Google 管理コンソールから Chrome ポリシーを設定する管理者を対象としています。
管理コンソールで、次の項目に Chrome ポリシーを適用できます。
- ユーザー アカウント: ユーザーのデバイス間でポリシーと設定が同期されます。いずれのデバイスでも、ユーザーが管理対象アカウントで Chrome ブラウザにログインすると、設定が適用されます。
- 登録済みブラウザ: ユーザーが管理対象の Microsoft® Windows®、Apple® Mac®、Linux の各パソコンで Chrome ブラウザを開くと、ポリシーが適用されます。ログインは不要です。
ステップ 1: 設定が適用されるタイミングを理解する
Chrome ポリシーが適用されるタイミングは、ユーザー アカウントまたは登録済みブラウザのどちらにポリシーを設定したかによって異なります。
ユーザー アカウントにポリシーを設定した場合
ユーザーが次のいずれかのデバイスで管理対象の Google アカウントにログインしたときに適用されます。
- Windows、Mac、Linux、Android、iOS デバイス上の Chrome ブラウザ
注: この場合、ドメインの所有権を確認済みのアカウントの一部となっているユーザー アカウントにのみポリシーを適用できます。メールによる確認済みのアカウントを使用している場合、ドメインの所有権を証明してこの機能を利用できるようにする必要があります。 - Chromebook などの ChromeOS デバイス
- サポート対象の ChromeOS デバイスで動作する Android アプリ
ChromeOS デバイスで Android アプリを有効にする必要があります。
次の場合、ポリシーは適用されません。
- ユーザーが組織外の Google アカウント(個人の Gmail アカウントなど)にログインする場合
- ユーザーがゲストとして Chromebook にログインする場合
仕事用の設定でデバイス間の同期が必要な場合(仕事用アプリ、ホームタブ、テーマなど)に適しています。
はじめに、Chrome ブラウザのユーザーレベル管理を設定するをご覧ください。
登録済みブラウザにポリシーを設定した場合
- ブラウザが登録されているパソコン(Windows、Mac、Linux)でユーザーが Chrome ブラウザを開いたときに適用されます。
- ログインは不要です。
- デバイスレベルでポリシーを適用する場合(セキュリティ設定、アプリのブロックなど)に適しています。
ステップ 2: 管理コンソールで設定する
始める前に: 特定のグループのユーザー アカウントまたは登録済みの Chrome ブラウザに対して設定するには、それらのユーザーまたはブラウザを 1 つの組織部門に配置してください。
-
-
管理コンソールで、メニュー アイコン
[デバイス]
[Chrome]
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン
[Chrome ブラウザ]
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- 目的の設定をクリックします。詳しくは、各設定の詳細をご覧ください。
ヒント: 上部にある検索ボックスにテキストを入力すると、設定を簡単に見つけることができます。
親から継承されている設定には、[継承] と表示されます。また、子の設定が優先されている場合は、[ローカルに適用] と表示されます。
- [保存] をクリックします。
通常、設定は数分で反映されますが、全員に適用されるまで最長で 24 時間ほどかかることがあります。
各設定の詳細
多くの設定では、管理者がポリシーを設定してユーザーが値を変更できないようにすることも、管理者がデフォルトを設定してユーザーが値を変更できるようにすることも可能です。たとえば、管理者はユーザー全員が使用する特定のホームページを指定することも、ユーザー自身がホームページを設定できるようにすることもできます。
ほとんどのポリシーは、Chrome OS に関連付けられているユーザーと関連付けられていないユーザーの両方に適用されます。ユーザーと、ユーザーがログインする Chrome OS デバイスが同じドメインで管理されている場合、そのユーザーは関連付けられていることになります。ユーザーが別のドメインの管理対象ユーザーとしてデバイスにログインしている場合、そのユーザーは関連付けられていないことになります(例: domainA.com のユーザーが domainB.com で管理されているデバイスにログインする場合や、管理対象外のデバイスにログインする場合)。関連付けられているユーザーまたは関連付けられていないユーザーのいずれかのみに適用されるポリシーは、管理コンソールで明示されています。
ヒント: 多くの管理者はデフォルトの設定のままにして、起動ページ、新しいタブページ、アプリと拡張機能、テーマなどの設定のみを行っています。
全般
ユーザー セッションの最大の長さユーザー セッションの継続時間を管理できます。残りのセッション時間は、ユーザーの通知領域(システムトレイ)のカウントダウン タイマーに表示されます。指定した時間が経過すると、ユーザーは自動的にログアウトされ、セッションが終了します。
1~1,440 分(24 時間)までの値を入力してください。セッションを無制限にする場合は、値を入力しないでください。
ユーザーがセッション開始のためログインする前に、デバイスのユーザーに同意を求めるカスタムの利用規約(.txt または .text ファイル)をアップロードできます。
デフォルトのアバターをカスタムのアバターに変更できます。JPG 形式(.jpg または .jpeg ファイル)の 512 KB 以下の画像をアップロードすることが可能です。他のファイル形式はサポートされていません。
デフォルトの壁紙をカスタムの壁紙に変更できます。JPG 形式(.jpg または .jpeg ファイル)の 16 MB 以下の画像をアップロードすることが可能です。他のファイル形式はサポートされていません。
Chrome ブラウザのテーマの色を指定します。ユーザーはこの色を変更できません。テキスト欄に #RRGGBB の 16 進数の形式で色を入力します。
空白のままにした場合は、ユーザーがブラウザのテーマの色を変更できます。
ログイン設定
ブラウザのログイン設定ユーザーが Chrome ブラウザにログインして、ブラウザの情報を Google アカウントに同期できるかどうかを指定します。
次のいずれかを選択します。
- ブラウザのログインを無効にする - ユーザーは Chrome ブラウザにログインすることも、ブラウザの情報を Google アカウントに同期することもできません。
- ブラウザのログインを有効にする - ユーザーは Chrome ブラウザにログインし、ブラウザの情報を Google アカウントに同期できます。ユーザーが Gmail などの Google サービスにログインすると、自動的に Chrome ブラウザにログインします。
- ブラウザを使用するにはログインを必須とする - ユーザーが Chrome ブラウザを使用する前にログインすることを必須にします。セカンダリ ユーザーがログインできないようにするには、管理対象の Google Identity 用の別のプロファイル設定を使用します。
Chrome ブラウザのメイン アカウントとする Google アカウントを正規表現で指定します。たとえば、「.*@example.com」という値を指定すると、example.com ドメインのアカウントにログインが制限されます。
指定したパターンと一致しないユーザー名をブラウザのメイン アカウントとして設定しようとすると、エラーが表示されます。
この設定を空白にした場合、ユーザーは Chrome ブラウザのメイン アカウントに任意の Google アカウントを設定できます。
デフォルトでは、[ログイン インターセプトを有効にする] が選択されています。ログイン インターセプト ダイアログは、ウェブ上で Google アカウントが追加されたときに表示されます。ユーザーはダイアログを使用して、このアカウントを別の新規プロファイルまたは既存のプロファイルに移動できます。
管理対象の Google アカウントにログインするユーザーに対して、別のプロファイルを作成するよう義務付けることができます。
次のいずれかを選択します。
- 別のプロファイルを適用する - 管理対象アカウントがメインのアカウントになります。新しく作成されたプロファイルには予備のアカウントが存在することがあります。プロファイルが作成されると、既存の閲覧データをインポートできるようになります。
- 別のプロファイルを適用し、予備の管理対象アカウントは禁止する - 管理対象アカウントがメインのアカウントになります。このプロファイルには予備のアカウントはありません。プロファイルが作成されると、既存の閲覧データをインポートできるようになります。
- 別のプロファイルを適用しない - デフォルトの設定です。管理対象アカウントに制限はありません。ユーザーは管理対象の Google アカウントを、別のプロファイルを作成せずに使用できます。
- 別のプロファイルの選択を許可する - 管理対象アカウントがメインのアカウントになります。このプロファイルには予備のアカウントが存在することがあります。プロファイルの作成時にチェックボックスが表示され、ユーザーはローカルの閲覧データを保持して管理対象アカウントに関連付けることを選択できます。ローカルの閲覧データには、ブックマーク、履歴、パスワード、自動入力データ、開いているタブ、Cookie、キャッシュ、ウェブ ストレージ、拡張機能などが含まれます。
- ユーザーがチェックボックスをオンにした場合 - 既存のプロファイル データが管理対象アカウントと関連付けられます。既存の閲覧データはすべて、新しいプロファイルで保持されます。
- ユーザーがチェックボックスをオフにした場合 - 既存のプロファイルがそのまま維持されます。データは失われず、新しいプロファイルが作成されます。
- 別のプロファイルの選択は許可するが、管理対象アカウントを複数持つことは禁止する - 新しく作成されたプロファイルに予備のアカウントが存在しない点を除き、別のプロファイルの選択を許可する場合と同じ設定になります。
この機能は、教育機関のドメインではご利用いただけません。
ユーザーがアカウントを予備のアカウントとしてセッションに追加できるかどうかを指定します。詳しくは、予備のアカウントにログインするをご覧ください。
次のいずれかを選択します。
- 管理対象アカウントの使用をすべて許可する(デフォルト)— 制限はなく、ユーザーはログオン画面上でまたはセッション中に予備アカウントとしてアカウントを追加できます。
- Chrome OS の予備アカウントとして管理対象アカウントを追加することを許可しない(セッション中) — ユーザーはセッション中に予備アカウントとしてアカウントを追加できません。
[Chrome OS の予備アカウントとして管理対象アカウントを追加することを許可しない(セッション中)] を選択した場合、これは ChromeOS のみに適用されます。他のプラットフォームやデバイス(別のプラットフォーム上の Chrome ブラウザを含む)では、引き続きアカウントを追加できます。この設定は Chrome 以外のブラウザにも適用されません。永続的シングル サインオンと Android への同期も、ともに対象のユーザー アカウントでは禁止されます。
ユーザーが Chrome OS デバイスでパスワードを確認できるようにするには、[ログイン画面とロック画面にパスワード表示ボタンを表示する] を選択します。パスワード項目の末尾にある「パスワードを表示」アイコンをクリックすると、ユーザーが現在入力しているパスワードが表示されます。[ログイン画面とロック画面にパスワード表示ボタンを表示しない] を選択すると、ユーザーにこのアイコンは表示されません。
Chrome バージョン 111 以降が対象です。
Microsoft Windows 10 以降でサポートされています。
Chrome のユーザーが Microsoft Azure Active Directory(AD)を使用してウェブアプリに自動的にログインできるようにするかどうかを指定します。
[Azure クラウド認証を有効にする] を選択すると、Azure ID プロバイダでサポートされたアカウントを使用してパソコンにログインするユーザーは、Azure プロバイダによって保護されたウェブリソースで自動的に認証されます。Azure の条件付きアクセス ポリシーを適用することも可能です。
サポート対象のプロバイダは次のとおりです。
- Microsoft Azure AD
- 一般ユーザー向けの Microsoft アカウント ID プロバイダ
- Microsoft Windows に追加された職場や学校のアカウント
省略可 - Cloud Identity の設定
Google では、Cloud Identity Free Edition と Cloud Identity Premium Edition の 2 種類の Cloud Identity エディションをご利用いただけます。Cloud Identity の概要をご確認ください。
Cloud Identity を使用すると、ユーザーが情報を保存、同期できる Chrome 同期機能を有効にできます。また、デバイスではなくユーザーに応じて変化する動的ポリシーを設定できます。ユーザーはブラウザにログインするだけで、デバイスに関係なく同じ Chrome ブラウザ設定を利用できます。Chrome ポリシー管理の概要をご確認ください。
管理コンソールで Azure によるアカウントの自動プロビジョニングを設定して、シングル サインオン(SSO)プロバイダとして動作させる方法については、Cloud アーキテクチャ センターをご覧ください。ChromeOS デバイスの壁紙に使用する Google フォトの画像をユーザーが選択できるようにします。
詳しくは、背景の壁紙とスクリーンセーバーを変更するをご覧ください。
ログイン時にユーザーに対してタッチパッドのスクロール方向画面を表示するかどうかを設定できます。
デフォルトでは、タッチパッドのスクロール方向画面を表示しない設定になっています。
初回ログイン時に表示サイズ設定画面をユーザーに表示するかどうかを管理します。
表示設定を行うことで、ユーザーは表示サイズを変更して、画面上の項目の大きさを調整できます。デフォルトでは、初回ログイン時の設定画面表示は無効になっています。有効にするには、[ログイン時に表示サイズ設定画面を表示する] を選択します。
モバイル
Chrome(Android)サポートされているポリシーを Android デバイス上の Chrome ブラウザに適用するかどうかを指定します。デフォルトでは、[サポートされているユーザー設定を Android の Chrome に適用しない] が選択されています。
なお、[サポートされているユーザー設定を Android の Chrome に適用する] を選択する場合は、事前に、[ログイン ユーザーに対する Chrome 管理] 設定を使用して Chrome ブラウザ管理を有効にしておく必要があります。詳しくは、Chrome ブラウザ管理を有効にするをご覧ください。
[サポートされているユーザー設定を Android の Chrome に適用する] を選択すると、管理者が設定したポリシーが、Android デバイスを使用して Chrome ブラウザから管理対象アカウントにログインしているユーザーに適用されます。ユーザーが管理対象アカウントからログアウトすると、ポリシーの適用が停止し、デバイス上のローカル プロファイルが削除されます。
サポートされているポリシーを iOS デバイスの Chrome ブラウザに適用するかどうかを指定します。デフォルトでは、[サポートされているユーザー設定を iOS 版 Chrome に適用しない] が選択されています。
なお、[サポートされているユーザー設定を iOS 版 Chrome に適用する] を選択する場合は、事前に、[ログイン ユーザーに対する Chrome 管理] 設定を使用して Chrome ブラウザ管理を有効にしておく必要があります。詳しくは、Chrome ブラウザ管理をオンにする(ユーザー ポリシーのみ)をご覧ください。
[サポートされているユーザー設定を iOS 版 Chrome に適用する] を選択すると、管理者が設定したポリシーが、iOS デバイスを使用して Chrome ブラウザから管理対象アカウントにログインしているユーザーに適用されます。ユーザーが管理対象アカウントからログアウトすると、ポリシーの適用が停止し、デバイス上のローカル プロファイルが削除されます。
登録の管理
デバイスの登録デバイスをドメインに初めて登録する場合、またはデバイスがあらかじめプロビジョニング解除されている場合にのみ有効になります。
[Chrome デバイスを現在の組織に配置したままにする] を選択した場合、Chrome OS デバイスを登録すると、ドメインの最上位の組織部門に配置され、その組織のデバイス設定が適用されます。
[Chrome デバイスをユーザーの組織内に配置する] を選択した場合、登録した ChromeOS デバイスは登録を行ったユーザーが所属する組織部門に配置され、その組織部門に適用済みの設定がデバイスにも適用されます。
[Chrome デバイスをユーザーの組織内に配置する] は、多数のデバイスを手動で登録する必要がある場合に便利な設定です。ユーザーが所属する組織部門に固有の設定が自動的にデバイスに追加されるので、登録後にデバイスを各組織部門に手動で移動する必要はありません。
ユーザーがデバイスを登録する際に、そのデバイスのアセット ID と場所を追加できるかどうかを指定します。
- この組織内のユーザーには許可しない - ユーザーはアセット ID と場所を入力できません。
- この組織内のユーザーは登録時にアセット ID と場所を指定できる - ユーザーはデバイスのアセット ID と場所を入力できます。
アセット ID と場所の入力をユーザーに許可すると、[デバイス情報] ページの各項目に既存のデータが表示されます。既存のデータがない場合は空欄になります。ユーザーは登録を完了する前にデバイスの詳細情報を編集または入力することができ、その情報は管理コンソールのアセット ID、場所の各項目と、chrome://policy に反映されます。
デフォルトでは、この組織部門のユーザーは新しいデバイスの登録およびプロビジョニング解除済みのデバイスの再登録を行えます。新しいデバイスの登録およびプロビジョニング解除済みデバイスの再登録を行うと、アップグレードが消費されます。また、データをワイプしたデバイスや初期状態にリセットしたデバイスも再登録できます。これらのデバイスは引き続き管理対象のため、再登録しても新しいアップグレードは消費されません。
[この組織内のユーザーに、既存のデバイスの再登録のみを許可する(新しいデバイスやプロビジョニング解除済みデバイスは登録できない)] を選択すると、ユーザーは、データをワイプしたデバイスや初期状態にリセットしたデバイスのうち、プロビジョニング解除されていないデバイスのみを再登録できるようになります。新しいデバイスの登録やプロビジョニング解除済みのデバイスの再登録(つまり、アップグレードの消費を伴う登録や再登録)は行うことができません。
[この組織内のユーザーに、新しいデバイスの登録や既存のデバイスの再登録を許可しない] を選択すると、ユーザーはデバイスの登録や再登録(自動再登録を含む)が一切できなくなります。
管理対象ユーザーに、所有していないデバイスの登録を求めるかどうかを指定します。
次のいずれかのオプションを選択します。
- [ユーザーにデバイスの登録を求めない](デフォルト) - ポリシーが割り当てられた組織部門内の管理対象ユーザーは、デバイスを登録せずに、いつでもログインできます。
- [ユーザーにデバイスの登録を求める] - ポリシーが割り当てられた組織部門内の管理対象ユーザーに対して、デバイスの登録を求めます。ユーザーがデバイスの登録を省略して初回ログインを試みると、ポップアップが表示され、登録画面に移動するか、別のアカウントでログインするよう求められます。この動作により、管理対象ユーザーはデバイスを登録せずにログインすることができません。この設定を選択すると、以下の条件を満たすことが必要になります。
- デバイスにログインする最初のユーザーである。たとえば、新しいデバイスや、初期状態にリセットしたばかりのデバイスなどが該当します。
- ユーザーが、デバイスの登録に必要な権限を有している。詳しくは、登録の権限をご覧ください。
アプリと拡張機能
[アプリと拡張機能] ページでは、すべてのアプリと拡張機能のプロビジョニングを一元管理できます。詳しくは、アプリや拡張機能を表示、設定するをご覧ください。
- アプリを許可またはブロックする
- アプリを自動インストールする
- アプリをタスクバーに固定する
- 許可されるアプリの種類
- 権限で拡張機能をブロックする
- Chrome ウェブストアのホームページと権限
デフォルトでは、[Chrome タスク マネージャーでのプロセスの終了をユーザーに許可する] が選択されています。
[Chrome タスク マネージャーでのプロセスの終了をユーザーに禁止する] を選択した場合、ユーザーはタスク マネージャーを開くことはできますが、プロセスを終了することはできません([プロセスを終了] ボタンがグレー表示になるため)。
Manifest V2 拡張機能のサポートは今後非推奨となります。Manifest V2 のサポート タイムラインに沿って、すべての拡張機能を Manifest V3 に移行する必要があります。
ユーザーが Chrome ブラウザで Manifest V2 拡張機能にアクセスできるようにするかどうかを指定します。
Chrome 向けのすべての拡張機能には、manifest.json という名前の JSON 形式のマニフェスト ファイルがあります。マニフェスト ファイルは拡張機能のブループリントで、拡張機能のルート ディレクトリに配置する必要があります。
マニフェスト ファイルには、以下の情報が含まれています。
- 拡張機能のタイトル
- 拡張機能のバージョン番号
- 拡張機能の実行に必要な権限
詳しくは、マニフェスト ファイルの形式をご確認ください。
次のいずれかを選択します。
- デバイスのデフォルトの動作(デフォルト) - ユーザーはブラウザのデフォルトの設定と Manifest V2 のサポート タイムラインに基づいて Manifest V2 拡張機能にアクセスできます。
- Manifest V2 拡張機能をログイン画面で無効にする - ユーザーは Manifest V2 拡張機能をインストールできません。また、既存の拡張機能は無効になります。
- Manifest V2 拡張機能をログイン画面で有効にする - ユーザーは Manifest V2 拡張機能をインストールできます。
- 自動インストールされた Manifest V2 拡張機能をログイン画面で有効にする - ユーザーは自動インストールされた Manifest V2 拡張機能のみにアクセスできます。これには、Google 管理コンソールの [アプリと拡張機能] ページから自動インストールされた拡張機能も含まれます。他のすべての Manifest V2 拡張機能は無効になります。このオプションは、移行のステージにかかわらず、いつでも利用できます。
注: 拡張機能を利用できるかどうかは、他のポリシーによっても制御されます。たとえば、Manifest ポリシーで許可された V2 拡張機能が Google 管理コンソールの [アプリと拡張機能] ページの 権限と URL 設定でブロックリストに登録された場合は、ブロック中に変わります。
サイト分離
サイト分離ChromeOS デバイスで管理対象の Chrome ブラウザを使用しているユーザーに対してサイト分離を有効にすると、指定したウェブサイトとオリジンを分離できます。
- すべてのウェブサイトでサイト分離を有効にする - 各サイトが専用のレンダリング プロセスで実行されます。すべてのサイトは互いに分離されます(サイトを指定しない場合のデフォルトの設定)。
- 以下を除くすべてのウェブサイトでサイト分離を無効にする - 指定したサイトのみが個別のプロセスで実行されます。指定した各サイトは、専用のレンダリング プロセスで実行されます。
さらに、オリジンのリストをカンマ区切りで入力すると、それらを各ウェブサイトから分離できます。たとえば、「https://login.example.com」と入力すると、このページを https://example.com というウェブサイトの他のページから分離できます。
詳しくは、サイト分離を使用してデータを保護するをご覧ください。
Android デバイスで管理対象の Chrome ブラウザを使用しているユーザーに対してサイト分離を有効にすると、指定したウェブサイトとオリジンを分離できます。
メモ: Android デバイスでサイト分離を有効にすると Chrome ブラウザのパフォーマンスが低下することがあるため、Android ではサイト分離がデフォルトで無効になっています。
- ユーザーがサイト分離の有効化を選択できるようにする - ユーザーはサイト分離を有効にするかどうかを選択できます。
- すべてのウェブサイトでサイト分離を有効にする - 各サイトが専用のレンダリング プロセスで実行されます。すべてのサイトは互いに分離されます。
- 以下を除くすべてのウェブサイトでサイト分離を無効にする - 指定したサイトのみが個別のプロセスで実行されます。指定した各サイトは、専用のレンダリング プロセスで実行されます。
さらに、オリジンのリストをカンマ区切りで入力すると、それらを各ウェブサイトから分離できます。たとえば、「https://login.example.com」と入力すると、このページを https://example.com というウェブサイトの他のページから分離できます。
セキュリティ
パスワード マネージャー[常にパスワード マネージャーの使用を許可する] を選択すると、ユーザーはパスワードを Chrome ブラウザに保存して、次回サイトにログインするときにパスワードを自動入力できます。[パスワード マネージャーの使用を許可しない] を選択すると、ユーザーは新しいパスワードを保存できません。ただし、以前に保存したパスワードは引き続き使用できます。[ユーザーによる決定を許可] を選択すると、ユーザーがパスワード マネージャーを設定できます。
管理者は、ChromeOS デバイスでローカル データ復元を管理する方法を指定できます。
次のいずれかのオプションを選択します。
- 移行フェーズまでアカウント復元の有効化を延期する(ヘルプセンターを参照) —(デフォルト)デフォルト オプションでユーザーデータ復元を管理します。現在のデフォルト オプションは、[アカウント復元を無効にする] です。しかし将来的にはデフォルト オプションを [アカウント復元を有効にする] に変更する予定です。変更する際は前もって Google より IT 管理者にメールでご連絡します。
- アカウント復元を有効にする — ユーザーデータ復元を有効にし、ユーザーはその設定を変更できません。
- アカウント復元を有効にして、ユーザーがオーバーライドできるようにする — ユーザーデータ復元を有効にしますが、ユーザーはその設定を変更できます。
- アカウント復元を無効にする — ユーザーデータ復元を無効にし、ユーザーはその設定を変更できません。
ユーザーのデバイスのロック画面を有効または無効にします。[画面のロックを許可しない] を選択すると、通常であればロック画面になる状況でユーザーがログアウトされます。この場合、ロック画面の表示につながるアイドル設定([スリープ時の画面のロック] など)でもユーザーはログアウトされます。
ユーザーがロックのクイック解除モード(PIN や指紋など)を使用して ChromeOS デバイスのロック画面を解除できるどうかを指定します。
管理者が PIN を選択して一時的ログインモードを無効にした場合、ユーザーは Google アカウントのパスワードの代わりに PIN を使用して、Google H1 セキュリティ チップを搭載する ChromeOS デバイスにログインできます。ユーザーはデバイスの初期設定(OOBE)時、またはデバイスの [セキュリティとプライバシー] 設定で PIN を作成できます。ユーザーが PIN を何度も誤入力した場合や、管理者がユーザーにパスワードの変更を強制した場合などに、ユーザーはパスワードの入力を求められることがあります。
ユーザーが共有デバイスを使用している場合は PIN でロックを解除できないようにすることをおすすめします。
詳しくは、画面をロックする、またはロックを解除するをご覧ください。
ユーザーが PIN または指紋を使って、安全なウェブ認証プロトコルの WebAuthn をサポートするウェブサイトにログインできるかどうかを指定します。
このポリシーは一時的なものであり、Google Chrome の今後のバージョンでは廃止される予定です。この設定は、問題をテストするときにオンにし、問題が解決するまでの間はオフにすることができます。
Google Chrome が Transport Layer Security(TLS)で Kyber ポスト量子鍵交換アルゴリズムを提供するかどうかを指定します。このポリシーを使用すると、この機能をサポートしているサーバーでユーザー トラフィックが量子コンピュータにより復号されないように保護できます。
Kyber には後方互換性があるため、現在の TLS サーバーとネットワーク ミドルウェアより前のバージョンでも Kyber に対応します。
注: TLS は適切に実装する必要があります。適切に実装されていない場合、Kyber の提供時にデバイスが正しく動作しなくなることがあります。たとえば、オプションを認識できない場合や、生成されるメッセージが大きくなる場合は、接続が切断されることがあります。このようなデバイスはポスト量子に対応していないため、ポスト量子への移行の妨げになります。このような場合、管理者はベンダーに修正を依頼してください。
次のいずれかを選択します。
- TLS の Kyber ポスト量子鍵交換でデフォルト値を使用する - Chrome は、Kyber の提供に関してデフォルトのロールアウト プロセスに従います。
- TLS の Kyber ポスト量子鍵交換を有効にする - Chrome は TLS 接続で Kyber を提供し、ユーザー トラフィックが量子コンピュータによって復号されないように保護します。
- TLS の Kyber ポスト量子鍵交換を無効にする - Chrome は TLS 接続で Kyber を提供しません。量子コンピュータによる復号に対してユーザー トラフィックは保護されません。
ロック画面とログイン画面で PIN の自動送信機能を有効にすることができます。この機能を有効にすると ChromeOS での PIN の入力方法が変わり、パスワード入力用のテキスト欄と同じように、PIN の入力に必要な数字の桁数がユーザーに表示されます。現時点では 6~12 桁の範囲で指定できます。
デバイスがロックされているときでも、ユーザーがメディアを再生できるかどうかを指定します。
有効にした場合は、デバイスがロックされているときでも、ユーザーはロック画面から再生中のメディアを操作できます。デバイスのロック画面にコントロールが表示され、ロックを解除しなくても次のトラックにスキップしたり、一時停止したりできます。
ユーザーがシークレット モードでブラウジングできるかどうかを指定します。
[シークレット モードを無効にする] を選択すると、ユーザーは新しいシークレット ウィンドウを開けなくなります。すでにシークレット ウィンドウを開いている場合は、そのウィンドウが閉じられることはなく、そのウィンドウ内で新しいタブを開くこともできます。
小学校から高等学校の教育機関のドメインの場合、[シークレット モードを無効にする] がデフォルトになります。
その他のドメインの場合、[シークレット モードを許可する] がデフォルトになります。
[強制的にシークレット モードにする] は、Android ではご利用いただけません。
Chrome ブラウザにユーザーの閲覧履歴を保存するかどうかを指定できます。
ユーザーが閲覧履歴やダウンロード履歴などの閲覧データを削除できるかどうかを指定します。
注: ユーザーによる閲覧データの削除を禁止しても、閲覧履歴やダウンロード履歴が必ず保持されるとは限りません。たとえば、ユーザーが自身のプロフィールを削除すると、そのユーザーの閲覧履歴も削除されます。
ユーザーが一時的ログインモードでブラウジングするかどうかを指定します。
一時的ログインモードを使用すると、従業員が個人のノートパソコンや信頼できる共有デバイスで作業した場合に、使用したデバイスに閲覧情報が残る可能性を低減できます。
注: この設定を使用する場合は、管理コンソールで Chrome 同期を無効にしないことをおすすめします。
ブラウザのデータ(履歴、Cookie、パスワードなど)を Chrome に保存しておく期間を指定できます。この設定は、機密データを扱うユーザーが利用すると便利です。
Chrome では、ブラウザを起動してから 15 秒後に、保存期限切れのデータが削除されます。その後も、ブラウザを実行している間は 1 時間ごとに同データが削除されます。指定した期間より前のブラウザのデータは自動的に削除されます。指定できる最短の保存期間は 1 時間です。保存期間を指定しなかった場合は、特定の種類の閲覧データが自動的に削除されることはありません。
この設定は、Google Sync をオフにしている場合にのみ適用されます。
- Windows、Mac、Linux 版 Chrome ブラウザ — [Chrome 同期と移動プロファイル(Chrome ブラウザ - クラウド管理)] を [同期を無効にする] に設定します
- ChromeOS — [Chrome 同期(ChromeOS)] を [Chrome 同期を無効にする] に設定します
削除可能なブラウザのデータ:
- 閲覧履歴
- ダウンロード履歴
- Cookie と他のサイト データ
- キャッシュされた画像とファイル
- パスワードとその他のログインデータ
- 自動入力フォームのデータ
- サイトの設定
- ホスト型アプリのデータ キャッシュ
[オンライン OCSP / CRL チェックを実行する] を選択すると、ChromeOS デバイスで HTTPS 証明書のオンライン失効チェックが実行されます。
ユーザーの物理的な現在地の追跡をウェブサイトに許可するかどうかを指定します。
Chrome ブラウザの場合、このポリシーは Chrome 設定のユーザー オプションに相当します。物理的な現在地の追跡をデフォルトで許可または禁止することも、ウェブサイトから物理的な現在地が要求されるたびにユーザーに毎回確認するように指定することもできます。
ChromeOS 上で動作する Android アプリの場合、[サイトにユーザーの位置情報の検出を許可しない] を選択すると、アプリが位置情報にアクセスできなくなります。このオプションが選択されていない場合は、Android アプリが位置情報にアクセスする際にユーザーは同意を求められます。
SAML シングル サインオン(SSO)を使用せずに ChromeOS デバイスにログインするユーザーに対して、ログイン画面でのオンライン ログインを強制する頻度を設定します。
指定した期間が経過すると、ログアウトしたユーザーはオンライン ログインフローを実施する必要があります。
ユーザーがオンラインでログインする際には Google の ID サービスを使用します。2 要素認証または多要素認証を必須とする組織では、ユーザーに定期的にログインさせることでセキュリティを強化できます。
値を日数で入力します。
- 0 - 常にオンライン ログインを使用する必要があります。
- 1~365 - 指定した期間が経過した後、ユーザーはセッションの開始時にオンライン ログインを使用する必要があります。
この値を空白のままにした場合、ユーザーが定期的にオンライン ログインを使用する必要はありません。
SAML SSO を使用しているユーザーに対しては、[SAML シングル サインオンによるログインの頻度] を設定します。
重要: この設定では、ChromeOS デバイスに保存されているユーザーデータ(オンライン サービスの認証トークンを含む)に対して、保護を強化することはできません。保存時のユーザーデータの暗号化は、パスワードやスマートカードなどのオフライン認証要素に基づきます。
SAML シングル サインオン(SSO)を使用せずに ChromeOS デバイスにログインするユーザーに対して、ロック画面でのオンライン ログインを強制する頻度を設定します。
設定した期間後にユーザーがセッションをロックすると、次にロックを解除する際に必ずオンライン ログインフローを実施する必要があります。
ユーザーがオンラインでログインする際には Google の ID サービスを使用します。2 要素認証または多要素認証を必須とする組織では、ユーザーに定期的にログインさせることでセキュリティを強化できます。
値を日数で入力します。
- 0 - ユーザーはロック画面で常にオンライン ログインを使用する必要があります。
- 1~365 - 指定した期間が経過した後、ユーザーはロック画面のロックを解除する際にオンライン ログインを使用する必要があります。
この値を空白のままにした場合、ユーザーが定期的にオンライン ログインを使用してロック画面のロックを解除する必要はありません。
SAML SSO を使用しているユーザーに対しては、[SAML シングル サインオンのロック解除の間隔] を設定します。
ChromeOS デバイスに対して SAML ベースのシングル サインオンを有効または無効にすることができます。
重要: このポリシーを使用する前に、ChromeOS デバイスに SAML シングル サインオンを設定するに記載されている要件を確認してください。
SAML ベースのシングル サインオン(SSO)を使用するユーザーに対して、ログイン画面でのオンライン ログインフローを強制する頻度を設定します。
指定した期間が経過すると、SAML ベースの SSO を使用するユーザーはオンライン ログインフローを実施する必要があります。
ユーザーはオンラインでログインする際に、設定済みの SAML SSO サービスを使用します。2 要素認証または多要素認証を必須とする組織では、ユーザーに定期的にログインさせることでセキュリティを強化できます。また、ユーザー アカウントが引き続き有効であることを確認できます。
ログインの頻度の選択肢:
- 毎日
- 3 日ごと
- 毎週
- 隔週
- 3 週間ごと
- 4 週間ごと
- 毎回
- なし
重要: このポリシーを使用する前に、ChromeOS デバイスに SAML シングル サインオンを設定するに記載されている要件を確認してください。この設定では、ChromeOS デバイスに保存されているユーザーデータ(オンライン サービスの認証トークンを含む)に対して、保護を強化することはできません。保管時のユーザーデータの暗号化は、パスワードやスマートカードなどのオフライン認証要素に基づきます。
SAML SSO を使用しないユーザーに対しては、[Google のオンライン ログインの頻度] を設定します。
SAML を使用するユーザーに対して、ロック画面でのオンライン ログインを強制する頻度を設定します。
設定した期間後にユーザーがセッションをロックすると、次にロックを解除する際に必ずオンライン ログインフローを実施する必要があります。
