Chrome デバイスのポリシーを設定する

Google 管理コンソールから Chrome ポリシーを設定する管理者を対象としています。

Chrome Enterprise 管理者は、ユーザーが管理対象の Chrome デバイス(Chromebook など)を使用する場合に適用する設定を管理できます。デバイスを使用するすべてのユーザーに、デバイスレベルの設定が適用されます。ゲストとしてログインしている場合や、個人の Gmail アカウントでログインしている場合も適用対象です。

デバイスの設定を行う

始める前に: 特定のデバイス グループに対して設定を行うには、対象デバイスを組織部門に配置します。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス] にアクセスします。

    [デバイス] が表示されていない場合は、画面下部の [その他の設定] をクリックします。

  3. 左側にある [Chrome 管理] をクリックします。
  4. [デバイスの設定] をクリックします。
  5. 左側で、設定を行う組織部門を選択します。
    すべてのデバイスの設定を行う場合は、最上位の組織を選択します。それ以外の場合は子組織を選択します。初期設定では、組織部門の設定は親組織から継承されます。
  6. 必要な設定を行います。各設定の詳細はこちらをご覧ください。

    ヒント: 上部にある検索バーに入力すると設定が簡単に見つかります。

    管理コンソールでは、設定が継承されているか、オーバーライドされているか([ローカルに適用しました] の表示)が示されます。

  7. 下部にある [保存] をクリックします。

    通常、設定は数分で有効になりますが、全員に適用されるまでに最長で 24 時間かかる場合もあります。

各設定の詳細

管理対象の Chromebook と、Chrome OS を搭載するその他の端末が対象です。

  • デバイス固有の設定アイコン デバイス固有の設定 が表示されている場合、その設定は特定のデバイスタイプでのみ利用できます。
  • ただし、シングルアプリ キオスクとして登録されているデバイスに対しては、一部の設定を行えないことがあります。

登録とアクセス

強制的に再登録
この設定はデフォルトで [ワイプ後にユーザー認証情報を使用してデバイスをこのドメインに自動再登録する] になっています。この設定をオフにするには、[ワイプ後にデバイスを自動再登録しない] を選択します。[強制的に再登録] が有効になっている状態で、特定の Chrome デバイスが再登録されないようにするには、そのデバイスをプロビジョニング解除する必要があります。これについては、強制再登録の詳細をご覧ください。
確認済みアクセス

Chrome デバイスに対して確認済みアクセスの設定を行うと、ウェブサービス クライアントが実行する Chrome OS に改変がなく、OS がポリシーに準拠している(管理者の要求に応じて確認済みモードで実行されている)ことの証明をウェブサービスがリクエストできるようになります。

確認済みアクセスの設定では、次の調整を行うことができます。

コンテンツ保護で有効にする - 組織内の Chrome デバイスは一意のキー(Trusted Platform Module)を使用し、コンテンツ プロバイダに対して ID の確認を行います。また、コンテンツ保護を有効にしていると、Chromebook が確認済みブートモードで実行されていることをコンテンツ プロバイダに対して証明できます。

コンテンツ保護で無効にする - 無効にすると、ユーザーが一部のプレミアム コンテンツを利用できなくなる可能性があります。詳細

詳細や手順については、Chrome デバイスで確認済みアクセスを有効にする(管理者向け)、Google Verified Access API デベロッパー ガイド(デベロッパー向け)をご覧ください。

確認済みモード

認証されたアクセスでブートモードのチェックが必要 - デバイスの認証を正常に行うには、そのデバイスが確認済みブートモードで実行されている必要があります。デベロッパー モードのデバイスは、確認済みアクセスのチェックで失敗します。

認証されたアクセスでブートモードのチェックをスキップ - デベロッパー モードのデバイスが確認済みアクセスのチェックにパスするようにします。

フルアクセスが付与されているサービス アカウント – Google Verified Access API に対する完全なアクセス権限が与えられるサービス アカウントのメールアドレスのリストです。これらのサービス アカウントは、Google Cloud Platform Console で作成されたものです。

アクセスが制限されているサービス アカウント – Google Verified Access API に対する制限付きのアクセス権限が与えられるサービス アカウントのメールアドレスのリストです。これらのサービス アカウントは、Google Cloud Platform Console で作成されたものです。

これらの設定を確認済みアクセスで使用する手順については、Chrome デバイスで確認済みアクセスを有効にする(管理者向け)や、Google Verified Access API デベロッパー ガイド(デベロッパー向け)をご覧ください。

無効になっているデバイスの返却手順

この設定では、無効になっているデバイスの画面に表示されるカスタムの文字列を指定できます。この画面を見たユーザーがデバイスを組織に返却できるように、返却先の住所と連絡先電話番号を含めることをおすすめします。

統合型の FIDO 二要素認証

ユーザーが Titan M セキュリティ チップ搭載デバイスで 2 要素認証(2FA)を使用できるかどうかを指定します。

ログイン設定

ゲストモード

管理対象の Chrome デバイスでゲスト ブラウジングを許可するかどうかを指定します。[ゲストモードを許可する](デフォルト)を選択すると、ユーザーのメインのログイン画面には、ゲストとしてログインするオプションが表示されます。[ゲストモードを無効にする] を選択すると、ユーザーは Google アカウントまたは G Suite アカウントでログインする必要があります。ユーザーがゲストモードでログインした場合、組織のポリシーは適用されません。

