Chrome デバイスのポリシーを設定する

Google 管理コンソールから Chrome ポリシーを設定する管理者を対象としています。

Chrome Enterprise 管理者は、ユーザーが管理対象の Chrome デバイス(Chromebook など)を使用する場合に適用する設定を管理できます。デバイスを使用するすべてのユーザーに、デバイスレベルの設定が適用されます。ゲストとしてログインしている場合や、個人の Gmail アカウントでログインしている場合も適用対象です。

デバイスの設定を行う

始める前に: 特定のデバイス グループに対して設定を行うには、対象デバイスを組織部門に配置します。​

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[デバイス管理] にアクセスします。

    [デバイス管理] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 左側にある [Chrome 管理] をクリックします。
  4. [デバイスの設定] をクリックします。
  5. 左側で、設定を行うデバイスが含まれる組織を選択します。

    すべてのデバイスの設定を行う場合は、最上位の組織を選択します。それ以外の場合は子組織を選択します。詳細 

  6. 必要な設定を行います。各設定の詳細はこちらをご覧ください。

    ヒント: 上部にある検索バーに入力すると設定が簡単に見つかります。

    組織に設定したポリシーは、下位レベルでオーバーライドされない限り、子組織のデバイスに継承されます。管理コンソールでは、設定が継承されているか、またはオーバーライドされているか([ローカルに適用しました] の表示)が示されています。

  7. 下部にある [保存] をクリックします。

    通常、設定は数分ほどで有効になりますが、全員に適用されるまで最長で 24 時間ほどかかる場合もあります。

各設定の詳細

管理対象の Chromebook と、Chrome OS を搭載するその他の端末が対象です。

ただし、シングルアプリ キオスクとして登録されているデバイスに対しては、一部の設定を行えないことがあります。

登録とアクセス

強制的に再登録
この設定はデフォルトで [ワイプ後にデバイスをこのドメインに再登録します] に設定されています。この設定をオフにするには、[ワイプ後にデバイスを再登録しません] を選択します。[強制的に再登録] が有効になっている状態で、特定の Chrome デバイスが再登録されないようにするには、そのデバイスをプロビジョニング解除する必要があります。これについては、強制再登録の詳細をご覧ください。
確認済みアクセス

Chrome デバイスに対して確認済みアクセスの設定を行うと、ウェブサービス クライアントが実行する Chrome OS に改変がなく、OS がポリシーに準拠している(管理者の要求に応じて確認済みモードで実行されている)ことの証明をウェブサービスがリクエストできるようになります。

確認済みアクセスの設定では、次の調整を行うことができます。

コンテンツ保護で有効にする - 組織内の Chrome デバイスは一意のキー(Trusted Platform Module)を使用し、コンテンツ プロバイダに対して ID の確認を行います。また、コンテンツ保護を有効にしていると、Chromebooks が確認済みブートモードで実行されていることをコンテンツ プロバイダに対して証明できます。

コンテンツ保護で無効にする - 無効にすると、ユーザーが一部のプレミアム コンテンツを利用できなくなる可能性があります。詳細

詳細や手順については、Chrome デバイスで確認済みアクセスを有効にする(管理者向け)、Google Verified Access API デベロッパー ガイド(デベロッパー向け)をご覧ください。

確認済みモード

確認済みアクセスでブートモードのチェックが必要です - デバイスの確認を正常に行うには、そのデバイスが確認済みブートモードで実行されている必要があります。デベロッパー モードのデバイスは、確認済みアクセスのチェックで失敗します。

確認済みアクセスでブートモードのチェックを省略します - デベロッパー モードのデバイスが確認済みアクセスのチェックにパスするようにします。

デバイス ID の受信を許可するサービス アカウント - Google Verified Access API に対する完全なアクセス権限を与えるサービス アカウントのメールアドレスのリストです。これらのサービス アカウントは、Google Cloud Platform Console で作成されたものです。

デバイスの確認にのみ使用され、デバイス ID を受信しないサービス アカウント - Google Verified Access API に対する制限付きのアクセス権限を与えるサービス アカウントのメールアドレスのリストです。これらのサービス アカウントは、Google Cloud Platform Console で作成されたものです。

これらの設定を確認済みアクセスで使用する手順については、Chrome デバイスで確認済みアクセスを有効にする(管理者向け)、Google Verified Access API デベロッパー ガイド(デベロッパー向け)をご覧ください。

無効になっているデバイスの返却手順

この設定では、無効になっているデバイスの画面に表示されるカスタムの文字列を指定できます。この画面を見たユーザーがデバイスを組織に返却できるように、返却先の住所と連絡先電話番号を含めることをおすすめします。

ログインの設定

ゲストモード

管理対象の Chrome デバイスでゲスト ブラウジングを許可するかどうかを指定します。[ゲストモードを許可する](デフォルト)を選択すると、ユーザーのメインのログイン画面には、ゲストとしてログインする方法が表示されます。[ゲストモードを許可しない] を選択すると、ユーザーは Google アカウントまたは G Suite アカウントでログインする必要があります。ユーザーがゲストモードでログインした場合、組織のポリシーは適用されません。