ユーザーはオンラインでログインする際に、設定済みの SAML SSO サービスを使用します。2 要素認証または多要素認証を必須とする組織では、ユーザーに定期的にログインさせることでセキュリティを強化できます。また、ユーザー アカウントが引き続き有効であることを確認できます。
値を日数で入力します。
- 0 - ユーザーはロック画面で常にオンライン ログインを使用する必要があります。
- 1~365 - 指定した期間が経過した後、ユーザーはロック画面のロックを解除する際にオンライン ログインを使用する必要があります。
この値を空白のままにした場合、ユーザーが定期的にオンライン ログインを使用してロック画面のロックを解除する必要はありません。
SAML SSO を使用しないユーザーに対しては、[Google のオンライン ロック解除の頻度] を設定します。
[SAML シングル サインオンによるパスワード同期] が設定されている場合にのみ適用されます。
ユーザーの SAML SSO パスワードが変更された場合は、ChromeOS デバイスのローカル パスワードの変更を求めるメッセージをログイン画面のみに表示するか、ロック画面とログイン画面の両方に表示するかを指定します。デフォルトでは、[ログイン画面でのみオンライン ログインを強制適用する] が選択されています。
その他の情報:
SAML SSO に対応した ChromeOS デバイスが対象です。詳しくは、ChromeOS デバイスに SAML シングル サインオンを設定するをご覧ください。
デフォルトでは、ユーザーの SSO SAML パスワードが更新されても、認証フローはトリガーされません。
ChromeOS デバイスでの今後のパスワード変更についてユーザーに通知するには、[認証フローをトリガーしてパスワードを SSO プロバイダと同期する] を選択します。
その他の情報:
従来のサーバーでの必要性に応じて、TLS で RC4(Rivest Cipher 4)暗号スイートを一時的に有効または無効にすることができます。
注: RC4 は安全ではありません。AES 暗号化をサポートするようにサーバーを再設定することをおすすめします。
ローカル アンカーのコモンネームを使用したフォールバック
ローカル トラスト アンカーが発行した subjectAlternativeName 拡張がない証明書を、許可するかブロックするかを指定します。[許可] を選択すると、証明書に subjectAlternativeName 拡張がないときに、Chrome ブラウザはサーバー証明書の commonName を使用してホスト名を照合します(証明書の検証と、ローカルにインストールされている CA 証明書へのチェーンに成功した場合に限る)。
注: nameConstraints 拡張(特定の認証局証明書にホスト名を制限)の無視を許可する可能性があるので、[許可] を選択することはおすすめしません。
Symantec Corporation の Legacy PKI インフラストラクチャ
Symantec の Legacy PKI 運用組織によって発行された証明書が検証され、認識されている CA 証明書へのチェーンに成功した場合に、その証明書を信頼できる証明書として登録します。ChromeOS 以外のシステムでは、Symantec の以前のインフラストラクチャで発行された証明書をオペレーティング システムが現在も認識する場合に限りこのポリシーが有効になります。オペレーティング システムの更新によって証明書が認識されなくなった場合、このポリシーは無効になります。このポリシーは、Symantec の以前の証明書からの移行期間を企業に提供するための一時的な回避策として使用することを目的としています。
証明書の透明性の要件を適用しない URL を指定します。これにより Chrome ブラウザは、認証局(CA)によって発行された非公開の証明書を使用することができます。指定した URL に対して CA が不正な証明書を発行した場合、不正を検出できないことがあります。
照合対象は URL のホスト名の部分のみです。ワイルドカードのホスト名はサポートされていません。URL の構文については、URL の拒否リストのフィルタ形式をご覧ください。
証明書チェーンに含まれる証明書で、指定した subjectPublicKeyInfo ハッシュを使用している場合、証明書の透明性の要件は適用されません。そのため Chrome ブラウザでは、認証局(CA)から組織に対して発行された非公開の証明書を使用できます。
subjectPublicKeyInfo ハッシュを指定する方法について詳しくは、CertificateTransparencyEnforcementDisabledForCas ポリシーをご覧ください。
証明書チェーンに含まれる証明書が以前の認証局(CA)によって発行されたもので、指定した subjectPublicKeyInfo ハッシュをこの証明書で使用している場合、証明書の透明性の要件は適用されません。以前の CA は Chrome ブラウザを実行する一部のオペレーティング システムで信頼されていますが、ChromeOS や Android では信頼されていません。Chrome ブラウザでは、組織に対して発行された非公開の証明書を使用できます。
subjectPublicKeyInfo ハッシュを指定する方法について詳しくは、CertificateTransparencyEnforcementDisabledForLegacyCas ポリシーをご覧ください。
ユーザーが証明書マネージャーを使用して、認証局(CA)証明書の読み込み、編集、削除を実行できるかどうかを指定します。次のいずれかを選択します。
- すべての証明書の管理をユーザーに許可する - この設定がデフォルトです。ユーザーはすべての CA 証明書の信頼設定の編集、ユーザーが読み込んだ証明書の削除、証明書の読み込みを行うことができます。
- ユーザー証明書の管理をユーザーに許可する - ユーザーが読み込んだ証明書のみを管理できます。組み込みの証明書の信頼設定を変更することはできません。
- 証明書の管理をユーザーに許可しない - ユーザーは CA 証明書を表示できますが、管理することはできません。
クライアント証明書の管理をユーザーに許可するかどうかを指定します。次のいずれかを選択します。
- すべての証明書の管理をユーザーに許可する - この設定がデフォルトです。ユーザーはすべての証明書を管理できます。
- ユーザー証明書の管理をユーザーに許可する - ユーザーはユーザー証明書のみを管理できます。デバイスのすべての証明書を管理することはできません。
- 証明書の管理をユーザーに許可しない - ユーザーは証明書を表示できますが、管理することはできません。
このポリシーは一時的なものです。プラットフォームが提供する証明書確認機能は廃止され、常に Chrome Root Store が使用されます。
サーバー証明書の確認に Chrome Root Store と組み込みの証明書確認機能を使用するかどうかを指定します。
デフォルトの [Chrome Root Store を使用可能] を指定している場合、Chrome Root Store のルートまたはシステムが提供するルートのいずれかは確実に使用できます。
[Chrome Root Store を使用] を選択した場合、Chrome は、組み込みの証明書確認機能を使用してサーバー証明書の確認を行います。その際、Chrome Root Store がパブリック トラストのソースとして使用されます。
[Chrome Root Store を使用しない] を選択した場合、Chrome は、システムの証明書確認機能とシステムのルート証明書を使用します。
このポリシーをサポートする Chrome のマイルストーン最新情報については、Chrome Enterprise のポリシーリストをご覧ください。
安定性やパフォーマンスを高めるために、Intel ハイパー スレッディング テクノロジーを最適化するかどうかを指定します。ハイパー スレッディング テクノロジーは、プロセッサ リソースを効率的に使用してプロセッサのスループットを高めます。
(推奨)サポート対象のプラットフォームでレンダラアプリ コンテナの構成を有効にすることができます。
重要: レンダラアプリ コンテナの構成を無効にした場合、レンダラ プロセスが使用するサンドボックスは弱化し、Google Chrome のセキュリティと安定性に悪影響を与えます。そのため、この設定を無効にするのは、レンダラ プロセス内での実行が必要なサードパーティ ソフトウェアとの間で互換性の問題が生じる場合だけにすることをおすすめします。デフォルトでは、[レンダラコードの整合性チェックを有効にする] が選択されています。Chrome ブラウザは、Chrome ブラウザのレンダラ プロセス内に悪質な可能性のある不明なコードが読み込まれるのを防ぎます。
Chrome ブラウザのレンダラ プロセス内で実行する必要があるサードパーティ ソフトウェアと互換性の問題がある場合を除き、この設定を無効にすることはおすすめしません。[レンダラコードの整合性チェックを無効にする] を選択した場合、Chrome ブラウザのセキュリティと安定性に影響する可能性があります。
Chrome でユーザー名やパスワードの漏洩をチェックするかどうかを指定します。
この設定は、セーフ ブラウジングが有効になっていない場合は適用されません。セーフ ブラウジングを確実に有効にしてユーザーが変更できないようにするには、[セーフ ブラウジング保護レベル] を設定します。
デフォルトでは、[ポリシーが未設定] が選択されています。そのため、アンビエント認証は通常のセッションでのみ有効になり、ゲスト セッションでは有効になりません。
Chrome クリーンアップ ツールで、システムに含まれる望ましくないソフトウェアを定期的にスキャンするかどうかを指定します。
Chrome クリーンアップ ツールを使用すると、マルウェアを削除し、不正な設定を元に戻すことができます。不審なソフトウェアが検出された場合、ユーザーはそれを削除するかどうかを選択できます。
[Chrome クリーンアップによるシステムの定期的なスキャンを許可し、手動スキャンを有効にする] を選択した場合は、Chrome クリーンアップの結果を Google と共有するかどうかを指定できます。
次のような問題が発生した場合は、chrome://settings で Chrome クリーンアップを手動で開始することもできます。
- 過剰なポップアップ広告や予期しないウェブページが表示される
- 検索エンジンまたはホームページにより、不明なサービスやサイトにリダイレクトされる
[Chrome クリーンアップによる定期的なスキャンをブロックし、手動スキャンを無効にする] を選択した場合、Chrome クリーンアップによる定期的なスキャンは行われません。また、ユーザーが手動でクリーンアップを開始することもできません。
Microsoft Windows で Chrome クリーンアップを使用できるのは、Chrome ブラウザが以下の条件を満たす場合のみです。
- Microsoft Active Directory ドメインに参加している
- Windows 10 Pro で稼働している
- Chrome ブラウザ クラウド管理に登録済みである
サードパーティ ソフトウェアに Chrome のプロセスへの実行コードの挿入を許可するかどうかを指定します。
[サードパーティのコードを Chrome に設定できないようにする] を選択すると、サードパーティ ソフトウェアは Chrome のプロセスに実行コードを挿入できなくなります。
Microsoft Active Directory ドメインに参加しているデバイスの場合、ポリシーの設定に関係なく、Chrome ブラウザはサードパーティ ソフトウェアによる実行コードの挿入をブロックしません。
重要なシステム リソースやその他のプログラムから音声処理を隔離して、サンドボックス化するかどうかを指定します。音声処理をサンドボックス化することで、システムのセキュリティが強化されます。
サンドボックスでは、音声処理に使用できるリソースを必要なものだけに制限します。
デフォルトは [音声のサンドボックス化にデフォルト設定を使用する] です。これはプラットフォームごとに異なる場合があります。サンドボックスに干渉するセキュリティ ソフトウェア設定を使用する場合は、[音声処理をサンドボックス化しない] を選択します。
サポートされていないパソコンやオペレーティング システムで Chrome を使用する場合に、ユーザーに警告を表示するかどうかを指定します。
高度な保護機能プログラムに登録済みのユーザーを、アカウントへの不正アクセスや有害なダウンロードなどのオンライン攻撃から保護するかどうかを指定します。一部の機能では Google とのデータ共有が必要になる場合があります。たとえば、高度な保護機能を利用するユーザーはダウンロードを行う前に対象ファイルを Google に送信して、より厳格なマルウェア スキャンを受けられます。
デフォルトでは、[高度な保護機能プログラムに登録済みのユーザーは、追加の保護を受けられます] が選択されています。
[高度な保護機能プログラムに登録済みのユーザーは、標準の消費者保護のみ受けられます] を選択すると、高度な保護機能プログラムに登録済みのユーザーに対して追加の保護が提供されなくなります。
保護されていないオリジンに対する制限を適用しないオリジン(URL)またはホスト名のパターンを指定します。また、アドレスバー内の URL に [保護されていない通信] というラベルが表示されなくなります。
管理者は、Transport Layer Security(TLS)を実装できない従来のアプリケーションの URL を指定したり、社内のウェブ開発用のステージング サーバーを指定したりできます。デベロッパーは、ステージング サーバーに TLS を実装しなくても、安全なコンテキストを必要とする機能をテストできます。
この設定で URL のリストを指定すると、コマンドライン unsafely-treat-insecure-origin-as-secure に同じ URL のカンマ区切りのリストを設定した場合と同じことになります。
安全なコンテキストの詳細については、Secure Contextsをご覧ください。
危険性のあるコマンドライン フラグを使用して Chrome を起動したときに、セキュリティ警告を表示するかどうかを指定します。
Microsoft Windows の場合は、Microsoft Active Directory ドメインに参加しているマシン、Windows 10 Pro で実行されているマシン、または Chrome ブラウザ クラウド管理に登録されているマシンである必要があります。
macOS の場合は、MDM を使用して管理しているマシン、または MCX が有効なドメインに参加しているマシンである必要があります。
target を _blank に設定して開いたポップアップに、そのポップアップを開いたページとのインタラクションを許可するかどうかを指定します。
- target を _blank に設定して開いたポップアップを、そのポップアップを開いたページで操作できないようにする - ポップアップの表示元ページでインタラクションが明示的に許可されている場合に限り、target を _blank に設定して開いたポップアップにその表示元ページとのインタラクションを許可します。
- target を _blank に設定して開いたポップアップを、そのポップアップを開いたページで操作できるようにする - ポップアップの表示元ページでインタラクションが明示的に禁止されている場合以外は、target を _blank に設定して開いたすべてのポップアップにその表示元ページとのインタラクションを許可します。
Smart Card Connector アプリとスマートカードの CSSI ミドルウェア アプリがインストールされていて、セッション中にユーザー向けに使用できる必要があります。ChromeOS でスマートカードを利用するをご覧ください。
ユーザーがセキュリティ トークンを削除した場合の操作を指定します。現在のところ、この設定は、管理者がスマートカードを使用したログインを設定する場合のユーザー セッションにのみ影響します。詳しくは、管理対象の ChromeOS デバイスでスマートカードを使用したログインを設定するをご覧ください。
指定できるオプションは以下のとおりです。
- なし - 特に操作は行われません。
- ユーザーをログアウトする - ユーザーはセッションからログアウトされるため、再度ログインする必要があります。
- 現在のセッションをロックする - セキュリティ トークンを使用して再認証されるまで、ユーザーのセッションはロックされます。
[ユーザーをログアウトする] または [現在のセッションをロックする] を選択すると、[削除通知の表示時間(秒)] が表示されます。ここには、間もなくログアウトまたはロックされることをユーザーに伝える通知の表示時間(秒単位)を入力します。ユーザーがセキュリティ トークンを再入力しない場合、この通知の表示時間が終了した後に操作が実行されます。「0」と入力すると、通知は表示されず、すぐに操作(ログアウトまたはロック)が実行されます。
デフォルトでは、[システム通知の使用を許可する] が選択されています。そのため、Linux の Chrome ブラウザでもシステム通知を使用できます。
Chrome ブラウザでシステム通知を使用できないようにするには、[システム通知の使用を許可しない] を選択します。ブラウザはシステム通知の代わりに Chrome のメッセージ センターを使用します。
ChromeOS デバイスの画面の明るさの初期値を指定します。[画面の明るさの初期値を設定する] を選択し、AC 電源使用時とバッテリー使用時それぞれの画面の明るさを 15~100 のパーセント値で入力します。ユーザーはこの設定を変更できます。
このポリシーは、Chrome バージョン 100 より後のバージョンでは廃止される予定です。
Chrome バージョン 94 以降の場合、許可リストに登録されていない埋め込みリソース(iframe など)からユーザーに画面の共有をリクエストできるかどうかを指定します。ウェブ デザイナーは display-capture 許可ポリシーを使用して、埋め込みリソースから getDisplayMedia() を呼び出して画面やアプリケーション ウィンドウ(音声など)をキャプチャできるかどうかを制御できます。
次のいずれかを選択します。
- ディスプレイへの安全でないアクセス リクエストを拒否する - これがデフォルトの設定です。ウェブ デザイナーが許可リストに登録している場合にのみ、クロスオリジンの子ブラウジング コンテキストで実行されているコードから画面の共有をリクエストできます。
- 許可リストに登録されていないコンテキストからのディスプレイへのアクセス リクエストを許可する - 許可リストに登録されていない場合でも、クロスオリジンの子ブラウジング コンテキストで実行されているコードから画面の共有をリクエストできます。
注: 他の制限が適用されているため、ユーザーが画面を共有できない場合があります。
Chrome バージョン 96~100 でサポートされています。
Chrome バージョン 97~100 では、サードパーティのコンテキストでの WebSQL はデフォルトでオフになっています。Chrome バージョン 101 以降では、サードパーティのコンテキストでの WebSQL は完全に削除されています。
デフォルトでは [サードパーティのコンテキスト内の WebSQL を許可しない] が選択されており、サードパーティのコンテキストでの WebSQL はオフになったままになります。
[サードパーティのコンテキスト内の WebSQL を許可する] を選択すると、サードパーティのコンテキストでの WebSQL を再び強制的にオンにします。
安全でないコンテキストで WebSQL を強制的に有効にできます。
Chrome バージョン 109 以降では、安全でないコンテキストで WebSQL がデフォルトで無効になりますが、このポリシーを使用すれば有効にすることができます。
[安全でないコンテキストでの WebSQL を有効化] を選択すると、安全でないコンテキストでも WebSQL を無効化できなくなります。
ユーザーが WebSQL を無効にしないようにすることができます。
Chrome バージョン 101 からは WebSQL がデフォルトで有効になっていますが、ユーザーは chrome://flags を使用することでこれを無効にできます。[WebSQL を強制的に有効にする] を選択すると、WebSQL を無効にできなくなります。
Transport Layer Security(TLS)バージョン 1.0(RFC 2246)とバージョン 1.1(RFC 4346)には、3DES(Triple Data Encryption Standard)アルゴリズムに基づく暗号スイートが含まれます。暗号スイートとは、TLS でネットワークを保護する手段や方式のアルゴリズムを組み合わせたものです。HTTPS、SMTP、その他のネットワーク プロトコルを使用する際に安全にデータを通信する方法について、重要な情報を提供します。
3DES は、112 ビットの効果的なセキュリティのみを提供します。このポリシーを使用することで、TLS の 3DES 暗号スイートを有効にすると、古いサーバーとの互換性を一時的に保持できます。これは暫定的な措置であり、サーバーの再設定が必要です。
デフォルトは [TLS の 3DES 暗号スイートにデフォルト設定を使用する] です。
バージョン 96~103 のChrome ブラウザでサポートされています。
デフォルトでは、[U2F API サポート終了のデフォルト設定を適用] が選択されており、U2F Security Key API のデフォルトの動作が適用されています。バージョン 98~103 の Chrome ブラウザでは、U2F Security Key API がデフォルトで無効になっています。バージョン 104 以降の Chrome ブラウザでは、U2F Security Key API は完全に削除されています。
バージョン 96~103 のChrome ブラウザで引き続き U2F Security Key API を使用する場合は、[サポートが終了した U2F Security Key API の使用を許可する] を選択してください。
ユーザーは、ユーザー名およびパスワードの入力後、ユーザーに届く不正使用されたパスワードに関するアラートを非表示にするかどうか指定することができます。アラートは、いつでも復元することができます。このオプションの影響について詳しくは、Google アカウントの安全ではないパスワードを変更するをご覧ください。
デフォルトでは、[不正使用されたパスワードに関するアラートを非表示にすることを許可] に設定されています。
この設定を行う前に、地域のプライバシーおよびデータ保護に関するすべての要件について法務チームに確認してください
具体的なウェブ アプリケーションが自動的に複数の画面を同時にキャプチャできるようにするかどうかを指定します。
構成フィールドで指定したオリジン(URL)パターンに一致するサイトは、ユーザーの明示的な許可を得ることなく自動的にすべての画面表示をキャプチャできます。
構成フィールドを空欄にすると、いずれのウェブ アプリケーションも自動的に複数の画面を同時にキャプチャできなくなります。
オリジンの値の一覧を、1 行に 1 つずつ入力します。例:
https://www.example.com
[*.]example.edu
Encrypted ClientHello(ECH)は TLS の拡張機能です。ClientHello メッセージの機密性の高いフィールドを暗号化してプライバシーを強化します。 ECH は、特別な HTTPS RR DNS レコードをホストすることで、ウェブサイトが証明書を受け入れることを許可し、サーバー名などの機密性の高いフィールドがネットワークに漏洩するのを回避できるようにします。
ECH は進化途中にあるプロトコルであるため、Chrome での実装には変更の可能性があります。現在は、試験運用版の初期実装を管理するための一時的なポリシーとして機能していますが、プロトコルが確定した際に最終版の管理機能に置き換えられます。
デフォルトの [TLS Encrypted ClientHello テストを有効にする] を選択した場合、Chrome ブラウザは ECH のデフォルトのロールアウト プロセスを適用します。
TLS Encrypted ClientHello テストが有効になっている場合、Chrome が ECH を使用するかどうかは、サーバーのサポート、利用できる HTTPS DNS レコードの有無、またはロールアウトのステータスによって決まります。
ワーカー スクリプトの MIME タイプの確認(従来の MIME タイプを拒否)を有効にすることができます。
次のいずれかを選択します。
- ワーカー スクリプトに JavaScript MIME タイプを要求する - ワーカー スクリプトに JavaScript 用の MIME タイプの確認(従来の MIME タイプを拒否)が適用されます。従来の MIME タイプを使用しているワーカー スクリプトは拒否されます(サイトを指定しない場合のデフォルト設定)。
- ワーカー スクリプトに MIME タイプの確認(従来の MIME タイプを許可)を使用する - ワーカー スクリプトに MIME タイプの確認(従来の MIME タイプを許可)が適用されます。従来の MIME タイプ(text/plain など)を使用しているワーカー スクリプトの読み込みと実行が引き続き行われます。
管理者は、ユーザーが使用する Chrome の広告のプライバシー設定を制御できます。
[プライバシー サンドボックスに関するメッセージを表示するかどうかの判断を Google Chrome に許可する] を選択すると、選択肢を確認して自身で設定できるボックスがユーザーに表示されます。
[プライバシー サンドボックスに関するメッセージをユーザーに表示しない] を選択すると、管理者は次の設定をオフにするか、ユーザーがオン/ オフを切り替えられるようにするかを制御できます。
- 広告のトピック
- サイト提案広告
- 広告の測定
このポリシーは一時的なものであり、Chrome の今後のバージョンでは廃止される予定です。
プラットフォームのトラストストアから読み込まれたトラスト アンカーにエンコードされている制約を、Chrome が強制適用しないようにできます。
現在のところ、X.509 証明書ではその拡張機能に制約(名前の制約など)がエンコードされている可能性があります。プラットフォームの証明書ストアから読み込まれた証明書に含まれるそのような制約は、Chrome で強制適用されます。
プライベート ルートでエンコードされる制約に問題がある場合、この設定を有効にすると、制約の強制適用が一時的に無効になることで問題を修正する時間ができ、同時に証明書の問題も修正することができます。
ユーザーに認証情報プロバイダ拡張機能のプロモーションを表示するかどうかを指定できます。
iOS デバイスでユーザーは、提携しているサードパーティ製アプリを、パスワードの自動入力または機能拡張設定で認証情報プロバイダとして選択できます。
詳しくは、クレデンシャルプロバイダ機能拡張をご確認ください。
ドキュメントの分離をオリジンキー エージェント クラスタとサイトキー エージェント クラスタのどちらで行うかを指定できます。デフォルトでは、ドキュメントはオリジンキー エージェント クラスタで分離されます。
これにより、ブラウザではより柔軟に技術を実装することが可能になります。具体的には、Chrome ではこの方法を、リソースやプラットフォームの制限に応じてオリジンを固有のプロセスに配置するための手がかりとして使用します。
オリジンごとにドキュメントを分離するよう選択した場合は、document.domain アクセサーを設定できなくなりました。
一方、キーごとにドキュメントを分離するよう選択すると、document.domain アクセサーを設定できます。これは以前の動作と同じです。
詳しくは、同一オリジン ポリシーのブログをご覧ください。
事前のユーザー操作なしで呼び出し可能な、ファイルまたはディレクトリ選択 API のオリジン(URL)パターンまたはホスト名パターンを指定できます。
一行に 1 つのパターンを入力し、すべてのサブドメインが含まれるようドメインの前に [*.] を付けます。入力できる URL は最大で 1,000 件です。
URL を何も入力しない場合は、これらの API を呼び出すために、すべてのオリジンで事前のユーザー操作が必要になります。
有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
事前のユーザー操作なしでスクリーン キャプチャのメディアの選択を表示する、オリジン(URL)パターンまたはホスト名パターンを指定できます。
一行に 1 つのパターンを入力し、すべてのサブドメインが含まれるようドメインの前に [*.] を付けます。入力できる URL は最大で 1,000 件です。
URL を何も入力しない場合は、スクリーン キャプチャのメディアの選択を表示するために、すべてのオリジンで事前のユーザー操作が必要になります。
有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
ユーザーが Cache-Control: no-store(CCNS)ヘッダー付きのページをバックフォワード キャッシュ(bfcache)に保存できるようにするかどうかを指定します。
bfcache とは、すぐに前または次のページに移動できるようにブラウザを最適化する機能です。この機能を使うと、特にネットワーク速度やデバイスの動作が遅い環境で、ユーザーのブラウジング体験が大幅に向上します。
当初はアクセス可能でも後になってアクセスを禁止する必要があるデリケートなコンテンツが含まれている可能性があるため、CCNS ヘッダー付きのドキュメントは、すべてのブラウザで bfcache に保存できません。これは共有デバイスの場合、特に重要です。Chrome ブラウザでは、CCNS ヘッダー付きのページの大部分が、機密情報を漏えいさせることなくバックフォワード キャッシュに保存されるように、ページを bfcache に保存します。ただし、機密情報を含むページは対象外となります(GitHub)。
このポリシーを有効にした場合、サイトに HTTP のみの Cookie の変更があるなど、キャッシュ エビクションがトリガーされない限り、CCNS ヘッダー付きのページは bfcache から復元されます。ポリシーを無効にすると、CCNS ヘッダー付きのページは bfcache に保存されません。
リモート アクセス
リモート アクセス クライアントアクセスを許可するリモート アクセス クライアントのドメイン名を指定し、ユーザーがこの設定を変更できないようにします。ホストデバイスに接続できるのは、指定したドメインのクライアントのみになります。空白のままにした場合、ホストはあらゆるドメインの承認済みユーザーからの接続を許可することになります。
リモート アクセス ホストに適用するホストドメイン名を指定します。ユーザーはこのドメイン名を変更できません。ホストの共有に使用できるのは、指定されたいずれかのドメイン名に登録されているアカウントのみになります。空白のままにした場合、どのユーザー アカウントを使用してもホストを共有できます。
リモート クライアントからユーザーのデバイスへの接続が試行されるときに、STUN(Session Traversal Utilities for NAT)サーバーと TURN (Traversal Using Relay around NAT)サーバーの使用を有効にすることができます。
[ファイアウォール トラバーサルを有効にする] を選択すると、リモート クライアントはファイアウォールの有無にかかわらずユーザーのデバイスを検出して接続できます。リレーサーバーの使用はデフォルトで有効になっていますが、無効にすることもできます。リレーサーバーを使用すると、他のピアへの接続が可能になり、ファイアウォールが設定されているときに直接接続を必要とせずにデータを転送できます。ユーザーのデバイスのリモート アクセス ホストで使用される UDP ポートの範囲を制限するには、[UDP ポート範囲] 欄に最小値から最大値の範囲を入力します。空白のままにした場合、任意のポートが使用されます。
[ファイアウォール トラバーサルを無効にする] を選択していて、かつ発信 UDP 接続がファイアウォールによってフィルタリングされている場合、ユーザーのデバイスに接続できるのはローカル ネットワーク内のクライアント マシンのみとなります。
ユーザーのデバイスでリモート サポート接続が許可されるかどうかを指定します。
[リモート サポート接続を禁止する] を選択した場合、リモート サポート ホストを起動することも、外部からの接続を受け入れるように設定することもできなくなります。
このポリシーは、リモート アクセスのシナリオには影響しません。また、管理対象 ChromeOS デバイスに管理者が接続する妨げにもなりません。
クリップボードの同期を使用してクライアントとホストとの間で転送可能な上限サイズ(バイト単位)を指定できます。これは、リモート アクセスとリモート サポートの両方のシナリオに影響します。
[上限サイズ(バイト単位)] フィールドに値を追加すると、以下が適用されます。
- クリップボードとホストとの間の送受信データは入力した値以下に制限されます。
- 値に「 0」を入力した場合は、クリップボードの同期は許可されません。
- フィールドが空のままの場合、設定は適用されません。
- 追加する値が最小値(0)~最大値(2147483647)の範囲外の場合、ホストが開始されない可能性があります。
企業の管理者が、管理コンソールから管理対象 ChromeOS デバイスへのリモート サポート接続を開始できるかどうかを指定します。
[企業の管理者からのリモート サポート接続をブロックする] を選択した場合、リモート サポート ホストを起動することも、管理コンソールからの接続を受け入れるように設定することもできなくなります。Chrome リモート デスクトップ セッションについて詳しくは、ChromeOS デバイスにリモートでアクセスするをご覧ください。
このポリシーは、リモート アクセスのシナリオには影響しません。
セッションの設定
トレイにログアウト ボタンを表示する[トレイにログアウト ボタンを表示する] を選択すると、シェルフにログアウト ボタンが明示的に表示されます。この設定は、ChromeOS デバイスからすばやくログアウトする必要がある場合に便利です。
Kerberos
Kerberos チケット[Kerberos を有効にする] を選択すると、Chrome OS デバイスで Kerberos チケットを使用して、Kerberos 認証対応の内部リソースに対してシングル サインオン(SSO)を有効にすることができます。内部リソースには、ウェブサイト、ファイル共有、証明書などがあります。詳しくは、Chrome OS デバイスに Kerberos シングル サインオンを設定する方法についての記事をご覧ください。
ユーザーがパスワードを毎回入力しなくても済むように、Chrome に Kerberos パスワードを保存できるようにするかどうかを指定します。デフォルトでは、[ユーザーが Kerberos のパスワードを保存できるようにする] が選択されています。2 要素認証などの追加の認証が不要な場合、Chrome は Kerberos チケットを自動的に取得します。
[ユーザーが Kerberos のパスワードを保存できないようにする] を選択すると、Chrome にパスワードが保存されなくなり、これまでに保存したパスワードがすべて削除されます。ユーザーは、Kerberos システムで認証が必要となるたびにパスワードを入力しなければなりません。
Kerberos アカウントをユーザーが追加できるようにするかどうかを指定します。デフォルトでは、[ユーザーが Kerberos アカウントを追加できるようにする] が選択されています。ユーザーは追加したアカウントを詳細に管理できます(アカウントの変更や削除も可能)。
[ユーザーが Kerberos アカウントを追加できないようにする] を選択した場合は、管理者がポリシーを使用してアカウントを追加する必要があります。
ユーザーがデバイスで新しい Kerberos チケットを手動で追加する際に、[Kerberos のユーザー名] ダイアログをオートコンプリートするために使用されるドメインを指定します。
管理者が [Kerberos ドメイン] フィールドにドメインを入力すると、[Kerberos のユーザー名] にそのドメインが事前入力されます。その後、ユーザーがユーザー名を入力すると、その値が事前入力されたドメインと連結されます。ユーザーの入力に「@」が含まれている場合、事前入力されたドメインは表示されず、入力内容には影響しません。
[Kerberos ドメイン] フィールドを空のままにした場合、事前入力ドメインが表示されることも、ユーザー名フィールドのオートコンプリートに使用されることもありません。手動で作成された新しいチケットに対する推奨の Kerberos 構成プロパティ(krb5 構成)を指定します。
次のいずれかのオプションを選択します。
- Kerberos の設定をカスタマイズする - [カスタム構成] フィールドに入力したカスタム構成が推奨構成として適用され、Kerberos 認証ダイアログの [詳細設定] セクションにもこの値が表示されます。[カスタム構成] フィールドを空白のままにすると、推奨の ChromeOS 構成は削除されます。
- Kerberos 推奨構成を使用する - 推奨の ChromeOS 構成が適用され、Kerberos 認証ダイアログの [詳細設定] セクションにも表示されます。
ネットワーク
プロキシモードChromeOS をインターネットに接続する方法を指定します。
デフォルトの [ユーザーに設定を許可] のままにした場合、直接接続が Chrome OS デバイスのデフォルトの設定になり、ユーザーは Chrome の設定でプロキシ設定を変更できます。[プロキシモード] の他の設定を選択すると、ユーザーは設定を変更できません。
- プロキシを使用しない - Chrome OS デバイスは、プロキシ サーバーを経由せずに、常にインターネットへの直接接続を確立します。
- 常にプロキシを自動検出する - Chrome OS デバイスはウェブプロキシ自動検出プロトコル(WPAD)を使用して、接続するプロキシ サーバーを特定します。
- 常に下記に指定したプロキシを使用する - ユーザーからのリクエストを処理する特定のプロキシ サーバーを設定します。表示される [プロキシ サーバーの URL] にプロキシ サーバーの URL を入力する必要があります。プロキシ サーバーの URL は <IP アドレス>:<ポート> の形式で指定します(例: 192.168.1.1:3128)。
他のユーザー リクエストを処理するプロキシ サーバーをバイパスする URL がある場合は、[プロキシをバイパスする URL(各行に 1 つずつ入力)] に入力します。URL が複数ある場合は、1 行に 1 つずつ URL を入力します。 - 常に下記に指定したプロキシの自動設定を使用する - [プロキシ サーバーの自動設定ファイルの URL] に、ネットワーク接続に使用する .pac ファイルの URL を入力します。