ログインの制限

管理対象の Chrome デバイスにログインする権限があるユーザーを制御できます。

デフォルトの [ログインをリスト内のユーザーのみに制限する] を選択した状態でテキストボックスを空のままにすると、Google アカウントまたは G Suite アカウントを持つすべてのユーザーがログインできるようになり、ログイン画面の [+ユーザーを追加] ボタンが使用できる状態になります。

テキストボックスにユーザー名を入力すると、入力したユーザーのみがログインできるようになり、それ以外のユーザーにはエラー メッセージが表示されます。ユーザー名は、メインのメールアドレスと名前をカンマで区切った形式で入力します。名前にはワイルドカードの *(任意の文字列に一致)を含めることができます。リストの一部のユーザーをデバイスに追加しなかった場合やワイルドカード(例: *@yourdomain.com)を使用している場合も、[+ユーザーを追加] ボタンを使用できます。すべてのユーザーをデバイスに追加した場合、[+ユーザーを追加] ボタンはグレー表示になります。

[いずれのユーザーにもログインを許可しない] を選択した場合、どのユーザーも Google アカウントまたは G Suite アカウントで Chrome デバイスにログインできなくなります。また、ログイン画面の [+ユーザーを追加] ボタンはグレー表示になります。注: この設定は、Chrome OS 28 以降の Chrome デバイスでのみ動作します。お使いのパソコンの Chrome OS がそれより前のバージョンのユーザーは引き続きログインできます。この設定は、管理対象ゲスト セッションで使用することを目的としたデバイスで一般的に使用されています。

ゲスト ブラウジングや管理対象ゲスト セッションが有効になっている場合、ユーザーは制限設定に関係なくデバイスを使用できるようになります。

組織内のサポート対象の Chrome デバイスで Android アプリを有効にしていても、ユーザー セッション中に Android の設定でアカウントの追加を許可するかしないかは、このポリシーだけでは制御できません。これを制御するには、アカウント管理を使用します。

ドメインのオートコンプリート

この設定では、ユーザーのログインページに表示するドメイン名を選択できます。この設定を有効にすると、ユーザーがログインするときにユーザー名の @[ドメイン名] の部分を入力する必要がなくなります。

デフォルトでは、この設定はオフです。オンにするには、プルダウン リストから [ログイン時のオートコンプリート機能に、以下のドメイン名を使用する] を選択してドメイン名を入力します。

注: ログイン時にユーザー名全体を入力することで、ユーザーはこの設定をオーバーライドできます。

ログイン画面

Chrome デバイスのログイン画面に、これまでにそのデバイスにログインしたことのあるユーザーの名前と写真を表示するかどうかを指定します。

  • ユーザーがログイン画面で自分のユーザー アカウントを選択できるようにするには - [ユーザー名と写真を常に表示] を選択します。
  • ログイン画面にユーザー アカウントが表示されないようにするには - [ユーザー名と写真を表示しない] を選択します。ユーザーは、Chrome デバイスにログインするたびに、Google アカウントのユーザー名とパスワードの入力を求められます。Chrome デバイスで SAML シングル サインオン(SSO)をご利用の場合は、SAML ID プロバイダ(IdP)ページが直接表示されるように設定しておけば、ユーザーはメールアドレスを入力しなくても SSO ログインページにリダイレクトされます。

ユーザーが 2 段階認証プロセスに登録済みの場合は、Chrome デバイスにログインするたびに、2 つ目の認証プロセスの手順を実施するよう求められます。

デバイスの管理外時間

従来の管理コンソールでのみご利用いただけます。

ゲスト ブラウジングとログイン制限の設定が Chrome OS を実行中の管理対象デバイスに適用されていない場合、週ベースのスケジュールを設定できます。

たとえば学校の管理者は、ゲスト ブラウジングをブロックしたり、ユーザー名の末尾が @schooldomain.edu のユーザーのみが授業中にログインできるように設定できます。授業中以外は、ユーザーはゲストモードでブラウジングしたり、@schooldomain.edu アカウント以外のアカウントを使用してデバイスにログインしたりすることができます。

デバイスの壁紙画像

ログイン画面のデフォルトの壁紙を独自の壁紙に変更できます。最大 16 MB の JPG 形式(.jpg または .jpeg ファイル)の画像をアップロードできます。他のファイル形式はサポートされていません。注: この設定は、Chrome OS 61 以降の Chrome デバイスでのみ動作します。

ユーザーデータ

登録された Chrome デバイスで、ユーザーがログアウトした後にローカルに保存された設定およびユーザーデータをすべて削除するかどうかを指定します。デバイスから同期されたデータはクラウドに残りますが、デバイス自体には残りません。

シングル サインオン ID プロバイダ(IdP)のリダイレクト

この設定の要件: Chrome デバイスに SAML SSO を設定する

シングル サインオン ユーザーが最初にメールアドレスを入力しなくても SAML ID プロバイダ(IdP)のページを直接表示できるようにするには、[シングル サインオン ID プロバイダ(IdP)のリダイレクト] を有効にします。この設定はデフォルトで無効になっています。

シングル サインオン Cookie の動作

この設定の要件: Chrome デバイスに SAML SSO を設定する

シングル サインオンのユーザーが、今後 Chrome デバイスにログインするときに同じ ID プロバイダを利用する内部ウェブサイトやクラウド サービスにログインできるようにするには、SAML SSO Cookie を有効にします。この設定はデフォルトで無効になっています。

SAML SSO Cookie は最初のログイン時に必ず転送されますが、以降のログイン時にも Cookie を転送するには、このポリシーを有効にする必要があります。