ログインの制限

管理対象の Chrome デバイスにログインする権限があるユーザーを指定できます。

デフォルトの [ログインを制限するユーザーのリスト] を選択した状態でテキスト ボックスを空のままにすると、Google アカウントまたは G Suite アカウントを持つすべてのユーザーがログインできるようになり、ログイン画面の [+ユーザーを追加] ボタンが使用できる状態になります。

テキスト ボックスにユーザー名を入力すると、入力したユーザーのみがログインできるようになり、それ以外のユーザーにはエラー メッセージが表示されます。ユーザー名は、メインのメールアドレスと名前をカンマで区切った形式で入力します。名前にはワイルドカードの *(任意の文字列に一致)を含めることができます。リストの一部のユーザーを端末に追加しなかった場合や、ワイルドカード(例: *@yourdomain.com)を使用している場合も [+ユーザーを追加] ボタンを使用できます。リストのすべてのユーザーがデバイスに追加されている場合、[+ユーザーを追加] ボタンはグレー表示になります。

[すべてのユーザーにログインを許可しない] を選択した場合、どのユーザーも Google アカウント または G Suite アカウントで Chrome デバイスにログインすることができなくなります。また、ログイン画面の [+ユーザーを追加] ボタンはグレー表示になります。注: この設定は、Chrome OS 28 以降の Chrome デバイスでのみ動作します。お使いのパソコンの Chrome OS がそれより前のバージョンのユーザーは引き続きログインできます。この設定は、管理対象ゲスト セッションで使用することを目的としたデバイスで一般的に使用されています。

ゲスト ブラウジングや管理対象ゲスト セッションが有効になっている場合は、ユーザーは制限設定に関係なくデバイスを使用できるようになります。

組織内のサポート対象の Chrome デバイスで Android アプリを有効にしていても、このポリシーだけではユーザー セッション中に Android の設定でアカウントの追加を許可するかしないかを制御できません。これを制御するには、アカウント管理を使用します。

ドメインのオートコンプリート

[ログイン時にオートコンプリート機能を使用するドメイン名] 設定を使用すると、ユーザーのログインページに表示するドメイン名を選択できます。この設定を有効にすると、ユーザーがログインするときにユーザー名の「@domain.com」の部分を入力する必要がなくなります。

デフォルトでは、この設定はオフです。オンにするには、[ログイン時のオートコンプリート機能に、以下のドメイン名を使用する] をプルダウン リストから選択してドメイン名を入力します。

注: ユーザーはログイン時にユーザー名全体を入力して、この設定をオーバーライドすることができます。

ログイン画面

Chrome デバイスのログイン画面に、これまでにそのデバイスにログインしたことのあるユーザーの名前と写真を表示するかどうかを指定します。

  • ユーザーがログイン画面で自分のユーザー アカウントを選択できるようにするには - [ユーザー名と写真を常に表示] を選択します。
  • ログイン画面にユーザー アカウントが表示されないようにするには - [ユーザー名と写真を表示しない] を選択します。ユーザーは、Chrome デバイスにログインするたびに、Google アカウントのユーザー名とパスワードの入力を求められます。Chrome デバイスで SAML シングル サインオン(SSO)をご利用の場合は、SAML ID プロバイダ(IdP)ページが直接表示されるように設定しておけば、ユーザーはメールアドレスを入力しなくても SSO ログインページにリダイレクトされます。

ユーザーが 2 段階認証プロセスに登録済みの場合は、Chrome デバイスにログインするたびに、2 つ目の認証プロセスの手順を実施するよう求められます。

時間外

ゲスト ブラウジングとログイン制限の設定が Chrome OS を実行中の管理対象デバイスに適用されていない場合、週ベースのスケジュールを設定できます。

たとえば学校の管理者は、ゲスト ブラウジングをブロックしたり、ユーザー名の末尾が @schooldomain.edu のユーザーのみが授業中にログインできるように設定できます。授業中以外は、ユーザーはゲストモードでブラウジングしたり、@schooldomain.edu アカウント以外のアカウントを使用してデバイスにログインしたりすることができます。

壁紙

ログイン画面のデフォルトの壁紙を独自の壁紙に変更できます。最大 16 MB の JPG 形式(.jpg または .jpeg ファイル)の画像をアップロードできます。他のファイル形式はサポートされていません。注: この設定は、Chrome OS 61 以降の Chrome デバイスでのみ動作します。

ユーザーデータ

登録された Chrome デバイスで、ユーザーがログアウトした後にローカルに保存された設定やユーザーデータをすべて削除するかどうかを指定します。デバイスから同期されたデータはクラウドに残りますが、デバイス自体には残りません。

シングル サインオン ID プロバイダ(IdP)のリダイレクト

この設定の要件: Chrome デバイスに SAML SSO を設定する

シングル サインオン ユーザーが最初にメールアドレスを入力しなくても SAML ID プロバイダ(IdP)のページを直接表示できるようにするには、[シングル サインオン ID プロバイダ(IdP)のリダイレクト] を有効にします。この設定はデフォルトで無効になっています。

シングル サインオン Cookie の動作

この設定の要件: Chrome デバイスに SAML SSO を設定する

シングル サインオンのユーザーが、今後 Chrome デバイスにログインするときに同じ ID プロバイダを利用する内部ウェブサイトやクラウド サービスにログインできるようにするには、SAML SSO Cookie を有効にします。この設定はデフォルトで無効になっています。