Chrome OS で無効なプロキシが処理される仕組み
PROXY(foo)は、プロキシ自動設定スクリプトでプロキシ サーバーに名前を付ける方法です。最初のプロキシが機能しない場合、Chrome は 2 番目のプロキシを試し、最初のプロキシを無効なプロキシとしてマークします。
現在、PAC で解決されたプロキシリストを適用する場合、Chrome はプロキシの以前の利用状況に基づいてプロキシの選択を並べ替えることができます。たとえば「PROXY foo1; PROXY foo2;」を適用した場合、Chrome は、前回試行された foo1 がタイムアウトしてから 5 分以内に foo2 の試行を開始します。
foo2 が成功すると、Chrome は foo1 を無効なプロキシとしてマークしてプロキシリストの優先順位を再設定し、その後のすべてのリクエストで foo2 を最初に試行します。
Chrome OS デバイスの場合、管理用の URL はインターネットへの直接パスである必要があります。プロキシを介してフィルタすると、予期しない動作を引き起こす可能性があります。
Chrome OS 上で実行される Android アプリ
サポート対象の Chrome デバイスで Android アプリを有効にしている場合は、Android アプリで一部のプロキシ設定を使用できるようになります。アプリによっては、こうした設定が優先的に使用されることもあります。通常、Android システムの WebView や内蔵のネットワーク スタックを使用するアプリがこれに該当します。選択内容に応じて結果は次のようになります。
- プロキシ サーバーを使用しない場合は、プロキシが設定されていないことが Android アプリに通知されます。
- システム プロキシの設定または固定サーバー プロキシを使用する場合は、Android アプリに対して HTTP プロキシ サーバーのアドレスとポートが提供されます。
- プロキシ サーバーを自動検出する場合は、Android アプリに対してスクリプト URL「http://wpad/wpad.dat」が提供されます。プロキシ自動検出プロトコルの他の部分は使用されません。
- .pac プロキシ スクリプトを使用する場合は、Android アプリに対してスクリプト URL が提供されます。
ChromeOS がキャプティブ ポータル認証用に構成されたプロキシ サーバーをバイパスできるかどうかを指定します。たとえば、ランディング ページやログインページなどのキャプティブ ポータル ページでは、Chrome が正常なインターネット接続を検出する前に、ユーザーは利用規約に同意するか、ログインすることを求められます。
構成済みのプロキシ サーバーは、次の方法で設定できます。
- 管理コンソールで [プロキシモード] の設定を使用する
- Chrome OS デバイスのユーザーごとに設定する(chrome://settings で設定)
- プロキシの設定や変更が許可されているアプリまたは拡張機能ごとに設定する
このポリシーを [キャプティブ ポータル ページのポリシーを無視する] に設定すると、Chrome の新しいウィンドウでキャプティブ ポータル ページが開き、現在のユーザーの設定と制限はすべて無視されます。[キャプティブ ポータル ページのポリシーを保持する] に設定すると、Chrome の新しいブラウザタブでキャプティブ ポータル ページが開き、現在のユーザーのポリシーと制限が適用されます。
サポートされる HTTP 認証スキームを指定します。サーバーまたはプロキシで複数の認証スキームが許可されている場合、最も安全なサポート対象の認証スキームが選択されます。特定の認証スキームを無効にすることで、デフォルトの動作をオーバーライドできます。
- ベーシック - 暗号化を行わずに認証を行う安全性の低い方法です。
- ダイジェスト - ベーシック認証より安全なチャレンジ レスポンス スキームです。
- NTLM(NT LAN Manager) - ダイジェストより安全な高度なチャレンジ レスポンス スキームです。
- ネゴシエーション - 最も安全なオプションです。利用可能な場合はこのオプションを使用し、利用できない場合は NTLM を使用することをおすすめします。
Chrome ブラウザではデフォルトで、保護されていない HTTP 接続経由の基本認証チャレンジが許可されています。[基本認証スキームを使用するには HTTPS を必須とする] を選択した場合、Chrome ブラウザで HTTPS を経由した基本認証チャレンジのみが許可されます。
注: [サポートされる認証スキーム] で [基本] を指定していない場合、この設定は無視されます。
デフォルトでは、NTLMv2 認証は有効になっています。下位互換性の問題がない限り、この設定は無効にしないことをおすすめします。[NTLMv2 認証を無効にする] を選択すると、認証のセキュリティが低下します。
[SSL レコード分割を有効にする] を選択すると、Chrome で SSL レコード分割が可能になります。レコード分割によって SSL 3.0 と TLS 1.0 の脆弱性を回避できますが、一部の HTTPS サーバーやプロキシでは互換性に関する問題が発生することがあります。
ユーザーに許可する Transport Layer Security(TLS)の最小バージョンを指定します。
ユーザーが SSL に関する警告を無視してページに移動できるようにするかどうかを指定します。
管理者は、ユーザーが SSL に関する警告を無視できるドメイン名をリスト形式で入力することができます。ユーザーはこのリストに記載されているオリジン ドメインでのみ、SSL に関する警告を無視できます。
リストには URL の値を 1 行に 1 つずつ入力します。以下に例を示します。
https://www.example.com
[*.]example.edu
詳しくは、Enterprise ポリシーの URL パターンの形式をご覧ください。
注: [SSL エラーを無視] が有効になっている場合、このポリシーは無視されます。
データ圧縮を常に有効にするか無効にするかを指定します。[データ圧縮プロキシを常に有効にする] を選択すると、Google がホストするプロキシ サーバーを使ってウェブサイトのコンテンツを最適化することで、モバイルでのデータ使用量を減らし、ウェブ ブラウジングの速度を上げることができます。
デフォルトでは、[ユーザーによる決定を許可] が選択されていて、ユーザーがデータ圧縮を有効または無効にできます。
ユーザーからの WebRTC 接続に使用する UDP ポートの範囲を指定できます。ポートの範囲は 1024~65535 で、最大値には最小値と同じ値か、それより大きい値を指定する必要があります。
ローカル IP を表示する Web Real-Time Communication Interactive Connectivity Establishment(WebRTC ICE)候補の URL を追加できます。
Google のサービスは Chrome API を呼び出して、オプトインしたユーザーに関する WebRTC イベントを収集します。WebRTC は、User Datagram Protocol(UDP)経由でデータを転送します。
1 行に 1 つずつ URL を入力する必要があります。ワイルドカード文字 * も使用できます。
このリストに追加したパターンが、リクエスト元 URL のセキュリティ オリジンと照合されます。一致するものが見つかった場合は、WebRTC ICE の候補にローカル IP アドレスが表示されます。見つからない場合、ローカル IP アドレスは mDNS のホスト名で隠されます。
Chrome での Quick UDP Internet Connections(QUIC)プロトコルの使用を許可できます。QUIC は、伝送制御プロトコル(TCP)よりもレイテンシを低く抑えることができる転送プロトコルです。詳しくは、Chromium をご覧ください。
WebRTC が最適な接続を検索する際に使用する IP アドレスとインターフェースを決定します。詳しくは、WebRTC の動作に関する特定のモードをご覧ください。
デフォルトでは、[WebRTC は最適なパスを検索する際に利用可能なインターフェースをすべて使用する] が選択されています。
各クエリについて、HTTPS プロトコルを介したリモートでのドメイン ネーム システム(DNS)解決のデフォルト モードを管理します。DNS-over-HTTPS(DoH)は、ユーザーがウェブを閲覧しているときのセキュリティとプライバシーの向上に役立ちます。たとえば、攻撃者がアクセス先のサイトを監視したり、フィッシング サイトに誘導したりするのを防ぎます。
次のいずれかを選択します。
- DNS-over-HTTPS を無効にする - Chrome は DoH クエリを DNS サーバーに送信しません。
- DNS-over-HTTPS を有効にする(安全でないフォールバックあり) - DoH をサポートする DNS サーバーが利用可能な場合、Chrome はまず DNS-over-HTTPS クエリを送信します。エラーが発生した場合や、DoH をサポートするサーバーを利用できない場合は、代わりに DNS クエリのみが Chrome からサーバーに送信されます。
- DNS-over-HTTPS を有効にする(安全でないフォールバックなし) - Chrome は DNS サーバーにのみ DoH クエリを送信します。
DoH を有効にした場合は、ユーザーに利用を許可する DoH リゾルバの URI テンプレートのリストを追加できます。
デフォルトの設定は [DNS-over-HTTPS を有効にする(安全でないフォールバックあり)] ですが、[DNS-over-HTTPS を無効にする] に設定されてユーザーが変更できない場合があります。これは、保護者による使用制限や企業ポリシーを Chrome が検出した場合に発生します。Chrome は次の場合に企業ポリシーを検出します。
- ドメインに参加しているパソコンの Chrome ブラウザを管理している
- Chrome ブラウザに対して 1 つ以上のアクティブなポリシーを設定済みである
使用する ID 情報とソルト値で DNS-over-HTTPS リゾルバの URI テンプレートを指定できます。
このポリシーは DNS-over-HTTPS ポリシーにとてもよく似ており、識別情報の指定をサポートします。このポリシーを設定すると、DNS-over-HTTPS ポリシーよりも優先されます。
[設定] で、以下を行います。
- [DNS-over-HTTPS テンプレート(識別子あり)] フィールドに URI テンプレートを追加します。
- ${...} のように、識別子は波かっこで囲み、さらにその前にドル記号を付ける必要があります。有効な識別子のリストは以下のとおりです。
- USER_EMAIL
- USER_EMAIL_DOMAIN
- USER_EMAIL_NAME
- DEVICE_DIRECTORY_ID
- DEVICE_SERIAL_NUMBER
- DEVICE_ASSET_ID
- DEVICE_ANNOTATED_LOCATION
- 複数の DNS-over-HTTPS リゾルバを指定するには、対応する URI テンプレートをスペースで区切ります。
- DNS-over-HTTPS ポリシーが [DNS-over-HTTPS を有効にする(安全でないフォールバックなし)] に設定されている場合は、このポリシー、または DNS-over-HTTPS ポリシー内のテンプレートのリストのいずれかを空白にすることはできません。
- DNS-over-HTTPS ポリシーが [DNS-over-HTTPS を有効にする(安全でないフォールバックあり)] に設定され、このポリシーが設定されている場合、指定された URI テンプレートが使用されます。このポリシーが空白のままの場合は、DNS-over-HTTPS ポリシーのテンプレートのリストが使用されます。いずれのポリシーでもテンプレート URI が指定されていない場合、DNS の解決は安全でないクエリにフォールバックします。
- URI テンプレートに DNS 変数が含まれている場合は、リゾルバへのリクエストには GET が使用されます。それ以外の場合は、リクエストには POST が使用されます。
- ${...} のように、識別子は波かっこで囲み、さらにその前にドル記号を付ける必要があります。有効な識別子のリストは以下のとおりです。
- [URI テンプレート内の識別子をハッシュ化するソルト] フィールドに、[DNS-over-HTTPS テンプレート(識別子あり)] フィールドに含まれる ID 情報をハッシュ化するときに使用するソルト値を追加します。
- ソルトには 8~32 文字の文字列を指定する必要があります。
- Chrome バージョン 114 以降では、DNS-over-HTTPS テンプレート(識別子あり)を追加した場合、このフィールドはオプションです。
- ソルト値を追加しない場合、追加したテンプレート URI の識別子はソルトなしでハッシュ化されます。
組み込みの DNS クライアントを Chrome ブラウザで使用するかどうかを指定します。
組み込みの DNS クライアントは、macOS、Android、ChromeOS ではデフォルトで有効になっており、ユーザーは設定を変更できます。
このポリシーは DNS-over-HTTPS には影響しません。DNS-over-HTTPS の動作を変更するには、DNS-over-HTTPS の設定についての記事をご覧ください。
クロスオリジン リソース シェアリング(CORS)を使用すると、予期しないクロスオリジン ネットワーク アクセスから組織を保護する一方で、他のドメインのリソースにアクセスできます。
Chrome ブラウザと、ChromeOS バージョン 79 以降のデバイスでは、CORS の新しい実装である Out-Of-Renderer CORS がネットワーク リクエスト(Chrome 拡張機能を含む)に対して CORS の検査を実行します。Out-Of-Renderer CORS は、以前の CORS の実装よりも厳格で安全です。たとえば、リクエストの HTTP ヘッダーが変更された場合、以前は CORS プロトコルで無視されましたが、現在は Out-Of-Renderer CORS プロトコルで検査されます。
Chrome ブラウザで以前の CORS プロトコルを使用できるかどうかを指定します。以前のプロトコルは Out-Of-Renderer CORS よりも安全性と厳格さが低くなります。
クロスオリジン リソース シェアリング(CORS)を使用すると、予期しないクロスオリジン ネットワーク アクセスから組織を保護する一方で、他のドメインのリソースにアクセスできます。
Chrome ブラウザと ChromeOS バージョン 79 以降のデバイスでは、CORS の新しい実装である Out-Of-Renderer CORS がネットワーク リクエスト(Chrome 拡張機能を含む)に対して CORS の検査を実行します。Out-Of-Renderer CORS は、以前の CORS の実装よりも厳格で安全です。たとえば、リクエストの HTTP ヘッダーが変更された場合、以前は CORS プロトコルで無視されましたが、現在は Out-Of-Renderer CORS プロトコルで検査されます。
Chrome 拡張機能と特定の HTTP ヘッダーを CORS の検査対象から除外するには、[緩和を有効にする] を選択します。
この設定は一時的なものであり、Chrome の今後のバージョンでは削除される予定です。
CORS プリフライトで Access-Control-Allow-Methods レスポンス ヘッダーと照合する際に、リクエスト メソッドを大文字にするかどうかを制御できます。
デフォルト設定では、リクエスト メソッドは大文字になりません。ただし、大文字と小文字を区別せずに DELETE、GET、HEAD、OPTIONS、POST、PUT と照合する場合は除きます。
例
- レスポンス ヘッダー fetch(url, {method: 'Foo'}) + "Access-Control-Allow-Methods: FOO" は拒否されます。
- レスポンス ヘッダー fetch(url, {method: 'Foo'}) + "Access-Control-Allow-Methods: Foo" は受け入れられます。
Android と ChromeOS で、ユーザーがデバイスを起動したらすぐにユーザー トラフィックの処理を行う Android VPN アプリを指定します。セキュリティ上の理由から、バーチャル プライベート ネットワーク(VPN)は、OS やポリシーの更新などのシステム トラフィックには適用されません。VPN 接続に失敗すると、VPN 接続が再確立されるまで、すべてのユーザー トラフィックがブロックされます。Android VPN アプリの一覧から、ユーザーのデバイスに自動的にインストールできるものを選択します。
ユーザーが VPN から手動で接続を解除できないようにするには、[ユーザーに手動での VPN 接続解除を許可しない] を選択します。
詳しくは、バーチャル プライベート ネットワークを設定する(Android VPN アプリ)をご覧ください。
統合 Windows 認証(IWA)を許可するサーバーを指定します。この許可リストに含まれているプロキシやサーバーから Chrome が認証チャレンジを取得すると、統合認証が有効になります。
複数のサーバー名を入力する場合は、カンマで区切る必要があります。ワイルドカード「*」とカンマ「,」を使用できます。
空白のままにした場合、サーバーがイントラネット上にあるかどうかの検出を試みます。サーバーがイントラネット上にある場合、Chrome は IWA リクエストに応答します。サーバーがインターネット上にあることが Chrome で検出されると、そのサーバーからの IWA リクエストは無視されます。
統合 Windows 認証(IWA)のために Chrome の委任先として使用可能なサーバーを指定します。
複数のサーバー名を入力する場合は、カンマで区切る必要があります。ワイルドカード「*」とカンマ「,」を使用できます。
空白のままにした場合、サーバーがイントラネット上にあると検出された場合でも、Chrome はユーザーの認証情報を委任しません。
Kerberos チケットの委任にキー配布センター(KDC)のポリシーを適用するかどうかを指定します。
Kerberos のサービス プリンシパル名(SPN)の生成に使用される名前のソースを指定します。
生成された Kerberos のサービス プリンシパル名(SPN)に標準以外のポートを含めるかどうかを指定します。
ページ上のサードパーティのサブコンテンツに対し、HTTP 基本認証ダイアログ ボックスのポップアップ表示を許可するかどうかを指定します。
クロスオリジン分離が適用されていないウェブサイトで SharedArrayBuffers を使用できるようにするかどうかを指定します。ウェブの互換性を維持するために、Chrome バージョン 91 以降では SharedArrayBuffers を使用する際にクロスオリジン分離が必要となります。
詳しくは、SharedArrayBuffer の更新をご覧ください。
Chrome のデフォルトの参照ポリシーを指定します。参照ポリシーにより、ネットワーク リクエストに含まれる参照情報の量が制御されます。
[Chrome のデフォルトの参照ポリシーを使用する] を選択した場合、strict-origin-when-cross-origin ポリシーが使用されます。このポリシーの目的は次のとおりです。
- 同一オリジン リクエストを実行する際に、発信元、パス、クエリ文字列を送信する
- クロスオリジン リクエストの実行中にプロトコルのセキュリティ レベルが変わらない場合(HTTPS から HTTPS)にのみ、発信元を送信する
- 宛先の安全性が低い場合(HTTPS から HTTP)、ヘッダーを送信しない
[Chrome のデフォルトの参照ポリシーを、従来の参照ポリシーに設定する] を選択した場合、ネットワーク リクエストには従来の no-referrer-when-downgrade ポリシーが使用されます。このポリシーの目的は次のとおりです。
- プロトコルのセキュリティ レベルが変わらない場合(HTTP から HTTP、または HTTPS から HTTPS)、あるいはセキュリティ レベルが上がる場合(HTTP から HTTPS)は、URL を構成する発信元、パス、クエリ文字列を参照情報として送信する
- 宛先の安全性が低い場合(HTTPS から HTTP)、ヘッダーを送信しない
ユーザーのブラウザと環境に関する情報を含むリクエストを Chrome ブラウザでアクティブに作成できるかどうかを指定します。これにより、サーバーは分析を有効にしてレスポンスをカスタマイズできます。デフォルトでは、[ユーザー エージェント クライアントのヒントを許可する] が選択されています。
この詳細なリクエスト ヘッダーは、一部のウェブサイト(リクエストに含まれる文字を制限するサイト)では正常に動作しない可能性があります。
この設定は一時的に利用可能になっていますが、いずれ管理コンソールから削除される予定です。
デフォルトでは、[更新された User-Agent GREASE アルゴリズムの実行を許可する] が選択されており、Chrome ブラウザが、使用する User-Agent GREASE アルゴリズムを選択します。User-Agent GREASE アルゴリズムには最新の仕様が適用されます。最新の仕様では、リクエストに含められる文字が制限されるウェブサイトが正常に動作しなくなる可能性があります。詳しくは、W3C のドキュメントをご覧ください。
デフォルトでは、[Signed HTTP Exchange として配信されるウェブ コンテンツを許可する] が選択されており、コンテンツの整合性と帰属情報を維持しながら、コンテンツの移植や他者による再配布を安全に行えるようになっています。
HTTP サーバー認証の認証情報を使用して、プロファイルごとにグローバル キャッシュを 1 つ設定します。
- (デフォルト)最上位サイトを HTTP 認証の認証情報の対象範囲とする - バージョン 80 以降では、Chrome は最上位のサイトを HTTP サーバー認証の認証情報の対象範囲としています。2 つのサイトで同じ認証ドメインのリソースを使用している場合は、両方のサイトのコンテキストごとに認証情報を提供する必要があります。また、サイト間ではキャッシュされたプロキシ認証情報が再利用されます。
- あるサイトで入力された HTTP 認証の認証情報を、別のサイトでも自動的に使用する - サイトが一部のクロスサイト攻撃にさらされることになります。また、URL に埋め込まれた認証情報を使用して HTTP 認証キャッシュにエントリを追加することで、Cookie がなくてもサイト間でユーザーを追跡できるようになります。
このポリシーは、企業が従来の動作に応じてログイン手順を更新するために用意されているもので、今後削除される予定です。
ローカルにインストール済みの CA 証明書によって署名された確認済みのサーバー証明書に対して、Chrome が常に失効確認を行うかどうかを指定します。Chrome が失効のステータス情報を取得できない場合、証明書は失効したものとして扱われます。
デフォルトは [オンライン失効確認の既存の設定を使用する] です。
プロキシ サーバーによっては 1 つのクライアントに対して多数の同時接続を処理できない場合があります。このポリシーでは、プロキシ サーバーへの同時接続数の上限を指定できます。値は 7 以上 100 未満の間で指定する必要があります。一部のウェブアプリでは、GET がハングアップした接続を複数使用することがあります。デフォルト値は 32 です。32 より小さい値を設定した場合、ハングアップした接続を使用するウェブアプリを多く開きすぎると、ブラウザのネットワークがフリーズする可能性があります。
Chrome で HTTP 認証に使用する GSSAPI(Generic Security Service Application Program Interface)ライブラリを指定します。ポリシーには、ライブラリ名またはフルパスのいずれかを設定します(例: GSSAPILibraryName、libgssapi_krb5.so.2)。空白のままにした場合、Chrome はデフォルトのライブラリ名を使用します。
HTTP Strict Transport Security(HSTS)ポリシー チェックを適用しないホスト名のリストを指定します。HSTS ポリシーは、ウェブブラウザが安全な HTTPS 接続経由でのみウェブサイトと通信するようにし、HTTP 接続経由での通信は行いません。
単一ラベルのホスト名のみを 1 行に 1 つずつ入力してください。ホスト名は正規化する必要があります。IDN はすべて A ラベル形式に変換し、ASCII 文字列はすべて小文字にする必要があります。このポリシーは、指定したホスト名のサブドメインではなく、指定したホスト名にのみ適用されます。
HTTP ネゴシエーション認証対応の Android 認証アプリが提供するアカウントの種類を指定します。認証アプリは、高度なセキュリティを必要とするサイトにログインするためのセキュリティ コードを生成します(例: Kerberos 認証)。この情報は認証アプリの提供者から入手します。詳しくは、Chromium プロジェクトの説明をご覧ください。
デフォルトでは、[DNS 傍受チェックを行う] が選択されています。DNS 傍受チェックでは、ブラウザがプロキシ(不明なホスト名をリダイレクト)の背後にあるかどうかを確認します。
ユーザーが Chrome アドレスバーに 1 つの単語を入力して Enter キーを押すと、Chrome はデフォルトの検索プロバイダにその検索内容を送信します。その 1 語がイントラネット ホスト名と一致する場合、ユーザーは検索ではなくそのホストへの移動を意図している可能性があります。
イントラネット リダイレクトが許可されている場合、Chrome はそのホスト名の DNS リクエストを発行し、ユーザーに情報バーを表示してそのサイトに移動するかどうかを尋ねます(解決可能な場合)。たとえば、「calendar」はイントラネット ホストの http://calendar/ と一致します。ユーザーが検索バーに「calendar」と入力すると、「もしかして: http://calendar/」と表示されます。
イントラネット リダイレクトを使用することで、Chrome は DNS 傍受を防ぐことができます。DNS 傍受とは、1 語からなるホスト名が指定された場合に DNS リクエストで解決可能かどうかを(ホストが実在しなくても)確認することを意味します。
1 語のホスト名が入力された場合に毎回 DNS リクエストで解決する場合は、使用するネットワーク環境で DNS 傍受チェックを許可する必要があります。DNS 傍受チェックを許可すると、1 語検索を行っても情報バーが表示されなくなります。
デフォルトでは、[デフォルトのブラウザ処理を使用する] が選択されています。Chrome バージョン 88 以降では、DNS 傍受チェックとイントラネット リダイレクトの提案機能がデフォルトで有効になっています。ただし、今後のリリースでは、これらの機能はデフォルトで無効になる予定です。
DNS 傍受チェックを無効にするために [DNS 傍受チェックを有効にする] の設定を使用することもできますが、[イントラネット リダイレクトの処理] の設定の方がイントラネット リダイレクトの情報バーを個別に管理できるため、柔軟性はより高くなります。
このポリシーは一時的なものであり、Chrome の今後のバージョンでは廃止される予定です。
WebRTC(Web Real-Time Communications)において、従来の TLS(Transport Layer Security)と DTLS(Datagram Transport Layer Security)のダウングレードを許可します。
デフォルトでは、[WebRTC ピア接続の、廃止されたバージョンの TLS / DTLS(DTLS 1.0、TLS 1.0、TLS 1.1)プロトコルへのダウングレードを無効にする] が選択されています。そのため、これらの TLS / DTLS バージョンは無効になります。
Chrome での WPAD(ウェブプロキシ自動検出)の最適化を有効または無効にします。
WPAD を使用すると、クライアント(Chrome ブラウザなど)がネットワーク内のキャッシュ サービスを自動的に検出してインターフェースの役割を果たすため、ユーザーに速やかに情報を提供することができます。
デフォルトは [ウェブプロキシ自動検出(WAPD)の最適化を有効にする] です。[ウェブプロキシ自動検出(WAPD)の最適化を無効にする] を選択した場合、DNS ベースの WPAD サーバーに対する Chrome の待機間隔が長くなります。
ユーザーは WPAD の最適化設定を変更できません。
NTLM 認証で保護された管理対象プロキシの認証にユーザー名とパスワードを使用するかどうかを指定します。
[管理対象のプロキシに対するネットワーク認証にログイン認証情報を使用する] を選択した場合、認証に失敗すると、ユーザーはユーザー名とパスワードを入力するよう求められます。
発信接続が許可されている 1 つ以上のポートを選択して、Google Chrome の制限付きポートリストの回避を許可します。
ポートは、Google Chrome を介してネットワークの脆弱性が悪用されるのを防ぐために制限されています。このポリシーを設定した場合、ネットワークが攻撃にさらされる可能性があります。このポリシーは、ブロック済みのポートで実行していたサービスを標準ポート(ポート 80 や 443 など)に移行する際に、コード「ERR_UNSAFE_PORT」のエラーを一時的に回避するためのものです。
このポリシーを設定しない場合、すべての制限付きポートがブロックされます。有効な値と無効な値の両方を選択した場合、有効な値が適用されます。
このポリシーは「--explicitly-allowed-ports」コマンドライン オプションより優先されます。
Chrome が Transport Layer Security(TLS)における耐量子鍵合意アルゴリズムである Combined Elliptic-Curve and Post-Quantum 2(CECPQ2)のデフォルトのロールアウト プロセスを適用するかどうかを指定します。
CECPQ2 は、ユーザーのデバイスの耐量子鍵交換アルゴリズムのパフォーマンスを評価するのに役立ちます。
CECPQ2 では TLS メッセージのサイズが大きくなる場合があり、一部のネットワーキング ハードウェアでは、まれに問題が発生することがあります。ネットワークの問題が解決されるまでの間、CECPQ2 を無効にできます。
Chrome で安全でない DNS リクエストを行う場合に、その他の DNS レコードタイプをクエリできるようにするかどうかを指定します。
この設定は、セキュア DNS を介した DNS クエリには影響しません。セキュア DNS を介した DNS クエリでは、常にその他の種類の DNS をクエリできます。
次のいずれかを選択します。
- [その他の種類の DNS クエリタイプを許可する] — これがデフォルトの設定です。HTTPS(DNS タイプ 65)、A(DNS タイプ 1)、AAAA(DNS タイプ 28)など、その他の DNS レコードタイプをクエリできます。
- [その他の DNS クエリタイプを許可しない] — DNS で A(DNS タイプ 1)および AAAA(DNS タイプ 28)のみをクエリできます。
このポリシーは一時的なものであり、Chrome の今後のバージョンでは廃止される予定です。廃止後は、Chrome でその他の種類の DNS クエリを常に行えるようになります。
ネットワーク サービス処理をサンドボックス化して実行するかどうかを指定します。
デフォルトでは、[ネットワーク サービスのサンドボックスのデフォルト設定] が選択されています。ネットワークのサンドボックスのデフォルト設定は、Chrome リリース、現在実施中のフィールド テスト、プラットフォームにより異なる場合があります。
ネットワーク サービスのサンドボックスに干渉するサードパーティ ソフトウェアを使用している組織は、[ネットワーク サービスのサンドボックスを無効にする] を選択して、ネットワーク サービス処理をサンドボックス化せずに実行することができます。
クロスオリジン リソース シェアリング(CORS)は、予期しないクロスオリジン ネットワーク アクセスから組織を保護しつつ、ユーザーが他のドメインのリソースにアクセスできるようにするウェブ標準プロトコルです。
CORS 非ワイルドカード リクエスト ヘッダーは、Access-Control-Allow-Headers ヘッダー内のワイルドカード記号(*)によって変換されない HTTP リクエスト ヘッダーです。Authorization は CORS 非ワイルドカード リクエスト ヘッダーの唯一のメンバーです。
[CORS 非ワイルドカード リクエスト ヘッダーをサポートする] を選択した場合、スクリプトが追加された Authorization ヘッダーを使用して fetch() および XMLHttpRequest を介してクロスオリジン ネットワーク リクエストを行うとき、Authorization ヘッダーは CORS プリフライト レスポンスの Access-Control-Allow-Headers ヘッダーによって明示的に許可される必要があります。このことは、Authorization ヘッダーがワイルドカード記号(*)で表されていないことを意味します。
[CORS 非ワイルドカード リクエスト ヘッダーをサポートしない] を選択した場合、Chrome では CORS プリフライト レスポンスの Access-Control-Allow-Headers ヘッダーで、ワイルドカード記号(*)で表された Authorization ヘッダーが許可されます。
Google は、User-Agent のヘッダーで利用可能な詳細な情報を段階的に削減することを計画しています。情報量を削減すると、ウェブサイトのテストや互換性の確保に役立ちます。すべてのオリジンに対して情報量の削減を有効または無効にできます。また、フィールド トライアルやオリジン トライアルで情報量の削減を制御することもできます。
User-Agent の情報量削減とそのタイムラインの詳細については、Chromium ブログをご覧ください。
ChromeOS または Chrome ブラウザのメジャー バージョンが 2 桁ではなく 3 桁のユーザー エージェント文字列を含む場合、一部のアプリやウェブサイトが動作を停止する場合があります。Chrome バージョン 100 以降の場合、ユーザー エージェント文字列の中で Chrome のメジャー バージョンを 99 に固定すれば、ユーザー エージェントの問題を回避できる場合があります。
次のいずれかを選択します。
- ブラウザの設定をデフォルトでユーザー エージェント文字列に適用する—(デフォルト)ユーザーがユーザー エージェント文字列の中のメジャー バージョンを固定するかどうか選択できます。
- メジャー バージョンを固定しない—Chrome がユーザー エージェント文字列のメジャー バージョンを固定しません。
- メジャー バージョンを 99 に固定—ユーザー エージェント文字列で Chrome のメジャー バージョンを 99 に設定し、実際のメジャー バージョン番号をマイナー バージョン ポジションに固定します。
したがって、Chrome はユーザー エージェント文字列として <major_version>.<minor_version>.<build_number>.<patch_number> ではなく 99.<major_version>.<build_number>.<patch_number> と報告し、マイナー バージョンを省略します。
たとえば Chrome バージョン 100.0.1234.56 は 99.100.1234.56 として報告します。
Android と Linux のプラットフォームでサンドボックス化されている間は、システムのドメイン ネーム サーバー(DNS)解決を行うことができません。そのため、システムの DNS 解決は、ネットワーク サービスからサンドボックス化されていないブラウザ プロセスに移行されます。このポリシーを使用することで、ネットワーク サービスでシステムの DNS 解決(getaddrinfo())を行う方法を制御できます。
次のいずれかを選択します。
- ネットワーク プロセスの内部または外部で、あるいは部分的に内部または外部でシステムの DNS 解決を実行する — システム設定と機能フラグに応じて、システムの DNS 解決を、ネットワーク サービス内、ネットワーク サービス外、または部分的に内部、部分的に外部で行います。
- ネットワーク プロセス内でシステムの DNS 解決を実行する — システムの DNS 解決を、ブラウザ プロセスではなくネットワーク プロセス内で行います。これにより、ネットワーク サービスのサンドボックスが無効になり、Google Chrome のセキュリティが低下する可能性があります。
- ネットワーク プロセスの内部または外部でシステムの DNS 解決を実行する — システム設定と機能フラグに応じて、システムの DNS 解決をネットワーク プロセスの外部で行う場合があります。
HTTPS 優先モードがオンになっていても、HTTPS へのアップグレードもエラーの表示も行われない URL または URL パターンのリストを指定します。
この設定を利用することで、HTTPS への自動アップグレードや HTTPS 優先モードの有効化を許可する設定をオフにしなくても、HTTPS に対応していないサーバーへのアクセスを維持できます。
URL のリストは以下の条件を満たす必要があります。
- ホスト名が正規化されていること。
- IDN がすべて A ラベル形式に変換されていること。
- ASCII 文字列がすべて小文字になっていること。
ホスト名には、* や [*] のような包括的なワイルドカードは使えません。HTTPS 優先モードおよび HTTPS へのアップグレードは個別のポリシーでオフにする必要があります。
有効な URL パターンについて詳しくは、Enterprise ポリシーの URL パターンの形式をご覧ください。Google Chrome upgrades some navigations from HTTP to HTTPS, when possible. Automatic HTTPS upgrades are allowed by default but you can choose to not allow them.
You can also use the Allowed HTTP URLs setting to exclude specific hostnames or hostname patterns from being automatically upgraded to HTTPS.