組織内のサポート対象の Chrome デバイスに対して Android アプリを有効にしていて、このポリシーを有効にした場合、Cookie は Android アプリに転送されません。

シングル サインオンによるカメラへのアクセスの許可

この設定の要件: Chrome デバイスに SAML SSO を設定する

SAML シングル サインオンを行う際に、サードパーティ製のアプリケーションやサービスに対してユーザーのカメラへの直接アクセスを許可する必要があるため、ユーザーに代わって管理者がシングル サインオンでのカメラへのアクセスの許可を有効にすることができます。この設定を使用することで、サードパーティ ID プロバイダ(IdP)は Chrome デバイスに新しい形の認証フローを提供できます。

IdP をホワイトリストに追加するには、各サービスの URL を 1 行に 1 つずつ入力します。この設定はデフォルトで無効になっています。

この設定を使用して組織に対して Clever Badges™ をセットアップする場合は、Clever のサポートサイトのページをご覧ください。
このポリシーを有効にすることで、管理者はユーザーに代わってサードパーティにカメラへのアクセスを許可します。なお、このポリシーによってカメラへのアクセスが許可されると、エンドユーザーに同意書が提示されなくなるため、相応の同意書をご準備ください。
シングル サインオンのクライアント証明書

この設定の要件: Chrome デバイスに SAML SSO を設定する

シングル サインオン(SSO)サイトのクライアント証明書を管理できます。

URL パターンの一覧を JSON 文字列として入力します。パターンに一致する SSO サイトがクライアント証明書を要求し、デバイス共通の有効なクライアント証明書がインストールされると、Chromeで自動的にそのサイトの証明書が選択されます。

証明書を要求するサイトがいずれのパターンとも一致しない場合、証明書は提供されません。

JSON 文字列の形式:

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"証明書の発行元の名前"}}}

ISSUER/CN パラメータでは、自動選択するクライアント証明書の発行元が実際に使用している認証局(CA)の名前を指定します。Chrome で任意の CA から発行された証明書を選択するには、“filter”:{} と入力し、このパラメータを空白のままにします。

例:

{"pattern":"https://[*.]ext.example.com","filter":{}}, {"pattern":"https://[*.]corp.example.com","filter":{}}, {"pattern":"https://[*.]intranet.usercontent.com","filter":{}}

アクセシビリティ コントロール

[ログアウト時に、ログイン画面のアクセシビリティ設定を無効にする] チェックボックスがオンになっている場合、ログイン画面の表示時またはユーザーがログイン画面で操作しないまま 1 分経過すると、アクセシビリティ設定(大きいカーソル、音声フィードバック、ハイコントラスト モード、拡大鏡のタイプ)がデフォルト値に戻ります。

このチェックボックスがオフになっている場合、ユーザーが有効または無効にしたアクセシビリティ設定は、デバイスを再起動してもログイン画面が表示されるたびに保存されたまま復元されます。

ログイン言語

従来の管理コンソールでのみご利用いただけます。

Chrome デバイスのログイン画面に表示される言語を指定します。デバイスのログイン画面が表示される言語をユーザーが選択できるようにすることも可能です。

ログイン画面のキーボード

Chrome デバイスのログイン画面で使用できるキーボード レイアウトを指定します。

デバイスの更新設定

: 以下の自動更新の設定を変更する前に、Chrome デバイスの更新を管理するをご覧ください。

自動更新の設定

自動更新

新バージョンの Chrome OS がリリースされた際に Chrome デバイスを自動更新するかどうかを指定します。ここでは、[自動更新を許可する] をオンにすることを強くおすすめします。最新バージョンの Chrome OS がリストに表示されます。

デバイスを登録して再起動する前に、バックグラウンドでのアップデートのダウンロードを停止するには、エンドユーザー ライセンス使用許諾契約の画面で Ctrl+Alt+E キーを押します。キーを押さない場合、ユーザーがデバイスを再起動したときに、ダウンロードされたアップデートが適用される可能性があるため、ポリシーでブロックする必要があります。
ソフトウェア サポートは最新バージョンの Chrome OS でのみご利用いただけます。

Google Chrome のバージョンを次までに制限する

Chrome デバイスが、指定したバージョンの Chrome OS 以降に更新されないようにします。この設定は、以降のバージョンの Chrome OS を使うとドメイン内のツールと互換性の問題が発生し、その問題を Chrome OS バージョンの更新前に解決する必要がある場合にのみ使用することをおすすめします。

一部の Chrome デバイスを Dev チャンネルまたは Beta チャンネルを使うよう設定しておくと、新しいバージョンの Chrome OS で互換性の問題が起きるどうか調べることができます。詳しくは、Chrome リリースのおすすめの使用方法をご覧ください。

ソフトウェア サポートは最新バージョンの Chrome OS でのみご利用いただけます。

自動更新を次の日数で分散

組織内の管理対象の Chrome デバイスが、リリース後にアップデートをダウンロードするまでのおおよその日数を指定します。トラフィックが急増しないよう、指定期間中に何度かに分けてダウンロードが行われるので、古いネットワークや帯域幅に余裕のないネットワークへの影響を抑えることができます。この期間中にデバイスがオフラインの状態だった場合は、オンラインになった時点でアップデートがダウンロードされます。