SAML SSO Cookie は最初のログイン時に必ず転送されますが、以降のログイン時にも Cookie を転送するには、このポリシーを有効にする必要があります。

組織内のサポート対象の Chrome デバイスに対して Android アプリを有効にしていて、このポリシーを有効にした場合、Cookie は Android アプリに転送されません。

シングル サインオンによるカメラへのアクセスの許可

この設定の要件: Chrome デバイスに SAML SSO を設定する

SAML シングル サインオンを行う際に、サードパーティ製のアプリケーションやサービスに対してユーザーのカメラへの直接アクセスを許可する必要があるため、ユーザーに代わって管理者がシングル サインオンでのカメラへのアクセスの許可を有効にすることができます。この設定を使用することで、サードパーティ ID プロバイダ(IdP)は Chrome デバイスに新しい形の認証フローを提供できます。

IdP をホワイトリストに追加するには、各サービスの URL を 1 行に 1 つずつ入力します。この設定はデフォルトで無効になっています。

この設定を使用して組織に対して Clever Badges™ をセットアップする場合は、Clever のサポートサイトのページをご覧ください。
このポリシーを有効にすることで、管理者はユーザーに代わってサードパーティにカメラへのアクセスを許可します。なお、このポリシーによってカメラへのアクセスが許可されるとエンドユーザーに同意書が提示されないため、管理者はユーザー向けに適切な同意書を用意しておく必要があります。
シングル サインオンのクライアント証明書

この設定の要件: Chrome デバイスに SAML SSO を設定する

シングル サインオン(SSO)サイトのクライアント証明書を管理できます。

URL パターンの一覧を JSON 文字列として入力します。パターンに一致する SSO サイトがクライアント証明書を要求し、デバイス共通の有効なクライアント証明書がインストールされると、Chromeで自動的にそのサイトの証明書が選択されます。

証明書を要求するサイトがいずれのパターンとも一致しない場合、証明書は提供されません。

JSON 文字列の形式:

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"証明書の発行元の名前"}}}

ISSUER/CN パラメータでは、自動選択するクライアント証明書の発行元が実際に使用している認証局(CA)の名前を指定します。Chrome で任意の CA から発行された証明書を選択するには、“filter”:{} と入力し、このパラメータを空白のままにします。

例:

{"pattern":"https://[*.]ext.example.com","filter":{}}, {"pattern":"https://[*.]corp.example.com","filter":{}}, {"pattern":"https://[*.]intranet.usercontent.com","filter":{}}

アクセシビリティ コントロール

[ログアウト時に、ログイン画面のアクセシビリティ設定を無効にする] チェックボックスがオンになっている場合、ログイン画面の表示時またはユーザーがログイン画面で操作しないまま 1 分経過すると、アクセシビリティ設定(大きいカーソル、音声フィードバック、ハイコントラスト モード、拡大鏡のタイプ)がデフォルト値に戻ります。

このチェックボックスがオフになっている場合、ユーザーが有効または無効にしたアクセシビリティ設定は、デバイスを再起動してもログイン画面が表示されるたびに保存されたまま復元されます。

ログイン言語

Chrome デバイスのログイン画面に表示される言語を指定します。デバイスのログイン画面が表示される言語をユーザーが選択できるようにすることもできます。

ログイン画面のキーボード

Chrome デバイスのログイン画面で使用できるキーボード レイアウトを指定します。

デバイスの更新の設定

: 下記の自動更新の設定を変更する前に、Chrome デバイスの自動更新を展開する方法をご覧ください。

自動更新の設定

自動更新

新バージョンの Chrome OS がリリースされた際に Chrome デバイスを自動更新するかどうかを指定します。ここでは、[自動更新を許可する] をオンにすることを強くおすすめします。最新バージョンの Chrome OS がリストに表示されます。

デバイスを登録して再起動する前にバックグラウンドでのアップデートのダウンロードを停止するには、エンドユーザー ライセンス使用許諾契約の画面で Ctrl+Alt+E キーを押します。キーを押さない場合、ユーザーがデバイスを再起動したときに、ダウンロードされたアップデートが適用される可能性があるため、ポリシーでブロックする必要があります。
ソフトウェア サポートは最新バージョンの Chrome OS でのみご利用いただけます。

Google Chrome のバージョンを次までに制限する

Chrome デバイスが、指定したバージョンの Chrome OS 以降に更新されないようにします。この設定は、以降のバージョンの Chrome OS を使うとドメイン内のツールと互換性の問題が発生し、その問題を Chrome OS バージョンの更新前に解決する必要がある場合にのみ使用することをおすすめします。

一部の Chrome デバイスを Dev チャンネルまたは Beta チャンネルを使うよう設定しておくと、新しいバージョンの Chrome OS で互換性の問題が起きるどうか調べることができます。詳しくは、Chrome リリースのおすすめの使用方法をご覧ください。

ソフトウェア サポートは最新バージョンの Chrome OS でのみご利用いただけます。

自動更新を次の日数で分散

組織内の管理対象の Chrome デバイスが、リリース後にアップデートをダウンロードするまでのおおよその日数を指定します。トラフィックが急増しないよう、指定期間中に何度かに分けてダウンロードが行われるので、古いネットワークや帯域幅に余裕のないネットワークへの影響を抑えることができます。この期間中にデバイスがオフラインの状態だった場合は、オンラインになった時点でアップデートがダウンロードされます。