Android アプリ
Android バックアップと復元サービスの制御ユーザーが Android アプリのコンテンツ、データ、設定を Google アカウントにバックアップできるようにします。ユーザーは別の ChromeOS デバイスにログインして Android アプリのデータを復元できます。
ChromeOS デバイス上の Android アプリに対し、初期設定時に Google 位置情報サービスを使用してデバイスの位置を検索し、匿名の位置情報を Google に送信することを許可するかどうかを指定します。初期設定が完了した後、ユーザーは位置情報サービスのオンとオフを切り替えることができます。
次のいずれかを選択します。
- ChromeOS 上の Android アプリの初期設定時に位置情報サービスを無効にする: デフォルトの設定です。この設定を選択した場合、Android アプリは初期設定時に位置情報サービスを使用できません。
- 初期設定時に ChromeOS 上の Android アプリで位置情報サービスを使用するかどうかをユーザーが決定できるようにする: ユーザーは、初期設定時に位置情報サービスの使用を Android アプリに許可するよう求められます。
注: [位置情報] が [サイトにユーザーの位置情報の検出を許可しない] に設定されている場合、[Google 位置情報サービス] の設定は適用されません。詳しくは、位置情報の設定に関する説明をご覧ください。
サポートを終了しました。Chrome 75 以前のバージョンでサポートされています。
デフォルトでは、ユーザーは予備のアカウント(個人用の Gmail アカウントなど)を追加することによって、managed Google Play で明示的に許可されている Android アプリ以外のアプリも利用できます。ユーザーが予備の Google アカウントを追加できないようにするには、[Google アカウント] をオンにします。
デフォルトでは、ChromeOS の認証局(CA)証明書は Android アプリに対して同期されません。Android アプリで使用できるようにするには、[Android アプリに対する ChromeOS の CA 証明書の使用を有効にする] を選択します。
ChromeOS では、デフォルトで、Android に組み込まれている共有システムを使用して Android アプリから対応するウェブアプリに対してテキストやファイルを共有することが許可されます。この場合、インストールされているウェブアプリのメタデータが Google に送信され、ChromeOS デバイスに shim Android アプリが生成されてインストールされます。これを防ぐには、[Android からウェブアプリへの共有を無効にする] を選択してください。
このポリシーは、ARCVM に移行する ARM デバイスにのみ適用されます。
ユーザーの ARC データ ディレクトリが virtio-fs で作成されたときに実行するアクションを指定できます。ARC VM では、virtio-fs データを virtio-blk に移行しない場合、Android アプリの動作が遅くなることがあります。
ARCVM は ChromeOS 上で Android アプリを起動するための新しいシステムです。
次のいずれかを選択します。
- ユーザーに Android アプリの手動更新を許可しない:(デフォルト)移行フローの実施を促すメッセージはユーザーに表示されません。
- ユーザーに Android アプリの手動更新を許可する: データ移行フローの実施を促すメッセージがログイン時にユーザーに表示されます。ダウンロードには最大で 10 分かかります。ユーザーは、アップデートが強制適用される 30 日前までにアップデートを行う必要があります。アップデートしないと、Android アプリの実行時にパフォーマンスの問題が発生することがあります。
起動
ホームボタンツールバーにホームボタンを表示するかどうかを指定します。このポリシーは、Chrome の [設定] で行うユーザー設定([ホームボタンを表示する])に相当します。
ツールバーのホームボタンをクリックしたときに表示される内容を管理します。オプションには、[ユーザーに設定を許可する](デフォルト)、[新しいタブページを常にホームページにする]、[下記に設定した URL を常にホームページにする] があります。
URL を設定するには、[ホームページの URL] に URL を入力します。
新しいタブページの URL を指定します。ユーザーはこの URL を変更できません。空白のままにすると、ブラウザのデフォルトのページが使用されます。
デフォルトでは、[[新しいタブ] ページにおすすめのコンテンツを表示する] が選択されています。そのため、ユーザーの閲覧履歴、興味 / 関心、場所に基づいて自動生成されたおすすめのコンテンツが Chrome の新しいタブページに表示されます。
デフォルトでは、ユーザーは [新しいタブ] ページの背景をカスタマイズできます。
[ユーザーに [新しいタブ] ページの背景のカスタマイズを許可しない] を選択すると、ユーザーは [新しいタブ] ページの背景をカスタマイズできなくなります。この設定にすると、カスタマイズした既存の背景は完全に削除されます。後から [ユーザーに [新しいタブ] ページの背景のカスタマイズを許可する] に戻しても、削除された背景は戻りません。
Google レンズのボタンが新しいタブページの検索ボックスに表示されるようにするかどうかを指定します(サポートされている場合)。
ユーザーが ChromeOS デバイスを起動したときに読み込むページを指定します。
次のオプションから選択できます。
- ユーザーによる決定を許可 - デフォルトの設定です。ユーザーは、Google Chrome で以下のいずれかのオプションを設定できます。詳しくは、ホームページと起動ページを設定するをご覧ください。
- 新しいタブページを開く - 新しいタブページのポリシーで設定した新しいタブページが開きます。このポリシーが設定されていない場合は、ブラウザのデフォルトのページが使用されます。ユーザーはこの設定を変更できません。
- 最後のセッションを復元する - デバイスの再起動前に開かれていたタブとウィンドウをすべて開きます。ユーザーはこの設定を変更できません。
- URL のリストを開く - 再起動時に読み込むページ URL を追加できます。リストで指定したページは追加のタブに表示されます。ユーザーがデバイスに対して URL を追加することはできません。管理者がページ URL を追加しない場合は、ユーザー自身でリストに URL を追加できます。詳しくは、ホームページと起動ページを設定するをご覧ください。
- URL のリストを開き、最後のセッションを復元する - デバイスが再起動される前に読み込まれていたすべてのタブとウィンドウ、およびユーザーが追加した URL を開きます。複数の URL は、それぞれ別のブラウザ ウィンドウで開かれます。
注: この設定を適切に適用するには、ChromeOS の [起動時のアプリ復元] を [Chrome ブラウザのみを復元する] に設定している必要があります。[すべてのアプリとアプリ ウィンドウを復元する] オプションが選択されていると、ユーザーが新しいデバイスで新しいセッションを初めて開始したとき、またはセッションが一時的ログインモードである場合にのみ、この設定が適用されます。詳しくは、アプリや拡張機能のポリシーを設定するをご覧ください。
Microsoft Windows 管理者は、Windows 7 搭載パソコンに対してのみこの設定をオンにできます。これよりも新しいバージョンについては、Chrome を既定のブラウザに設定する(Windows 10)をご覧ください。
Chrome のデフォルトのブラウザの確認を指定します。
- ユーザーによる決定を許可(デフォルト) - Chrome ブラウザをデフォルトのブラウザにするかどうかをユーザーが選択できます。Chrome がデフォルトのブラウザになっていない場合、Chrome をデフォルトのブラウザとして選択するように求める通知が表示されるようにするかどうかをユーザーが選択できます。
- Chrome がデフォルトのブラウザになっていない場合は、起動時にデフォルトとして登録を試みる - デバイスを起動するたびに、Chrome ブラウザがデフォルトのブラウザになっているかどうかの確認が行われ、可能であれば自動的に登録されます。
- Chrome がデフォルトのブラウザかどうかの確認が行われないようにし、ユーザーが Chrome をデフォルトのブラウザに設定できないようにする - Chrome ブラウザがデフォルトのブラウザになっているかどうかの確認は行われず、ユーザーが Chrome をデフォルトのブラウザに設定することもできません。
ブラウザ起動時のプロファイル選択画面の表示(ユーザーが選択、表示しない、常に表示)を指定します。次のいずれかを選択します。
- [ユーザーによる決定を許可] - デフォルトでは起動時にプロファイル選択画面が表示されますが、ユーザーは表示されないように設定できます。
- [ブラウザ起動時にプロファイル選択画面を表示しない] - プロファイル選択画面は表示されません。ユーザーがこの設定を変更することもできません。
- [ブラウザ起動時に必ずプロファイル選択画面を表示する] - 常にプロファイル選択画面が表示されます(使用できるプロファイルが 1 つしかない場合でも表示されます)。
デフォルトでは、次の場合にはプロファイル選択画面が表示されません。
- ブラウザがゲストモードまたはシークレット モードで起動された
- プロファイル ディレクトリまたは URL がコマンドラインで指定されている
- アプリを開くよう明示的にリクエストされている
- ブラウザがネイティブ通知によって起動された
- プロファイルが 1 つしかない
- ForceBrowserSignin ポリシーが true に設定されている
設定のインポート
自動入力データのインポートChrome ブラウザの初回起動時に、ユーザーがデフォルトのブラウザから自動入力フォームのデータを読み込めるようにします。次のいずれかを選択します。
- 自動入力データのインポートを有効にする - 自動入力フォームのデータを自動的に読み込みます。ユーザーは後から再読み込みできます。
- 自動入力データのインポートを無効にする - 初回起動時に自動入力フォームのデータを読み込まず、ユーザーが手動で読み込むこともできなくなります。
- ユーザーによる決定を許可 - 自動入力フォームのデータを手動で読み込むかどうかをユーザーが選択できます。
Chrome ブラウザの初回起動時に、ユーザーがデフォルトのブラウザからブックマークを読み込めるようにします。次のいずれかを選択します。
- ブックマークのインポートを有効にする - ブックマークを自動的に読み込みます。ユーザーは後から再読み込みできます。
- ブックマークのインポートを無効にする - 初回起動時にブックマークを読み込まず、ユーザーが手動で読み込むこともできなくなります。
- ユーザーによる決定を許可 - ブックマークを手動で読み込むかどうかをユーザーが選択できます。
Chrome ブラウザの初回起動時に、ユーザーがデフォルトのブラウザから閲覧履歴を読み込めるようにします。次のいずれかを選択します。
- 閲覧履歴のインポートを有効にする - 閲覧履歴を自動的に読み込みます。ユーザーは後から再読み込みできます。
- 閲覧履歴のインポートを無効にする - 初回起動時に閲覧履歴を読み込まず、ユーザーが手動で読み込むこともできなくなります。
- ユーザーによる決定を許可 - 閲覧履歴を手動で読み込むかどうかをユーザーが選択できます。
Chrome ブラウザの初回起動時に、ユーザーがデフォルトのブラウザからホームページの設定を読み込めるようにします。次のいずれかを選択します。
- ホームページのインポートを有効にする - ホームページの設定を自動的に読み込みます。ユーザーは後から再読み込みできます。
- ホームページのインポートを無効にする - 初回起動時にホームページの設定を読み込まず、ユーザーが手動で読み込むこともできなくなります。
- ユーザーによる決定を許可 - ホームページの設定を手動で読み込むかどうかをユーザーが選択できます。
Chrome ブラウザの初回起動時に、ユーザーがデフォルトのブラウザから保存済みパスワードを読み込めるようにします。次のいずれかを選択します。
- 保存したパスワードのインポートを有効にする - 保存したパスワードを自動的に読み込みます。ユーザーは後から再読み込みできます。
- 保存したパスワードのインポートを無効にする - 初回起動時に保存したパスワードを読み込まず、ユーザーが手動で読み込むこともできなくなります。
- ユーザーによる決定を許可 - 保存したパスワードを手動で読み込むかどうかをユーザーが選択できます。
Chrome ブラウザの初回起動時に、ユーザーがデフォルトのブラウザから検索エンジンの設定を読み込めるようにします。次のいずれかを選択します。
- 検索エンジンのインポートを有効にする - 検索エンジンの設定を自動的に読み込みます。ユーザーは後から再読み込みできます。
- 検索エンジンのインポートを無効にする - 初回起動時に検索エンジンの設定を読み込まず、ユーザーが手動で読み込むこともできなくなります。
- ユーザーによる決定を許可 - 検索エンジンの設定を手動で読み込むかどうかをユーザーが選択できます。
コンテンツ
セーフサーチと制限付きモードGoogle 検索クエリのセーフサーチ
セーフサーチを有効にすると、ポルノなどの露骨な表現が検索結果から除外されます。
小学校から高等学校の教育機関のドメインの場合、デフォルトは [Google ウェブ検索のキーワードで常にセーフサーチを使用する] です。ユーザーにセーフサーチの使用が義務付けられています。
その他のドメインの場合、デフォルトは [Google ウェブ検索キーワードでセーフサーチを強制しない] です。
詳しくは、管理しているアカウント、デバイス、ネットワークのセーフサーチをロックするをご覧ください。
YouTube の制限付きモード
YouTube の制限を設定する前に、Chrome を最新の Stable バージョンに更新することをおすすめします。
- YouTube で制限モードを強制適用しない(デフォルト)
-
YouTube で制限付きモード「中」以上を強制的に適用する - ユーザーに対して制限付きモードが適用され、動画のコンテンツに基づいて、視聴可能な動画がアルゴリズムで制限されます。
- YouTube で制限付きモード「強」を強制適用する - ユーザーに対して厳格な制限付きモードが適用され、視聴可能な動画が厳しく制限されます。
制限レベルの詳細については、組織の YouTube 設定を管理するをご覧ください。
組織内のユーザーが ChromeOS デバイスでスクリーンショットを取得できるようにするかどうかを指定します。このポリシーは、キーボード ショートカット、Chrome API を使用してスクリーンショットを取得するアプリや拡張機能など、あらゆる手段に適用されます。
組織内のサポート対象の ChromeOS デバイスで Android アプリを有効にしている場合は、そのデバイスにもスクリーンショットのポリシーが適用されます。
Chrome Enterprise のユーザーにスクリーンキャストの作成と表示を許可することができます。許可されたユーザーは、Google ドライブにスクリーンキャストをアップロードすることができます。
スクリーンキャストについて詳しくは、ChromeOS デバイスでの録画と共有にスクリーンキャストを使用するをご覧ください。
タブ、ウィンドウ、または画面全体をライブ配信するためのプロンプト表示を特定のウェブサイトに許可するかどうかを指定します。
ポリシーを [サイトでユーザーに画面の動画ストリームを共有するよう求めるプロンプトを表示しない] に設定すると、この設定で指定した URL パターンと一致するサイトで、ユーザーに共有するよう求めるプロンプトを表示できます。
以下のリストに指定されている URL が、リクエスト元 URL のセキュリティ オリジンと照合されます。URL パターンに含まれるパスは無視されます。有効な URL パターンについて詳しくは、Enterprise ポリシーの URL パターンの形式をご覧ください。
これらのサイトによる、タブでの動画キャプチャを許可する(同じサイトのみ)
同じオリジンのタブをライブ配信するためのプロンプト表示を許可するサイトを指定します。このフィールドで指定する URL パターンと一致するサイトは、後続の 3 つのフィールドでは無視されます。
これらのサイトによる、タブでの動画キャプチャを許可する
タブをライブ配信するためのプロンプト表示を許可するサイトを指定します。このフィールドで指定する URL パターンと一致するサイトは、後続の 2 つのフィールドでは無視されます。同様に、上のフィールドで指定した URL パターンと一致するサイトでは、このポリシーは無視されます。
これらのサイトによる、タブおよびウィンドウでの動画キャプチャを許可する
ウィンドウおよびタブのライブ配信するためのプロンプト表示を許可するサイトを指定します。このフィールドで指定する URL パターンと一致するサイトは、次のフィールドでは無視されます。同様に、上の 2 つのフィールドで指定した URL パターンと一致するサイトでは、このポリシーは無視されます。
これらのサイトによる、タブ、ウィンドウ、およびデスクトップでの動画キャプチャを許可する
全画面、ウィンドウ、またはタブをライブ配信するためのプロンプト表示を許可するサイトを指定します。上の 3 つのフィールドで指定した URL パターンと一致するサイトでは、このポリシーは無視されます。
タブ、ウィンドウ、または画面全体をライブ配信するためのプロンプト表示をウェブサイトに許可するかどうかを指定します。
- サイトでユーザーに画面の動画ストリームを共有するよう求めるプロンプトを表示する - デフォルトの設定です。ウェブページは、画面共有 API(getDisplayMedia() や Desktop Capture extension API など)を使用して、ユーザーに共有を求めるプロンプトを表示できます。
- サイトでユーザーに画面の動画ストリームを共有するよう求めるプロンプトを表示しない - 画面共有 API でエラーが発生します。ただし、[サイトで許可された画面の動画キャプチャ] で指定したいずれかの URL に一致するサイトの場合、ウェブページはユーザーに共有を求めるプロンプトを表示できます。詳しくは、「サイトで許可された画面の動画キャプチャ」をご覧ください。
このポリシーは新しい動作に伴い実装されています。想定どおりに動作しない PPAPI アプリケーションがある場合、このポリシーにより古い実装を使用できます。
動画のデコードに共有画像を使用することを Pepper に許可するかどうかを指定します。
[新しい実装を許可する] を選択すると、どの実装を使用するかをブラウザが決定します。[古い実装を強制的に使用する] を選択すると、ポリシーの有効期限が切れるまで、ブラウザは古い実装を使用します。
注: ブラウザの実行中にこのポリシーを変更した場合は、新たに開始したレンダラ プロセスにのみ変更が反映されます。
Chrome ブラウザの共有ハブを使って現在のウェブページを共有することをユーザーに許可するかどうかを指定します。ユーザーは、アドレスバーの共有アイコン またはブラウザ ウィンドウの右上にあるその他アイコン
をクリックして共有ハブにアクセスできます。[デスクトップ共有ハブを無効にする] を選択すると、ユーザーの共有ハブに共有アイコンが表示されなくなります。
Chrome がクライアント証明書を自動的に選択するサイトを URL パターンのリスト(JSON 文字列)で指定できます。これを設定した場合、該当するサイトに有効なクライアント証明書が用意されていれば、クライアント証明書の選択を求めるプロンプトは表示されません。このポリシーを設定しない場合、証明書をリクエストするウェブサイトに対して証明書は自動的に選択されることはありません。
ISSUER/CN パラメータには認証局(自動選択するクライアント証明書の発行元)の一般名を指定します。
JSON 文字列の形式:
{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"証明書の発行元の名前"}}}
JSON 文字列の例:
{"pattern": "https://[*.]ext.example.com", "filter": {}}
{"pattern": "https://[*.]corp.example.com", "filter": {}}
{"pattern": "https://[*.]intranet.usercontent.com", "filter": {}}
デバイスがセキュリティ キーからの認証証明書をリクエストしたときに、プロンプトを表示しない URL とドメインを指定します。
Chrome ブラウザで WebGL(Web-based Graphics Library)API とプラグインの使用をウェブページに許可するかどうかを指定します。WebGL は、JavaScript を有効にしてインタラクティブな 3D グラフィックスを生成できるようにするソフトウェア ライブラリです。
デフォルトの Cookie の設定
サイト設定やプロフィール情報といったブラウジング情報の保存をウェブサイトに許可するかどうかを設定します。
この設定は、Chrome の [設定] で行う ユーザーの Cookie の設定に相当します。ユーザーに設定を許可することも、Cookie を常に許可する、拒否する、またはユーザー セッションの間だけ保持するように指定することもできます。
複数の URL に対して Cookie を許可する
Cookie の設定を許可するサイトの URL パターンのリストを指定します。たとえば以下の形式で、1 行に 1 つずつ URL を入力します。
- http://www.example.com
- [*.]example.edu
このポリシーを設定しない場合は、[デフォルトの Cookie の設定] で指定した内容がグローバルでのデフォルト設定になります。ユーザーが各自で設定することもできます。
URL パターンに対して Cookie をブロックする
Cookie の設定を許可しないサイトの URL パターンのリストを指定します。たとえば以下の形式で、1 行に 1 つずつ URL を入力します。
- http://www.example.com
- [*.]example.edu
このポリシーを設定しない場合は、[デフォルトの Cookie の設定] で指定した内容がグローバルでのデフォルト設定になります。ユーザーが各自で設定することもできます。
複数の URL に対してセッションのみの Cookie を許可する
セッション限定で Cookie の設定を許可するサイトの URL パターンのリストを指定します。以下の形式で、1 行に 1 つずつ URL を入力します。
- http://www.example.com
- [*.]example.edu
Cookie はセッション後に削除されます。このポリシーを設定しない場合は、[デフォルトの Cookie の設定] で指定した内容がグローバルでのデフォルト設定になります。ユーザーが各自で設定することもできます。
サードパーティ Cookie を許可またはブロックします。デフォルトでは、ユーザーが決定できます。
JavaScript を介して設定された、制御文字(null、改行、ラインフィード)を含む Cookie を Chrome でどのように処理するかを指定します。
デフォルトでは [不完全な Cookie をブロックする] が選択されており、Cookie にこれらの制御文字が含まれていると、その文字列全体が無視されます。
[不完全な Cookie を許可する] を選択した場合、これらの制御文字を含んでいる Cookie の文字列は切り捨てられますが、そのまま設定されます。
ユーザーのファーストパーティ セット(FPS)関連の統合を Chrome でサポートするかどうかを指定します。
FPS を使用すると組織はサイト間の関係を宣言できるため、特定の目的のために制限付きのサードパーティ Cookie のアクセスをブラウザで許可することが可能になります。
デベロッパーは SameSite 設定を使用して、クロスサイト リクエストでブラウザが Cookie を送信できないようにすることができます。
Chrome ブラウザ バージョン 80 以降では、SameSite の設定が以前よりも厳格になりました。デベロッパーが SameSite=None; Secure 設定を使用して HTTPS 接続のみにクロスサイト アクセスを許可した場合を除き、Cookie は外部アクセスから保護されます。
安全性は低くなりますが、Chrome ブラウザを一時的に以前の動作に戻すことで、ユーザーはシングル サインオンや社内アプリケーションなど、デベロッパーがまだ更新していないサービスを引き続き使用できます。
次のいずれかを選択します。
- すべてのサイトの Cookie について従来の SameSite の動作に戻す -
SameSite=Noneに設定された Cookie はSecure属性を要求しません。SameSite 属性を指定しない Cookie は、SameSite=Noneと設定した場合と同じように扱われます。そのため、サードパーティの Cookie は引き続きサイト間でユーザーをトラッキングできます。 - すべてのサイトの Cookie に SameSite のデフォルトの動作を適用する - SameSite 属性を指定しない Cookie の場合、Chrome ブラウザでの Cookie の扱いは Chrome ブラウザで指定したデフォルトの動作によって異なります。
SameSite 属性が指定されていない Cookie を Chrome ブラウザがどのように扱うのかを確認するには:
- 管理対象のパソコンで Chrome ブラウザを開きます。
- 上部のアドレスバーに「chrome://flags」と入力します。
- Enter キーを押します。
- #same-site-by-default-cookies の説明を読み、フラグがオンまたはオフのどちらになっているのかを確認します。
デベロッパーは SameSite 設定を使用して、クロスサイト リクエストでブラウザが Cookie を送信できないようにすることができます。
Chrome ブラウザ バージョン 80 以降では、SameSite の設定が以前よりも厳格になりました。デベロッパーが SameSite=None; Secure 設定を使用して HTTPS 接続のみにクロスサイト アクセスを許可した場合を除き、Cookie は外部アクセスから保護されます。
ドメインを指定して Chrome ブラウザを一時的に以前の動作に戻すことができます(ただし、安全性が低くなります)。スキームやポートは指定しないでください。SameSite=None に設定された Cookie は、Secure 属性を要求しません。SameSite 属性を指定しない Cookie は、SameSite=None と設定した場合と同じように扱われます。そのため、サードパーティの Cookie は引き続き特定のサイト間でユーザーをトラッキングできます。
ドメインを指定しない場合は、[従来の SameSite Cookie のデフォルトの動作] で Cookie の処理方法を指定します。それ以外の場合、Chrome ブラウザでの Cookie の扱いは Chrome ブラウザに指定されたデフォルトの動作によって異なります。
ウェブサイトでの画像の表示を許可するかどうかを指定します。[これらのサイトの画像を表示する] と [これらのサイトの画像をブロックする] で、1 行に 1 つずつ URL パターンを入力します。
ウェブサイトでの JavaScript の実行を許可するかどうかを指定します。[どのサイトにも JavaScript の実行を許可しない] を選択すると、一部のサイトが正常に動作しなくなる可能性があります。
バックグラウンドで開いていて 5 分以上使用していないタブに対して JavaScript タイマーを停止します。このようなタブに対しては、タイマーで 1 分間に 1 回だけコードを実行することで、CPU の負荷と消費電力を抑えることができます。
デフォルトは、[バックグラウンドの JavaScript タイマーのスロットリングを Chrome のロジックで制御し、ユーザーが設定できるようにする] です。このポリシーは独自の内部ロジックで制御され、ユーザーは手動で設定できます。
管理者が [バックグラウンドの JavaScript タイマーのスロットリングを適用する] または [バックグラウンドの JavaScript タイマーのスロットリングを適用しない] を選択した場合、ポリシーは強制的に有効または無効になっているため、ユーザーはこの設定を変更できません。
このポリシーはウェブページごとに適用されます。ウェブページを読み込んだときに最新の設定が適用されます。読み込み済みのすべてのタブにこのポリシーの最新の設定を適用するには、ユーザーがすべてのタブを再起動する必要があります。ただし、タブごとにこのポリシーの値が異なった状態で実行しても、ウェブページで問題が発生することはありません。
このポリシーは一時的なものであり、Chrome バージョン 107 で廃止される予定です。
JavaScript の setTimeout() のクランプ動作(タイムアウトを含める処理)を指定します。
setTimeout(…, 0) の一般的な使用目的は、長い JavaScript タスクを分割して他の内部タスクを実行できるようにし、ブラウザのハングアップを回避することです。
- JavaScript の setTimeout() を積極的にクランプしない - setTimeouts と、4 ミリ秒未満の間隔が指定された setIntervals は、積極的にはクランプされません。これにより短期的なパフォーマンスは向上しますが、API を誤用しているウェブサイトでは引き続き setTimeouts がクランプされることになります。
- 通常のネストのしきい値を超えたら JavaScript の setTimeout() をクランプする - setTimeouts と、4 ミリ秒未満の間隔が指定された setIntervals がクランプされます。これによりウェブページのタスクの実行順序が変わり、特定の実行順序でのみ機能するサイトでは予期しない動作が発生することがあります。また、タイムアウトを 0 ミリ秒に設定した setTimeout() が多く使用されているサイトでも、CPU 負荷の増加などによって影響が生じる可能性があります。
Google Chrome で、Just In Time(JIT)コンパイラを有効にした状態でサイトに V8 JavaScript エンジンの実行を許可するかどうかを指定できます。JIT コンパイルとは、プログラム実行前ではなく実行中にコンパイルを使ってコンピュータ コードを実行する方法です。
次のいずれかを選択します。
- サイトに JavaScript JIT の実行を許可する(デフォルト)- ウェブ コンテンツの表示が遅くなったり、JavaScript(WebAssembly を含む)の一部が無効になったりする場合があります。
- サイトに JavaScript JIT の実行を許可しない - ウェブ コンテンツはより安全な方法で表示される場合があります。
また、JavaScript JIT の実行を許可または拒否する URL を追加することもできます。有効な URL パターンについては、Enterprise ポリシーの URL パターンの形式をご覧ください。
クリップボードへのアクセスをユーザーにリクエストできるサイト(またはリクエストできないサイト)を指定できます。または、リクエスト可能なサイトをユーザーが決定するように指定できます。クリップボードへのアクセスをユーザーにリクエストできる URL(またはリクエストできない URL)のリストを追加することもできます。
次のいずれかを選択します。
- ユーザーによる決定を許可(デフォルト)- ウェブサイトにアクセス リクエストを許可しますが、ユーザーはこの設定を変更できます。
- ユーザーに対するクリップボードのサイト権限のリクエストをサイトに許可する - ウェブサイトがクリップボードへのアクセスをユーザーにリクエストすることを許可します。
- クリップボードのサイト権限の使用をどのサイトにも許可しない - すべてのサイトに対してクリップボードへのアクセスを拒否します。
[これらのサイトにクリップボードへのアクセスを許可する] フィールドに、クリップボードへのアクセスをユーザーにリクエストできるすべての URL を入力します。
[これらのサイトにクリップボードへのアクセスを許可しない] フィールドに、クリップボードへのアクセスを許可しないすべての URL を入力します。
URL がブロックされていない場合は、選択したオプション、ユーザーの個人設定の順に優先されます。
両方の URL フィールドに同じ URL を入力しないようにしてください。URL が両方の設定で一致した場合は、どちらのポリシーも優先されません。
有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。ウェブサイトにデスクトップ通知の表示を許可するかどうかを指定します。
デスクトップ通知を許可または拒否することも、デスクトップ通知を表示するかどうかを毎回ユーザーに確認することもできます。
注: Chrome バージョン 64 以降では、ユーザーに対して JavaScript のアラートを表示できなくなりました。Google カレンダーなど、これまでアラートを使用していたアプリケーションでは、代わりに通知を送信できます。通知を許可するには、[これらのサイトに通知の表示を許可する] に「calendar.google.com」を追加します。
音声付き動画コンテンツの自動再生(ユーザーの同意は不要)を許可するページを URL パターンのリストで指定します。ユーザーが Chrome を実行しているときにこの設定を変更した場合、変更内容は新しく開かれるタブにのみ適用されます。
有効な URL パターンについては、Enterprise ポリシーの URL パターンの形式をご覧ください。
ユーザーが登録するプロトコル ハンドラに付属するプロトコル ハンドラのリストを登録して、両方のセットを使用可能にすることができます。
プロトコル ハンドラは、特定の種類のリンクを処理することができるアプリケーションです。たとえば、メール クライアントのプロトコル ハンドラは mailto: リンクを処理します。ユーザーが mailto: リンクをクリックすると、mailto: プロトコルのハンドラとして選択されているアプリケーションがブラウザで開きます。
例として、メール クライアントのプロトコル ハンドラを設定する手順を以下に示します。
- [ユーザーのデフォルトのプロトコル ハンドラを設定します] で
アイコンをクリックします。
- [URL] 欄に、プロトコル スキームを処理するアプリケーションの URL パターンを入力します。URL パターンには、処理する URL に置き換わるプレースホルダ「%s」を含める必要があります。また、URL には HTTPS スキーム(例: https://example.com)を使用する必要があります。
- [プロトコル] リストから [mailto] を選択します。
- [保存] をクリックします。
注: [カスタム プロトコル] 欄を使用するのは、[web+] プロトコルを選択した場合のみです。
この設定を使用して追加したプロトコル ハンドラをユーザーが削除することはできません。ただし、ユーザー自身で新しいデフォルトのハンドラをインストールすれば、そのプロトコル ハンドラをデフォルトとして選択できます。
Chrome による Flash Player プラグインのサポートは 2021 年に終了しました。
詳しくは、Chrome のブログをご覧ください。
Chrome ブラウザや ChromeOS デバイスで、Adobe Flash Player などの古いプラグインの実行をウェブサイトに許可するかどうかを設定します。プラグインは、Chrome ブラウザでは処理できない特定の種類のウェブ コンテンツを表示するためにウェブサイトで使用されます。
Google Chrome で PDF ファイルを開く方法を指定します。
Chrome で PDF ファイルをダウンロードし、ユーザーがシステムのデフォルト アプリケーションで開くことができるようにする - Google Chrome の内部 PDF ビューアが無効になります。この場合、ユーザーがダウンロードした PDF ファイルはデフォルトのアプリケーションで開きます。
PDF プラグインが無効になっていない限り、Chrome で PDF ファイルを開く - ユーザーが PDF プラグインを無効にしていない限り、すべての PDF ファイルが Chrome で開きます。
自動的に開くファイル形式
ダウンロード後に自動的に開くファイル形式のリストを指定します。セーフ ブラウジングが有効になっている場合でも、ファイルはチェックされ、合格した場合にのみ開かれます。空白のままにすると、ユーザーが許可したファイル形式のみが自動的に開きます。
先頭の区切り文字は含めないでください。たとえば、.txt ファイルの場合は「txt」と入力します。
Microsoft Windows の場合は、Microsoft Active Directory ドメインに参加しているマシン、Windows 10 Pro で実行されているマシン、または Chrome ブラウザ クラウド管理に登録されているマシンである必要があります。
macOS の場合は、MDM を使用して管理されているマシン、または MCX が有効なドメインに参加しているマシンである必要があります。
自動的に開く URL
[自動的に開くファイルの形式] で指定したファイル形式を自動的に開くことのできるページを指定します(URL パターンのリストで指定)。
この設定は、ユーザーが選択した自動的に開くファイル形式には影響しません。
1 つ以上の URL パターンを指定すると、URL パターンとファイル形式の両方に一致するファイルが Chrome で自動的に開きます。また、ユーザーが許可したファイル形式が Chrome で引き続き自動的に開きます。
空白のままにすると、ダウンロード元の URL に関係なく、[自動的に開くファイルの形式] で指定したファイル形式が Chrome で自動的に開きます。
URL の構文については、ウェブサイトへのアクセスを許可または拒否する: URL のフィルタ形式をご覧ください。
ウェブサイトでポップアップ表示を許可するかどうかを設定します。ブラウザがサイトのポップアップをブロックした場合、ブロック アイコン 
がアドレスバーに表示されます。このアイコンをクリックすると、ブロックされたポップアップが表示されます。
Chrome ブラウザ バージョン 91 以降では、iframe のオリジンがトップレベル ページのオリジンと異なる場合、iframe のプロンプト(window.alert、window.confirm、window.prompt)をトリガーできなくなります。そのため、ユーザーがアクセスしたウェブサイトまたは Chrome ブラウザからのメッセージに見せかけた不正なメッセージを、埋め込みコンテンツで表示できなくなります。
[異なる生成元のサブフレームからトリガーされた JavaScript ダイアログを許可します] を選択すると、以前の動作に戻すことができます。
この一時的なポリシーは、Google Chrome バージョン 117 以降で廃止されます。
Chrome はサンドボックス化された iframe 内での外部プロトコルへのナビゲーションをブロックします。この制限の影響を受ける社内ウェブサイトを更新するために時間が必要な場合は、[サンドボックス化した iframe 内での外部プロトコルへのナビゲーションを許可する] を選択します。
デフォルトでは、[サンドボックス化した iframe 内での外部プロトコルへのナビゲーションを許可しない] が選択されています。
詳しくは、Chrome プラットフォームのステータスに関するドキュメントをご覧ください。アンロード中であることを知らせるポップアップの表示をウェブサイトに許可するかどうかを指定します。
ウェブページは次の場合にアンロードされます。
- ユーザーがリンクをクリックしてページを離れた
- ユーザーがアドレスバーに新しい URL を入力した
- ユーザーが進む / 戻るボタンをクリックした
- ブラウザ ウィンドウを閉じた
- ページを再読み込みした
ブラウザがサイトのポップアップをブロックした場合、ブロック アイコン がアドレスバーに表示されます。このアイコンをクリックすると、ブロックされたポップアップが表示されます。
ブロックされる URL
Chrome ブラウザのユーザーが特定の URL にアクセスできないようにします。
これを設定するには、1 行に 1 つずつ URL を入力します。入力できる URL は最大 1,000 件です。
ブロックする URL の例外
ブロックする URL のリストに例外を指定します。
これを設定するには、1 行に 1 つずつ URL を入力します。入力できる URL は最大 1,000 件です。
URL の構文
各 URL には有効なホスト名(google.com など)、IP アドレス、またはホストの代わりにアスタリスク(*)を含める必要があります。アスタリスクはワイルドカードと同様に機能し、すべてのホスト名と IP アドレスを表します。
URL には、次のものも含めることができます。
- URL スキーム(http、https とそれに続く「://」)
- 1~65,535 の有効なポート値
- リソースへのパス
- クエリ パラメータ
注:
- サブドメインの照会を無効にするには、ホストの前にピリオドを追加します。
- [ユーザー名]:[パスワード] は使用できません(http://[ユーザー名]:[パスワード]@example.com/pub/bigfile.iso など)。代わりに、http://example.com/pub/bigfile.iso を使用します。
- 同じパスの長さで「ブロックされる URL」と「ブロックされる URL の例外」の両方のフィルタが適用される場合は、例外フィルタが優先されます。
- ホストの前にピリオドを付けると、正確に一致するホストのみに絞り込まれます。
- URL の末尾にワイルドカードは使用できません(https://www.google.com/*、https://google.com/* など)。
- ワイルドカード検索(*)はポリシー検索の最後に行われます。
- オプションのクエリとして、Key-Value のセット、または「&」で区切られた Key のみのトークンを使用できます。
- Key-Value トークンは「=」で区切ります。
- クエリトークンの末尾に「*」を使用した場合は、接頭辞との一致になります。照合の際、トークンの順序は無視されます。
例
| [ブロックされる URL] のエントリ | 結果 |
|---|---|
| example.com | example.com、www.example.com、sub.www.example.com に対するすべてのリクエストをブロックします。 |
| http://example.com | example.com とそのサブドメインに対するすべての HTTP リクエストをブロックし、HTTPS リクエストは許可します。 |
| https://* | あらゆるドメインへのすべての HTTPS リクエストをブロックします。 |
| mail.example.com | mail.example.com に対するリクエストをブロックします。www.example.com や example.com に対するリクエストはブロックしません。 |
| .example.com | example.com をブロックします。example.com/docs などのサブドメインはブロックしません。 |
| .www.example.com | www.example.com をブロックします。サブドメインはブロックしません。 |