ご利用のネットワークがトラフィックの急増に対処できないことがわかっている場合を除き、このポリシーはデフォルト(なし)または小さい数字に設定してください。こうすることで、ユーザーは Chrome の改善された機能と新機能をいち早く使用できるようになり、組織内に並存するバージョン数を最小限に抑えることができるほか、更新期間中の変更管理も簡単になります。

更新後の自動再起動

[自動再起動を許可する] を選択した場合は、自動更新が正常に行われた後、ユーザーがログアウトしたときに Chrome デバイスが再起動されます。[自動再起動を許可しない] を選択したままの場合、自動再起動は行われません。

現在、自動再起動が行われるのは、デバイスが管理対象ゲスト セッション キオスクに設定されていて、ログイン画面が表示されている場合のみです。

モバイル接続を介した更新

Chrome デバイスの Chrome OS を新しいバージョンに自動更新するときに使用できる接続のタイプを指定します。デフォルトでは、Wi-Fi またはイーサネットに接続している場合にのみ、Chrome デバイスが更新を自動的にチェックしてダウンロードが行われます。[モバイル接続を含むすべての接続形態で自動更新を許可する] を選択すると、モバイル ネットワークに接続されているときに Chrome デバイスを自動更新できるようになります。

キオスクで管理する更新

特定のキオスクアプリに対して、そのアプリが実行されているデバイスの Chrome OS バージョンの管理を許可することができます。この設定を行うと、デバイスの Chrome OS が指定バージョンより新しいものに更新されるのを防ぐことができます。

[アプリを選択] をクリックするとダイアログ ボックスが表示され、Chrome ウェブストアのキオスクアプリを検索して選ぶことができます。

  • デバイスの Chrome OS バージョンの管理を行う Chrome キオスクアプリとして指定できるのは、一度に 1 つのみです。
  • アプリのマニフェスト ファイルに "kiosk_enabled": true を記述し、必要な Chrome OS バージョンを required_platform_version で指定する必要があります。マニフェスト ファイルの更新がデバイスに反映されるまでには、最長で 24 時間ほどかかることがあります。アプリのマニフェスト ファイルでの設定方法について詳しくは、キオスクアプリで Chrome OS のバージョンを制御するをご覧ください。
  • デバイスの Chrome OS のバージョンを、特定のキオスクアプリと自動起動されたキオスクアプリで同時に管理することはできません。
リリース チャンネル

リリース チャンネルの設定で、より実験的なバージョンにチャンネルを切り替えると、ユーザーが Chrome の最新機能を試すことができます。ユーザーにアップデートを送信するには、Chrome でサポートされる 3 つのリリース チャンネルを使用します。管理者は、ユーザー向けのチャンネルを選択することも、ユーザーがチャンネルを選択できるようにすることもで可能です。

リリース チャンネルをドメインの最上位レベルの組織で変更することはできません。変更できるのは組織部門単位のみです。
  • ユーザーに設定を許可: 使用するリリース チャンネルをユーザーが選択できます。ユーザーが Dev チャンネルを選択できるようにするには、[デベロッパー ツール] ユーザー ポリシーを [常に組み込みのデベロッパー ツールの使用を許可する] に設定する必要があります。
  • Stable チャンネル: このチャンネルは完全にテストされていて、クラッシュなどの問題を回避したい場合に最適です。マイナー アップデートは 2~3 週間に 1 回行われ、メジャー アップデートは 6 週間に 1 回行われます。
  • Beta チャンネル: 小さめのリスクで今後の変更と改善を確認したい場合は、このチャンネルを使用します。アップデートはほぼ毎週行われ、メジャー アップデートは 6 週間に 1 回行われます(Stable チャンネルより 1 か月以上早いリリースです)。
  • Dev チャンネル(不安定な場合があります): Chrome の最新機能を確認したい場合は、このチャンネルを選択します。Dev チャンネルのアップデートは週に 1~2 回行われます。このビルドはテスト済みですが、不具合が発生することもあります。

多くの組織は Stable チャンネルを使用するか、ユーザーにチャンネルの選択を許可することを選びますが、一部の IT 担当者やユーザーが Beta チャンネルや Dev チャンネルを使い続けると次のような利点があります。

  • 新機能が Stable チャンネルに登場する前に慣れておく。
  • ユーザー インターフェースに変更がある場合、アップデートの前にユーザー向けに準備を行う。
  • トラブルシューティングの際に、特定のバージョンの Chrome に固有の問題かどうかを判断する。
  • 新しい Chrome アップデートに関するフィードバックを提供する。
注:
  • Stable チャンネルから Beta チャンネルに移行するなど、Chrome の古いバージョンから新しいバージョンにユーザーを移行する場合は、ユーザーがデバイスを再起動することで変更が有効になります。
  • Dev チャンネルから Stable チャンネルに移行するなど、Chrome の新しいバージョンから古いバージョンに移行する場合は、変更が有効になるまで時間がかかることがあります。この場合、Stable チャンネルが現在の Dev チャンネルに追いつくまで、デバイスは Dev チャンネルのままになり、この状態は数週間続くことがあります。
利用していないデバイスからの通知

利用していないデバイスに関する通知レポート

デフォルトではこの設定はオフになっていますが、有効にするとドメインで利用していないデバイスに関するレポートが、指定したアドレスにメールで送信されます。このレポートには次の情報が含まれます。

  • ドメインで利用していないすべてのデバイス([利用されていない日数] で指定した期間を過ぎても同期されていないデバイス)に関する情報。
  • 利用していないデバイスの組織部門ごとの合計数(新たに利用されなくなったデバイスの台数を含む)。
  • 各デバイスの詳細情報(組織部門、シリアル番号、アセット ID、最終同期日(新たに利用されなくなったデバイスが 30 台未満の場合)など)へのリンク。

