情報をすべて送信 - 位置情報（Wi-Fi アクセス ポイント、GPS など）を使用してタイムゾーンが設定されます。

ChromeOS デバイスのユーザーが、別の携帯通信会社が管理するモバイル ネットワークを使用して接続できるようにするかどうかを指定します（料金が請求される場合があります）。この設定を使用する場合は、ユーザーがデバイスでモバイル データ ローミングを許可する必要があります。

関連トピック: モバイル データ ネットワークに接続する

Citrix Receiver などのアプリケーションから直接アクセスできる USB デバイスのリストを指定できます。キーボード、署名パッド、プリンタやスキャナ、その他の USB デバイスなどをリストに含めることができます。このポリシーが設定されていない場合、着脱可能な USB デバイスのリストは空になります。

デバイスをリストに追加するには、USB のベンダー ID（VID）とプロダクト ID（PID）をコロンで区切った 16 進数値のペア（VID:PID）の形式で、1 行に 1 つずつ入力します。たとえば、VID が 046E で PID が D626 のマウスと、VID が 0404 で PID が 6002 の署名パッドをリストに追加するには、次のように入力します。

046E:D626
0404:6002

特定の周辺機器（Thunderbolt や USB4 のドック、ディスプレイ、コネクタのケーブルなど）については、フル パフォーマンスで適切に動作させるためにデータアクセスの保護を無効にする必要があります。

登録済みの ChromeOS デバイスでは、周辺機器のデータアクセス保護がデフォルトで有効になっており、周辺機器のパフォーマンスが制限されます。[データアクセス保護を無効にする] を選択すると、周辺機器のパフォーマンスを向上できますが、不正に使用された場合に個人データが漏洩する可能性があります。

デバイスで Bluetooth を有効または無効にできます。

• Bluetooth を有効にするには、[Bluetooth を無効にしない] を選択します。
• Bluetooth を無効にするには、[Bluetooth を無効にする] を選択します。

ポリシーを [Bluetooth を無効にする] から [Bluetooth を無効にしない] に変更した場合は、デバイスを再起動して変更を反映する必要があります。

ポリシーを [Bluetooth を無効にしない] から [Bluetooth を無効にする] に変更した場合は、変更がすぐに反映されるためデバイスを再起動する必要はありません。

ChromeOS デバイスで接続が許可されている Bluetooth サービスを一覧表示します。空白の場合、ユーザーはすべての Bluetooth サービスに接続できます。

キオスク デバイス、管理対象ゲスト セッションのデバイス、または Chrome バージョン 56 以降を搭載したユーザーモードのデバイスでサポートされています。

デバイスレベルでの帯域幅の使用量を管理します。Wi-Fi、イーサネット、USB イーサネット アダプター、USB モバイル通信ドングル、USB ワイヤレス カードなど、デバイスのあらゆるネットワーク インターフェースで帯域幅が調整されます。OS の更新を含むすべてのネットワーク トラフィックで帯域幅が調整されます。

設定を有効にするには:

1. [ネットワーク帯域幅調整を有効にする] を選択します。
2. ダウンロード速度とアップロード速度を kbps 単位で指定します。指定できる最小速度は 513 kbps です。

TPM ファームウェアの更新をインストールすると、デバイス上のデータが消去され、デバイスが初期状態にリセットされる場合があります。更新に何度も失敗すると、デバイスが使用不能になる可能性があります。

デバイスへの Trusted Platform Module（TPM）ファームウェアの更新インストールをユーザーに許可するには、[ユーザーに TPM ファームウェアの更新を許可する] を選択します。ファームウェアの更新をインストールする方法については、Chromebook のセキュリティの更新をご覧ください。

認証機能を実装したインターネット プロキシ サーバーをシステム トラフィックが経由できるかどうかを指定します。

デフォルトでは、認証機能を実装したプロキシ サーバーをシステム トラフィックが経由することはできません。

[システムのトラフィックが認証付きのプロキシを経由できるようにする] を選択した場合、インターネットにアクセスする際に、プロキシ サーバーはサービス アカウントの認証情報（ユーザー名とパスワード）による認証を要求します。これらの認証情報はシステム トラフィックでのみ使用されます。ブラウザ トラフィックの場合には、ユーザー自身の認証情報による認証を要求します。