| * | ブロックされる URL の例外として指定されているものを除き、URL に送信されるすべてのリクエストをブロックします。これには、http://google.com、https://gmail.com、chrome://policy などの URL スキームも含まれます。 |
| *:8080 | ポート 8080 へのすべてのリクエストをブロックします。 |
| */html/crosh.html | Chrome Secure Shell(Crosh Shell)をブロックします。 |
|
chrome://settings chrome://os-settings |
chrome://settings へのすべてのリクエストをブロックします。 |
| example.com/stuff | example.com/stuff とそのサブドメインへのすべてのリクエストをブロックします。 |
| 192.168.1.2 | 192.168.1.2 へのリクエストをブロックします。 |
| youtube.com/watch?v=V1 | ID に V1 を含む YouTube 動画をブロックします。 |
Android アプリに対する URL の拒否リストを使用する
組織内のサポート対象の ChromeOS デバイスで Android アプリを有効にしている場合、Android システムの WebView を使用するアプリには、URL の拒否リストと拒否リストの例外が適用されません。そのようなアプリに対して拒否リストを強制的に適用するには、拒否リストに登録された URL をテキスト ファイルで定義し(以下を参照)、その拒否リストを Android アプリに適用します。詳しくは、管理対象の設定を Android アプリに適用するをご覧ください。
次の例では、拒否リストに登録する URL を指定する方法を示しています。
{ "com.android.browser:URLBlocklist": "[\"www.solamora.com\"]" }
Android システムの WebView を使用していないアプリについては、アプリのドキュメントを参照のうえ、同様の方法でアクセスを制限する方法をご確認ください。
ChromeOS デバイス上の Google ドライブとの同期をユーザーに許可するかどうかを管理者が指定できます。ドライブとの同期を管理者が有効または無効にできるほか、その設定をユーザーに許可することも可能です。
この設定は ChromeOS にインストールされた Android 版 Google ドライブ アプリには適用されません。Google ドライブとの同期を完全に無効にするには、このポリシーを設定するとともに、サポート対象の ChromeOS デバイスに Android 版 Google ドライブ アプリをインストールできないようにしてください。詳しくは、管理対象の ChromeOS デバイス ユーザーに Android アプリをデプロイするをご覧ください。
ChromeOS デバイスで Google ドライブとのモバイル接続を介した同期をユーザーに許可するかどうかを管理者が指定できます。このポリシーは ChromeOS にインストールされた Android 版 Google ドライブ アプリには適用されません。
Google ChromeOS のファイル同期を使用すると、ユーザーの Google ドライブの [マイドライブ] にあるファイルが Chromebook Plus デバイスに自動的に同期され、オフラインで使用できるようになります。同期が行われるかどうかは、ユーザーのドライブの空き容量に応じて判断されます。
ユーザーが ChromeOS のファイル同期をオンにすると、すべての新しいファイルが自動的にオフラインで使用できるようになります。その後、空き容量が十分でない状態になると、すべての新しいファイルが自動的にオフラインで使用できない状態になります。ただし、その場合でも、ユーザーは手動でアイテムをオフラインで使用可能にできます。
デフォルトの [ChromeOS のファイル同期機能を表示する] を選択すると、[ファイルアプリと設定] にファイル同期が表示され、ユーザーはファイル同期のオン / オフを切り替えることができます。
[ChromeOS のファイル同期機能を表示しない] を選択すると、ユーザーがそれまでファイル同期をオンにしていた場合にそれがオフになります。[ファイルアプリと設定] にファイル同期が表示されなくなり、ユーザーがこの機能をオンに戻すことができなくなります。ユーザーがオフラインで使用できるようにした既存のファイルは、引き続きオフラインで使用できます。この機能がオフになっても、ユーザーは手動でアイテムをオフラインで使用可能にできます。ユーザーに Chrome からのキャストを許可する
Chromecast デバイスを使用しているユーザーに、Chrome タブのキャストを許可するかどうかを指定します。
ツールバーにキャスト アイコンを表示する
Chrome ブラウザのツールバーにキャスト アイコン を表示するかどうかを指定します。[ツールバーにキャスト アイコンを常に表示] を選択すると、ツールバーやオーバーフロー メニューにアイコンが常に表示されます。ユーザーはこのアイコンを削除できません。
ユーザーにキャストを許可しない場合は、このポリシーを設定できません。キャスト アイコンはツールバーに表示されません。
Google Cast メニューで、キャスト モデレーター用に設定されているキャスト デバイスにキャストするオプションを、ユーザーに付与するかどうかを指定します。キャストには、キャスト デバイスの画面に表示されるアクセスコードまたは QR コードを使用します。
キャスト モデレーターを有効にする前に、キャストの設定でユーザーにキャストを許可する必要があります。詳しくは、キャストをご覧ください。
このポリシーを使用するには、まずキャストの設定で、[ユーザーにキャストを許可する] を選択する必要があります。
次のいずれかを選択します。
- キャスト モデレーターを有効にする—ユーザーは、アクセスコードを使用するか、QR コードをスキャンして、キャスト デバイスを選択します。キャスト モデレーター デバイスの表示期間のフィールドが表示されます。
- コードを使用して接続した後、キャスト モデレーター デバイスの表示期間のリストから、キャスト モデレーター デバイスがユーザーのキャスト メニューに表示される期間を選択できます。この期間中は、ユーザーがコードを再入力しなくても、同じデバイスにキャストできます。この期間が過ぎると、ユーザーのキャスト メニューにキャスト モデレーター デバイスが表示されなくなるため、新しいコードを入力して接続する必要があります。
注: スタッフ組織部門でキャスト モデレーターを有効にする場合は、キャスト モデレーター デバイスの表示期間の設定を長めにされることをおすすめします。これにより、教師が何度もコードを入力する必要がなくなります。生徒や、接続のたびにコードを使う必要のあるユーザーには、デフォルトの [直ちに削除] を使用されることをおすすめします。
- コードを使用して接続した後、キャスト モデレーター デバイスの表示期間のリストから、キャスト モデレーター デバイスがユーザーのキャスト メニューに表示される期間を選択できます。この期間中は、ユーザーがコードを再入力しなくても、同じデバイスにキャストできます。この期間が過ぎると、ユーザーのキャスト メニューにキャスト モデレーター デバイスが表示されなくなるため、新しいコードを入力して接続する必要があります。
- キャスト モデレーターを無効にする(デフォルト)—ユーザーには、アクセスコードまたは QR コードでキャスト デバイスを選択するオプションは付与されません。
詳しくは、Google キャスト モデレーターを設定するをご確認ください。
Chrome バージョン 80~83 でサポートされています。
安全でない HTTP 音声、動画、画像の混合コンテンツを Chrome ブラウザと ChromeOS デバイスでどのように扱うかを指定できます。
デフォルトでは、Chrome において混合コンテンツは厳格に扱われます。HTTPS サイトでは、次のようになります。
- 音声と動画は自動的に HTTP から HTTPS にアップグレードされます。
- HTTPS で音声や動画を利用できない場合、代わりに発信される動画や音声はありません。
- Chrome では、画像を含むページの URL バーに警告が表示されます。
[「混合コンテンツの厳格な取り扱い」を使用しない] を選択すると、音声と動画が自動的に HTTPS にアップグレードされることはなく、画像に関する警告も表示されません。
Chrome ブラウザと ChromeOS デバイスでは、混合コンテンツが自動的にブロックされるようになりました。今後、https:// ページでは安全な https:// リソースのみが読み込まれ、http:// リソースは読み込まれなくなります。展開スケジュールの詳細については、Chromium ブログをご覧ください。
[ブロック可能な混合コンテンツを許可する例外をユーザーが追加できるようにする] を選択すると、アクティブな混合コンテンツの実行を許可するページをユーザーが指定できます。この設定を選択しない場合、ユーザーはアクティブな混合コンテンツ(スクリプトや iframe など)を読み込むことができません。ユーザーが例外として追加したサイトでは、ブロック可能な混合コンテンツが HTTP から HTTPS に自動的にアップグレードされることはありません。
アクティブな混合コンテンツを含むページを実行するには、次の操作をするようユーザーに伝えます。
- パソコンで Chrome を開きます。
- 右上のその他アイコン
> [設定] をクリックします。
- [プライバシーとセキュリティ] で [サイトの設定] をクリックします。
- [安全でないコンテンツ] までスクロールします。
- [許可] で [追加] をクリックします。
- 許可するページの URL を追加します。
注: ここで設定した URL よりも、[指定サイトで安全でないコンテンツを許可する] や [指定サイトで安全でないコンテンツをブロックする] で指定した URL が優先されます。
アクティブな混合コンテンツ(スクリプトや iframe など)の表示を許可するページのリストを指定します。また、Chrome でブロック可能な混合コンテンツやパッシブな混合コンテンツが HTTP から HTTPS に自動的にアップグレードされることはありません。パッシブな混合コンテンツには、画像、音声、動画が含まれます。
有効な URL パターンについては、Enterprise ポリシーの URL パターンの形式をご覧ください。
アクティブな混合コンテンツ(スクリプトや iframe など)の表示を許可しないページのリストを指定します。また、Chrome では、ロック可能な混合コンテンツやパッシブな混合コンテンツが HTTP から HTTPS に自動的にアップグレードされます。Chrome では、https:// での読み込みに失敗したパッシブな混合コンテンツは読み込まれません。パッシブな混合コンテンツには、画像、音声、動画が含まれます。
有効な URL パターンについては、Enterprise ポリシーの URL パターンの形式をご覧ください。
より限定されたプライベート ネットワークのエンドポイントに対して、ウェブサイトからのリクエスト実行を許可するかどうか、どのような方法で許可するかを指定します。
- ユーザーによる決定を許可(デフォルト) - より限定されたプライベート ネットワークのエンドポイントに対するリクエストについては、プライベート ネットワーク アクセスのウェブ仕様に従います。リクエスト元のウェブサイトは安全である必要があります。また、ユーザーはリクエストの受信を有効にする必要があります。具体的な挙動は、フィールド トライアルやコマンドライン(BlockInsecurePrivateNetworkRequests、PrivateNetworkAccessSendPreflights、PrivateNetworkAccessRespectPreflightResults など)で設定可能ないくつかのフィーチャー トグルに対するユーザーの個人設定によって異なります。
- ウェブサイトから任意のネットワーク エンドポイントへの安全でない方法でのリクエスト送信を許可する - これは、他のクロスオリジン チェックに合格することを条件としています。
有効な URL パターンについては、Enterprise ポリシーの URL パターンの形式をご覧ください。
安全なウェブサイト
ウェブサイトは、安全なコンテキストの仕様で定義された認証と機密性の一定の最低基準を満たしていれば、安全であるとみなされます。詳しくは、安全なコンテキストについてのページをご覧ください。定義された基準を満たしていない場合は、安全ではないとみなされます。
プライベート ネットワークのエンドポイント
次に該当するネットワーク エンドポイントは、アクセスがより限定されます。
- IP アドレスがローカルホストである(ローカルホストでないエンドポイントと比較して)。
- IP アドレスがプライベートである(パブリックなエンドポイントと比較して)。
非標準の API window.webkitStorageInfo は非推奨となっており、削除される予定です。
window.webkitStorageInfo API を利用できるようにするには、こちらの設定を使用して再度有効にしてください。
このポリシーは Chrome 84 をもって廃止されます。
Web Components v0 API(Shadow DOM v0、Custom Elements v0、HTML Imports)は 2018 年に廃止されました。Chrome バージョン 80 以降ではデフォルトで無効になっています。Chrome ブラウザと ChromeOS バージョン 80~84 のデバイスでは、[Web Components v0 API を再有効化する] を選択して、すべてのサイトに対して API を一時的に再度有効にすることができます。
ウェブの互換性を向上させるため、Chrome バージョン 109 以降、非標準の Event.path API は削除されます。
この設定を使用すると、API を Chrome バージョン 115 まで再有効化することができます。デフォルトでは、Event.path API を M109 までは使用でき、M109 以降では使用できない設定になっています。
このポリシーは、Chrome 115 以降で廃止されます。
Chrome バージョン 106 以降、CryptoToken は削除されます。
起動時に選択すれば CryptoToken コンポーネント拡張機能を読み込めます。この設定は、chrome.runtime が定義されていない一部のサイトが、CryptoToken の削除によって動作しなくなる問題に一時的に対応するためのものです。ウェブサイトは、chrome.runtime が無条件に定義されている状態を前提としないよう設定する必要があります。
Chrome 105 まで CryptoToken コンポーネント拡張機能を有効にするを選択すると、Chrome 105 までに限り、組み込みの CryptoToken コンポーネント拡張機能が起動時に読み込まれます。
Chrome 107 まで CryptoToken コンポーネント拡張機能を有効にするを選択すると、Chrome 106 と 107 でも引き続き、組み込みの CryptoToken コンポーネント拡張機能が起動時に読み込まれます。
このポリシーは Chrome 99 で削除されました。
ページの終了中に同期 XMLHttpRequest(XHR)リクエストの送信をページに許可するかどうかを指定します。たとえば、ユーザーがタブを閉じる、ブラウザを終了する、アドレスバーに新しいエントリを入力するような場合です。
ブラウザ ウィンドウが別のウィンドウの背面にある場合、Chrome ブラウザはウィンドウ オクルージョンを検出します。この場合、Chrome ブラウザは背面にあるページのピクセル描画を行いません。空白のページを表示することで、CPU と消費電力を削減できます。
[ウィンドウ オクルージョンの検出を無効にする] を選択すると、Microsoft Windows デバイスの Chrome ブラウザでは背面にあるページも描画されます。
ChromeOS デバイスに対してネットワーク ファイル共有を許可するかどうかを指定します。
デフォルトの [ネットワーク ファイル共有を許可] を選択した場合、次のオプションも設定できます。
NetBIOS の検出
ネットワーク ファイル共有機能で NetBIOS 名のクエリ リクエスト プロトコルを使用してネットワーク上の共有を検出するかどうかを指定します。
このポリシーを設定しない場合、企業の管理対象ユーザーは NetBIOS の検出を利用できますが、管理対象外のユーザーは利用できません。
NTLM 認証プロトコル
ネットワーク ファイル共有機能で SMB マウントの認証プロトコルとして NTLM を使用するかどうかを指定します。
このポリシーを設定しない場合、企業の管理対象ユーザーはポリシーを利用できますが、管理対象外のユーザーは利用できません。
事前設定されたネットワーク ファイル共有
ユーザーの ChromeOS デバイスにデフォルトで共有されている、事前設定されたネットワーク ファイル共有のリストを追加できます。
事前設定されたネットワーク ファイル共有ごとに、次の項目を指定する必要があります。
- URL - 共有するファイルまたはリソースの URL。例: smb://server/share、\\shared\resource
- モード - ファイルの共有方法を決定します。URL のオプションは、プルダウンまたは事前マウントです。
- プルダウン - 共有を検出するためのプルダウンに共有 URL が追加されます。ファイルをプルダウンとして共有するということは、[ファイル共有 URL] -> [ファイル共有を追加] -> [ファイル マネージャー] -> [新しいサービスを追加] -> [SMB ファイル共有] のプルダウン メニューに、そのファイルがオプションとして追加されることを意味します。
- 事前マウント - 共有 URL がマウントされることを示します。ファイルが事前マウントとして共有されると、そのファイルはファイル マネージャーの左側に表示されます。
このポリシーは Chrome 84 をもって廃止されます。
Chrome バージョン 83 以降、標準のフォーム コントロール要素(<select>、<button>、<input type=date> など)が一新され、ユーザー補助機能とプラットフォームの統一性が改善されました。
Chrome ブラウザと ChromeOS バージョン 83 および 84 のデバイスでは、[すべてのサイトで従来(M81 以前)のフォーム コントロール要素を使用する] を選択して、従来のフォーム コントロール要素に一時的に戻すことができます。選択しない場合、Chrome バージョン 83 および 84 では新しいフォーム コントロール要素が使用されます。
ウェブページ上のテキスト フラグメントにスクロールするリンクのフォローをユーザーに許可するかどうかを指定します。
この設定を有効にすると、ハイパーリンクとアドレスバーの URL ナビゲーションで、ウェブページ内の特定のテキストをターゲットにすることができます。ウェブページが完全に読み込まれると、そのテキストまでスクロールします。
Chrome ブラウザと ChromeOS デバイスの場合、URL キーによる匿名化データの収集機能によって、ユーザーがアクセスする各サイトの URL が Google に送信されるため、検索や閲覧がしやすくなります。このポリシーが設定されていない場合はデフォルトで有効になりますが、ユーザーがこの設定を変更することもできます。
ページ読み込みのメタデータとブラウジング体験を向上させる機械学習モデルを取得するかどうかを指定します。この設定を無効にすると、一部の機能が正常に動作しない場合があります。
AppCache はウェブサイトでデータをオフライン保存できるようにするウェブ機能です(すでにサポートを終了しています)。Chrome バージョン 89 から削除され、その時点で AppCache のサポートは完全に終了しました。AppCache のサポート終了の詳細
ウェブサイトが Web Bluetooth API を使用して Bluetooth デバイスへのアクセスをリクエストできるかどうかを指定します。
デフォルトは [ユーザーが決定できるようにする] です。ウェブサイトは付近の Bluetooth デバイスへのアクセスをリクエストし、ユーザーはそのアクセスを許可または拒否できます。
外部プロトコルの呼び出しに関する確認プロンプトに [常に開く] チェックボックスを表示するかどうかを指定します。ユーザーがプロトコルのリンクをクリックすると、代わりにアプリを使用するかどうかを尋ねるダイアログが表示されます。このポリシーを有効にすると、ダイアログにチェックボックスが表示されます。
このチェックボックスをオンにすると、今後同じようなリクエストがあった場合にアプリの使用を尋ねるプロンプトがスキップされます。このポリシーが無効の場合、チェックボックスは表示されません。また、ユーザーが確認プロンプトをスキップすることもできません。
バックフォワード キャッシュ機能を有効にすると、ウェブページの正確な状態が保持されます。別のページに移動すると、そのページの現在の状態がバックフォワード キャッシュに保持されることがあります。ブラウザの戻るボタンをクリックすると、ページがキャッシュから読み込まれて復元されるため、前後のページに簡単にアクセスできるようになります。
キャッシュ保存を想定していないウェブサイトでは、この機能により問題が発生する可能性があります。特に、ブラウザでページから離れるときに「アンロード」イベントがディスパッチされるウェブサイトでは、その可能性が高くなります。バックフォワード キャッシュにそのページが保存される場合に「アンロード」イベントがディスパッチされないためです。
このポリシーを有効にするか未設定のままにした場合、この機能は有効になります。
デフォルトでは、ChromeOS デバイス上の PDF ビューアで PDF にアノテーションを付けることができます。
ユーザーがファイル アプリでファイルをゴミ箱に移動できるかどうかを指定します。この機能は対応しているファイルシステムでのみ利用できます。
次のいずれかを選択します。
- ファイル アプリでゴミ箱にファイルを送信できるようにする(デフォルト) - ユーザーは、[マイファイル]
- ファイル アプリでゴミ箱にファイルを送信できないようにする - ユーザーはファイルをゴミ箱に移動できませんが、以前に削除したファイルにはアクセスできます。このような削除済みファイルは、[マイファイル]
ユーザーが [常に安全な接続を使用する] をオンにできるようにするかどうかを指定します。HTTPS を使用したサイトへの接続は、使用しない場合より安全性が高まります。ユーザーが [常に安全な接続を使用する] をオンにすると、Chrome はすべてのサイトを HTTPS で読み込もうとするようになり、対応していないサイトにアクセスしようとすると警告が表示されるようになります。
次のいずれかを選択します。
- [ユーザーに HTTPS 優先モードの有効化を許可する]—この設定がデフォルトです。ユーザーが [常に安全な接続を使用する] をオンにできるようになります。
- [ユーザーに HTTPS 優先モードの有効化を許可しない]—ユーザーが [常に安全な接続を使用する] をオンにできないようになります。
- [HTTPS 優先モードを強制的に有効にする]—Chrome バージョン 112 以降でサポートされています。[常に安全な接続を使用する] がオンになり、ユーザーがオフにすることはできなくなります。
[HTTP 許可リスト] の設定を利用することで、特定のホスト名またはホスト名パターンに対して、このポリシーによる HTTP から HTTPS へのアップグレードが行われないようにすることができます。詳しくは、HTTP 許可リストをご覧ください。
この設定は一時的なものであり、Chrome の今後のバージョンでは削除される予定です。
クロスオリジンの WebAssembly モジュール共有は、Chrome 95 移行では削除されます。この設定を使用すると、クロスオリジンの WebAssembly モジュール共有を再度有効にし、サポート終了プロセスにおける移行期間を延長することができます。
デフォルトではクロスオリジンの WebAssembly モジュール共有は無効で、サイトでは同じオリジンのウィンドウとワーカーにのみ WebAssembly モジュールを送信できます。
ネイティブ クライアントは Chrome でのサポートを終了しています。ネイティブ クライアントに依存するツールをお持ちの場合、このポリシーを設定すると既存のコードを使用し続けることができます。
デフォルトで無効にされている場合でもネイティブ クライアントを実行できるようにすることも、デフォルトの動作を使用することもできます。
ユーザーがショッピング リスト機能を使用できるかどうかを制御します。
[ショッピング リスト機能を有効にする] を選択した場合、ユーザーは現在のページに表示されている商品の価格をトラッキングできるようになります。トラッキングしている商品はブックマークのサイドパネルに表示されます。
ユーザーがカレンダーの日付をクリックして自分の予定を確認できるかどうかを指定します。
[Google カレンダーとの統合を有効にする] を選択すると、ユーザーはクイック設定から自分のカレンダーを開けるようになります。
- 管理対象の Google アカウントを使用して Chromebook にログインします。
- クイック設定を開く: 右下の時刻を選択します。
- カレンダーを開く: 日付をクリックします。
- カレンダーを移動する: 上下の矢印キーを選択します。
- Google カレンダーの予定を確認する: 下にドットがついている日付を選択します。
管理対象の Chromebook にログインすると、カレンダーが管理者によって管理されていることを示す管理対象デバイスのアイコン 
このポリシーを使用する場合は、crbug.com でユースケースをご説明のうえ {blundell, vasilyt}@chromium.org を CC に含め、バグを報告してください。
Adobe Flash 用に PPB_VideoDecoder(Dev) API が導入されていますが、Flash は Chrome でサポートされなくなったため、この API は ChromeOS バージョン 111 で削除されます。以前のアプリケーションを移行する時間が必要な場合は、このポリシーを使用して一時的にブラウザが非推奨の API をサポートするように許可できます。
ブラウザに PPB_VideoDecoder(Dev) API を強制的にサポートさせるか、ブラウザによる判断を許可するかどうかを選択できます。
このポリシーは一時的なものであり、Chrome の今後のバージョンでは廃止される予定です。
デフォルトでは、Chrome は URL を HTTPS に書き換えることにより、音声、動画、画像の混合コンテンツ(HTTPS サイトに含まれる HTTP コンテンツ)の自動アップグレードを行います。コンテンツに HTTPS 経由でアクセスできない場合、HTTP で試行されることはありません。
自動アップグレードをブロックし、ブロック可能な混合コンテンツの読み込みを許可するには、[混合コンテンツの自動アップグレードを無効にする] を選択します。ユーザーがサードパーティのストレージ パーティショニングを有効にすることを許可またはブロックできます。サードパーティのストレージ パーティショニングは、ストレージおよび通信 API をサードパーティのコンテキストで分割し、一部の種類のサイドチャネルによるクロスサイト トラッキングを防止します。
詳しくは、ストレージ パーティショニングをご覧ください。
サードパーティのストレージ パーティショニングをブロックする最上位のオリジンを指定する URL パターン、タブのアドレスバーの URL のリストを設定することもできます。このリストで指定したパターンは、URL ではなくオリジンとして扱われるため、パスを指定する必要はありません。
有効な URL パターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。Google Chrome では、macOS 13.5 以降であれば、パスキーまたは WebAuthn の作成リクエストを iCloud キーチェーンに直接送信できます。iCloud キーチェーンの同期が無効となっている場合、ユーザーは iCloud でログインするか、iCloud キーチェーンの同期を有効にするよう求められます。
次のいずれかを選択します。
- Chrome のデフォルト設定を使用する - デフォルトの処理は、iCloud Drive が有効になっているかどうか、ユーザーが最近 Google Chrome プロフィールで認証情報を使用または作成したかどうかなどの要因によって異なります。
- デフォルトで iCloud キーチェーンにパスキーを作成する(可能な場合)- 選択された認証操作に WebAuthn リクエストが対応している場合は、デフォルトで iCloud キーチェーンが使用されます。
- デフォルトで他のストア(Google Chrome プロフィールなど)にパスキーを作成する - デフォルトで iCloud キーチェーンは使用されず、代わりに Google Chrome プロフィールで認証情報を作成する従来の処理が行われます。この場合もユーザーはオプションとして iCloud キーチェーンを選択できます。また、ログイン時に iCloud キーチェーンの認証情報が表示されることがあります。
このポリシーは一時的なものであり、将来的に削除される予定です。
Accept-Encoding リクエスト ヘッダーで zstd を使用できるかどうか、および zstd で圧縮されたウェブ コンテンツの解凍に対応しているかどうかを指定できます。Zstandard(zstd)は、高い圧縮率を実現する高速な圧縮アルゴリズムです。
[zstd で圧縮されたウェブ コンテンツを許可する] を選択すると、zstd で圧縮されたウェブ コンテンツが Google Chrome でも許可されます。
デフォルトでは、[今後のリクエストで以前のレスポンスを圧縮辞書として使用できるようにする] が選択されています。そのため Chrome では、Brotli(sbr)や Zstandard(zst-d)などの外部辞書を使用して HTTP コンテンツを圧縮し、ウェブサイトを迅速に読み込みます。辞書固有のコンテンツのエンコード方式の交渉には、Accept-Encoding ヘッダーが使用されます。
印刷
印刷印刷機能を有効または無効にすることができます。印刷機能を無効にすると、ユーザーは Chrome メニュー、拡張機能、JavaScript アプリケーションなどから印刷できなくなります。
このポリシーは ChromeOS 上で実行される Android アプリには適用されません。
デフォルトでは、[印刷プレビューを使用できるようにする] が選択されています。ユーザーが組み込みの印刷プレビューを使用できないようにするには、[印刷プレビューの代わりに、常にシステムの印刷ダイアログを使用する] を選択します。
利用可能な Privet プリンタを印刷プレビュー ダイアログに表示するかどうかを指定します。
この設定は、管理対象ゲスト セッションのデバイスでも利用できます。
デフォルト プリンタの選択
システムのデフォルト プリンタを Chrome のデフォルト プリンタとして使用するには、[デフォルトの印刷設定を使用する] を選択します。
ユーザーのデフォルト プリンタを設定するには、[デフォルトのプリンタを定義する] を選択します。ユーザーが印刷を行う際、ChromeOS デバイスは管理者が指定したプリンタの種類、ID、または名前と一致するプリンタを探して、デフォルト プリンタとして選択します。
このポリシーは ChromeOS 上で実行される Android アプリには適用されません。
プリンタの種類
デフォルト プリンタとして検索し、使用するプリンタの種類を選択します。すべての種類のプリンタを検索対象にする場合は、[クラウド プリンタとローカル プリンタ] を選択します。
プリンタの指定
名前や ID でプリンタを検索する場合に使用します。
デフォルトのプリンタ
デフォルトのプリンタとして使用するプリンタの名前または ID に一致する正規表現を指定します。正規表現では大文字と小文字が区別されます。名前が一致する最初のプリンタがデフォルトとなります。例:
- 「Solarmora Lobby」という名前のプリンタを指定するには、「Solarmora Lobby」と入力します。
- 「solarmora-lobby-1」または「solarmora-lobby-2」という名前のプリンタを指定するには、「solarmora-lobby-.$」と入力します。
- 「solarmora-lobby-guest」または「solarmora-partner-guest」という名前のプリンタを指定するには、「solarmora-.*-guest」と入力します。
このポリシーは ChromeOS 上で実行される Android アプリには適用されません。
Chrome デバイスへのローカル プリンタの追加をユーザーに許可するかブロックするかを切り替えることができます。
デフォルトの設定は [ユーザーに新しいプリンタの追加を許可する] です。ユーザーがプリンタを追加できないようにするには、[ユーザーに新しいプリンタの追加を許可しない] を選択します。
ローカル印刷の設定について詳しくは、ローカル プリンタやネットワーク プリンタを管理するをご覧ください。
デフォルトでカラー印刷にするかモノクロ印刷にするかを指定します。ユーザーは、個々の印刷ジョブでカラー印刷にするかモノクロ印刷にするかを選択できます。
ユーザーにカラー印刷またはモノクロ印刷を強制します。[カラー印刷モードを制限しない] に設定すると、カラー印刷かモノクロ印刷かをユーザーが選択できます。
ユーザーが用紙の両面に印刷できるかどうかを指定します。両面印刷を選択した場合は、ページを長辺とじにするか短辺とじにするかを選択します。両面印刷は、組み込みの両面印刷機能があるプリンタでのみ利用できます。ユーザーは個々の印刷ジョブで片面印刷にするか両面印刷にするかを選択できます。
組み込みの両面印刷機能があるプリンタで片面印刷モードまたは両面印刷モードをユーザーに強制します。[両面印刷モードを制限しない] に設定すると、ユーザーは個々の印刷ジョブで片面印刷か両面印刷かを選択できます。
デフォルトで背景のグラフィックを印刷するかどうかを指定します。ユーザーは、個々の印刷ジョブで背景のグラフィックを印刷するかどうかを選択できます。
ユーザーに背景のグラフィックの印刷を強制または禁止できます。ユーザーが個々の印刷ジョブで背景のグラフィックを印刷するかどうかを選択できるようにするには、[ユーザーによる決定を許可] を選択します。
Chrome デバイスへのローカル プリンタの追加をユーザーに許可するかブロックするかを切り替えることができます。
デフォルトの設定は [ユーザーに新しいプリンタの追加を許可する] です。ユーザーがプリンタを追加できないようにするには、[ユーザーに新しいプリンタの追加を許可しない] を選択します。
ローカル印刷の設定について詳しくは、ローカル プリンタやネットワーク プリンタを管理するをご覧ください。
完了した印刷ジョブのメタデータを Chrome デバイスに保存する期間を指定します。値を日数で入力します。
- システムのデフォルト(90 日)を使用するには、この項目を設定しないでください。
- 印刷ジョブのメタデータを無期限に保存するには、「-1」と入力します。
- 印刷ジョブのメタデータが保存されないようにするには、「0」と入力します。
ユーザーは印刷管理アプリを使用するか閲覧履歴を削除して、印刷ジョブの履歴を削除できます。
組み込みの PIN 印刷機能があるプリンタでサポートされています。
PIN 印刷または PIN を使用しない印刷をユーザーに強制します。[PIN 印刷モードの制限は使用しない] に設定すると、ユーザーは PIN を使用して印刷するかどうかを選択できます。
注: job-password 属性に対応したドライバ不要の印刷用に構成されたプリンタ、または互換性のある PPD ベースのプリンタに適用されます。
組み込みの PIN 印刷機能があるプリンタでサポートされています。
PIN 印刷のデフォルト設定を指定します。[PIN 印刷をデフォルトにする] を選択すると、ユーザーは印刷ジョブを送信する際にコードを入力できます。その場合、プリンタのキーパッドに同じコードを入力して印刷ジョブをリリースする必要があります。
注: job-password 属性に対応したドライバ不要の印刷用に構成されたプリンタ、または互換性のある PPD ベースのプリンタに適用されます。
1 回の印刷ジョブでユーザーが印刷できる用紙の最大枚数を指定します。
このポリシーを設定しない場合、制限は適用されず、ユーザーは任意の枚数を印刷できます。
プリンタで設定されたデフォルトのページサイズ、またはユーザーが最後に使用したページサイズをオーバーライドします。
[ページサイズ] リストから必要なページサイズを選択します。[カスタム] を選択した場合は、必要な高さと幅をマイクロメートル単位で指定します。
カスタムのページサイズに適合しない値を入力した場合や、指定したページサイズをユーザーが選択したプリンタで使用できない場合、このポリシーは無視されます。
ユーザーにヘッダーとフッターの印刷を強制または禁止できます。デフォルトでは、ユーザーはヘッダーとフッターを印刷するかどうかを指定できます。
特定のプリンタの種類や出力先での印刷をブロックすることができます。
プリンタの出力先には次のものがあります。
- Zeroconf ベース(mDNS + DNS-SD)のプロトコル
- 拡張機能ベース - 印刷プロバイダの出力先のことで、Google Chrome の拡張機能で利用できるすべての出力先が該当します。
- PDF 形式で保存する
- ローカル プリンタ - ネイティブ印刷の出力先のことで、ローカルマシンや共有ネットワークのプリンタで利用できる出力先が該当します。
- Google ドライブへの保存
すべてのプリンタの種類を選択すると、印刷するドキュメントの出力先に指定できるものがなくなるため、印刷は実質的に無効になります。
プリンタの種類を選択しない場合、ユーザーはすべての種類のプリンタで印刷できます。
PostScript に対応していないプリンタを使用して印刷する場合は、正確に印刷するために、印刷ジョブのラスタライズが必要になることがあります。デフォルトでは、Google Chrome は必要に応じてページ全体をラスタライズします。
可能な場合は、[高速] を選択してラスタライズしないようにします。ラスタライズの処理量を減らすと、印刷ジョブのサイズを小さくして印刷速度を上げることができます。
Chrome ブラウザが印刷プレビューでデフォルトとして使用するプリンタを、一番最後に使用されたプリンタにするか、システムのデフォルトのプリンタにするかを指定します。デフォルトでは、[一番最後に使用したプリンタを印刷プレビューのデフォルトの選択肢とする] が選択されています。
ユーザーが PostScript プリンタに印刷出力する場合、さまざまな PostScript 生成メソッドが印刷パフォーマンスに影響します。
デフォルトでは、PostScript の生成時に、Chrome ブラウザでは常に Type 3 フォントでテキストがレンダリングされます。一部の PostScript プリンタでは、Type 42 を選択すると印刷速度が上がります。この場合、可能であれば Chrome でも Type 42 フォントでテキストがレンダリングされます。
Microsoft Windows および macOS で、ユーザーが PDF ドキュメントを画像として印刷できるかどうかを指定します。
[ユーザーが PDF ドキュメントを画像として印刷できるようにする] を選択すると、鮮明な画像出力が可能な特定のプリンタ用に、印刷ジョブのラスタライズを行うかどうかをユーザーが選択できます。
ユーザー エクスペリエンス
管理対象のブックマークあらゆるプラットフォーム(モバイル デバイスを含む)の Chrome にブックマークのリストを送信し、ユーザーの利便性を高めることができます。Chrome デバイスと Chrome ブラウザでは、ブックマーク バーのフォルダ内にブックマークが表示されます。ユーザーはこのフォルダの内容を変更できませんが、フォルダをブックマーク バーに表示しないように設定することはできます。詳しくは、ブックマークを管理するをご覧ください。
注: 管理対象のブックマークは最大 500 KB まで追加できます。
ユーザーにブックマーク バーを表示するかどうかを指定します。[ユーザーによる決定を許可] がデフォルトの設定です。
ユーザーの ChromeOS デバイスでアプリを並べて表示する「シェルフ」の位置を指定します。
ユーザーの ChromeOS デバイスでアプリの行(シェルフとも呼ばれます)を非表示にするかどうかを指定します。
[常にシェルフを自動的に非表示にする] を選択すると、ユーザーはシェルフが配置されている画面の端までカーソルを動かしてアプリやブックマークなどを確認する必要があります。
[ユーザーによる決定を許可] を選択すると、ユーザーはシェルフを右クリックして [シェルフを自動的に非表示にする] チェックボックスをオンまたはオフにすることができます。
ユーザーが各自の Chrome ブックマーク バーのアイテムを追加、編集、削除できるようにします。
ユーザーのブックマーク バーにアプリのショートカットを表示するかどうかを指定します。
ChromeOS デバイスでのデフォルトのダウンロード先を設定し、その場所を変更することをユーザーに許可するかどうかを指定します。
このポリシーはダウンロードしたファイルにのみ適用されます。ユーザーが [保存] オプション(Ctrl+S キー)を選択すると、ローカルのダウンロード フォルダが選択された状態でポップアップが表示されます。
管理者が [Google ドライブをデフォルトに設定する(ただしユーザーによる変更を許可する)] または [ローカルのダウンロード フォルダをデフォルトに設定する(ただしユーザーによる変更を許可する)] のいずれかを設定する前に、ユーザーがすでにダウンロード先を指定していた場合は、ユーザーが選択した場所が優先されます。一方、ユーザーがまだダウンロード先を選択していない場合、最初の 2 つのポリシーではそれぞれ該当する場所がデフォルトとなりますが、ユーザーは後から設定を変更できます。
[必ず Google ドライブにする] を選択した場合は、それ以前にユーザーが場所を選択していたかどうかにかかわらず、Google ドライブがダウンロード フォルダになり、ユーザーはこの設定を変更できません。ただし、ファイル アプリを使ってローカル フォルダと Google ドライブの間でファイルを移動することはできます。Chrome バージョン 90 以降の場合、この設定は ChromeOS で撮影したスクリーンショットには適用されません。スクリーンショットは ChromeOS のデフォルトのダウンロード フォルダにダウンロードされ、[必ず Google ドライブにする] 設定は無視されます。
この設定は ChromeOS 上で実行される Android アプリには適用されません。Android アプリは一般的に、ChromeOS ダウンロード フォルダにマッピングされたフォルダにダウンロードされますが、他の場所にダウンロードされることもあります。
ダウンロードする前に、各ファイルの保存場所をユーザーに確認するかどうかを指定します。次のいずれかを選択します。
- ユーザーによる決定を許可 - ユーザーはダウンロードするたびに場所を指定するかどうかを選択できます。ダウンロードの設定を変更するには、Chrome を開いて、その他アイコン