注: このレポートの一部の情報には、最長で 1 日の遅延が生じる場合があります。たとえば、利用していなかったデバイスを同期してから 24 時間が過ぎていない場合、実際にそのデバイスはすでに利用中であるものの、利用していないデバイスのリストに表示されたままになっていることがあります。

利用されていない日数

指定した日数を過ぎてもデバイスが管理サーバーにチェックインされていない場合、そのデバイスは利用されていないとみなされます。1 より大きい整数で日数を設定します。

たとえば、過去 1 週間以内に同期されていないすべてのデバイスを「利用していないデバイス」とする場合は、[利用されていない日数] 欄に「7」と入力します。

通知の間隔(日)

利用していないデバイスのレポートを送信する頻度を指定するには、[通知の間隔] 欄に日数を入力します。

通知レポートの受信メールアドレス

通知レポートの受信メールアドレスを指定するには、アドレスを 1 行に 1 つずつ入力します。

キオスクの設定

キオスクを設定する前に、キオスクとしてデバイスを登録する必要があります。登録が完了すると、管理コンソールの [デバイス管理] > [Chrome デバイス] をクリックして表示される画面にそのデバイスが表示されるようになります。

新しい [アプリと拡張機能] ページでは、すべてのアプリと拡張機能のプロビジョニングが一元管理されます。

  • キオスクアプリを設定する
  • アプリの自動起動を設定する
  • 次のような自動起動アプリの詳細設定を追加する
    • デバイスの稼働状況の監視
    • デバイスのシステムログのアップロード
    • 画面の回転

詳細については、アプリと拡張機能を表示、設定するアプリと拡張機能のポリシーを設定するをご覧ください。

管理対象ゲスト セッション

Chrome デバイスを管理対象ゲスト セッションとして設定する前に、そのデバイスが割り当てられている組織に管理対象ゲスト セッション設定が存在することを確認する必要があります。次に、[管理対象ゲスト セッションを許可する] を選択して、キオスクを管理対象ゲスト セッション キオスクとして設定します。

管理対象ゲスト セッション設定の作成については、管理対象ゲスト セッションのデバイスをご覧ください。

Chrome デバイスで管理対象ゲスト セッションを自動的に起動するには、[管理対象ゲスト セッションを自動起動する] を選択し、[自動起動の遅延] を「0」に設定します。

デバイスの稼働状況の監視を有効にする

Chrome デバイスで自動起動する管理対象ゲスト セッションでのみ使用できます。

[デバイスの稼働状況の監視を有効にする] を選択すると、キオスクの稼働状況に関するレポートを取得できます。この設定を行うと、デバイスがオンラインで正常に動作しているかどうかを確認できます。

詳しくは、稼働状況監視ステータスの表示をご覧ください。

デバイスのシステムログのアップロード有効化

Chrome デバイスで自動起動する管理対象ゲスト セッションでのみ使用できます。

[デバイスのシステムログのアップロード有効化] を選択すると、キオスク デバイスについてのシステムログが自動的に取得されます。ログは 12 時間おきに取得されて管理コンソールにアップロードされ、最長で 60 日間保存されます。各回につき 7 つのログをダウンロードできます(内訳は過去 5 日間の毎日 1 つずつ、30 日前の 1 つ、45 日前の 1 つです)。

詳しくは、キオスクの稼働状況を確認するをご覧ください。

注: ログのアップロードを有効にするには、デバイス操作が監視されている可能性があること、デバイスに入力したデータが誤ってログに記録され、共有される可能性があることを、管理対象のキオスク デバイスのユーザーに通知することが義務付けられます。上の内容をユーザーに通知せずにこの設定を有効にした場合は、Google との契約条項違反となります。

画面の回転(右回り)

Chrome デバイスで自動起動する管理対象ゲスト セッションでのみ使用できます。

キオスク デバイスの回転を設定するには、目的の画面の向きを選択します。たとえば、画面を回転して縦向きにするには、[90 度] を選択します。このポリシーは、デバイスの画面の向きを手動で変更するとオーバーライドできます。

キオスクのデバイス ステータスのアラート配信

Chrome キオスク デバイスに関するアラートを受け取るには、[アラートをメールで受け取る] と [アラートを SMS で受け取る] の一方または両方のチェックボックスをオンにします。アラートは、デバイスの状態がオンからオフに変わったときに送信されます。

キオスクのデバイス ステータスのアラートの送信先(連絡先情報)

Chrome キオスク デバイスに関するステータス更新情報を受け取るには、[アラートを受け取るメールアドレス] 欄にメールアドレスを入力します(複数の場合はカンマで区切ります)。

Chrome キオスク デバイスに関する更新情報を SMS で受け取るには、[アラートを受け取る携帯電話番号] の欄に携帯電話番号を入力します。番号が複数の場合は、「+1XXXYYYZZZZ, +1AAABBBCCCC」のようにカンマで区切ります。

ユーザーとデバイスをレポート

デバイスに関するレポート

デバイスの状態に関するレポート

この設定はデフォルトでオンになっています。ドメインの登録済み Chrome デバイスから、ファームウェア、Chrome やプラットフォームのバージョン、ブートモードといった現在のデバイスの状態を報告するかどうかを指定します。管理コンソールの [デバイス管理] > [Chrome] > [デバイス] に移動し、デバイスのシリアル番号をクリックしてデバイスの詳細を表示します。