ご利用のネットワークがトラフィックの急増に対処できないことがわかっている場合を除き、このポリシーはデフォルト(なし)または小さい数字に設定してください。こうすることで、ユーザーは Chrome の向上した機能と新機能をいち早く使用できるようになり、組織内に並存するバージョン数を最小限に抑えることができるほか、更新期間中の変更管理も簡単になります。

更新後の自動再起動

[自動再起動を許可する] を選択した場合は、自動更新が正常に行われた後、ユーザーがログアウトしたときに Chrome デバイスが再起動されます。[自動再起動を許可しない] を選択したままの場合、自動再起動は行われません。

現在、自動再起動が行われるのは、デバイスが管理対象ゲスト セッション キオスクに設定されていて、ログイン画面が表示されている場合のみです。

モバイル接続を介した更新

Chrome デバイスの Chrome OS を新しいバージョンに自動更新するときに使用できる接続のタイプを指定します。デフォルトでは、Wi-Fi またはイーサネットに接続している場合にのみ、Chrome デバイスは更新を自動的にチェックしてダウンロードします。[モバイル接続を含むすべての接続形態で自動更新を許可する] を選択すると、モバイル ネットワークに接続されているときに Chrome デバイスを自動更新できるようになります。

アプリで更新を管理

特定のキオスクアプリに対して、そのアプリが実行されているデバイスの Chrome OS バージョンの管理を許可することができます。この設定を行うことで、デバイスの Chrome OS が指定バージョンより新しいものに更新されるのを防ぐことができます。

[アプリを選択] をクリックするとダイアログ ボックスが表示され、Chrome ウェブストアのキオスクアプリを検索して選ぶことができます。

  • デバイスの Chrome OS バージョンの管理を行う Chrome キオスクアプリとして指定できるのは、一度に 1 つのみです。
  • アプリのマニフェスト ファイルに "kiosk_enabled": true を記述し、必要な Chrome OS バージョンを required_platform_version で指定する必要があります。マニフェスト ファイルの更新がデバイスに反映されるまでには、最長で 24 時間ほどかかることがあります。アプリのマニフェスト ファイルでの設定方法について詳しくは、Chrome OS のバージョン管理をアプリに許可するをご覧ください。
  • デバイスの Chrome OS のバージョンを、特定のキオスクアプリと自動起動されたキオスクアプリで同時に管理することはできません。
リリース チャンネル

リリース チャンネルの設定で、より実験的なバージョンにチャンネルを切り替えると、ユーザーが Chrome の最新機能を試すことができます。ユーザーにアップデートを送信するには、Chrome でサポートされる 3 つのリリース チャンネルを使用します。管理者は、ユーザー向けのチャンネルを選択することも、ユーザーがチャンネルを選択できるようにすることもできます。

ドメインの最上位レベルの組織でリリース チャンネルを変更することはできません。リリース チャンネルは組織部門単位でのみ変更できます。
  • ユーザーに設定を許可する: 使用するリリース チャンネルをユーザーが選択できます。ユーザーが Dev チャンネルを選択できるようにするには、[デベロッパー ツール] ユーザー ポリシーを [常に組み込みのデベロッパー ツールの使用を許可する] に設定する必要があります。
  • Stable チャンネルへ移行: このチャンネルは完全にテストされていて、クラッシュやその他の問題を回避したい場合に最適です。マイナー アップデートは 2~3 週間に 1 回行われ、メジャー アップデートは 6 週間に 1 回行われます。
  • Beta チャンネルへ移行: 小さめのリスクで今後の変更や改善を確認したい場合は、このチャンネルを使用します。アップデートはほぼ毎週行われ、メジャー アップデートは 6 週間に 1 回行われます(Stable チャンネルより 1 か月以上早いリリースです)。
  • Dev チャンネルへ移行: Chrome の最新機能を確認したい場合は、このチャンネルを選択します。Dev チャンネルのアップデートは週に 1~2 回行われます。このビルドはテスト済みですが、不具合が発生することもあります。

多くの組織は Stable チャンネルを使用するか、ユーザーにチャンネルの選択を許可することを選びますが、一部の IT 担当者やユーザーが Beta チャンネルや Dev チャンネルを使い続けると次のような利点があります。

  • 新機能が Stable チャンネルに登場する前に新機能に慣れておく。
  • ユーザー インターフェースに変更がある場合、アップデートの前にユーザー向けに準備を行う。
  • トラブルシューティングの際に、特定のバージョンの Chrome に固有の問題かどうかを判断する。
  • 新しい Chrome アップデートに関するフィードバックを提供する。
注:
  • Stable チャンネルから Beta チャンネルに移行するなど、Chrome の古いバージョンから新しいバージョンにユーザーを移行する場合は、ユーザーがデバイスを再起動することで変更が有効になります。
  • Dev チャンネルから Stable チャンネルに移行するなど、Chrome の新しいバージョンから古いバージョンに移行する場合は、変更が有効になるまで時間がかかることがあります。このシナリオでは、Stable チャンネルが現在の Dev チャンネルに追いつくまで、デバイスは Dev チャンネルのままになり、この状態が数週間続くことがあります。

キオスクの設定

キオスクの設定

キオスクを設定する前に、キオスクとしてデバイスを登録する必要があります。登録が完了すると、管理コンソールの [デバイス管理] > [Chrome デバイス] をクリックして表示される画面にそのデバイスが表示されるようになります。