[設定]
- ユーザーに確認しない(直ちにダウンロードを開始する) - ユーザーに保存場所を確認せずに、デフォルトのダウンロード先にファイルをダウンロードします。デフォルトのダウンロード先を設定するには、[ダウンロード先] を設定します。
- ユーザーにファイルの保存先を確認してからダウンロードを開始する - ユーザーはダウンロードするたびに保存場所を選択できます。
[設定] 新しいダウンロードのバブル UI を Google Chrome で表示するかどうかを指定します。
ダウンロードのバブルはデフォルトで有効になっています。無効にすると、従来のダウンロード シェルフ UI が表示されます。
ユーザーがスペルチェックを使用できるかどうかを指定します。次のいずれかを選択します。
- ユーザーによる決定を許可 - これがデフォルトです。ユーザーは言語設定でスペルチェックを有効または無効にできます。
- スペルチェックを無効にする - すべてのソースに対してスペルチェックが無効になります。ユーザーが有効にすることはできません。[スペルチェック サービス]、[スペルチェックが適用される言語]、[スペルチェックを無効にする言語] の設定は無視されます。
- スペルチェックを有効にする - スペルチェックが有効になり、ユーザーが無効にすることはできません。Microsoft Windows、ChromeOS、Linux デバイスでは、この場合もユーザーが個々の言語のスペルチェックを有効または無効にできます。
[スペルチェックを有効にする] を選択すると、特定の言語でスペルチェックを有効または無効にできます。[スペルチェックが適用される言語] と [スペルチェックを無効にする言語] の設定で、使用またはブロックする言語をリストから選択します。
ユーザーがどの言語についてもスペルチェックを無効にできないようにするには、[スペルチェックが適用される言語] 設定を使用して、スペルチェックの対象となる言語を有効にします。
注: [スペルチェックが適用される言語] と [スペルチェックを無効にする言語] の設定は、[スペルチェックを有効にする] を選択した場合にのみ管理コンソールに表示されます。
[スペルチェック ウェブ サービスを有効にする] を選択すると、ユーザーの入力テキストに含まれるスペルミスを修正するために、Chrome は常に Google ウェブサービスを使用するようになります。
デフォルトでは、[ユーザーによる決定を許可] が選択されていて、ユーザーは高度なスペルチェック機能を有効または無効にできます。
[スペルチェック] が [スペルチェックを無効にする] に設定されている場合、スペルチェック サービスの設定は無視されます。
Google Chrome で使用する言語を指定します。
デフォルトは [ユーザーまたはシステムによって指定されている言語を使用する] です。代替の言語は [en-US] です。
Chrome ブラウザで使用する言語を指定します。使用する言語をリストから選択します。次に、リストを優先度の高い順に並べます。
ユーザーは、chrome://settings/languages の [言語を希望の順序に並べ替えます] で言語のリストを確認できます。指定した優先言語は常にリストの一番上に表示され、ユーザーがそれらの言語を削除したり順序を変更したりすることはできません。ただし、優先言語の下に希望の言語を追加して並べ替えることはできます。また、他のポリシーで強制されていない限り、ユーザーはブラウザの UI の言語と翻訳やスペルチェックの設定を自由に管理できます。
優先言語を指定しない場合、ユーザーは優先言語のリスト全体を変更できます。
ユーザーが ChromeOS デバイスの設定言語として選択できる言語を指定します。使用する言語をリストから選択します。次に、[選択した言語] リストを優先度の高い順に並べます。
[選択した言語] リストの先頭の言語が、新規ユーザーのデフォルトの言語となります。
管理者が許可していない言語をユーザーがすでに選択している場合、次回のログイン時にそのユーザーの ChromeOS デバイスの言語が許可されている言語に切り替わります。
設定言語を指定しない場合、ユーザーは制限なしで希望の言語を選べます。
ユーザーがデバイスの言語を変更する方法については、Chromebook の言語を管理するをご覧ください。
ChromeOS デバイスでユーザーが選択可能なキーボード言語を指定します。使用する言語をリストから選択します。次に、[選択した言語] リストを優先度の高い順に並べます。
管理者が許可していないキーボード言語をユーザーがすでに選択している場合、その ChromeOS デバイスのキーボード言語はハードウェア キーボード配列に切り替わるか(許可されている場合)、言語リストの最初に指定された言語に切り替わります。
管理者が特に言語を指定しない場合、ユーザーは制限なしで希望のキーボード言語を選べます。
ユーザーがデバイスのキーボード言語を変更する方法について詳しくは、キーボード言語と特殊文字を指定するをご覧ください。
Chrome で Google 翻訳を使用するかどうかを設定できます。Google 翻訳は、ユーザーの ChromeOS デバイスで指定した言語以外で書かれているウェブページを翻訳する機能です。常に翻訳ツールを表示する、または翻訳ツールを表示しない設定ができます。ユーザーに選択させることもできます。
Chrome ブラウザがウェブアドレスに接続できない場合に、代わりの方法を記載したページを表示するかどうかを指定します。代わりの方法として、そのウェブサイトの他のページに移動するオプションや、ページを検索するためのオプションが表示されます。
これは、Chrome の [設定] の [ウェブサービスを使用してナビゲーション エラーの解決を支援する] のユーザー オプションに相当します。ユーザーがこのオプションを自由に設定できるようにすることも、このオプションを常にオンまたはオフに指定することもできます。
[ツール] メニューに [デベロッパー ツール] オプションを表示するかどうかを指定します。ウェブ デベロッパーやプログラマーは、デベロッパー ツールを使用してブラウザや自分のウェブ アプリケーションの内部構造にアクセスできます。このツールについて詳しくは、デベロッパー ツールの概要をご覧ください。
Enterprise のお客様のデフォルト設定は、[自動インストールされた拡張機能を除き常に組み込みのデベロッパー ツールの使用を許可する] です。この設定は、デベロッパー ツールや JavaScript コンソールを開くすべてのキーボード ショートカット、メニューまたはコンテキスト メニューの項目では基本的に有効ですが、エンタープライズ ポリシーを使用して自動インストールされた拡張機能では無効です。
管理対象に含まれないユーザーのデフォルト設定は、[常に組み込みのデベロッパー ツールの使用を許可する] です。すべての状況においてデベロッパー ツールを無効にするには、[組み込みのデベロッパー ツールの使用を許可しない] を選択します。
組織内のサポート対象 ChromeOS デバイスで Android アプリを有効にしている場合、Android 開発者向けオプションへのアクセスもこの設定で制御されます。[組み込みのデベロッパー ツールの使用を許可しない] に設定した場合、ユーザーは開発者向けオプションにアクセスできません。他の値に設定するか、未設定のままにした場合、ユーザーは Android 設定アプリでビルド番号を 7 回タップすると開発者向けオプションにアクセスできます。
オンラインでの住所入力を効率化する自動入力機能をユーザーが使用できるかどうかを指定します。ユーザーが初めて住所を入力するときに、Chrome はその入力情報を自動的に保存します。
管理者はこの自動入力機能をオフにすることも、ユーザーによる設定を許可することもできます。
[住所フォームを自動入力しない] を選択すると、ウェブの閲覧中に自動入力で住所が提案されたり、ユーザーが送信した新しい住所情報が保存されたりすることはありません。
オンラインでのクレジット カード情報の入力を効率化する自動入力機能をユーザーが使用できるかどうかを指定します。ユーザーが初めてクレジット カード情報を入力するときに、Chrome はその入力情報を自動的に保存します。
管理者はこの自動入力機能をオフにすることも、ユーザーによる設定を許可することもできます。
[クレジット カード フォームを自動入力しない] を選択すると、ウェブの閲覧中に自動入力でクレジット カード情報が提案されたり、ユーザーが送信した新しいクレジット カード情報が保存されたりすることはありません。
保存されているユーザーのお支払い方法の有無をウェブサイトが確認することを許可するかどうかを指定します。
仮想キーボードがデフォルトでレイアウト ビューポートのサイズを変更するかどうかを指定します。
注: この設定はデフォルトのサイズ変更動作にのみ影響します。ページがタグや Virtual Keyboard API を使用して特定の動作をリクエストした場合、その動作が優先されます。
ユーザーが物理キーボードの予測入力機能を利用できるかどうかを指定します。この予測入力機能はデフォルトで有効になっています。物理キーボードの予測入力を無効にするには、[物理キーボードの予測入力を無効にする] を選択します。
ユーザーが物理キーボードの自動修正機能を利用できるかどうかを指定します。デフォルトでは、自動修正機能はオンになっています。物理キーボードの自動修正機能をオフにするには、[物理キーボードの自動修正を無効にする] を選択します。
ユーザーが ChromeOS デバイスに入力する際に絵文字候補が表示されるようにするかどうかを指定できます。
DNS プリフェッチを有効にすると、表示されたウェブページのすべてのリンクについて IP アドレスの照会が行われるため、ユーザーがリンクをクリックした際の読み込み速度が速くなります。
ユーザーがこのオプションを自由に設定できるようにすることも、このオプションを常に有効または無効に指定することもできます。
Chrome でネットワークの動作を予測できるようにするかどうかを指定します。Chrome で予測サービスを使用すると、ページを迅速に読み込めます。また、アドレスバーにユーザーが入力する検索キーワードや URL が補完されます。
管理者は、ネットワーク予測を無効にしたり必須にしたりできます。[ユーザーによる決定を許可] を選択すると、この設定が Chrome で有効になり、ユーザーは自分の予測サービスの設定を変更できるようになります。
デフォルトでは、ユーザーは Chrome ブラウザにプロファイルを追加して、自分の Chrome 情報(ブックマーク、履歴、パスワード、その他の設定)を他のユーザーと別々に保持することができます。プロファイルは、パソコンを共有しているユーザーに適しています。仕事用アカウントと個人用アカウントなど、異なるアカウントを別々に保持することもできます。ユーザーが Chrome ブラウザに新しいプロファイルを追加できないようにするには、[新しいプロファイルの追加を無効にする] を選択します。
この設定を行う前に、マルチログイン アクセスを管理するをご確認ください。
ChromeOS 上で実行される Android アプリの場合、[ユーザー アクセスを制限しない(どのユーザーも他のユーザーのセッションに追加できるようにします)] を選択しても、Android アプリを使用できるのはプライマリ ユーザーに限られます。[管理対象ユーザーはプライマリ ユーザーである必要がある(セカンダリ ユーザーは許可される)] を選択した場合、デバイスが Android アプリに対応していて、組織内でそのアプリを有効にしていれば、プライマリ ユーザーは Android アプリを使用できます。
ユーザーがデバイスにログインした後、ブラウザ ウィンドウと Google Play でのアカウントの切り替えをユーザーに許可します。
注: 管理者が Android アプリを許可リストに登録済みの場合、ユーザーが Google Play で予備のアカウントに切り替えることはできません。
- 次のいずれかを行います。
- ブラウザ内での任意の Google アカウントへのログインをユーザーに許可するには、[任意の予備の Google アカウントへのログインを許可する] を選択します。詳しくは、Google アカウントの種類をご覧ください。
- ブラウザ内での Google アカウントへのログインやログアウトを禁止するには、[予備の Google アカウントに対するログインやログアウトを禁止する] を選択します。
- 指定した Google Workspace ドメインのリストにあるアカウントを使用するユーザーにのみ Google サービスへのアクセスを許可するには、[ユーザーに以下の Google Workspace ドメインへのログインのみを許可する] を選択します。
- 特定の Google Workspace ドメインにのみユーザーのログインを許可する手順は次のとおりです。
- 組織のすべてのドメインをリストに記載していることを確認します。すべてのドメインがリストされていない場合、ユーザーが Google サービスにアクセスできない可能性があります。ドメインのリストを確認するには、ドメインリストにある組織のドメイン名をクリックします。
- 一般ユーザー向け Google アカウント(@gmail.com、@googlemail.com など)を含める場合は、リストに「consumer_accounts」と入力します。特定のアカウントからのアクセスのみを許可し、それ以外のアカウントからのアクセスをブロックすることも可能です。詳しくは、一般ユーザー向けアカウントからのサービス利用を防ぐをご覧ください。
- 特定の Google Workspace ドメインのみへのログインを許可する場合や、ブラウザ内でのログインやログアウトをブロックする場合は、以下の操作も行う必要があります。
- 組織内のユーザーのみが ChromeOS デバイスにログインできるように、ログイン制限を設定します。詳しくは、ログインの制限をご覧ください。
- デバイスでゲスト ブラウジングを無効にします。詳しくは、ゲストモードをご覧ください。
- ユーザーがシークレット モードでブラウジングできないようにします。詳しくは、シークレット モードをご覧ください。
Chrome に表示される Google アカウントを管理できます。指定したパターンに一致するアカウントは Chrome に表示され、一致しないアカウントは非表示になります。この設定を空白のままにすると、デバイスに存在するすべての Google アカウントが Chrome に表示されます。
パターンの一覧を、1 行に 1 つずつ入力します。例:
*@example.com
user@solarmora.com
ワイルドカード文字「*」を使用すると、0 文字以上の任意の文字列を表すことができます。エスケープ文字は「\」です。「*」や「\」の文字そのものを指定するには、その直前に「\」を挿入します。
Chrome ブラウザにゲストとしてログインすることをユーザーに許可するかどうかを指定します。管理者が [ゲストモードでブラウザにログインできる](デフォルト)を選択すると、ユーザーはゲストモードでブラウザ セッションを開始できます。また、すべてのウィンドウがシークレット モードになります。ユーザーがゲストモードを終了すると、閲覧アクティビティはデバイスから削除されます。
この設定を有効にすると、[ゲストモードでブラウザにログインしてプロフィールを使用できる](デフォルト)を有効にすることも可能です。ユーザーはゲストとしてログインして、新規のプロフィールまたは既存のプロフィールを使用できます。ゲスト セッションを強制的に適用してプロフィールにログインできないようにするには、[ブラウザへのログインにゲストモードのみを許可する] を選択します。
[ゲストモードでのブラウザへのログインを禁止する] を選択した場合、ゲスト プロフィールの起動は許可されません。
この設定は、管理対象のゲスト セッションやキオスクアプリに対しても利用できます。
ユーザーが複数のモニタやテレビで同じウィンドウを表示できるようにするには、[デスクトップ統合モードをユーザーに許可する] を選択します。デフォルトでは、この機能は無効になっています。ユーザーはデスクトップ画面統合を無効にした状態で 2 台の外部ディスプレイを使用することもできますが、デスクトップを複数のディスプレイにまたがるように拡大しても、各ウィンドウはいずれかのディスプレイだけに表示されます。
- 最大 2 台の外部ディスプレイがサポートされます。
- デスクトップ画面統合は、同じ解像度の複数のモニタにのみ適用可能です。
- 有効にした場合、ユーザーがデバイスにモニターを接続すると、デフォルトでデスクトップ統合モードになります。
[WebRTC イベントログの収集を許可する] を選択すると、ウェブ アプリケーションでユーザーの WebRTC イベントログを生成、収集できます。ログは Google が音声会議やビデオ会議の問題を特定して解決するのに役立ちます。ログには診断情報(送受信された RTP パケットの時間とサイズ、ネットワークの輻輳に関するフィードバック、音声および動画フレームの時間と品質に関するメタデータなど)が含まれます。会議の動画コンテンツや音声コンテンツは含まれません。
Google Meet ユーザーのログを収集するには、Google 管理コンソールでこの設定と [クライアント ログのアップロード] ポリシーの両方を有効にする必要があります。
[Google サービスからの WebRTC テキストログの収集を許可する] を選択すると、ウェブ アプリケーションでユーザーの WebRTC イベントログを生成、収集できます。ログは Google が音声会議やビデオ会議の問題を特定して解決するのに役立ちます。これらのログには、送受信する WebRTC ストリームのテキスト メタデータ、WebRTC 固有のログエントリ、追加のシステム情報などの診断情報が含まれます。会議の動画コンテンツや音声コンテンツは含まれません。
Google Meet ユーザーのログを収集するには、Google 管理コンソールでこの設定と [クライアント ログのアップロード] ポリシーの両方を有効にする必要があります。
ウェブでの Google アシスタントの使用をユーザーに許可するかどうか指定します。[ウェブでの Google アシスタントの使用を許可する] を選択すると、支払いやパスワードの変更がすばやく行えます。ただし、Google アシスタントは、ユーザーが利用に同意した場合のみ作動します。
デフォルトでは、[ユーザーによる決定を許可] が選択されていて、ユーザーは Google アシスタントを有効または無効にできます。
クイック アンサーの設定はデフォルトでオンになります。クイック アンサー機能には、選択したコンテンツにアクセスし、その情報を Google サーバーに送信して定義や翻訳、単位変換の結果を取得する権限があります。ユーザーが各自の ChromeOS デバイスで選択したテキストを右クリックまたは長押しすると、関連情報が表示されます。
管理者が管理コンソールでクイック アンサー機能を無効にした場合、ユーザーがその設定を変更したりオーバーライドしたりすることはできません。
ChromeOS デバイスで無効にするシステムの機能を指定します。[URL のブロック] 設定を使用したり、ID によってアプリや拡張機能をブロックしたりする代わりに、この設定を使用してカメラ、OS の設定、ブラウザの設定をブロックすることをおすすめします。
無効にした機能をユーザーが使おうとすると、管理者によって機能がブロックされていることを通知するメッセージが表示されます。
デバイスがオフラインのときに Chrome ブラウザまたは ChromeOS デバイスで恐竜ゲームをプレイできるかどうかを指定します。次のいずれかを選択します。
- デバイスが Chrome ブラウザでオフラインになっているが登録済みの ChromeOS デバイスではない場合に、ユーザーが恐竜ゲームをプレイできるようにする - デバイスがオフラインのときに、登録済みの ChromeOS デバイスでは恐竜ゲームをプレイできませんが、Chrome ブラウザではプレイすることができます。
- デバイスがオフラインになっている場合に、ユーザーが恐竜ゲームをプレイできるようにする - デバイスがオフラインのときに恐竜ゲームをプレイできます。
- デバイスがオフラインになっている場合に、ユーザーが恐竜ゲームをプレイできないようにする - デバイスがオフラインのときに恐竜ゲームをプレイできません。
ユーザーに ChromeOS で Steam を起動することを許可できます。
Steam では Linux コンテナの Borealis が使用されています。Borealis は必要なパッケージ、最新のドライバ、依存関係をすべて備えて Steam をホストし、ChromOS デバイスで Steam ゲームをプレイできるようにするものです。
管理対象の ChromeOS デバイスの場合、デフォルトは [ChromeOS で Steam を許可しない] です。管理対象外ユーザーの場合は、デフォルトで Steam を利用できます。
ユーザーに Steam の利用を許可するには、他のポリシーや設定で Steam が無効になっていないことが条件になります。
検索ボックスが空のときに、以前に他のデバイスにインストールされていたアプリを Chrome デバイスのランチャーにおすすめとして表示するかどうかを指定します。
ユーザーが ChromeOS デバイスでランチャーを開いて、検索ボックスへの入力を開始すると、Google Chrome にウェブページの URL やアプリを含むコンテンツの候補が表示されます。
ユーザーに対してアドレスバーにウェブページの完全な URL が表示されるかどうかを指定します。
一部のユーザーにはアドレスバーにウェブページの完全な URL が表示されず、代わりにドメインのみが含まれるデフォルトの URL が表示されます。これにより、いくつかの一般的なフィッシング手法からユーザーを保護できます。
Chrome 同期が有効な場合に、ログインしているユーザーが Chrome デスクトップと Android デバイス間でテキストをコピーして貼り付けることができるかどうかを指定します。共有クリップボード機能はデフォルトで有効になっています。
適切な権限のあるユーザー、アプリ、拡張機能で全画面表示モードを使用できるかどうかを指定します。デフォルトでは、全画面表示モードを使用できます。
デバイスがスリープ画面(暗い画面)から復帰する際に、全画面表示のアラートを表示するかどうかを指定します。
アラートの画面には、全画面表示を終了してからパスワードを入力するように促すメッセージがデフォルトで表示されます。[デバイスの起動時にアラートの全画面表示を無効にする] を選択すると、このアラートが無効になります。
ChromeOS デバイスのロック解除後に、通知を表示せずにそのまま全画面表示モードで開ける URL を指定できます。URL の構文については、URL の拒否リストのフィルタ形式についてのページをご覧ください。空白のままにした場合、いずれの URL も、通知を表示せずにそのまま全画面表示モードで開くことはできません。
Chrome ブラウザでタブ全体にサービス情報を表示するかどうかを指定します。サービス情報を表示すると、ユーザーが Chrome へログインしたり、デフォルトのブラウザとして Chrome を選択したり、サービスの機能を確認したりする際に役立ちます。
カードのコンテンツが利用可能な場合に、新しいタブページにカードを表示するかどうかを指定できます。カードの情報はユーザーの閲覧行動に基づいており、ユーザーが最近検索した情報が表示されます。
デフォルトは [ユーザーによる決定を許可] で、ユーザーはカードを表示するかどうかを選択できます。
ユーザーが初めて Chrome を実行するときに常に Chrome の最初のウィンドウを最大化するかどうかを指定します。
Chrome ブラウザがユーザーレベルでインストールされたネイティブ メッセージング ホストを使用できるかどうかを指定します。デフォルトは [ユーザーレベルでインストールされたネイティブ メッセージング ホストの使用を許可する] です。選択するオプションに関係なく、システムレベルでインストールされたホストは許可されます。
[ブロックされたネイティブ メッセージング ホスト] の設定でリストに登録したホストに対する例外を指定します。ブロックしないネイティブ メッセージング ホストのリストを入力します。1 行に 1 つずつホストを入力します。
たとえば、次のような設定が可能です。
- すべてのネイティブ メッセージング ホストを許可する - これはデフォルトの設定です。[ブロックされたネイティブ メッセージング ホスト] と [許可されたネイティブ メッセージング ホスト] を空白のままにします。
- すべてのネイティブ メッセージング ホストをブロックする - [ブロックされたネイティブ メッセージング ホスト] の拒否リストに値「*」を入力し、[許可されたネイティブ メッセージング ホスト] を空白のままにします。
- 指定したネイティブ メッセージング ホストのみを許可する - [ブロックされたネイティブ メッセージング ホスト] の拒否リストに値「*」を入力し、[許可されたネイティブ メッセージング ホスト] に許可するドメインを入力します。
ブロックされたネイティブ メッセージング ホストもご覧ください。
ブロックするネイティブ メッセージング ホストを指定します。[許可されたネイティブ メッセージング ホスト] の設定で明示的に許可しない限り、ここで指定されたホストはブロックされます。
たとえば、次のような設定が可能です。
- すべてのネイティブ メッセージング ホストを許可する - これはデフォルトの設定です。[ブロックされたネイティブ メッセージング ホスト] と [許可されたネイティブ メッセージング ホスト] を空白のままにします。
- すべてのネイティブ メッセージング ホストをブロックする - [ブロックされたネイティブ メッセージング ホスト] の拒否リストに値「*」を入力し、[許可されたネイティブ メッセージング ホスト] を空白のままにします。
- 指定したネイティブ メッセージング ホストのみを許可する - [ブロックされたネイティブ メッセージング ホスト] の拒否リストに値「*」を入力し、[許可されたネイティブ メッセージング ホスト] に許可するドメインを入力します。
許可されたネイティブ メッセージング ホストもご覧ください。
デフォルトでは、ブラウザはユーザーに合わせてパーソナライズされたおすすめメディアを表示します。このようなおすすめは、ユーザーのアクセス頻度の高いサイトやウェブ検索など、ユーザーの行動に基づいて表示されます。このポリシーを無効にすると、ユーザーにおすすめが表示されなくなります。
ファイルを開いたり選択したりするためのダイアログ ボックスをユーザーが Chrome で開くことを許可します。このポリシーを無効にすると、ファイル選択ダイアログ ボックスが表示される操作(ブックマークのインポート、ファイルのアップロード、リンクの保存など)をユーザーが行うたびに、ファイル選択ダイアログ ボックスはブロックされ、代わりにメッセージが表示されます。
ユーザーが、その他アイコン [ヘルプ]
[問題の報告] またはキーの組み合わせを使用して、Google にフィードバックを送信できるようにするかどうかを指定します。
デフォルトは [ユーザーからのフィードバックを許可] です。
ユーザーに対して「タップして検索」機能を有効または無効にすることができます。
「タップして検索」を使用すると、ユーザーは単語またはフレーズを長押しして検索を実行できます。単語またはフレーズを長押しすると画面の下部にオーバーレイが表示され、これをタップすると検索が実行されて結果が表示されます。
デフォルトは [ユーザーに「タップして検索」の使用を許可する] です。ユーザーはこの設定を有効または無効にすることができます。
ユーザーがツールバーのアイコンから試験運用版のブラウザ機能を使用できるかどうかを指定します。
注: このポリシーが有効か無効かにかかわらず、ブラウザ機能のオンとオフを切り替えるための chrome://flags やその他の方法は、引き続き想定どおりに動作します。
ユーザーが Android デバイスで Google レンズを使用して画像について検索できるかどうかを指定します。
画像を使ってウェブを検索する方法について詳しくは、Chrome でウェブを検索するをご覧ください。
コンテキスト メニューの Google レンズの地域検索メニュー項目を表示および使用することをユーザーに許可することができます。
[Google レンズを使用した地域検索を無効にする] を選択すると、Google レンズの地域検索がサポートされている場合でも、ユーザーのコンテキスト メニューにこの項目が表示されなくなります。
Chrome バージョン 93~102 でサポートされています。
Chrome 93 以降では、安全な接続に新しいアドレスバー アイコンを使用できます。デフォルトでは、[安全な接続にデフォルトのアイコンを使用する] が選択されています。安全な接続に既存の鍵アイコンを引き続き使用するには、[安全な接続に鍵アイコンを使用する] を選択します。
中央スロットのお知らせを新しいタブページに表示するかどうかを制御します。
ユーザーがブラウザを終了しようとしたときに警告ダイアログを表示するかどうかを指定します。
ブラウザによる URL パラメータのフィルタリングを許可するかどうかを指定します。
デフォルトでは、ブラウザによる URL パラメータのフィルタリングが許可されています。この場合、ユーザーがコンテキスト メニューから [シークレット ウィンドウで開く] を選択したときに、フィルタリングによって一部のパラメータが削除されることがあります。
ユーザーの ChromeOS デバイスで推奨する UI のテーマ(ライトモード、ダークモード、自動モード)を指定します。
自動モードでは、日の出と日の入りに合わせてダークモードとライトモードを自動的に切り替えます。ユーザーはシステム設定でテーマを変更できます。
管理対象外デバイスのデバイス シグナルを共有する際、Google Chrome が管理対象ユーザーにアクセス権の許可を求めるかどうかを指定できます。デバイス シグナルには、OS 情報、レジストリファイルの有無などが含まれます。
デフォルトでは、[管理対象外のデバイスのシグナル共有について同意を求める] が指定されています。接続済みのデバイス
Smart Lockユーザーがパスワードを入力しなくても、近くの Android スマートフォンを使って ChromeOS デバイスのロックを解除できるようにします。詳細については、Android スマートフォンから Chromebook のロックを解除するをご確認ください。
ユーザーは自分の Google スマートフォンからインスタント テザリングを使用して、デバイスとモバイルデータ通信を共有できます。
ユーザーはスマートフォンと ChromeOS デバイスとの間で SMS メッセージを同期するように設定できます。
注: このポリシーを許可する場合、ユーザーは一連の設定を完了して明示的にこの機能を有効にする必要があります。一連の設定が完了すると、デバイスで SMS メッセージを送受信できるようになります。
ユーザーがログインしているときに、ChromeOS デバイスから Android デバイスに電話番号を送信できるようにするかどうかを指定します。
デフォルトは [ユーザーが Chrome からスマートフォンに電話番号を送信できるようにする] です。
付近の Android デバイスや ChromeOS デバイスとファイルを共有するため、ユーザーがニアバイシェアを有効にすることができるかどうかを指定します。デフォルトでは、[ニアバイシェアの使用を許可しない] が選択されています。
ユーザーが ChromeOS デバイスでニアバイシェアを有効にして使用する方法について詳しくは、付近のデバイスとファイルを共有するをご覧ください。ユーザーが ChromeOS デバイスで Android スマートフォンを操作できるようにするかどうかを指定します。
デフォルトは [スマートフォン ハブの有効化を許可しない] で、ユーザーはスマートフォン ハブを有効にできません。
[スマートフォン ハブの有効化を許可する] を選択すると、ユーザーはスマートフォン ハブを有効にできるようになり、次の 2 つの追加オプションが表示されます。
- スマートフォン ハブの通知の有効化を許可する - スマートフォン ハブをすでに有効にしているユーザーが、ChromeOS でスマートフォンの通知を送受信できるかどうかを指定します。
- スマートフォン ハブのタスク継続の有効化を許可する - スマートフォン ハブをすでに有効にしているユーザーが、ChromeOS でスマートフォンでのウェブページ閲覧などのタスクを継続できるかどうかを指定します。
スマートフォン ハブの通知をクリックするなどの方法により、ユーザーがアプリをストリーミングできないようにします。
デフォルトでは、ユーザーによるアプリのストリーミングを許可します。
ユーザー補助
注: デフォルトでは、ユーザーが Chromebook の設定またはキーボード ショートカットを使用してユーザー補助機能の設定を有効にするまで、この機能は無効になっています。ユーザー補助機能を無効にすると、障がいをお持ちのユーザーまたは特定の配慮が必要なユーザーに対して問題が発生する可能性があるため、操作前に慎重に判断してください。このポリシーを設定しない場合、ユーザーはいつでも機能にアクセスできます。ただし、管理者がポリシーを設定した場合、ユーザーがポリシーを変更したりオーバーライドしたりすることはできません。
音声フィードバックChromeVox スクリーン リーダーは、視覚障がいのあるユーザーをサポートします。有効にすると、Chromebook が画面内のテキストを読み上げます。聴覚障がいのあるユーザーには、接続している点字ディスプレイにテキストを表示させることができます。
詳しくは、組み込みのスクリーン リーダーを使用すると Chromebook で点字デバイスを使用するをご覧ください。
指定した単語、選択したテキスト、画面のセクションなど、ページ上の特定のテキストが読み上げられます。読み上げ時に単語がハイライト表示されるため、より聞きやすく、読みやすくなります。
詳しくは、テキストを読み上げるをご覧ください。
高コントラスト モードでは、ページを読みやすくするためにフォントと背景のカラーパターンが変更されます。ChromeOS デバイスで高コントラスト モードをオンにするには、ユーザー補助設定を変更するか、検索 
ユーザーがデフォルトのサイズの 20 倍まで画面を拡大できるようにします。拡大鏡をオフにすることも、組織のユーザーが使用できる拡大鏡のタイプを選択することもできます。
詳しくは、Chromebook の画面でズームや拡大鏡を使用するをご覧ください。
複数のキーを同時に押すのではなく、キーを 1 つずつ順番に押してショートカット キーの組み合わせを入力することができます。固定キーを使用することで、たとえば Ctrl キーと V キーを同時に押したときの効果を、最初に Ctrl キーを押してから V キーを押すという操作で実現できます。
詳しくは、キーボード ショートカットのキーを 1 つずつ入力するをご覧ください。
物理的なキーを使用せずに文字を入力できます。画面キーボードは通常、タッチスクリーン インターフェース搭載のデバイスで使用しますが、タッチパッド、マウス、またはジョイスティックを接続して使用することもできます。
詳しくは、画面キーボードを使用するをご覧ください。
デバイスがタブレット モードになっている場合に、ユーザーが物理的なキーを使わずに文字を入力できるようにします。画面キーボードは通常、タッチスクリーン インターフェース搭載のデバイスで使用するものですが、タッチパッド、マウス、またはジョイスティックを接続して使用することも可能です。
詳しくは、画面キーボードを使用するをご覧ください。
注: 管理者がこのポリシーを設定した場合、ユーザーがこれを変更することはできません。
[画面キーボード] 設定または ChromeOS の [画面キーボードを有効にする] 設定を有効にしている場合、この設定は適用されません。
[画面キーボード] 設定または ChromeOS の [画面キーボードを有効にする] 設定を無効にしている場合、この設定で選択したオプションが適用されます。
[タブレット モードとノートパソコン モードの両方で画面キーボードを有効にする] を選択すると、物理的なキーボードがあっても、画面キーボードが常に表示されるようになります。
入力方法によっては、画面キーボードが簡易配列に変更される場合があります。
キーボードの代わりに音声入力を使用して、長いドキュメントやメールなどを作成できます。
詳しくは、音声でテキストを入力するをご覧ください。
キーボードで画面上のオブジェクト間を移動する際に、ユーザーがオブジェクトをハイライト表示できるようにします。フォームに入力したり項目を選択したりするときに、自分がページのどの位置にいるかが把握しやすくなります。
この設定を有効にすると、テキストの編集中にキャレット(カーソル)の周辺がハイライト表示されます。
マウスのカーソルを合わせた場所で、自動的にクリックするかスクロールします。マウスやタッチパッドのクリック操作が難しいユーザーにとって便利です。
詳しくは、Chromebook で項目を自動的にクリックするをご覧ください。
マウスカーソルのサイズを大きくし、画面上で見やすくします。
画面上で見やすくなるように、マウスカーソルの周りにカラー フォーカス リングを作成します。
メインのマウスボタンとタッチパッドを左から右に変更します。デフォルトでは、マウスの左ボタンがメインのボタンになっていますが、設定はいつでも変更できます。
内蔵スピーカーとヘッドフォンの左右から同じ音量で聞こえるように、Chrome デバイスの音声出力を変更します。この設定は、左右の耳で聞こえやすさが異なる場合に便利です。
ユーザー補助機能のキーボード ショートカットを有効にするか無効にするかを指定します。デフォルトでは、ユーザーに対してキーボード ショートカットが有効になっています。これを無効にするには、[ユーザー補助機能のショートカットを無効にする] を選択します。
詳しくは、Chromebook のユーザー補助機能を有効にするをご覧ください。
システムトレイ メニューのユーザー補助オプションの表示と非表示を切り替えることができます。ユーザーがユーザー補助機能にすばやくアクセスできるようにするには、[システムトレイ メニューにユーザー補助オプションを表示する] を選択します。
詳しくは、Chromebook のユーザー補助機能を有効にするをご覧ください。
Chrome でスクリーン リーダーなどの支援技術を使用しているユーザーが、ウェブ上のラベルの付いていない画像(代替テキストのない画像など)の説明を取得できるようにします。Chrome は説明を作成するために Google に画像を送信します。Cookie がない場合、または他のユーザーデータが送信された場合、Google では画像の内容の保存もログの記録も行われません。
詳しくは、Chrome で画像の説明を取得するをご覧ください。
ウェブページで、コンテンツ抽出とテキスト読み上げ合成を使用してテキストを読み上げるかどうかを指定します。
デフォルトは [読み上げを常に許可する] です。
電源とシャットダウン
バッテリー セーバー モードデバイスのバッテリー セーバー モードをオンにするかオフにするかを指定します。この設定をオンにすると、消費電力を低減するようにフレームレートが調整されます。
[エンドユーザーはこの設定を管理できる] を選択した場合、ユーザーは chrome://settings/performance でバッテリー セーバー モードのオン / オフを切り替えられます。
注: [デバイスがバッテリー駆動中の場合に有効にする] オプションは非推奨となりました。Chrome バージョン 121 以降では、このオプションを選択すると、デバイスがバッテリー駆動中でバッテリー残量が少なくなった場合にバッテリー セーバー モードがオンになります。
電源管理で wake lock を許可するかどうかを指定します。wake lock を許可すると、PowerManager によって画面が表示されたままになるか、スタンバイ モードでも CPU が実行中の状態になります。wake lock は、たとえば Wi-Fi 接続を常にフル稼働させる必要がある場合に便利です。拡張機能では、Power Management Extension API と ARC アプリを介して wake lock をリクエストできます。
デフォルトでは、[wake lock を許可する] が選択されています。これに加えて、[画面の wake lock] も設定できます。アプリを継続的に実行する必要がある場合にデバイスの画面が暗くなったり、ロックされたりすることを防ぐには、[電源管理の画面の wake lock を許可する] を選択します。
[wake lock を許可しない] を選択すると、wake lock のリクエストは無視されます。
Chrome がキープアライブ リクエストを処理できるように、ブラウザのシャットダウンを遅らせる最長時間を指定します。0~5 秒の値を入力します。空白のままにすると、デフォルト値の 0 秒が使用され、Chrome は直ちにシャットダウンします。
キープアライブ リクエストについて詳しくは、Fetch Standard のドキュメントをご覧ください。
アダプティブ充電モデルを有効にして、デバイスのバッテリー寿命を延ばすために充電プロセスを保留にできます。
デバイスを充電器に接続すると、アダプティブ充電モデルによって、デバイスの必要な充電量に基づき自動的に充電量が調整されます。こうすることで、バッテリーの損傷につながる過充電を防ぎます。
アダプティブ充電モデルによって充電プロセスが保留されているときは、バッテリーの残量が一定(80% など)に維持され、ユーザーが必要とするときは 100% まで充電されます。
カバーを閉じたときの動作
ユーザーがデバイスのカバーを閉じたときに、デバイスをスリープ状態にするか、ユーザーをログアウトするか、シャットダウンするか、または何も起こらないようにするかを選択します。ユーザー セッションのデフォルトは [スリープ] で、管理対象ゲスト セッションのデフォルトは [ログアウト] です。
AC 接続時 / バッテリー駆動時のアイドル時の動作
追加できる待機時間の値は、AC 接続時でもバッテリー駆動時でも同じです。
AC 接続時とバッテリー駆動時のそれぞれで、ユーザーのデバイスをスリープ状態にするか、ユーザーをログアウトするか、シャットダウンするか、何もしないかを選択します。デフォルトは [スリープ] です。
待機時間を入力するすべての項目に、以下の説明が当てはまります。
- 待機時間は秒単位で指定します。
- 指定した動作をトリガーするには、「0」より大きい値を設定する必要があります。
- 指定した動作をアイドル時に実行しないようにするには、「0」を設定します。
- システムのデフォルト値(デバイスによって異なります)を使用する場合は、ボックスを空のままにします。
- 画面が暗くなるまでの時間 ≤ 画面がオフになるまでの時間 ≤ 画面がロックされるまでの時間 ≤ アイドル待機時間 となるようにします(「0」または未設定の場合、この条件は適用されません)。
- 警告を表示するまでのアイドル待機時間 ≤ アイドル待機時間となるようにします。
- アイドル待機時間に「0」を設定すると、他の動作が行われない特殊なケースになります。
以下の項目に値を入力します。
- AC 接続時 / バッテリー駆動時のアイドル待機時間(秒) - 管理者が選択した動作がユーザーのデバイスで実行されるまでアイドル状態で待機する時間を秒単位で指定します。
- AC 接続時 / バッテリー駆動時のアイドル待機時間(秒) - 管理者が選択した動作がユーザーのデバイスで実行されるという警告がデバイスに表示されるまでアイドル状態で待機する時間を秒単位で指定します。警告は、選択したアイドル時の動作が [ログアウト] または [シャットダウン] の場合にのみ表示されます。[スリープ] または [何もしない] を選択している場合は、「0」を入力するか、空白のままにします。