組織内のサポート対象の Chrome デバイスに対して Android アプリを有効にしていても、このポリシーは Android で処理されるログやレポートには影響しません。

デバイスのユーザーの追跡

この設定はデフォルトでオンになっています。管理コンソールの [デバイス管理] > [Chrome] > [デバイス] > デバイスのシリアル番号 > [最近のアクティビティ] でデバイスをクリックすると、最近のデバイスのユーザーを追跡できます。 この設定は、ユーザー情報をすべて消去する設定が有効な場合は機能しません。

匿名での統計情報の報告

システムやブラウザのプロセスでエラーが発生したときに Chrome デバイスから Google に使用統計情報や障害レポートを送信するかどうかを指定します。

使用統計情報には、設定、ボタンのクリック数、メモリの使用状況などの集計情報が含まれますが、ウェブページの URL や個人情報は含まれません。障害レポートには、障害発生時のシステム情報が含まれます。障害発生時の状況によっては、ウェブページの URL や個人情報が含まれる場合もあります。

組織内のサポート対象の Chrome デバイスに対して Android アプリを有効にしている場合、このポリシーで Android の使用状況と診断データの収集も管理します。

電源とシャットダウン

電源管理

Chrome デバイスにログイン画面が表示されている状態のとき(ログインしているユーザーがいないとき)、指定時間経過後にスリープまたはシャットダウンを行うか、またはログイン画面を表示したままにするかを設定します。この機能は、キオスクモードで使用している Chrome デバイスがシャットダウンされないようにする場合に便利です。

スケジュールされた再起動

[再起動までの日数] を指定すると、指定した日数の経過後にデバイスが再起動します。再起動は、同じ時刻に行われず次回のログアウト時まで延期されることもあります。セッションが実行中の場合、最大 24 時間の猶予期間が適用されます。現在、自動再起動が行われるのは、デバイスがキオスクに設定されていて、ログイン画面が表示されている場合のみです。

Google では、Chrome OS がアプリやデバイス全体を再起動できるようにするために、キオスクアプリを定期的にシャットダウンするよう設定することをおすすめします。たとえば、アプリを毎日午前 2 時にシャットダウンするようスケジュール設定できます。

シャットダウンを許可する

[ユーザーがシャットダウン アイコンまたは物理的な電源ボタンを使用してデバイスの電源をオフにできるようにする] がデフォルトのオプションです。[ユーザーが物理的な電源ボタンを使用してのみデバイスの電源をオフにできるようにする] を選択すると、ユーザーはキーボード、マウス、画面からデバイスの電源をオフにできなくなり、デバイスの電源を物理的にオフにするほかなくなります。

この設定は Chrome デバイスをキオスクまたはデジタル サイネージ ディスプレイとして実行している場合など、特定の導入の状況下で役立ちます。

ピークシフトの電源管理

デバイス固有の設定  現在、Dell Latitude 5400 Chromebook Enterprise デバイスと Dell Latitude 5300 2-in-1 Chromebook Enterprise デバイスでご利用いただけます。

Chromebook をバッテリー電源に自動的に切り替えることで、消費電力を削減できます。

[ピークシフトの電源管理] を有効にした場合:

  1. [ピークシフトのバッテリーのしきい値] で、15〜100 のパーセンテージ値を入力します。バッテリーの充電残量が指定した値を超えている場合、デバイスはバッテリーで動作します。
  2. 毎日のピークシフト モード開始時刻と終了時刻を設定するには:

    1. [1 日のピークシフト設定] で、開始時刻と終了時刻を選択します。その時間帯は、デバイスが上記で設定したしきい値に到達しない限り、AC 電源は使用されません。
    2. [チャージの開始時間] で、バッテリーの充電を開始する時間を選択します。
メイン バッテリー充電の設定

デバイス固有の設定 現在、Dell Long Cycle Life バッテリー未搭載の Dell Latitude 5400 Chromebook Enterprise デバイスと5300 2-in-1 Chromebook Enterprise デバイスでご利用いただけます。

メイン バッテリーの充電モードを設定できます。次のいずれかを選択します。

  • 標準 - 標準速度でバッテリーをフル充電します
  • アダプティブ - 典型的な使用パターンに基づいて自動的にバッテリーを最適化します
  • 高速充電 - 短期間でバッテリーを充電します
  • メイン AC - 主に AC から充電することにより、バッテリ寿命を延ばします
  • カスタム - バッテリー残量に基づいて充電を開始および停止するタイミングを指定できます

: この設定は、高度な充電モード設定と同時には使用できません。

高度な充電モード

デバイス固有の設定  現在、Dell Latitude 5400 Chromebook Enterprise デバイスと Dell Latitude 5300 2-in-1 Chromebook Enterprise デバイスでご利用いただけます。

1 日に 1 回だけフル充電することにより、バッテリーの寿命を延ばすことができます。指定した時間帯以外は、バッテリーの劣化を抑えるために、システムが電源に直接接続されていても低充電状態が維持されます。

高度な充電モードを有効にする場合は、毎日の開始時刻と終了時刻を入力します。

AC 電源接続時に起動
デバイス固有の設定  現在、Dell Latitude 5400 Chromebook Enterprise デバイスと Dell Latitude 5300 2-in-1 Chromebook Enterprise デバイスでご利用いただけます。
[AC 電源接続時に起動] を有効にした状態でデバイスがシャットダウンした場合、AC アダプターに接続するとデバイスがオンになります。
USB Powershare
デバイス固有の設定  現在、Dell Latitude 5400 Chromebook Enterprise デバイスと Dell Latitude 5300 2-in-1 Chromebook Enterprise デバイスでご利用いただけます。