注: 認証されたプロキシを介して送信できるのは HTTPS システム トラフィックのみです。これは、ChromeOS のアップデートに HTTP を使用しているユーザーに影響する可能性があります。ご利用のネットワークで HTTPS 経由の ChromeOS アップデートをサポートできない場合は、[更新版のダウンロード] で HTTP 経由のアップデートを許可するように設定してください。これらのアップデートはプロキシを経由しません。詳しくは、更新版のダウンロードをご覧ください。

Dell Latitude 5300 2-in-1、5400、7410、7410 2-in-1 の Chromebook Enterprise デバイスに適用されます。

ドッキング ステーションを Chromebook に接続するときに、ドッキング ステーションで使用する MAC アドレスを選択できます。

Dell Latitude 5300 2-in-1、5400、7410、7410 2-in-1 の Chromebook Enterprise デバイスに適用されます。

Dell SupportAssist プログラムを有効にして設定できます。Dell SupportAssist について詳しくは、Dell のサポートサイトをご覧ください。

ログイン画面および ChromeOS デバイスの管理対象ゲスト セッションに表示されるクロック形式を指定します。

デフォルトは [現在の言語に基づいて自動設定] です。時刻を 12 時間形式または 24 時間形式に変更することもできます。ユーザーはいつでもアカウントの時刻の表示形式を変更できます。

1 台のデバイスで複数のユーザーがインストールする場合に、アプリや拡張機能のキャッシュに使用できるサイズをバイト単位で指定します。つまり、アプリや拡張機能をユーザーごとに繰り返しダウンロードする必要がなくなります。

1 MB 未満に設定するか未設定のままにした場合、ChromeOS はデフォルトのサイズ（256 MiB）を使用します。

ハードウェア プロファイル（接続モニターの画質を向上させるために使用する ICC ディスプレイ プロファイルなど）を Google サーバーからダウンロードすることを許可するかどうかを指定します。

デフォルトでは、ハードウェア プロファイルのダウンロードを許可しています。

ディスク容量が少ない場合の通知を有効または無効にすることができます。この設定は、デバイスのすべてのユーザーに適用されます。

デフォルトは [ディスク容量が少ない場合に通知を表示しない] です。

• デバイスが管理されていない場合、またはユーザーが 1 人しかいない場合、ポリシーは無視され、常に通知が表示されます。
• 管理対象デバイスに複数のユーザー アカウントがある場合は、[ディスク容量が少ない場合に通知を表示する] を選択した場合にのみ通知が表示されます。

企業向けデバイスのユーザーに対して、ChromeOS の登録特典の利用を許可するかどうかを指定できます。

ユーザーが確認と分析のために、自身のデバイスでインターネット プロトコル（IP）パケットを取得することを許可するかどうか指定します。

複数の証明書が一致した場合に、ログイン画面でクライアント証明書を選択するよう求めるメッセージをユーザーに表示するかどうかを指定します。

メッセージが表示されるように選択し、[シングル サインオンのクライアント証明書] の設定に URL パターンのリストを入力した場合、複数の証明書が自動選択ポリシーに一致すると、ユーザーはクライアント証明書を選択するように求められます。詳しくは、シングル サインオンのクライアント証明書をご覧ください。

PIV カードが使用されている場合は、DriveLock Smart Card Middleware（CSSI） アプリ パラメータ（filter_auth_cert）を設定して、認証証明書を自動的にフィルタできます。詳しくは、ログイン時に証明書を自動選択するをご覧ください。

注: 証明書の選択に関するユーザーの知識が乏しい可能性があるため、[ログイン画面で複数の証明書が一致した場合にメッセージを表示する] 設定は、テスト目的でのみ使用するか、[シングル サインオンのクライアント証明書] 設定でフィルタを適切に設定できない場合にのみ使用することをおすすめします。

キーボード ショートカットのマッピングをオンまたはオフにできます。デフォルトでは、国際キーボード ショートカットはキーのグリフではなく、キーボード上のキーの位置にマッピングされます。国際キーボードのレイアウトに沿ったキーボード ショートカットを使用でき、従来のショートカットはサポートされなくなります。

注: カスタマイズしたキーボード ショートカットが利用可能になったら、このポリシーは廃止されます。

デフォルトでは、関連のないユーザーも管理対象の ChromeOS デバイスで Android アプリを使用できます。

この設定を変更した場合、ChromeOS 起動時など、管理対象の ChromeOS デバイスで Android アプリが実行されていない間にのみ、その変更が適用されます。

ChromeOS デバイスに Android アプリをインストールする方法については、管理対象の ChromeOS デバイス ユーザーに Android アプリをデプロイするをご覧ください。