管理対象ゲスト セッション

Chrome デバイスを管理対象ゲスト セッションとして設定する前に、そのデバイスが割り当てられている組織に管理対象ゲスト セッション設定が存在することを確認する必要があります。次に、[管理対象ゲスト セッションを許可する] を選択して、キオスクを管理対象ゲスト セッション キオスクとして設定します。組織に管理対象ゲスト セッション設定がすでに存在する場合は、[管理対象ゲスト セッションの設定の管理] をクリックして編集できます。

管理対象ゲスト セッション設定の作成については、管理対象のゲスト セッション デバイスをご覧ください。

管理対象ゲスト セッションを自動起動する

Chrome デバイスで管理対象ゲスト セッションを自動的に起動するには、[はい] を選択し、[自動ログインするまでの秒数] を「0」に設定します。

キオスクアプリを自動起動する

シングルアプリ キオスクとして Chrome デバイスを自動起動するには、リストからキオスクアプリを選択します。次回の起動時に、選択したアプリが全画面モードで自動的に起動します。

1 台のデバイスで指定できるキオスクアプリは一度に 1 つのみです。リストにキオスクアプリが表示されない場合は、[キオスクアプリ] セクションで [キオスクアプリの管理] をクリックしてアプリを指定します。

デバイスの稼働状況の監視を有効にする

[デバイスの稼働状況の監視を有効にする] を選択すると、キオスクの稼働状況に関するレポートを取得できます。この設定を行うと、デバイスがオンライン状態にあり、正常に動作しているかどうかを確認できます。

詳しくは、稼働状況監視ステータスの表示をご覧ください。

デバイスのシステムログのアップロード有効化

[デバイスのシステムログのアップロード有効化] を選択すると、キオスク デバイスについてのシステムログが自動的に取得されます。ログは 12 時間おきに取得されて管理コンソールにアップロードされ、最長で 60 日間保存されます。各回につき 7 つのログをダウンロードできます(内訳は過去 5 日間の毎日 1 つずつ、30 日前の 1 つ、45 日前の 1 つです)。

詳しくは、キオスクの稼働状況を確認するをご覧ください。

ログのアップロードを有効にするには、デバイス操作が監視されている可能性があること、デバイスに入力したデータが誤ってログに記録され、共有される可能性があることを、管理対象のキオスク デバイスのユーザーに通知することが義務付けられます。上の内容をユーザーに通知せずにこの設定を有効にした場合は、Google との契約条項違反となります。

画面の回転(右回り)

キオスク デバイスの回転を設定するには、目的の画面の向きを選択します。たとえば、画面を回転して縦向きにするには、[90 度] を選択します。このポリシーは、デバイスの画面の向きを手動で変更するとオーバーライドできます。

注: このポリシーは、管理対象ゲスト セッションまたはキオスクアプリを自動起動するように設定されているデバイスのみ使用できます。

OS のバージョン管理をキオスクアプリに許可する

この機能を使用すると、自動起動されたキオスクアプリを実行するデバイスの Chrome OS のバージョンを、そのキオスクアプリで管理できます。キオスクモードのデバイスがアプリで指定されたバージョンより新しい Chrome バージョンに更新されるのを防止できるため、アプリ(またはアプリ内の特定の機能)が最新の Chrome OS のリリースと互換性がない場合でも、キオスクアプリは安定して動作を続けることができます。

自動起動されたキオスクアプリでデバイスの Chrome OS バージョンを管理するには、[OS のバージョン管理をキオスクアプリに許可する] を選択します。

注:

  • このポリシーは、選択した組織部門で自動起動するようキオスクアプリが設定されている場合にのみ使用できます。
  • アプリのマニフェスト ファイルで、必要な Chrome OS バージョンが指定されている必要があります。詳しくは、Chrome キオスクアプリを作成するをご覧ください。
  • このポリシーを有効にするには、デバイスの更新の設定で [自動更新の設定] ポリシーを [自動更新を停止する] に設定する必要があります。このポリシーは、自動更新を許可している場合は使用できません。自動更新を有効にするには、[OS のバージョン管理をキオスクアプリに許可する] ポリシーを無効にします。
キオスクアプリ

[キオスク アプリケーションの管理] をクリックするとダイアログ ボックスが表示され、Chrome ウェブストアのキオスクアプリを検索して選択できます。ID と URL を入力してカスタムアプリを指定することもできます。複数のアプリを選択した場合は、[キオスクアプリを自動起動] の下にあるプルダウンメニューを使用して、Chrome デバイスで起動するアプリを選択できます。この変更を有効にするには、Chrome デバイスを再起動する必要があります。

Chrome ウェブストアでアプリを検索すると、キオスク対応のアプリのみがボックスに表示されます。

Chrome キオスクアプリ追加用のダイアログ ボックス

または、アプリ ID(アプリの URL の末尾にある文字列)を入力して任意の Chrome ウェブアプリを追加することもできます。たとえば、Chrome リモート デスクトップの URL は https://chrome.google.com/webstore/detail/chrome-remote-desktop/gbchcmhmhahfdphkhkmpfmihenigjmpp、アプリ ID は「gbchcmhmhahfdphkhkmpfmihenigjmpp」です。