Chromebook がオフの状態で電源に接続されている場合、ユーザーは特殊な USB ポートを介してスマートフォンなど他のデバイスを充電できます。Chromebook がスリープモードの場合は、すべての USB ポートでデバイスを充電できます。

その他

Google クラウド プリント

従来の管理コンソールでのみご利用いただけます。

この機能を使用すると、Chrome デバイスのどのユーザーも、クラウド プリントを使用して印刷できるようになります。この設定は、管理対象ゲスト セッション用に設定された Chrome デバイスでよく使用されます。

  1. [有効にするクラウド プリンタを選択してください] の横にある [管理] をクリックします。
  2. 表示される [クラウド プリント] ダイアログで、選択した組織のデバイスに使用するクラウド プリンタを検索して追加します。
  3. [保存] をクリックします。

選択した組織のすべての Chrome デバイスでプリンタを共有できるようになるまでには、最長で 24 時間ほどかかることがあります。対象のデバイスでは、ゲスト ブラウジングのユーザーや管理対象ゲスト セッションのユーザーを含むすべてのユーザーが共有済みのクラウド プリンタを使って印刷できるようになります。

お客様が所有していないものの、お客様のドメインで共有しているプリンタは、ダイアログ ボックスの [その他のプリンタ] に表示されます。使用しなくなったプリンタやドメインで所有しなくなったプリンタは、[削除] をクリックして [その他のプリンタ] ボックスから削除します。

注: デバイスポリシーで共有されたプリンタは、「Google クラウド プリント」セクションではなく、「ローカルの送信先」セクションに表示されます。

導入に関する注意事項:

  • 管理コンソールで Google クラウド プリントにプリンタを追加するには、そのプリンタの所有者である必要があります。ドメインで複数のプリンタを使用する場合は、Google クラウド プリントのプリンタ管理専用の役割を持ったアカウントを作成することをおすすめします。ドメインにこうしたアカウントがすでにある場合は、そのアカウントでログインして、プリンタをドメイン内の Chrome デバイスと共有してください。この役割のアカウントにドメインの特権管理者の権限を付与したくない場合は、Chrome の委任管理者の役割を使用して、[デバイスの設定を管理] 権限のみを付与することができます。
  • 環境やプリンタによっては、Chrome のローカル印刷を使用できる場合があります。

既知の問題:

  • プリンタの所有権は G Suite アカウントに関連付けられます。そのため、ドメインに複数のドメイン管理者がいる場合は、ドメイン管理者によって異なる複数のプリンタが使用可能になっている可能性があります。
  • 管理者は、別のドメイン管理者が共有しているプリンタを削除できます。たとえば、「管理者 2」が所有しているプリンタを「管理者 1」が削除した場合、「管理者 1」はそのプリンタを再度追加することはできません。
  • 現在、以下の既知の問題により、[その他のプリンタ] セクションに表示されているプリンタが有効なものなのか、それとも削除済みであるのかを見分けられない状況が発生しています。Google では、この問題の解消に向けて取り組みを進めています。
    • 管理者が https://www.google.com/cloudprint/#printers でプリンタを削除すると、そのプリンタは使用できなくなるものの、[その他のプリンタ] には表示される。
    • プリンタの所有者が削除された場合、所有者がいなくなったプリンタが [その他のプリンタ] に表示される。
デバイスのネットワーク ホスト名テンプレート

DHCP リクエストとともに DHCP サーバーに渡すホスト名。

タイムゾーン

システム タイムゾーン

ユーザーのデバイスに設定するタイムゾーンをプルダウン リストから指定します。

システムのタイムゾーン自動検出

いずれかの設定を選択し、デバイスの現在のタイムゾーンを検出して設定する方法を指定します。

  • ユーザーによる設定を許可する: ユーザーは標準の Chrome OS の日時の設定を使用してタイムゾーンの自動検出ポリシーを指定します。
  • タイムゾーンを自動検出しない: ユーザーは手動でタイムゾーンを選択します。
  • 常にタイムゾーンを簡易検出する: デバイスの IP アドレスを使用してタイムゾーンが設定されます。
  • タイムゾーン解決中に常に Wi-Fi アクセス ポイントをサーバーに送信する: デバイスが接続されている Wi-Fi アクセス ポイントを使用して、タイムゾーンが設定されます。これは、最も正確なタイムゾーンを取得できる設定です。
  • 位置情報をすべて送信: タイムゾーンの設定には、位置情報(Wi-Fi アクセス ポイント、到達可能な基地局、GPS など)が使用されます。
モバイル データ ローミング

Chrome デバイスのユーザーが、別の携帯通信会社が管理するモバイル ネットワークを使用して接続できるようにするかどうかを指定します。この設定を使用すると、Chrome デバイスの [設定] の [インターネット] ページにある [モバイル データ ローミングを許可する] チェックボックスの設定が固定され、変更できなくなります。

データ ローミングを許可すると、通信料金がかかる場合があります。

着脱可能な USB のホワイトリスト

この機能を使用すると、Citrix Receiver などのアプリケーションから直接アクセスできる USB デバイスのリストを指定できます。キーボード、署名パッド、プリンタやスキャナ、その他の USB デバイスなどをリストに含められます。このポリシーが設定されていない場合、着脱可能な USB デバイスのリストは空になります。