- AC 接続時 / バッテリー駆動時の画面が暗くなるまでの時間(秒) - ユーザーのデバイスで画面が暗くなるまでのアイドル時間を秒単位で指定します。
- AC 接続時 / バッテリー駆動時の画面がオフになるまでの時間(秒) - ユーザーのデバイスで画面がオフになるまでのアイドル時間を秒単位で指定します。
- AC 接続時 / バッテリー駆動時の画面がロックされるまでの時間(秒) - ユーザーのデバイスで画面がロックされるまでのアイドル時間を秒単位で指定します。
スリープ時またはカバーを閉じた際のロック画面
デバイスがスリープ状態になったとき、またはカバーを閉じたときに、ユーザーの画面をロックするか、その際の動作をユーザーが設定できるようにするかを選択します。[ユーザーに設定を許可] を選択した場合、ユーザーは各自デバイス設定でこのオプションを設定できます。
デバイスがドックに接続されており、外部モニターを使用している場合は、カバーを閉じてもロックされません。この場合、外部モニターとの接続が解除されて、カバーが閉じたままの場合にのみデバイスがロックされます。
留意事項
- Imprivata などの一部の拡張機能で電源管理設定をオーバーライドできます([画面の wake lock] または [wake lock を許可する] の設定がオフになっている場合を除く)。詳細については、wake lock に関する記事をご覧ください。
- 現時点では、ロック画面で画面が暗くなるまでの時間と画面がオフになるまでの時間は変更できません。画面が暗くなるまでの時間と画面がオフになるまでの時間の既存の設定は、ユーザー セッションまたは管理対象ゲスト セッションの間にのみ適用されます。
- 画面ロックの設定は、デベロッパー モードのデバイスでは動作しない場合があります。
- [AC 接続時 / バッテリー駆動時の画面がロックされるまでの時間(秒)] の設定を使用して、アイドル時の動作の前に画面をロックできます。[スリープ時またはカバーを閉じた際のロック画面] の設定を使用して、カバーを閉じた場合に画面をロックするかどうかや、アイドル時にデバイスをスリープ状態にする時間を管理できます。これらの設定でロック画面の動作をオフにしている場合でも、他の設定値によっては画面がロックされることがあります。
- AllowScreenLock ポリシーがオンになっている場合でも、画面はロックされず、そのままユーザーがログアウトされることがあります。詳しくは、ユーザーまたはブラウザに Chrome のポリシーを設定するのロック画面の設定をご覧ください。
- デバイスがアイドルのときに画面をロックするには、アイドル時の動作を [何もしない] に設定し、画面がロックされるまでの時間とアイドル待機時間に同じ値を入力します。
ブラウザが指定した期間アイドル状態になったときに実行させるアクションを選択できます。
[ブラウザのアイドル タイムアウト(分単位)] フィールドに、選択したアクションをブラウザが実行するまでの待機時間(ユーザ入力がない期間)を入力します。指定できる最小値は 1 分です。
[ブラウザのアイドル タイムアウト(分単位)] フィールドを空白のままにしたり、アクションを選択しなかったりすると、ブラウザは何のアクションも実行しません。
「ユーザー入力」はオペレーティング システムの API によって定義され、マウスの移動やキーボード入力などが該当します。
アドレスバーの検索プロバイダ
検索候補ユーザーのウェブアドレスや検索キーワードの入力に役立つ予測サービスを有効または無効にできます。常に有効または無効に指定することも、ユーザーが Chrome の [設定] で指定できるようにすることも可能です。
デフォルトの検索プロバイダの名前を指定します。[アドレスバーの検索プロバイダの設定を次の値に固定する] を選択すると、以下のオプションについてカスタマイズできます。
アドレスバーの検索プロバイダの名前
アドレスバーで使用する名前を入力します。名前を指定しない場合は、[アドレスバーの検索プロバイダの検索 URL] のホスト名が使用されます。
アドレスバーの検索プロバイダのキーワード
検索を実行するショートカットとして使用するキーワードを指定します。
アドレスバーの検索プロバイダの検索 URL
検索エンジンの URL を指定します。
URL には文字列「{searchTerms}」を含める必要があります。これは、ユーザーが検索するときに検索キーワードに置換されます(例: 「http://search.my.company/search?q={searchTerms}」)。
検索エンジンに Google を使用するには、次のように入力します。
{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}ie={inputEncoding}
アドレスバーの検索プロバイダの候補の URL
検索候補の表示に使用する検索エンジンの URL を指定します。
URL に「{searchTerms}」という文字列を含めることをおすすめします。この部分は、検索するときに、ユーザーがそれまでに入力したテキストに置換されます。
検索エンジンに Google を使用して検索候補を表示するには、次のように入力します。
{google:baseURL}complete/search?output=chrome&q={searchTerms}
アドレスバーの検索プロバイダのインスタント URL
インスタント検索結果の表示に使用する検索エンジンの URL を指定します。
URL に「{searchTerms}」という文字列を含めることをおすすめします。この部分は、検索するときに、ユーザーがそれまでに入力したテキストに置換されます。
アドレスバーの検索プロバイダのアイコンの URL
検索プロバイダのアイコンの URL を指定します。[アドレスバーの検索プロバイダの設定を次の値に固定する] を有効にするには、その前に検索プロバイダのサイトに少なくとも 1 回アクセスして、アイコン ファイルを取得し、キャッシュに保存する必要があります。
アドレスバーの検索プロバイダのエンコード
検索プロバイダでサポートされる文字エンコードを指定します。
エンコードとは、UTF-8、GB2312、ISO-8859-1 などのコードページ名です。エンコードは指定した順に試行されます。デフォルト値は UTF-8 です。
Google 検索の最近の検索結果をサイドパネルとウェブページに同時に表示することをユーザーに許可するかどうかを指定します。サイドパネルで検索結果を開く方法をご確認ください。
[Google 検索の最近の結果をブラウザのサイドパネルに表示しない] を選択した場合、このアイコンはユーザーに表示されません。
ハードウェア
外部ストレージ デバイス組織内のユーザーが Chrome 搭載デバイスを使用して、USB フラッシュ ドライブ、外部ハードドライブ、光学式ストレージ、セキュア デジタル(SD)カード、その他のメモリカードなどの外部ドライブをマウントできるかどうかを制御します。外部ストレージを無効にした場合、ユーザーが外部ドライブをマウントしようとすると、ポリシーで規制されていることを示すメッセージがユーザーに表示されます。
[外部ストレージ デバイスを許可する(読み取り専用)] を選択した場合、ユーザーは外部のデバイスからファイルを読み取ることはできますが、書き込むことはできません。また、デバイスのフォーマットもできません。
このポリシーは Google ドライブや内部ストレージ(ダウンロード フォルダに保存されたファイルなど)には影響しません。
接続済み USB デバイスへのアクセスをユーザーにリクエストできるサイト(またはリクエストできないサイト)を指定できます。または、リクエスト可能なサイトをユーザーが決定するように指定できます。接続済み USB デバイスへのアクセスをユーザーにリクエストできる URL(またはリクエストできない URL) のリストを追加することもできます。
[接続された USB デバイスへのアクセスをウェブサイトがリクエストできるかどうかを設定する] で、次のいずれかを選択します。
- サイトにリクエストを許可するかどうかをユーザーが選択できるようにする(デフォルト) - ウェブサイトはアクセスをリクエストできますが、ユーザーはこの設定を変更できます。
- サイトがユーザーにアクセスをリクエストすることを許可する - ウェブサイトは接続済み USB デバイスへのアクセスをユーザーにリクエストできます。
- どのサイトにもアクセスのリクエストを許可しない - 接続済み USB デバイスへのアクセスを拒否します。
[これらのサイトに USB アクセスのリクエストを許可する] に、接続済み USB デバイスへのアクセスをユーザーにリクエストすることを許可する URL をすべて入力します。
[これらのサイトに USB アクセスのリクエストを許可しない] に、接続済み USB デバイスへのアクセス リクエストを許可しない URL をすべて入力します。
URL がブロックされていない場合は、[接続された USB デバイスへのアクセスをウェブサイトがリクエストできるかどうかを設定する] で設定した内容、ユーザーの個人設定の順に優先されます。
[これらのサイトに USB アクセスのリクエストを許可する] と [これらのサイトに USB アクセスのリクエストを許可しない] の両方に同じ URL を入力しないようにしてください。URL が両方の設定で一致した場合は、どちらのポリシーも優先されません。
有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
特定のベンダー ID と製品 ID を使用して、USB デバイスに接続できるサイトのリストを指定できます。これらのデバイスへのアクセスは、クライアント サイドの対応するウェブ アプリケーションに自動的に許可されます。
[WebUSB API 対応デバイス] セクションで、次の操作を行います。
- [USB デバイスが設定されていません] の隣の
- USB デバイスへのアクセスが自動的に許可されているサイトを特定する URL パターンを入力します。
- VID-PID の下の各 URL について、対応するベンダー ID と製品 ID を入力します。
- [保存] をクリックします。
リストに指定されている URL が、リクエスト元 URL のセキュリティ オリジンと照合されます。URL パターンに含まれるパスは無視されます。有効な URL パターンについて詳しくは、Enterprise ポリシーの URL パターンの形式をご覧ください。
留意事項
- すべてのデバイスと URL は有効である必要があります。有効でない場合、ポリシーは無視されます。
- VID-PID フィールドの各項目には、ベンダー ID と製品 ID を指定できます。ページ ID が指定されていない場合、ポリシーはあらゆるデバイスと一致します。製品 ID が指定されていない場合、ポリシーは指定したベンダー ID のデバイスに一致します。
- 製品 ID があり、ベンダー ID がないポリシーは無効です。
- このポリシーは、WebUSB API の設定とユーザーの設定をオーバーライドします。
- このポリシーは、WebUSB API 経由での USB デバイスへのアクセスのみに影響を与えます。Web Serial API 経由での USB デバイスへのアクセスを許可するには、SerialAllowUsbDevicesForUrls ポリシーを参照してください。
ChromeOS デバイスの内蔵マイクのオーディオ入力にウェブサイトからアクセスするための設定を行うことを組織内のユーザーに許可するかどうかを指定します。
ユーザーが外部オーディオ入力デバイスを接続すると、ChromeOS デバイスのオーディオのミュートはすぐに解除されます。
組織内のサポート対象の ChromeOS デバイスに対して Android アプリを有効にしている状態で、この設定を無効にした場合、すべての Android アプリで例外なく、マイク入力が無効になります。
ユーザーが確認しなくても音声キャプチャ デバイスへのアクセスが許可される URL です。
このリストに指定されたパターンは、リクエスト元 URL のセキュリティ オリジンと照合されます。一致するものが見つかった場合は、音声キャプチャ デバイスへのアクセスが許可されます。その際、ユーザーに確認のプロンプトが表示されることはありません。
有効な URL パターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
ChromeOS デバイスでの音の再生を組織内のユーザーに許可するかどうかを指定します。このポリシーは、内蔵スピーカー、ヘッドフォン端子、HDMI や USB ポートに接続した外部デバイスを含め、ChromeOS デバイスのすべてのオーディオ出力に適用されます。
オーディオを無効にしても、引き続き ChromeOS デバイスにはオーディオ コントロール(ただしユーザーがコントロールを変更することはできません)と、ミュート アイコンが表示されます。
この設定は ChromeOS 上で実行される Android 版 Google ドライブ アプリには適用されません。
Chrome ブラウザの音声処理の優先度を制御します。
管理者はこの設定を使って、より高い優先度で音声処理を実行することで、音声キャプチャに伴う特定のパフォーマンスの問題に対処できます。この設定は将来的に削除される予定です。
内蔵カメラだけでなく、あらゆる種類のビデオ入力へのアクセスが URL に許可されるかどうかを指定します。
デフォルトでは、[ウェブサイトとアプリでカメラ入力を有効にする] が選択されています。管理者が [ビデオ入力が許可された URL] で指定したもの以外の URL については、ユーザーは動画キャプチャへのアクセスを許可するよう求められます。
[ウェブサイトとアプリでカメラ入力を無効にする] を選択した場合、動画キャプチャへのアクセスが許可されるのは、[ビデオ入力が許可された URL] で指定した URL だけになります。
このポリシーは、サポート対象の ChromeOS デバイス上の Android アプリにも影響します。たとえば、組織内のサポート対象 ChromeOS デバイスで Android アプリを有効にしている場合、Android アプリが内蔵カメラにアクセスできないようにすることができます。
ユーザーが確認しなくても動画キャプチャ デバイスへのアクセスが許可される URL です。
このリストに指定されたパターンは、リクエスト元 URL のセキュリティ オリジンと照合されます。一致するものが見つかった場合は、動画キャプチャ デバイスへのアクセスが許可されます。その際、ユーザーに確認のプロンプトが表示されることはありません。
有効な URL パターンについて詳しくは、Enterprise ポリシーの URL パターンの形式をご覧ください。
注: 動画キャプチャ デバイスへのアクセスを許可するには、アプリケーションの ID を追加する必要があります。たとえば、hmbjbjdpkobdjplfobhljndfdfdipjhg で Zoom® Meetings® にアクセスを許可できます。
特定の GPU 機能がブロックリストに追加されていない限り、グラフィック プロセッシング ユニット(GPU)に対してハードウェア アクセラレーションを有効にするかどうかを指定します。
グラフィック処理の負荷が高いタスク(動画の再生やゲームなど)については、ハードウェア アクセラレーションでデバイスの GPU を使用して実行する一方、他のすべてのプロセスは中央処理ユニット(CPU)が実行します。
キーボードの一番上の列のキーの動作を指定します。このポリシーを設定しない場合またはメディアキーに設定した場合、キーボードの一番上の列のキーはメディアキーとして機能します。このポリシーをファンクション キーに設定した場合、これらのキーはファンクション キー(例: F1、F2)として機能します。いずれの場合も、ユーザーはこの動作を変更できます。また、検索キーを押したままにして、メディアキーをファンクション キーにしたり、ファンクション キーをメディアキーにしたりすることもできます。
シリアルポートへのアクセスをユーザーにリクエストできるサイト(またはリクエストできないサイト)を指定できます。または、リクエスト可能なサイトをユーザーが決定するように指定できます。シリアルポートへのアクセスをユーザーにリクエストできる URL(またはリクエストできない URL)のリストを追加することもできます。
[Web Serial API の使用を管理します] で、次のいずれかを選択します。
- ユーザーによる決定を許可(デフォルト) - ウェブサイトにアクセス リクエストを許可しますが、ユーザーはこの設定を変更できます。
- Web Serial API を使用したシリアルポートへのアクセスを許可するように、サイトからユーザーに要求できるようにする - ウェブサイトはシリアルポートへのアクセスをユーザーにリクエストできます。
- どのサイトにも、Web Serial API を使用したシリアルポートへのアクセスのリクエストを許可しない - シリアルポートへのアクセスは拒否されます。
[Web Serial API を許可するサイトを指定します] に、シリアルポートへのアクセスをユーザーにリクエストすることを許可する URL をすべて入力します。
[Web Serial API をブロックするサイトを指定します] に、シリアルポートへのアクセスを許可しない URL をすべて入力します。
URL がブロックされていない場合は、[Web Serial API の使用を管理します] で設定した内容、ユーザーの個人設定の順に優先されます。
[Web Serial API を許可するサイトを指定します] と [Web Serial API をブロックするサイトを指定します] の両方に同じ URL を入力しないようにしてください。URL が両方の設定で一致した場合は、どちらのポリシーも優先されません。
有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
特定のベンダー ID と製品 ID を使用して、シリアル デバイスに接続できるサイトのリストを指定できます。これらのデバイスへのアクセスは、クライアント サイドの対応するウェブアプリに自動的に許可されます。
[Web Serial API 対応デバイス] セクションで、次の操作を行います。
- [シリアル デバイスが設定されていません] の隣の
- シリアル デバイスへのアクセスが自動的に許可されているサイトを特定する URL パターンを入力します。
- VID-PID の下の各 URL について、対応するベンダー ID と製品 ID を入力します。
- [保存] をクリックします。
リストに指定されている URL が、リクエスト元 URL のセキュリティ オリジンと照合されます。URL パターンに含まれるパスは無視されます。有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
留意事項
- すべてのデバイスと URL は有効である必要があります。有効でない場合、ポリシーは無視されます。
- VID-PID フィールドの各項目には、ベンダー ID と製品 ID を指定できます。ページ ID が指定されていない場合、ポリシーはあらゆるデバイスと一致します。製品 ID が指定されていない場合、ポリシーは指定したベンダー ID のデバイスに一致します。
- 製品 ID があり、ベンダー ID がないポリシーは無効です。
- このポリシーは Web Serial API の設定やユーザーの設定より優先されます。
このポリシーは、Web Serial API 経由でのシリアル デバイスへのアクセスのみに影響を与えます。WebUSB API 経由でのシリアル デバイスへのアクセスを許可するには、WebUsbAllowDevicesForUrls ポリシーを参照してください。
電子プライバシー画面に対応した ChromeOS デバイスのみが対象です。
プライバシー画面を常に有効または無効に指定するか、ユーザーが選択できるようにします。
ホスト オペレーティング システムのファイル システム内にあるファイルやディレクトリへの(File System API を使用した)読み取りアクセス リクエストを許可するサイト、または許可しないサイトを指定します。管理者は読み取りアクセス リクエストを許可する(または許可しない)URL のリストを追加できます。
次のいずれかを選択します。
- ユーザーによる決定を許可(デフォルト) - ウェブサイトにアクセス リクエストを許可しますが、ユーザーはこの設定を変更できます。このアクセス設定は、[ファイル システムへの読み取りアクセスを許可するサイトを指定します] または [ファイル システムへの読み取りアクセスをブロックするサイトを指定します] で指定した URL と一致しないサイトに適用されます。
- サイトがファイルとディレクトリへの読み取りアクセスをユーザーに要求することを許可する - ウェブサイトにファイルとディレクトリへの読み取りアクセス リクエストを許可します。
- サイトにファイルとディレクトリへの読み取りアクセスの要求を許可しない - ファイルとディレクトリへの読み取りアクセスを許可しません。
[ファイル システムへの読み取りアクセスを許可するサイトを指定します] に、ファイルとディレクトリへの読み取りアクセス リクエストを許可する URL をすべて入力します。1 行につき 1 つの URL を入力します。
[ファイル システムへの読み取りアクセスをブロックするサイトを指定します] に、ファイルとディレクトリへのアクセスを許可しない URL をすべて入力します。1 行につき 1 つの URL を入力します。
URL が明示的に許可またはブロックされていない場合は、[ファイル システムへの読み取りアクセス] プルダウンで選択したオプション、ユーザーの個人設定の優先順で設定が適用されます。
[ファイル システムへの読み取りアクセスを許可するサイトを指定します] と [ファイル システムへの読み取りアクセスをブロックするサイトを指定します] の両方に同じ URL を入力しないようにしてください。URL が両方の設定で一致した場合は、どちらのポリシーも優先されません。
有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
ホスト オペレーティング システムのファイル システム内にあるファイルとディレクトリへの(File System API を使用した)書き込みアクセス リクエストを許可するサイト、または許可しないサイトを指定します。管理者は書き込みアクセス リクエストを許可する(または許可しない)URL のリストを追加できます。
次のいずれかを選択します。
- ユーザーによる決定を許可(デフォルト) - ウェブサイトにアクセス リクエストを許可しますが、ユーザーはこの設定を変更できます。このアクセス設定は、[ファイルとディレクトリへの書き込みアクセスを許可するサイトを指定します] または [ファイルとディレクトリへの書き込みアクセスをブロックするサイトを指定します] で指定した URL と一致しないサイトに適用されます。
- サイトがファイルとディレクトリへの書き込みアクセスをユーザーに要求することを許可する - ウェブサイトにファイルとディレクトリへの書き込みアクセス リクエストを許可します。
- サイトにファイルとディレクトリへの書き込みアクセスの要求を許可しない - ファイルとディレクトリへの書き込みアクセスを許可しません。
[ファイル システムへの書き込みアクセスを許可するサイトを指定します] に、ファイルとディレクトリへの書き込みアクセス リクエストを許可する URL をすべて入力します。1 行につき 1 つの URL を入力します。
[ファイルとディレクトリへの書き込みアクセスをブロックするサイトを指定します] に、ファイルとディレクトリへのアクセスを許可しない URL をすべて入力します。1 行につき 1 つの URL を入力します。
URL が明示的に許可またはブロックされていない場合は、[ファイル システムへの書き込みアクセス権] プルダウンで選択したオプション、ユーザーの個人設定の優先順で設定が適用されます。
[ファイル システムへの書き込みアクセスを許可するサイトを指定します] と [ファイル システムへの書き込みアクセスをブロックするサイトを指定します] の両方に同じ URL を入力しないようにしてください。URL が両方の設定で一致した場合は、どちらのポリシーも優先されません。
有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
Chrome バージョン 108 以降では、FileSystemSyncAccessHandle のすべてのメソッドは同期的に呼び出されます。
バージョン 110 までは、[非推奨になっている FileSystemSyncAccessHandle の非同期インターフェースを再び有効にする] を選択することで、FileSystemSyncAccessHandle メソッドが非同期的に呼び出されるように指定できます。
ファイル システムの入力処理が同期的に行われる場合、ファイルの読み取り / 書き込みでは重要なメソッドのパフォーマンス向上を優先させることができます。非同期処理のオーバーヘッドはより大きくなることがあります。
センサー(モーション センサーや光センサーなど)へのアクセスと使用をウェブサイトに許可するかどうかを指定します。
[デフォルトのアクセス権] で、次のいずれかを選択します。
- センサーへのアクセスをサイトに許可するかどうかをユーザーが指定できるようにする(デフォルト) - ウェブサイトはアクセスをリクエストできますが、ユーザーはこの設定を変更できます。この設定は、[センサーへのアクセスを許可するサイトを指定します] または [センサーへのアクセスをブロックするサイトを指定します] で定義した URL と一致しないサイトに適用されます。
- サイトにセンサーへのアクセスを許可する - すべてのサイトに対してセンサーへのアクセスを許可します。
- どのサイトにもセンサーへのアクセスを許可しない - すべてのサイトに対してセンサーへのアクセスを拒否します。
[センサーへのアクセスを許可するサイトを指定します] に、センサーへのアクセスを常に許可する URL を入力します。URL は 1 行に 1 つずつ入力してください。
[センサーへのアクセスをブロックするサイトを指定します] に、センサーへのアクセスを許可しない URL を入力します。URL は 1 行に 1 つずつ入力してください。
URL が明示的に許可またはブロックされていない場合は、[デフォルトのアクセス権] で設定した内容、ユーザーの個人設定の順に適用されます。
[センサーへのアクセスを許可するサイトを指定します] と [センサーへのアクセスをブロックするサイトを指定します] の両方に同じ URL を入力しないようにしてください。両方に同じ URL を指定すると、[センサーへのアクセスをブロックするサイトを指定します] が適用され、モーション センサーや光センサーへのアクセスがブロックされます。
有効な URL のパターンについて詳しくは、企業ポリシーの URL パターンの形式をご覧ください。
エンタープライズ ポリシーに基づいてインストールされた拡張機能に Enterprise Hardware Platform API の使用を許可します。この API は、ブラウザが実行されているハードウェア プラットフォームのメーカーとモデルの拡張機能からのリクエストを処理します。このポリシーは、Chrome に組み込まれているコンポーネント拡張機能にも適用されます。
USB デバイスが挿入されたことを ChromeOS が検出するたびに、ユーザーに通知を表示するかどうかを指定します。デフォルトでは、[USB デバイスが検出されたときに通知を表示する] が選択されています。
デバイス上のアクティブな仮想マシンで共有できる USB デバイスをユーザーが挿入すると、USB デバイスの検出通知が表示されて仮想マシンと接続するように求められます。たとえば、Android アプリ、Linux、管理対象の開発環境、または Parallels Desktop と接続するよう求める通知が表示されます。[USB デバイスが検出されたときに通知を表示しない] を選択すると、接続するよう求めるメッセージがユーザーに表示されなくなるため、仮想マシンから USB デバイスにアクセスできません。
以前のサイトの互換性
無効化された MouseEvent 要素このポリシーは一時的なものであり、重要な修正のため実装されています。以前の誤った挙動に依存するサイトがある場合、このポリシーが適用されている間にそれらを更新できます。
MouseEvent のディスパッチの新しい挙動は、無効化されたフォーム コントロールでオンまたはオフにできます。MouseEvent は、ユーザーがマウスなどのポインティング デバイスを使用する際に発生するイベントです。
[無効化されたコントロール要素からほとんどの MouseEvent をディスパッチする] を選択すると、無効化されたフォーム コントロール要素で、クリック、マウスアップ、マウスダウン以外の MouseEvent がディスパッチされるようになります。新しいイベントには、マウス移動、マウスエンター、マウスリーブが含まれます。
クリック、マウスアップ、マウスダウンのイベントパスも、無効化されたフォーム コントロールの子でディスパッチされた場合は切り捨てられ、無効化されたフォーム コントロールやその祖先でディスパッチされなくなります。
Chrome バージョン 120 まで利用可能
このポリシーは一時的なものであり、重要な修正のため実装されています。以前の誤った挙動に依存するサイトがある場合、このポリシーが適用されている間にそれらを更新できます。
HTMLElement.offsetParent に対して、新しい挙動または従来の挙動を選択できます。
必要としている最新の機能をネイティブではサポートしていない古いブラウザで提供するために使用できるポリフィル コードについては、こちらをご覧ください。このポリシーは一時的なものであり、Chrome バージョン 117 で廃止される予定です。以前の誤った挙動に依存するサイトがある場合、このポリシーが適用されている間にそれらを更新できます。
Chrome の動作は変更中であり、ユーザーは SSL 証明書が無効なウェブページからの安全でないサイトにはアクセスできません。エラーページが表示され、安全でないページへの移動を続行できなくなります。
[安全でないサイトへのアクセスを許可する] を選択すると、安全でないサイトにアクセスすることをユーザーに許可し、Chrome の新しい動作への移行に対する準備期間を与えることができます。
デフォルトの [デフォルトのナビゲーション保護を使用する] を選択した場合は、Chrome への変更は、Chrome のリリース プロセスによりロールアウトされると自動的に実装されます。ユーザーの確認
確認済みモードデフォルトでは [認証アクセスで確認付きブートをスキップする] が選択されており、デベロッパー モードのデバイス上でユーザー セッションが機能します。[認証アクセスで確認付きブートを求める] を選択した場合、デベロッパー モードのデバイス上のユーザー セッションは、認証アクセスのチェックに常に失敗します。
ユーザーデータの受信を許可するサービス アカウント
Google Verified Access API に対する完全なアクセス権限を持つサービス アカウントのメールアドレスを一覧表示します。Google API Console で作成されたサービス アカウントが対象になります。
ユーザーの確認にのみ使用され、ユーザーデータを受信しないサービス アカウント
Google Verified Access API に対する制限付きのアクセス権限を持つサービス アカウントのメールアドレスを一覧表示します。Google API Console で作成されたサービス アカウントが対象になります。
認証アクセスの手順については、次のリソースを参照してください。
- 管理者向け: ChromeOS デバイスで認証アクセスを有効にする
- デベロッパー向け: Google Verified Access API デベロッパー ガイド
Chrome 管理 - パートナー アクセス
デバイス管理への EMM パートナーのアクセスを許可する現在、Google Workspace for Education ドメインではご利用いただけません
EMM パートナーがプログラムを使用してアクセスし、Chrome と Chrome OS デバイスに関するユーザー ポリシーを管理できるようにします。パートナーはこのアクセス機能を使用して、Google 管理コンソールの機能を EMM コンソールと連携させることができます。
パートナーのアクセスが有効になっている場合、EMM パートナーは Chrome と Chrome OS デバイスに関するユーザー ポリシーを個別に管理できます。EMM パートナーは、管理コンソールで設定されている組織部門ごとにユーザー ポリシーを管理する必要がなくなり、EMM コンソールで設定されている構造を使用できます。パートナー アクセスと管理コンソールを使用して、同じユーザーに同じポリシーを同時に設定することはできません。パートナー アクセス コントロールを使用して設定されたユーザーレベルのポリシーは、管理コンソールで設定された組織部門のポリシーよりも優先されます。組織部門ごとにユーザーにポリシーを適用するには、[Chrome 管理 - パートナー アクセスを無効にする] を選択する必要があります。
EMM コンソールを使用してデバイス ポリシーを設定することもできます。
ブラウザに関するレポート
管理対象ブラウザに関するレポートChrome ブラウザ クラウド管理を使用して、組織の管理対象ブラウザのクラウド レポートを有効または無効にします。Chrome ブラウザ クラウド管理のお申し込み方法と管理コンソールから Chrome ブラウザを管理する方法について詳しくは、Chrome ブラウザ クラウド管理を設定するをご覧ください。
組織内の Chrome ブラウザと拡張機能に関する詳細を確認するには、[管理対象ブラウザのクラウド レポートを有効にする] を選択します。ユーザーのデバイスからアップロードされた情報の確認方法については、Chrome ブラウザのレポートを有効にするをご覧ください。
注: この設定は、Chrome ブラウザ クラウド管理のお申し込み状況にかかわらず、ChromeOS の場合は常に有効になります。
Chrome ステータス レポートのアップロード間隔を時間単位で設定します。3~24 時間の範囲で値を入力できます。デフォルトは 24(1 日に 1 回レポートが送信される)です。
Chrome で報告するセキュリティ イベントを指定します。イベントのタイプには、マルウェアの転送、危険なサイトへのアクセス、パスワードの再利用などがあります。
レポートの設定方法と、設定したプロバイダを使用して Chrome にイベントを報告させる方法について詳しくは、Chrome Enterprise のレポート コネクタを管理するをご覧ください。
Chrome のセーフ ブラウジング
セーフ ブラウジング保護レベルユーザーに対して Google セーフ ブラウジングを有効にするかどうかを指定します。Chrome のセーフ ブラウジングは、マルウェアやフィッシング コンテンツを含む可能性のあるウェブサイトからユーザーを保護するのに役立ちます。
[セーフ ブラウジングを強化モードで有効にする] を選択した場合、セキュリティは強化されますが、より多くの閲覧情報を Google に提供する必要があります。
デフォルトでは [ユーザーによる決定を許可] が選択されており、セーフ ブラウジングのオン / オフをユーザー自身で切り替えることができます。管理者がセーフ ブラウジングを有効にした場合、ユーザーが Google Chrome で設定を変更したりオーバーライドしたりすることはできません。
危険なアプリとサイトを検出するために、拡張レポートを有効にしてシステム情報やページのコンテンツを Google に送信するかどうかを指定します。
セーフ ブラウジングで信頼する URL を指定します。セーフ ブラウジングでは、フィッシング、マルウェア、望ましくないソフトウェア、リストに記載された URL でのパスワードの再利用の確認は行われません。また、セーフ ブラウジングのダウンロード保護サービスでは、これらのドメインでホストされているダウンロードの確認も行われません。
Microsoft Active Directory ドメインに参加しており Windows 10 Pro を実行しているインスタンスか、または Chrome ブラウザ クラウド管理に登録されているインスタンスでのみ使用できます。
デフォルトでは、[すべてのダウンロード ファイルに対してセーフ ブラウジング チェックを行う] が選択されています。この場合、たとえ信頼できるソースからのものであっても、Chrome がダウンロードするすべてのファイルは、セーフ ブラウジングによる分析のために送信されます。
[信頼できるソースからダウンロードしたファイルに対しては、セーフ ブラウジング チェックをスキップする] を選択すると、信頼できるソースからダウンロードしたファイルは、セーフ ブラウジングによる分析のために送信されることはありません。
ウェブページのコンテンツまたはダウンロードのリンク メニュー オプションによって発生するダウンロードには制限が適用されます。現在表示しているページを保存またはダウンロードする場合、あるいは印刷オプションから PDF として保存する場合には、制限は適用されません。
ユーザーがマルウェアや感染ファイルなどの危険なファイルをダウンロードできないようにします。ユーザーによるファイルのダウンロードを全面的に禁止することも、Google セーフ ブラウジングにより危険であると判断されたファイルのダウンロードのみを防ぐこともできます。Google セーフ ブラウジングにより危険であると判断されたファイルをユーザーがダウンロードしようとすると、ユーザーにセキュリティに関する警告が表示されます。
詳しくは、ユーザーが有害なファイルをダウンロードできないようにするをご覧ください。
次のいずれかのオプションを選択します。
- 特別な制限なし - すべてのダウンロードを許可します。セーフ ブラウジングにより危険と判断されたサイトの警告は表示されますが、ユーザーは警告を無視してファイルをダウンロードすることができます。
- 不正なファイルのダウンロードをブロックする - マルウェアである可能性が高いと評価されたものを除き、すべてのダウンロードが許可されます。危険性のあるダウンロードを示す警告とは異なり、ファイルの形式は考慮されませんが、ホストは考慮されます。
- 不正なファイルのダウンロードと危険なファイル形式をブロックする - セーフ ブラウジングの警告で危険だと示されるものを除き、すべてのダウンロードが許可されます。
- 不正なファイルのダウンロード、一般的でないファイルまたは望ましくないファイルのダウンロード、危険なファイル形式をブロックする - セーフ ブラウジングの警告で危険性があると示されるものを除き、すべてのダウンロードが許可されます。ユーザーが警告を無視してファイルをダウンロードすることはできません。
- すべてのダウンロードをブロックする - いかなるダウンロードも許可されません。
ユーザーがセーフ ブラウジングの警告を無視して偽のサイトや危険なサイトにアクセスしたり、有害なファイルをダウンロードしたりできるようにするかどうかを指定します。
危険なウェブサイト、または組織の許可リストに登録されていないウェブサイトで、ユーザーのパスワードの再利用を禁止するかどうかを指定します。複数のウェブサイトでのパスワードの再利用を禁止することで、組織のアカウントを不正使用から保護できます。
セーフ ブラウジング リストに記載されている URL の例外とするドメインを指定します。許可リストに登録されているドメインについては、以下の確認が行われません。
- パスワードの再利用
- フィッシング サイトや不正なソーシャル エンジニアリング サイト
- マルウェアや不正なソフトウェアをホストするサイト
- 有害なダウンロード
ユーザーが通常はパスワードを入力してアカウントにログインするウェブページの URL を指定します。ログイン プロセスが 2 ページに分割されている場合は、ユーザーがパスワードを入力するウェブページの URL を追加します。ユーザーがパスワードを入力すると、復元不可能なハッシュがローカルに保存され、パスワードの再利用の検出に使用されます。パスワード変更用 URL を指定する際は、URL がガイドラインに準拠していることをご確認ください。
SafeSites URL フィルタを有効または無効にします。このフィルタは、Google Safe Search API を使用して URL をポルノとそれ以外に分類します。
次のいずれかを選択します。
- アダルト コンテンツに基づいて最上位サイト(埋め込み iframe 以外)を除外する - 小中高の教育機関ドメインでは、この設定がデフォルトです。ポルノに分類されたサイトはユーザーに表示されません。
- アダルト コンテンツに基づくサイトの除外を行わない - その他のドメインでは、この設定がデフォルトです。
他のサイトと URL が酷似しているサイトを対象に、新しい「安全に関する情報」警告が導入されます。この UI では、他のサイトになりすましている恐れがあることをユーザーに警告します。
通常、この警告は、ユーザーがよく使用しているサイトになりすましている可能性があると判断されたサイトに対して表示されます。このポリシーでは、偽 URL の警告を表示しないサイトを指定できます。
たとえば、リストに「foo.example.com」または「example.com」と指定した場合、「https://foo.example.com/bar」の URL について警告は表示されません。
煩わしい広告が含まれているサイトで広告の表示を許可またはブロックします。
デフォルトは [すべてのサイトで広告の表示を許可する] です。
不正なコンテンツを含むサイトが新しいウィンドウやタブを開くことができるかどうかを指定します。デフォルトでは、[不正なコンテンツを含むサイトによって新しいウィンドウまたはタブが開かれることを許可しない] が選択されています。
セーフ ブラウジングが有効になっているユーザーが不審なダウンロードを行った場合、マルウェアのスキャンのため、Google Chrome がそれを Google に送信するかどうかを指定できます。
このポリシーは、Chrome Enterprise Connectors で設定されたダウンロード コンテンツの分析には影響しません。
Chrome Enterprise Connectors
エンタープライズ コネクタを許可する管理コンソールの管理者が Chrome の Enterprise Connectors を有効にすることを許可できます。
ウェブ コンテンツに添付されたファイルの全コンテンツとメタデータを分析のために送信する際に Chrome で使用される一連のコンテンツ分析コネクタには、クラウド サービス API を選択できます。
詳しくは、Symantec Endpoint DLP と接続する Chrome Enterprise Connectors を管理するをご覧ください。
完全なコンテンツやウェブに貼り付けられたクリップボード コンテンツのメタデータを分析目的で送信するために Chrome によって使用される、コンテンツ分析コネクタのセット用のクラウド サービス API を選択できます。
詳しくは、Symantec Endpoint DLP と接続する Chrome Enterprise Connectors を管理するをご覧ください。
You can choose cloud service APIs for a set of content analysis connectors that are used by Chrome to send the full contents and metadata of printed pages for analysis.