注: 1 台のデバイスを管理対象ゲスト セッションとシングルアプリ キオスクの両方として設定できますが、自動起動できるセッションやアプリの種類は一度に 1 つのみです。たとえば、管理対象ゲスト セッションの自動起動を選択した場合、同じデバイスでキオスクアプリを自動起動することはできません。

参考情報:

キオスクのデバイス ステータスのアラート配信

Chrome キオスク デバイスに関するアラートを受け取るには、[アラートをメールで受信する] と [アラートを SMS で受信する] の一方または両方のチェックボックスをオンにし、メールアドレスや携帯電話番号を上の欄に入力してください。アラートは、デバイスの状態がオンからオフに変わったときに送信されます。

キオスクのデバイス ステータスのアラートの送信先(連絡先情報)

Chrome キオスク デバイスに関するステータス更新情報を受け取るには、[キオスクのデバイス ステータスのアラートの送信先(メール)] 欄にメールアドレスを入力します(複数の場合はカンマで区切ります)。

Chrome キオスク デバイスに関する更新情報を SMS で受け取るには、[キオスクのデバイス ステータスのアラートの送信先] の欄に携帯電話番号を入力します。番号が複数の場合は、「+1XXXYYYZZZZ, +1AAABBBCCCC」のようにカンマで区切ります。アラートは、デバイスの状態がオンからオフに変わったときに送信されます。

ユーザーとデバイスの報告

デバイスの報告

デバイスの状態の報告

この設定はデフォルトでオンになっています。ドメインの登録済み Chrome デバイスから、ファームウェア、Chrome やプラットフォームのバージョン、ブートモードといった現在のデバイスの状態を報告するかどうかを指定します。管理コンソールの [デバイス管理] > [Chrome] > [デバイス] に移動し、デバイスのシリアル番号をクリックしてデバイスの詳細を表示します。

組織内のサポート対象の Chrome デバイスに対して Android アプリを有効にしていても、このポリシーは Android で処理されるログやレポートには影響しません。

デバイスのユーザーの追跡

この設定はデフォルトでオンになっています。管理コンソールの [端末管理] > [Chrome] > [端末] > 端末のシリアル番号 > [最近のアクティビティ] の下で端末をクリックすることによって、最近の端末のユーザーを追跡できます。 この設定は、ユーザー情報をすべて消去する設定が有効な場合は機能しません。

利用していないデバイスからの通知

利用していないデバイスの通知の報告

デフォルトでは、この設定はオフです。この設定を有効にすると、ドメインで利用していないデバイスに関するレポートが、指定したアドレスにメールで送信されます。このレポートには次の情報が含まれます。

  • ドメインで利用していないすべてのデバイス([利用されていない日数] で指定した期間を過ぎても同期されていないデバイス)に関する情報。
  • 利用していないデバイスの組織部門ごとの合計数(新たに利用されなくなったデバイスの台数を含む)。
  • 各デバイスの詳細情報(組織部門、シリアル番号、アセット ID、最終同期日(新たに利用されなくなったデバイスが 30 台未満の場合)など)へのリンク。

注: このレポートの一部の情報には、最長で 1 日の遅延が生じる場合があります。たとえば、直前に「利用していないデバイス」であったデバイスを同期してから 24 時間を過ぎていない場合、実際にはそのデバイスはすでに利用中ですが、利用していないデバイスのリストにまだ表示されていることがあります。

利用されていない日数

指定した日数を過ぎてもデバイスが管理サーバーにチェックインされていない場合、そのデバイスは利用されていないとみなされます。1 より大きい整数で日数を設定します。

たとえば、過去 1 週間以内に同期されていないすべてのデバイスを「利用していないデバイス」とする場合は、[利用されていない日数] 欄に「7」と入力します。

通知の間隔

利用していないデバイスのレポートを送信する頻度を指定するには、[通知の間隔] 欄に日数を入力します。

通知レポートの宛先メールアドレス

通知レポートの宛先メールアドレスを指定するには、アドレスを 1 行に 1 つずつ入力します。

匿名での統計情報の報告

システムやブラウザのプロセスでエラーが発生したときに Chrome デバイスから Google に使用統計情報や障害レポートを送信するかどうかを指定します。

使用統計情報には、設定、ボタンのクリック数、メモリの使用状況などの集計情報が含まれますが、ウェブページの URL や個人情報は含まれません。障害レポートには、障害発生時のシステム情報が含まれます。障害発生時の状況によっては、ウェブページの URL や個人情報が含まれる場合もあります。

組織内のサポート対象の Chrome デバイスに対して Android アプリを有効にしている場合、このポリシーで Android の使用状況や診断データの収集も管理します。

電源とシャットダウン

電源管理

Chrome デバイスにログイン画面が表示されている状態のとき(ログインしているユーザーがいないとき)、指定時間経過後にスリープまたはシャットダウンを行うか、またはログイン画面を表示したままにするかを設定します。この機能は、キオスクモードで使用している Chrome デバイスがシャットダウンされないようにする場合に便利です。

スケジュールされた再起動

[再起動までの日数] を指定すると、指定した日数の経過後にデバイスが再起動します。再起動は、同じ時刻に行われず次回のログアウト時まで延期されることもあります。セッションが実行中の場合、最大 24 時間の猶予期間が適用されます。現在、自動再起動が行われるのは、デバイスがキオスクに設定されていて、ログイン画面が表示されている場合のみです。