ユーザーのデバイスに設定するキーボード バックライトのデフォルトの色を指定します。

デバイスのバッテリー残量または残り時間がしきい値を下回ったときに、通知音を再生するかどうかを指定します。

デバイスが電源に接続されていない場合は、次の場合に警告音が再生されます。

• 残りの使用時間が 15 分になったとき。
• 残りの使用時間が 5 分になったとき。

注: デバイスが低出力の充電器に接続されている場合、バッテリー残量がそれぞれ 10%、5% になったときに警告音が再生されます。

次のいずれかを選択します。

• バッテリー残量低下時のサウンドを有効にする - バッテリー残量が少なくなると、デバイスで通知音が再生されます。管理者がこのポリシーをオンにすると、ユーザーがオフにすることはできません。
• バッテリー残量低下時のサウンドを無効にする - バッテリー残量が少なくなっても、デバイスで警告の通知音は再生されません。管理者がこのポリシーをオフにすると、ユーザーがオンにすることはできません。
• ユーザーによる決定を許可 - 初期設定でバッテリー残量低下時のサウンドは、既存ユーザーの場合はオフ、新規ユーザーの場合はオンになっていますが、どのユーザーもいつでもオンまたはオフに切り替えることができます。

デバイスがコンセントにつながれたときに、バッテリー充電時のサウンドを再生するかどうかを指定します。バッテリー残量が次のしきい値に達すると、若干異なるサウンドが再生されます。

• 0～15%（低）
• 16～79%（中）
• 80～100%（高）

次のいずれかを選択します。

• 充電時のサウンドを有効にする - 充電器がコンセントにつながれると、デバイスで通知音が再生されます。管理者がこのポリシーをオンにすると、ユーザーがオフにすることはできません。
• 充電時のサウンドを無効にする - 充電器がコンセントにつながれても、デバイスで通知音は再生されません。管理者がこのポリシーをオフにすると、ユーザーがオンにすることはできません。
• ユーザーによる決定を許可 - 初期設定でデバイスの充電時のサウンドはオフになっていますが、ユーザーがいつでもオンまたはオフに切り替えることができます。

ChromeOS Flex デバイスが追加ハードウェア データを Google に送信するかどうかを制御します。

このハードウェア データは、ChromeOS および ChromeOS Flex の全体的な改善に使用されます。例えば、中央処理装置（CPU）に基づいてクラッシュの影響を分析したり、コンポーネントを共有するデバイス数に基づいてバグ修正の優先順位付けを行ったりします。

この設定をオンにした場合、ChromeOS Flex は追加ハードウェア データの詳細情報を共有します。この設定をオフにした場合、デバイスは標準のハードウェア データのみを共有します。

ランチャーまたは検索キーを使用してファンクション キーの動作を変更することをユーザーに許可するかどうかを管理できます。

次のいずれかを選択します。

• ユーザーによる決定を許可 - ランチャーまたは検索キーでファンクション キーの動作を変更できるようにするかどうかをユーザーが選択できます。
• ランチャーまたは検索キーでファンクション キーの動作を変更できるようにする ‐ ランチャーまたは検索キーを使用してファンクション キーの動作を変更できます。ユーザーはこの設定を変更できません。
• ランチャーまたは検索キーでファンクション キーの動作を変更できないようにする ‐ ランチャーまたは検索キーを使用してファンクション キーの動作を変更することはできません。ユーザーはこの設定を変更できません。

Education エディションでは現在ご利用いただけません

EMM パートナーがプログラムを使用してアクセスし、デバイス ポリシーの管理、デバイス情報の取得、リモート コマンドの実行を行えるようにします。パートナーはこのアクセス機能を使用して、Google 管理コンソールの機能を EMM コンソールと連携させることができます。

パートナーのアクセスがオンになっている場合、EMM パートナーは ChromeOS デバイスを個別に管理できます。つまり、管理コンソールの組織単位の構造ではなく、EMM コンソールで設定されている構造を使用できます。

パートナー アクセスと管理コンソールを使用して、同じデバイスに同じポリシーを同時に設定することはできません。パートナー アクセス コントロールを使用して設定されたデバイスレベルのポリシーは、管理コンソールで設定されたポリシーよりも優先されます。組織部門レベルでデバイスにポリシーを適用するには、[Chrome 管理 - パートナー アクセスを無効にする] を選択する必要があります。

関連トピック: EMM コンソールを使用して ChromeOS デバイスを管理する