デバイスをリストに追加するには、USB のベンダー ID(VID)とプロダクト ID(PID)をコロンで区切った 16 進数値のペア(VID:PID)の形式で、各デバイスを 1 行に 1 つずつ入力します。たとえば、VID が 046E で PID が D626 のマウスと、VID が 0404 で PID が 6002 の署名パッドをリストに追加するには、テキスト ボックスに下記を入力します。

046E:D626
0404:6002

注: VID と PID は、必ず 16 進数値の形式で入力してください。

Bluetooth

いずれかの設定を選択し、デバイスで Bluetooth を有効または無効にします。

  • Bluetooth を無効にしない - Bluetooth はデバイスで有効になります。
  • Bluetooth を無効にする - Bluetooth はデバイスで無効になります。

ポリシーを [Bluetooth を無効にする] から [Bluetooth を無効にしない] に変更した場合は、変更が反映されるようデバイスを再起動する必要があります。

ポリシーを [Bluetooth を無効にしない] から [Bluetooth を無効にする] に変更した場合は、変更がすぐに反映されるためデバイスを再起動する必要はありません。

デバイスの帯域幅の調整

[ネットワーク帯域幅調整を有効にします] を選択すると、Chrome 56 以降の Chrome デバイスでデバイスレベルの帯域幅の使用量を制御できます。この設定を行った後で、ダウンロード速度とアップロード速度を kbps 単位で指定します。接続を途切れさせずにデバイスでポリシーや Chrome OS アップデートを取得するには、513 kbps 以上の速度を指定してください。

Wi-Fi、イーサネット、USB イーサネット アダプタ、USB モバイル通信ドングル、USB ワイヤレス カードなど、デバイスのあらゆるネットワーク インターフェースで帯域幅が調整されます。OS アップデートを含むすべてのネットワーク トラフィックで帯域幅が調整されます。

キオスクモード、管理対象ゲスト セッション モード、ユーザーモードの Chrome デバイスで帯域幅を調整できます。

TPM ファームウェアの更新

デフォルトでは、ユーザーが Trusted Platform Module(TPM)ファームウェアのアップデートをデバイスにインストールすることはできません。ユーザーが TPM ファームウェアのアップデートをインストールして、デバイスのセキュリティ保護を強化できるようにするには、[ユーザーに TPM ファームウェアの更新を許可する] をオンにします。ファームウェアのアップデートをインストールする方法については、Chromebook のセキュリティのアップデートをご覧ください。

: TPM ファームウェアのアップデートをインストールすると、デバイス上のデータが消去され、デバイスが初期状態にリセットされる場合があります。また、更新の失敗が何度も繰り返されると、デバイスが使用不能になる可能性があります。

仮想マシン

ユーザーが Chrome OS デバイスで仮想マシンを実行できるかどうかを指定します。[許可] を選択すると、ユーザーが Linux アプリをインストールしたり、Linux のツール、エディタ、統合開発環境(IDE)を実行したりできるようになります。ユーザーが Linux アプリのサポートを有効にする方法について詳しくは、Chromebook で Linux(ベータ版)をセットアップするをご覧ください。

プラグイン VM

ユーザーがデバイスでプラグイン VM を使用できるかどうかを指定します。

MAC アドレスのパススルー

デバイス固有の設定  現在、Dell Latitude 5400 Chromebook Enterprise デバイスと Dell Latitude 5300 2-in-1 Chromebook Enterprise デバイスでご利用いただけます。

Chromebook に接続するときにドッキング ステーションで使用される MAC アドレスを選択できます。Chromebook に接続されているアドレスの指定が可能で、アドレスを有効にするには Chromebook を再起動する必要があります。

Dell SupportAssist

デバイス固有の設定  現在、Dell Latitude 5400 Chromebook Enterprise デバイスと Dell Latitude 5300 2-in-1 Chromebook Enterprise デバイスでご利用いただけます。

Dell SupportAssist プログラムを有効にして設定できます。Dell SupportAssist について詳しくは、Dell のサポートサイトをご覧ください。

Chrome 管理 - パートナー アクセス

Chrome 管理 - パートナー アクセス

[Chrome 管理 - パートナー アクセス] は、EMM パートナーがプログラムでデバイスポリシーへのアクセス、デバイス情報の取得、リモート コマンドの実行を行えるようにするためのデバイス設定です。パートナーはこのアクセス機能を使用して、Google 管理コンソールの機能を EMM コンソールと連携させることができます。

パートナー アクセスがオンになっている場合、EMM パートナーは Chrome デバイスを個別に管理できます。つまり、デバイスの管理には、管理コンソールの組織構造ではなく、EMM コンソールで設定された構造を使用できます。パートナー アクセスと管理コンソールを使用して、同じデバイスに同じポリシーを同時に設定することはできません。パートナー アクセス コントロールを使用して設定されたデバイスレベルのポリシーは、管理コンソールで設定された組織レベルのポリシーよりも優先されます。デバイスに対して組織レベルでポリシーを適用するには、[Chrome 管理 - パートナー アクセスを有効にします] をオフにする必要があります。

EMM コンソールを使用してユーザー ポリシーを設定することもできます。ただし、Chrome Kiosk サービスのみに登録している場合は、設定できるのはデバイスポリシーのみになります。

: 現在、G Suite for Education ドメインではこの設定をご利用いただけません。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。