For more details, see Manage the Chrome Enterprise connector to Symantec Endpoint DLP.
Chrome の更新
コンポーネントの更新Widevine DRM(暗号化されたメディア用)などの Chrome ブラウザのコンポーネントを自動更新するかどうかを指定します。
このポリシーは、すべてのコンポーネントに適用されるわけではありません。対象外となるコンポーネントの一覧については、ComponentUpdatesEnabled をご覧ください。
最新の更新を取得する際に、Chrome ブラウザまたは ChromeOS デバイスの再起動についてどのようにユーザーに通知するかを制御します。次のいずれかを選択します。
- 再起動通知を表示しない - 最低限のデフォルト レベルの通知を有効にします。Chrome ブラウザのメニュー表示がわずかに変更され、再起動が必要であることをユーザーに示します。ChromeOS の場合、ユーザーに再起動を促す通知がシステムトレイに表示されます。
- 再起動を推奨する通知を表示 - Chrome ブラウザまたは ChromeOS デバイスの再起動を促すメッセージをユーザーに繰り返し表示します。ユーザーは通知を閉じて、古いバージョンの Chrome ブラウザまたは ChromeOS を使い続けることができます。Chrome ブラウザまたは ChromeOS デバイスを再起動すると、更新が適用されます。
- 一定期間が経過したら自動的に再起動する - ユーザーは通知を閉じることができますが、一定期間内に Chrome ブラウザまたは ChromeOS デバイスを再起動する必要があることを示すメッセージが繰り返し表示されます。
期間(時間)
ユーザーに通知を表示する場合、Chrome ブラウザまたは ChromeOS デバイスの再起動をユーザーに繰り返し通知する期間を 1~168 時間で設定できます。システムのデフォルトである 168 時間(7 日間)を使用する場合は、この項目を設定しないでください。
初期通知保留期間(1 時間単位)
ChromeOS デバイスについては、初期通知保留期間を指定できます。この期間中、ChromeOS デバイスの再起動を促す通知は表示されません。初期通知保留期間が経過すると、更新を適用するには ChromeOS デバイスを再起動する必要があることを伝える最初の通知がユーザーに表示されます。デフォルトでは、ChromeOS デバイスで通知が表示されるのは全期間ではなく、指定した期間の最後の 3 日間のみです。
ChromeOS デバイスの場合、[更新後の自動再起動] デバイス設定を [自動再起動を許可する] に設定すると、更新が適用されたときにデバイスが自動的に再起動するため、ユーザーに表示される通知の量を最小限に抑えることができます。ChromeOS デバイスで自動更新を設定する方法については、自動更新の設定をご覧ください。
再起動する時間帯の開始時刻
注意: 再起動の時間枠を設定すると、ソフトウェアの更新が遅れる可能性があります。
[期間(時間)] で設定した再起動通知期間の終了を遅らせる時刻を 24 時間形式(hh:mm)で指定します。[一定期間が経過したら自動的に再起動する] および [再起動する時間帯の長さ(分単位)] と組み合わせて使用すると、Chrome ブラウザが自動的に再起動し、ChromeOS デバイスが再起動して更新を適用する時間枠を指定できます。
空白のままにすると、ChromeOS デバイスのデフォルトの開始時間はユーザーのタイムゾーンで 02:00 になり、Chrome ブラウザが再起動通知期間の終了を遅らせることはありません。
再起動する時間帯の長さ(分単位)
注意: 再起動の時間枠を設定すると、ソフトウェアの更新が遅れる可能性があります。
Chrome ブラウザが再起動し、ChromeOS デバイスが再起動して更新を適用する時間枠の長さ(分単位)を指定します。[一定期間が経過したら自動的に再起動する] および [再起動する時間帯の開始時刻] と組み合わせて使用します。
空白のままにした場合、ChromeOS デバイスの [再起動する時間帯の長さ(分単位)] の値は 120 分になります。デフォルトでは、Chrome ブラウザが再起動通知期間の終了を遅らせることはありません。
Chrome ブラウザの更新の自動チェックを行わない時間帯(毎日)を指定します。次のように入力します。
- 開始時間 - ブラウザ更新のチェックを停止する時間帯(毎日)の開始時刻(24 時間形式(hh:mm))
- 期間(分) - ブラウザの更新チェックを停止する時間の長さ(分単位)
Chrome ブラウザの更新を自動でチェックする間隔を時間単位で指定します。更新の自動チェックを完全に無効にするには「0」と入力します(非推奨)。
[キャッシュ フレンドリーのダウンロード用 URL の提供を試みます] を選択して、Google アップデータ サーバーが応答する際に、更新ペイロードのキャッシュ フレンドリーな URL の提供を試みるように設定することができます。これにより、帯域幅が削減され、応答時間が改善されます。
Chrome ブラウザの新しいバージョンがリリースされた際にデバイスを自動更新するかどうかを指定します。
ユーザーが最新のセキュリティ アップデートで保護されるように、[アップデートを許可する] を選択することを強くおすすめします。以前のバージョンの Chrome ブラウザを実行すると、報告されているセキュリティの問題にユーザーをさらすことになります。
Chrome ブラウザを直近 3 つまでのメジャー バージョンに一時的にロールバックするには、[目的のバージョンのプレフィックス] を指定して、[目的のバージョンにロールバック] を選択します。
Chrome ブラウザの更新をリリース チャンネルに配置して、ユーザーに展開するタイミングを選択します。
- Stable チャンネル -(推奨)Chrome テストチームによって十分なテストが行われているため、ほとんどのユーザーに使用をおすすめできます。
- Beta チャンネル - Chrome の Stable 版で提供予定の新機能を 4~6 週間前からプレビューできます。
- Dev チャンネル - Chrome の Stable 版で提供予定の新機能を 9~12 週間前からプレビューできます。
- Extended Stable チャンネル - Stable チャンネルより機能更新の頻度は低くなりますが、セキュリティ修正は同じように適用されます。
ユーザーが使用するチャンネルを管理者が決める際には、Chrome ブラウザのリリース チャンネルを参考としてご覧ください。
Chrome ブラウザの更新を管理する方法について詳しくは、Chrome の更新を管理する(Chrome ブラウザ クラウド管理)をご覧ください。
緊急時のロールバックに備えて Chrome ブラウザで保持する、ユーザーデータのスナップショットの数を指定します。
Chrome ブラウザでは、バージョンのメジャー アップデートのたびに、ユーザーの閲覧データの特定部分のスナップショットが作成されます。Chrome ブラウザ バージョンのロールバックが緊急で必要になった場合は、そうしたスナップショットを使用できます。
ユーザーが保持しているバージョンに Chrome ブラウザがロールバックされると、スナップショットに含まれるブックマークや自動入力データなどのデータが復元されます。
このポリシーが特定の値に設定されている場合、その数のスナップショットのみが保存されます。たとえば、6 が設定されていると、最後の 6 個のスナップショットのみが保存され、それ以前に保存されていたスナップショットはすべて削除されます。
このポリシーを 0 に設定した場合、スナップショットは作成されません。このポリシーを設定しない場合、デフォルト値の 3 個のスナップショットが保存されます。
Chrome のバリエーション
バリエーションGoogle は、バリエーションを使用して Google Chrome に修正を加えています。この方法では、ブラウザの新しいバージョンを送信しなくても、既存の機能を選択的に有効または無効にすることで修正を適用することができます。
デフォルトでは、[Chrome のバリエーションを有効にする] が選択されています。[重要な修正についてのみバリエーションを有効にする] を選択すると、セキュリティや安定性に関わる重要なバリエーションのみが Chrome に適用されます。
注: [バリエーションを無効にする] を選択することはおすすめしません。このオプションを選択すると、Google Chrome デベロッパーが重要なセキュリティ修正を適切なタイミングで提供できなくなる可能性があります。
Chrome のバリエーション フレームワークを管理するをご覧ください。
従来のブラウザのサポート
従来のブラウザのサポートユーザーが Microsoft Internet Explorer などの代替ブラウザで URL を開くことができるかどうかを指定します。
代替ブラウザを開く際にかかる時間を秒単位で指定します。この間、ユーザーにはインタースティシャル ページが表示され、他のブラウザに切り替え中であることが通知されます。デフォルトではインタースティシャル ページは表示されずに、すぐに代替ブラウザで URL が開きます。
設定したサイトリストとグレーリストのポリシーを Chrome ブラウザでどのように解析するのかを指定できます。この設定は以下に影響します。
- 従来のブラウザのサポートのサイトリスト — BrowserSwitcherExternalSitelistUrl
- Internet Explorer のサイトリストを使用する — BrowserSwitcherUseIeSitelist
- どちらのブラウザでも開くウェブサイトの一覧の URL — BrowserSwitcherExternalGreylistUrl
- 代替ブラウザで開くウェブサイト — BrowserSwitcherUrlList
- どちらのブラウザでも開くウェブサイト — BrowserSwitcherUrlGreylist
デフォルトでは、[デフォルト] が選択されています。スラッシュ(/)が含まれていないルールを使用して、URL のホスト名に含まれている部分文字列の検索が実行されます。照合時に URL のパス コンポーネントの大文字と小文字が区別されます。
[エンタープライズ モード IE / Edge 互換] を選択すると、より厳格な基準で URL の照合が実行されます。スラッシュ(/)が含まれていないルールでは、ホスト名の末尾のみが照合の対象となります。また、ドメイン名の区切りとしてのみ使用する必要があります。URL のパス コンポーネントの照合では、大文字と小文字は区別されません。
例
example1.com ルールと example2.com/abc ルール:
- 解析モードに関わらず、http://example1.com/、http://subdomain.example1.com/、http://example2.com/abc が一致します。
- [デフォルト] が選択されている場合に限り、http://notexample1.com/、http://example1.com.invalid.com/、http://example1.comabc/ が一致します。
- [エンタープライズ モード IE / Edge 互換] が選択されている場合に限り、http://example2.com/ABC が一致します。
Chrome ブラウザと Internet Explorer のどちらで URL を開くのかを、Internet Explorer のサイトリストを使用して制御できるようにします。
代替ブラウザで開くウェブサイトの URL リストが記載された XML ファイルの URL を指定します。こちらのサンプル XML ファイルをご確認ください。
ブラウザの切り替えを行わないウェブサイトの URL のリストが記載された XML ファイルの URL を指定します。
代替ブラウザで開くウェブサイトの URL のリストを指定します。
ブラウザの切り替えを行わないウェブサイトの URL リストを指定します。
デフォルトでは、URL のみがパラメータとして代替ブラウザに渡されます。代替ブラウザの実行可能ファイルに渡すパラメータを指定でき、指定したパラメータは代替ブラウザが起動されたときに使用されます。特殊なプレースホルダ ${url} を使用して、コマンドライン内の URL の位置を指定できます。
この URL が唯一の引数である場合、またはコマンドラインの末尾に追加する必要がある場合は、プレースホルダを指定する必要はありません。
代替ブラウザとして使用するプログラムを指定します。たとえば、Windows パソコンの場合、デフォルトの代替ブラウザは Internet Explorer です。
ファイルの場所を指定することも、次のいずれかの変数を使用することもできます。
${chrome}- Chrome ブラウザ${firefox}- Mozilla Firefox${ie}- Internet Explorer${opera}- Opera${safari}- Apple Safari
代替ブラウザからの復帰時に、Chrome ブラウザの実行可能ファイルに渡すパラメータを指定します。デフォルトでは、URL のみがパラメータとして Chrome ブラウザに渡されます。指定したパラメータは Chrome ブラウザが起動されたときに使用されます。特殊なプレースホルダ ${url} を使用して、コマンドライン内の URL の位置を指定できます。
この URL が唯一の引数である場合、またはコマンドラインの末尾に追加する必要がある場合は、プレースホルダを指定する必要はありません。
代替ブラウザからの復帰時に起動する Chrome ブラウザの実行ファイルを指定します。
ファイルの場所を指定することも、変数 ${chrome}(Chrome ブラウザのデフォルトのインストール場所)を使用することもできます。
ウィンドウ内の最後のタブが代替ブラウザに切り替わった後に Chrome ブラウザを閉じるかどうかを指定します。
Chrome ブラウザのタブは、代替ブラウザに切り替わった後、自動的に閉じます。[Chrome を完全に閉じる] を指定していて、切り替える前にウィンドウで最後のタブを開いている場合、Chrome ブラウザは完全に終了します。
仮想マシン(VM)とデベロッパー
コマンドライン アクセスユーザーがコマンドライン(CLI)にアクセスして仮想マシン(VM)を管理できるかどうかを指定します。
このポリシーを有効にすると、ユーザーは仮想マシンの管理 CLI を使用できます。
Linux アプリ用の仮想マシンの使用をユーザーに許可するかどうかを指定できます。この設定は新しい Linux コンテナを起動する際に適用され、すでに実行されているコンテナには適用されません。
管理対象デバイスのデフォルト設定は [Linux アプリをサポートするために必要な仮想マシンの使用をユーザーに禁止する] です。この設定では、ユーザーは Linux アプリをサポートするために仮想マシンを使用することはできません。
一方、管理対象でないデバイスでは、[Linux アプリをサポートするために必要な仮想マシンの使用をユーザーに許可する] がデフォルト設定になっています。
ユーザーにアクセス権を付与しない場合は、ユーザーが使用しているデバイスを問わず、[Linux アプリをサポートするために必要な仮想マシンの使用をユーザーに禁止する] を明示的に選択する必要があります。
[Linux アプリをサポートするために必要な仮想マシンの使用をユーザーに許可する] を選択すると、関連付けられているユーザーは Linux 仮想マシンを使用できます。
関連付けられていないユーザーに対してこの設定を有効にするには、[デバイス] ページで [Linux アプリをサポートするために必要な仮想マシンの使用を、関連付けられていないユーザーに許可する] を選択します。詳しくは、関連付けられていないユーザー向けの Linux 仮想マシン(ベータ版)をご覧ください。
注: この機能は、一般ユーザー向け ChromeOS デバイスのベータ版では廃止されました。管理対象デバイスと管理対象ユーザー向けのベータ版では引き続き使用できます。
Linux 仮想マシンにインストールされているすべてのアプリ、データ、設定のバックアップと復元をユーザーに許可するかどうかを指定します。
復元とバックアップのオプションはデフォルトで有効になっています。
注: この機能は、一般ユーザー向け ChromeOS デバイスのベータ版では廃止されました。管理対象デバイスと管理対象ユーザー向けのベータ版には残ります。
仮想マシン(VM)コンテナへのポート転送の設定をユーザーに許可するかどうかを指定します。
[ユーザーに VM コンテナへのポート転送の有効化と設定を許可しない] を選択した場合、ポート転送は無効になります。
管理者は各ユーザーに対して、信頼できない提供元からの Android アプリの使用を許可するかどうかを指定できます。この設定は Google Play には適用されません。
デフォルトでは、ユーザーは信頼できない提供元からの Android アプリを使用できないように設定されています。
ユーザーのデバイスが管理対象である場合、デフォルトでは信頼できない提供元からのアプリのインストールはブロックされます。ただし、デバイス ポリシーとユーザー ポリシーの両方で使用が許可されている場合、ユーザーは信頼できない提供元からの Android アプリを使用できます。
ユーザーのデバイスが管理対象でない場合は、ユーザーが 3 つの条件(デバイスのオーナーである、最初にデバイスにログインしている、ユーザー ポリシーで使用が許可されている)をすべて満たす場合に限り、信頼できない提供元からの Android アプリを使用できます。
Terminal System App の SSH 発信クライアント接続を、すべてのデバイスで許可するか、登録済みの ChromeOS デバイスを除くすべてのデバイスで許可するか、どのデバイスでも許可しないかを指定します。
デフォルトでは、管理対象外の ChromeOS デバイスに対して有効になっています。
Parallels Desktop
Parallels DesktopChromeOS デバイスで利用できます。
ユーザーが Chromebook 用 Parallels Desktop を使用して、Chromebook Enterprise デバイスから Microsoft Windows のアプリケーションとファイル(Microsoft Office を含む)にアクセスできるようにするどうかを指定します。
[ユーザーに Parallels Desktop の使用を許可する] を選択した場合は、エンドユーザー使用許諾契約に同意する必要があります。
ChromeOS デバイスで利用できます。
Parallels Desktop を使用する前に、ユーザーが Chromebook にダウンロードする Microsoft Windows イメージの URL と Windows イメージ ファイルの SHA-256 ハッシュを指定します。
ChromeOS デバイスで利用できます。
Parallels Desktop の実行に必要なディスク容量を GB で指定します。デフォルト値は 20 GB です。
必要な空きディスク容量の値を設定すると、ユーザーのデバイスで残りの空き容量がその値よりも小さいことが検出された場合、Parallels を実行できなくなります。そのため、必要なディスク容量の値を決定する前に、非圧縮の仮想マシン(VM)イメージのサイズに加え、追加でインストールする予定のデータまたはアプリケーションのサイズを確認することをおすすめします。
ChromeOS デバイスで利用できます。
Parallels がユーザーのイベントログを生成および収集できるようにするには、[Parallels との診断情報の共有を有効にする] を選択します。ログで収集される情報について詳しくは、Parallels お客様体験プログラムをご覧ください。
ソースの設定
ポリシーの優先度ユーザーやブラウザに適用する Chrome ポリシーの優先順位を、最も高いものから最も低いものまで順に指定します。詳しくは、Chrome ポリシー管理の概要をご覧ください。
オンデバイス ポリシーのリストを使用して、同じポリシーが複数のソースで設定されている場合に、それらのポリシーを統合するように指定することができます。統合できるのは、リスト型と辞書型のポリシーに限られます。
詳しくは、Chrome ポリシー管理の概要をご覧ください。
統合するポリシーを一行に 1 つずつ入力するか、ワイルドカード文字 * を使用して、統合に対応しているすべてのポリシーの統合を許可します。
リストに追加したポリシーと同じポリシーが、複数のソースで同じスコープとレベルで設定されている場合は、それらの値が統合され、新しいポリシーが作成されます。同じポリシーが複数のソースでそれぞれ異なるスコープまたはレベルで設定されている場合は、優先順位が最も高いポリシーが適用されます。
リストに追加していないポリシーと同じポリシーが、異なるソース、スコープ、またはレベルで設定されている場合は、優先順位が最も高いポリシーが適用されます。
これらのポリシーの最終的な値は、エンドユーザーの Chrome ブラウザで chrome://policy を開くと確認できます。
Google Workspace アカウントに関連付けられているポリシーをマシンレベルのポリシーと統合するかどうかを指定できます。
デフォルトでは、[ユーザーのクラウド ポリシーをマシンポリシーと統合しない] に設定されており、ユーザーレベルのクラウド ポリシーが他のソースで設定されたポリシーと統合されることはありません。
この設定は、Chrome ブラウザとプロファイルが、同じ組織で Google 管理コンソールを通じて管理されている場合にのみ適用されます。Chrome プロファイルに適用されているポリシーは統合できます。
ユーザーのクラウド ポリシーが統合されるようにするには、目的のポリシーをポリシーの統合リストに追加する必要があります。統合リストに追加しないと、この設定は適用されません。
その他の設定
統計情報の報告Chrome ブラウザから使用統計情報と障害関連のデータを Google に送信するかどうかを指定します。ユーザーがこのオプションを自由に設定できるようにすることも、このオプションを常にオンまたはオフに指定することもできます。
使用統計情報には、設定、ボタンのクリック、メモリの使用状況などの情報が含まれます。ユーザーが [検索とブラウジングを改善する] をオンにしている場合は、ウェブページの URL や個人情報も含まれることになります。
障害レポートには、障害発生時のシステム情報が含まれます。また、障害レポートがトリガーされたときの状況によっては、ウェブページの URL や個人情報が含まれることもあります。
Google がこれらのレポートから収集する情報と、その情報をどのように使用するかについて詳しくは、Chrome のプライバシー ポリシーをご覧ください。
Chrome ブラウザの 1 回のセッションで使用できるメモリの上限を設定できます。このポリシーを設定した場合は、上限を超えると、メモリを節約するためにブラウザのタブが自動的に閉じます。このポリシーを設定していない場合、ブラウザはマシン上の物理メモリの量が少ないことを検出した場合にのみメモリの節約を試みます。
高効率モードを常に有効にするか無効にするかを指定します。[高効率モードを有効にする] を選択すると、一定時間の経過後にバックグラウンドでタブを破棄し、メモリを再利用できるようになります。
デフォルトでは、[ユーザーによる決定を許可] が選択されていて、ユーザーは chrome://settings/performance で高効率モードを有効または無効にできます。
ブラウザによって破棄されることのない(メモリ圧迫時や高効率モード時であっても破棄されない)ページのリストを指定します。
破棄されたページはアンロードされ、リソースは完全に再利用されます。関連付けられたタブはタブストリップに残りますが、タブを表示すると完全に再読み込みされます。
有効な URL パターンについては、Enterprise ポリシーの URL パターンの形式をご覧ください。
キャッシュされたファイルをディスクに保存するために Chrome で使用されるディレクトリを指定します。
[ディスク キャッシュ ディレクトリ] に変数を入力した場合、ユーザーがディスク キャッシュ ディレクトリ パラメータを定義しているとしても、Chrome では変数に格納されたディレクトリが使用されます。このポリシーを設定しない場合は、デフォルトのキャッシュ ディレクトリが使用されます。ユーザーはディスク キャッシュ ディレクトリ パラメータを定義して、デフォルトをオーバーライドできます。
サポート対象の変数のリストについては、サポートされているディレクトリ変数をご覧ください。
キャッシュされたファイルをディスクに保存する際の Chrome 保存容量の上限を指定します。
このポリシーを設定して特定のサイズを指定した場合、ユーザーがディスク キャッシュ サイズ パラメータを定義しているとしても、Chrome では指定されているキャッシュ サイズが使用されます。数メガバイトに満たない値は切り上げられます。
このポリシーを未設定のままにした場合、Chrome ではデフォルトのキャッシュ サイズが使用されます。このキャッシュ設定は、ユーザーが変更できます。
Chrome ブラウザが閉じられてもバックグラウンド アプリの実行を続行するかどうかを指定します。
このポリシーを有効にした場合、Chrome ブラウザが閉じられても、バックグラウンドで実行中のアプリと現在のブラウジング セッションは、セッション Cookie を含め、引き続きアクティブな状態を維持します。ユーザーはシステムトレイに表示されるアイコンを使用して、これらのアプリまたはセッションをいつでも終了できます。
ユーザーによる決定を許可 - バックグラウンド モードは初期状態で無効になり、ユーザーがブラウザの設定でバックグラウンド モードを制御できます。
バックグラウンド モードを無効にする - バックグラウンド モードは無効になり、ユーザーはブラウザの設定でバックグラウンド モードを管理することはできません。
バックグラウンド モードを有効にする - バックグラウンド モードが有効になります。ユーザーはブラウザの設定でバックグラウンド モードを制御することはできません。
正確なタイムスタンプを取得するために、Google Chrome から Google サーバーに時折クエリを送信できるようにするかどうかを指定します。デフォルトでは、クエリを送信できます。
デバイス管理サービスからポリシーの無効化の通知を受け取ってから新しいポリシーを取得するまでの遅延時間の上限(ミリ秒単位)を指定できます。
有効な値の範囲は 1,000(1 秒)~300,000(5 分)です。1 秒未満の値を入力した場合は、1 秒として扱われます。5 分を超える値を入力した場合は、5 分として扱われます。
このポリシーを未設定のままにした場合は、デフォルト値の 10 秒が使用されます。
ユーザーがアクセスするウェブサイトで、WebXR Device API を使用した没入型拡張現実(AR)セッションの作成を許可するかどうかを指定します。
デフォルトでは [WebXR の immersive-ar セッションの作成を許可する] が選択されており、ユーザーは AR を体験できます。
[WebXR の immersive-ar セッションの作成を許可しない] を選択すると、WebXR Device API によって新しい immersive-ar セッションの作成リクエストが拒否されます。現在の immersive-ar セッションは引き続き実行されます。
パスワード、履歴、設定などの Chrome 情報をクラウドに同期するかどうかを指定します。デフォルトでは、[Chrome 同期を許可する] に設定されています。
ユーザーがすべてのブラウザ ウィンドウを閉じたときに自動削除する閲覧データのタイプを指定できます。ただし、この設定が [ブラウザの履歴の削除] 設定よりも優先されることはありません。
Chrome ブラウザや Chrome OS がクラッシュしたなど、Google Chrome が正常に終了しなかった場合は、ユーザー プロファイルの次回読み込み時に、閲覧データが自動的に削除されます。
ユーザーが、Chrome の情報(パスワード、履歴、ブックマークなど)を複数デバイスで同期できるようにするかを指定できます。次のいずれかを選択します。
- Chrome 同期を許可する — デフォルトの設定です。Chrome 同期はユーザーに対して有効化されます。Chrome の情報はユーザーの Google アカウントに自動同期されます。
- 移動プロファイルを許可する — ユーザーは Chrome の情報が含まれた単一の Chrome プロファイルを作成します。職場や学校で使うパソコンで Chrome プロファイルを再使用します。移動プロファイルのディレクトリには、Chrome プロファイルの移動コピーを保存するのに使用する、Chrome ブラウザのディレクトリを入力します。
- 同期を無効にする — ユーザーはデバイスにローカルで保存された Chrome 情報のみにアクセスできます。
Chrome 同期を許可するまたは移動プロファイルを許可するを選択した場合、同期から除外する Chrome の情報の種類を選択します(存在する場合)。
移動プロファイルの詳細については、Chrome ブラウザでの移動ユーザー プロファイルの使用をご覧ください。
Chrome 同期を許可するを選択した場合は、ユーザーの認証が期限切れになると、ブラウザのツールバーの右上に一時停止中と自動で表示されます。また、再認証プロンプトを使用して、管理対象ユーザーが再ログインするための新しいブラウザタブを開くこともできます。
このポリシーは最上位の組織部門でのみ設定できます。
管理コンソールからブラウザを削除すると、デバイス トークンを無効化または削除できます。
デバイスを Chrome ブラウザ クラウド管理に登録すると、固有のデバイス トークンがデバイスに追加されます。このデバイス トークンは、ポリシー更新時の管理コンソールでのブラウザの特定や、同期処理のレポートに使用されます。
[トークンを無効にする](デフォルト)を選択した場合、ブラウザを [管理対象ブラウザ] リストから削除して無効にしても、デバイス トークンはデバイス上に保持されます。このデバイス トークンが手動で削除され、デバイスに有効な登録トークンが追加されるまでは、デバイスは Chrome ブラウザ クラウド管理に再登録することができず、管理対象外のままとなります。
[トークンを削除する] を選択した場合、ブラウザが [管理対象ブラウザ] リストから削除されると、デバイス トークンはデバイスから削除されます。デバイスに有効な登録トークンを配布すると、次回ブラウザが再起動される際に Chrome ブラウザ クラウド管理でデバイスを再登録できます。
デバイス トークンが保存されている場所については、クラウド管理型の Chrome ブラウザを登録するをご覧ください。ChromeOS デバイスとデバイスに接続している Android スマートフォンとの間で、Wi-Fi ネットワーク設定を同期できるようにするかどうかを指定します。
[Google Chrome OS デバイスおよび接続された Android スマートフォンとの間で、Wi-Fi ネットワーク設定を同期できないようにする](デフォルト)を選択した場合、ユーザーは Wi-Fi ネットワークの設定を同期できません。
[Google Chrome OS デバイスおよび接続された Android スマートフォンとの間で、Wi-Fi ネットワーク設定を同期できるようにする] を選択した場合、ユーザーは Chrome OS デバイスとデバイスに接続している Android スマートフォンとの間で、Wi-Fi ネットワークの設定を同期できます。ただし、ユーザーは事前に一連の設定を完了して、この機能を明示的に有効にする必要があります。
これは、ブラウザの削除が始まる数週間前に値を変更できるようにする、現在早期アクセスでご利用いただけるポリシーです。ポリシーの展開は、2024 年 4 月から 5 月にかけて段階的に行われる予定です。
非アクティブな状態がどれくらいの期間続くと、ブラウザが Google 管理コンソールから削除されるかを設定できます。このポリシーにより、設定された値よりも長い期間ご利用のない登録済みブラウザは削除されます。
ポリシーの初期のデフォルト値は 540 日(18 か月)です。最大で 730 日、最小で 28 日に設定できます。
重要: ポリシーの設定値を小さくすると、現在登録されているブラウザに対して広範囲に影響する可能性があります。影響を受けるすべてのブラウザが非アクティブとみなされ、不可逆的に削除されます。削除されたブラウザが、次回の再起動時に自動的に再登録されるように、このポリシーの値を小さくする前にデバイス トークンの管理ポリシーの値を [トークンを削除] に設定してください。なお、これらのブラウザの登録トークンが再起動時に有効である必要があります。
詳しくは、Chrome ブラウザの管理を停止する、Chrome ブラウザを削除するをご覧ください。
ユーザー アカウントごとに、ファスト ペアリングを有効または無効にするかどうかを指定できます。
ファスト ペアリングとは、ペア設定済みの周辺機器と Google アカウントをリンクさせる Bluetooth ペア設定のことを意味します。ファスト ペアリングにより、あるユーザーの Google アカウントと同じアカウントでログイン中の ChromeOS デバイスと Android デバイスが、そのユーザーのデバイスと自動的にペア設定されます。
この設定は、企業ユーザーの場合はデフォルトで無効になり、管理対象外のユーザーに対してはデフォルトで有効になります。
複数の証明書が一致した場合に、クライアント証明書を選択するよう求めるメッセージをユーザーに表示するかどうかを指定します。
メッセージが表示されるように選択し、[クライアント証明書] 設定で URL パターンのリストを入力した場合、自動選択ポリシーに一致する証明書が複数あると、ユーザーはクライアント証明書を選択するように求められます。
[クライアント証明書] 設定を空白のままにすると、自動選択に一致する証明書がない場合にのみユーザーにメッセージが表示されることがあります。
詳しくは、クライアント証明書をご覧ください。
Chrome バージョン 106 以降では、永続的な割り当てがサポートされなくなりました。
ウェブ アプリケーションは、システム内を検索して、現在使用中の保存容量とウェブアプリケーションが利用可能な保存容量を把握することができます。Google Chrome では一時ストレージと永続ストレージの区別が維持されるため、ウェブアプリは必要に応じて保存容量の追加をリクエストすることができます。
Chrome バージョン 107 までは、この設定を使用して webkitRequestFileSystem に対して永続的な割り当ての機能を再有効化できます。その場合、永続タイプの webkitRequestFileSystem は永続的な割り当てで動作します。
デフォルト設定の [永続的な割り当てを無効にする] を選択した場合は、永続タイプの webkitRequestFileSystem は一時的な割り当てで動作します。
ドメインの信頼性に関するデータを Google に報告しないようにすることもできます。デフォルトでは、Chrome のユーザーに関する指標のポリシーで許可されている場合、サイトへの接続時に発生したネットワーク エラーに関するレポートをアップロードします。
iOS デバイスのバックアップに Google Chrome のデータを含めるかどうかを制御できます。
デフォルトでは設定が有効になっています。この設定を無効にすると、iOS デバイスの iCloud バックアップとローカル バックアップから、Google Chrome のデータ(Cookie やウェブサイトのローカル ストレージも含む)が除外されます。
データ管理
データ管理のレポートデータ管理のトリガー時に、データ漏洩防止イベントのレポートをリアルタイムで取得できます。レポートはデフォルトでは無効になっています。[データ管理イベントのレポートを有効にする] を選択すると、レポートが有効になります。
データ管理の有効化について詳しくは、ChromeOS データ管理ガイドをご確認ください。
ログイン ユーザーに対する Chrome 管理
ログイン ユーザーに対する Chrome 管理ユーザーが自分の Google アカウントで任意のデバイスの Chrome にログインする場合に、管理コンソールで設定したユーザーレベルの Chrome ポリシーを適用するかどうかを指定します。設定を行うには、[編集] をクリックします。デフォルトでは、[Chrome にログインする際にすべてのユーザー ポリシーを適用し、管理対象の Chrome を利用できるようにする] が選択されています。
下位互換性を維持するために、管理対象外のユーザーとして Chrome にログインすることをユーザーに許可できます。その場合、[ユーザーが Chrome にログインする際にポリシーを適用しない。管理対象外のユーザーとして Chrome を使用するよう、ユーザーにアクセスを許可する] を選択します。この設定を選択すると、ユーザーが Chrome にログインする際に、管理コンソールで設定したユーザーレベルのポリシー(アプリや拡張機能など)が適用されることはありません。
Chrome 管理をオフにしてからもう一度オンにすると、一部のユーザーのアカウントで変更が発生することがあります。もう一度オンにする前に、ユーザーに通知してください。Chrome 管理がオフになっているときに、ユーザーが管理対象外ユーザーとしてログインした可能性があります。もう一度設定をオンにすると、Android アプリが削除されたり、複数のユーザーが ChromeOS デバイスに同時にログインできなくなったりすることがあります。
管理コンソールを使用して ChromeOS デバイスを管理している場合は、ポリシーを適用するために Chrome 管理をオンにする必要はありません。この設定をオフにしても、ChromeOS デバイスにはユーザーレベルのポリシーが適用されます。
Chrome ブラウザでユーザーレベルの管理を設定する方法について詳しくは、Chrome ブラウザでユーザー プロファイルを管理するをご覧ください。
関連トピック
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。