Google では、Chrome OS がアプリやデバイス全体を再起動できるようにするために、キオスクアプリを定期的にシャットダウンするよう設定することをおすすめします。たとえば、アプリを毎日午前 2 時にシャットダウンするようスケジュール設定できます。

シャットダウン

デフォルトの設定は [ユーザーが画面上の [シャットダウン] アイコンや物理的な電源ボタンを使用してデバイスの電源をオフにできるようにします] です。[ユーザーが物理的な電源ボタンを使用してのみデバイスの電源をオフにできるようにします] を選択すると、ユーザーはキーボード、マウス、画面からデバイスの電源をオフにできなくなり、デバイスの電源を物理的にオフにするほかなくなります。

この設定は Chrome デバイスをキオスクまたはデジタル サイネージ ディスプレイとして実行している場合など、特定の導入の状況下で役立ちます。

その他

クラウド プリント

この機能を使用すると、Chrome デバイスのどのユーザーも、クラウド プリントを使用して印刷できるようになります。この設定は、管理対象ゲスト セッション用に設定された Chrome デバイスでよく使用されます。

  1. [有効にするクラウド プリンタを選択してください] の横にある [管理] をクリックします。
  2. 表示される [クラウド プリント] ダイアログで、選択した組織のデバイスに使用するクラウド プリンタを検索して追加します。
  3. [保存] をクリックします。

選択した組織のすべての Chrome デバイスでプリンタを共有できるようになるまでには、最長で 24 時間ほどかかることがあります。対象のデバイスでは、ゲスト ブラウジングのユーザーや管理対象ゲスト セッションのユーザーを含むすべてのユーザーが共有済みのクラウド プリンタを使って印刷できるようになります。

お客様が所有していないものの、お客様のドメインで共有しているプリンタは、ダイアログ ボックスの [その他のプリンタ] に表示されます。使用しなくなったプリンタやドメインで所有しなくなったプリンタは、[削除] をクリックして [その他のプリンタ] ボックスから削除します。

注: デバイスポリシーで共有されたプリンタは、「Google クラウド プリント」セクションではなく、「ローカルの送信先」セクションに表示されます。

導入に関する注意事項:

  • 管理コンソールで Google クラウド プリントにプリンタを追加するには、そのプリンタの所有者である必要があります。ドメインで複数のプリンタを使用する場合は、Google クラウド プリントのプリンタ管理専用の役割を持ったアカウントを作成することをおすすめします。ドメインにこうしたアカウントがすでにある場合は、そのアカウントでログインして、プリンタをドメイン内の Chrome デバイスと共有してください。この役割のアカウントにドメインの特権管理者の権限を付与したくない場合は、Chrome の委任管理者の役割を使用して、[デバイスの設定を管理] の権限のみを付与できます。
  • 環境やプリンタによっては、Chrome のローカル印刷を使用できる場合があります。

報告されている問題:

  • プリンタの所有権は G Suite アカウントに関連付けられます。そのため、ドメインに複数のドメイン管理者がいる場合は、ドメイン管理者によって異なる複数のプリンタが使用可能になっている可能性があります。
  • 管理者は、別のドメイン管理者が共有しているプリンタを削除できます。たとえば、「管理者 2」が所有しているプリンタを「管理者 1」が削除した場合、「管理者 1」はそのプリンタを再度追加することはできません。
  • 現在、以下の報告済みの問題により、[その他のプリンタ] セクションに表示されているプリンタが有効なものなのか、それとも削除済みであるのかを見分けられない状況が発生しています。Google では、この問題の解消に向けて取り組みを進めています。
    • 管理者が https://www.google.com/cloudprint/#printers でプリンタを削除すると、そのプリンタは使用できなくなるものの、[その他のプリンタ] には表示される。
    • プリンタの所有者が削除された場合、所有者がいなくなったプリンタが [その他のプリンタ] に表示される。
タイムゾーン

システム タイムゾーン

ユーザーのデバイスに設定するタイムゾーンをプルダウン リストから指定します。

システムのタイムゾーン自動検出

いずれかの設定を選択し、デバイスの現在のタイムゾーンを検出して設定する方法を指定します。

  • ポリシーの設定なし(デフォルト = ユーザーによる設定を許可する): ポリシーが設定されていない場合、ユーザーは Chrome OS の日時の設定を使用してタイムゾーンの自動検出を有効または無効にするかどうかを決定します。
  • ユーザーによる設定を許可する: ユーザーは標準の Chrome OS の日時の設定を使用してタイムゾーンの自動検出ポリシーを指定します。
  • タイムゾーンを自動検出しない: ユーザーは手動でタイムゾーンを選択します。
  • 常にタイムゾーンを簡易検出する: デバイスの IP アドレスを使用してタイムゾーンが設定されます。
  • タイムゾーン解決中に常に Wi-Fi アクセス ポイントをサーバーに送信する: デバイスが接続されている Wi-Fi アクセス ポイントを使用して、タイムゾーンが設定されます。これは、最も正確なタイムゾーンを取得できる設定です。
モバイル データ ローミング

Chrome 搭載端末のユーザーが、別の携帯通信会社が管理するモバイル ネットワークを使用して接続できるようにするかどうかを指定します。この設定を使用すると、Chrome 搭載端末の [設定] の [インターネット] ページにある [モバイル データ ローミングを許可する] チェックボックスの設定が固定され、変更できなくなります。

データ ローミングを許可すると、通信料金がかかる場合があります。

着脱可能な USB のホワイトリスト

この機能を使用すると、Citrix Receiver などのアプリケーションから直接アクセスできる USB デバイスのリストを指定できます。キーボード、署名パッド、プリンタやスキャナ、その他の USB デバイスなどをリストに含められます。このポリシーが設定されていない場合、着脱可能な USB デバイスのリストは空になります。

デバイスをリストに追加するには、USB のベンダー ID(VID)とプロダクト ID(PID)をコロンで区切った 16 進数値のペア(VID:PID)の形式で、各デバイスを 1 行に 1 つずつ入力します。たとえば、VID が 046E で PID が D626 のマウスと、VID が 0404 で PID が 6002 の署名パッドをリストに追加するには、テキスト ボックスに下記を入力します。

046E:D626
0404:6002

注: VID と PID は、必ず 16 進数値の形式で入力してください。
Bluetooth

いずれかの設定を選択し、デバイスで Bluetooth を有効または無効にします。

  • ポリシーの設定なし(デフォルト = Bluetooth を無効にしない)- ポリシーが設定されていない場合、Bluetooth はデバイスで有効になっています。
  • Bluetooth を無効にしない - Bluetooth はデバイスで有効になっています。
  • Bluetooth を無効にする - Bluetooth はデバイスで無効になっています。

ポリシーを [Bluetooth を無効にする] から [Bluetooth を無効にしない] または [ポリシーの設定なし] に変更した場合は、変更が反映されるようデバイスを再起動する必要があります。

ポリシーを [Bluetooth を無効にしない] または [ポリシーの設定なし] から [Bluetooth を無効にする] に変更した場合は、変更がすぐに反映されるためデバイスを再起動する必要はありません。

デバイスの帯域幅の調整

[ネットワーク帯域幅調整を有効にします] を選択すると、Chrome 56 以降の Chrome デバイスでデバイスレベルの帯域幅の使用量を制御できます。この設定を行った後で、ダウンロード速度とアップロード速度を kbps 単位で指定します。接続を途切れさせずにデバイスでポリシーや Chrome OS アップデートを取得するには、513 kbps 以上の速度を指定してください。

Wi-Fi、イーサネット、USB イーサネット アダプタ、USB モバイル通信ドングル、USB ワイヤレス カードなど、デバイスのあらゆるネットワーク インターフェースで帯域幅が調整されます。OS アップデートを含むすべてのネットワーク トラフィックで帯域幅が調整されます。

キオスクモード、管理対象ゲスト セッション モード、ユーザーモードの Chrome デバイスで帯域幅を調整できます。

TPM ファームウェアの更新

デフォルトでは、ユーザーが Trusted Platform Module(TPM)ファームウェアのアップデートをデバイスにインストールすることはできません。ユーザーが TPM ファームウェアのアップデートをインストールして、デバイスのセキュリティ保護を強化できるようにするには、[ユーザーに TPM ファームウェアの更新を許可する] をオンにします。ファームウェアのアップデートをインストールする方法については、Chromebook のセキュリティのアップデートをご覧ください。

: TPM ファームウェアのアップデートをインストールすると、デバイス上のデータが消去され、デバイスが初期状態にリセットされる場合があります。また、更新の失敗が何度も繰り返されると、デバイスが使用不能になる可能性があります。

仮想マシン

ユーザーが Chrome OS デバイスで仮想マシンを実行できるかどうかを指定します。[許可] を選択すると、ユーザーが Linux アプリをインストールしたり、Linux のツール、エディタ、統合開発環境(IDE)を実行したりできるようになります。ユーザーが Linux アプリのサポートを有効にする方法について詳しくは、Chromebook で Linux(ベータ版)をセットアップするをご覧ください。

Chrome 管理 - パートナー アクセス

Chrome 管理 - パートナー アクセス

[Chrome 管理 - パートナー アクセス] は、EMM パートナーがプログラムでデバイスポリシーへのアクセス、デバイス情報の取得、リモート コマンドの実行を行えるようにするためのデバイス設定です。パートナーはこのアクセス機能を使用して、Google 管理コンソールの機能を EMM コンソールと連携させることができます。

パートナー アクセスがオンになっている場合、EMM パートナーは Chrome デバイスを個別に管理できます。つまり、デバイスの管理には、管理コンソールの組織構造ではなく、EMM コンソールで設定された構造を使用できます。パートナー アクセスと管理コンソールを使用して、同じデバイスに同じポリシーを同時に設定することはできません。パートナー アクセス コントロールを使用して設定されたデバイスレベルのポリシーは、管理コンソールで設定された組織レベルのポリシーよりも優先されます。デバイスに対して組織レベルでポリシーを適用するには、[Chrome 管理 - パートナー アクセスを有効にします] をオフにする必要があります。

EMM コンソールを使用してユーザー ポリシーを設定することもできます。ただし、Chrome Kiosk サービスのみに登録している場合は、設定できるのはデバイスポリシーのみになります。

: 現在、G Suite for Education ドメインではこの設定をご利用いただけません。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。