企業または学校の ChromeOS デバイスの管理者を対象としています。
管理者は、Google 管理コンソールを使用して、ネットワーク接続を制限するデバイス ポリシーを設定できます。ポリシーの例を以下に示します。
- 組織部門に登録されているデバイスがイーサネットにのみ接続するように制限できます。
- 従業員が個人のスマートフォンから Wi-Fi ホットスポットに接続できないように制限できます。
- デバイスの範囲内に管理対象のネットワークがない場合に、ユーザーが管理対象外のネットワークに接続することを許可できます。管理対象のネットワークが利用可能になると、デバイスの接続先は自動的に管理対象外のネットワークから管理対象のネットワークに切り替わります。つまり、職場や学校にいるときは管理対象のネットワークに接続しなければなりませんが、家や公共の場所では管理対象外のネットワークに接続できるということです。
- 組織に業務用ネットワークとゲスト ネットワークがある場合は、デバイスがゲスト ネットワークにアクセスできないようブロックする一方で、ユーザーが個人のデバイスを自宅で使用することを許可する必要が生じることがあります。この場合、特定の Wi-Fi SSID へのアクセスをブロックできます。
留意事項
- これらのポリシーはすべてのデバイスに共通なので、ユーザーが管理対象かそうでないかにかかわらず適用されます。設定したポリシーは、管理対象ゲスト セッションとキオスクにも適用されます。
- [自動接続] の設定は ChromeOS デバイスの Wi-Fi またはイーサネットにのみ適用されます)。
- 以下は [SIM ロック] の設定に適用されます。
- 制限を選択すると、ユーザーの SIM ですでに [SIM ロック] の設定がオンになっている場合は、[SIM ロック] の設定をオフにするよう求める通知がユーザーに対して表示されます。SIM で PUK がブロックされている場合は、SIM の PUK コードを手動で入力して SIM のブロックを解除し、[SIM ロック] の設定をオフにする必要があります。こうすると、新しいデフォルトの PIN が自動的に 1111 に設定されます。
- ユーザーが PIN コードを 3 回間違えて入力した場合、SIM カードで PUK がブロックされます。ユーザーが正しい PUK コードを入力すると、SIM のブロックが解除されます。通常、SIM の PUK ブロックを解除するには、正しい PUK コードのほかに、新しい PIN も入力する必要があります。SIM の PIN ロック解除が許可されていない場合は、SIM の PUK ブロックを解除すると新しい PIN が自動的に 1111 に設定されるので、新しい PIN ではなく、正しい PUK コードのみを入力してください。
- 以下に説明するように、これらのポリシーは Chromebook の導入に影響します。
ポリシーを誤って設定すると、デバイスがウェブに接続できなくなり、ポリシーの更新を受信できない場合があります。たとえば、デバイスが特定の Wi-Fi 設定にのみ接続するように制限した後で、ネットワーク ハードウェアの SSID を切り替えると、ユーザーは新しい SSID に接続できなくなります。この場合、デバイスはウェブに接続されなくなっているため、新しいネットワーク ポリシーをデバイスに push できません。
導入の問題を最小限に抑えるため、ネットワーク制限はユーザーがログインした後にのみデバイスに適用されます。設定した制限は、ログイン画面には適用されません。したがって、管理者がポリシーを誤って設定した場合でも、ユーザーはいったんログアウトしてログイン画面から任意のネットワークに接続すれば、有効なネットワークに接続した状態でセッションにログインし直し、修正後のポリシーをダウンロードできます。
デバイスに共通の有効なネットワークを設定し、デバイスがログイン画面に自動的に接続できるようにすることをおすすめします。こうすると、導入エラーが発生した場合でも、ユーザーがアカウントからログアウトすると、デバイスはデバイス共通の有効なネットワークに自動的に接続されます。
これらの設定は、組織部門ごとに段階的に導入することをおすすめします。これにより、ポリシーが誤って構成された場合でも影響を受けるユーザーが少数に抑えられます。
これらのポリシーはデバイス共通で適用されます。ユーザーは自宅で会社のデバイスを使用できない場合があります。職場外ではデバイスがポリシーの制限事項を満たしていない可能性があるからです。たとえば、ユーザーは自宅では会社と同じ Wi-Fi 設定を利用できません。また、コーヒー ショップでデバイスを使用して作業する場合、イーサネット接続を利用できない可能性があります。
管理対象アカウントにネットワークの制限が適用されている場合、ユーザーは職場で個人のデバイスを使用できない場合があります。ポリシーはユーザーではなくデバイスに適用されるため、ユーザーは引き続き管理対象アカウントを使用して個人デバイスにログインできます。ただし、管理者が設定したネットワーク制限はそのデバイスに適用されません。
デバイスを別の組織部門に移動する場合は、以下の点にご注意ください。
- 移動先の組織部門でもデバイス上の既存の eSIM を保持するには、まず、移動先の組織部門に同じ SDMP+URL のモバイル ネットワーク設定が存在することを確認します。
- デバイスから既存の eSIM を消去するには、eSIM を移動する前に、[eSIM をリセット] を選択して、デバイスから eSIM プロファイルを完全に削除します。詳しくは、Chrome OS デバイスの詳細を表示するをご覧ください。
- ネットワーク設定を一致させずにデバイスを組織部門に移動すると、デバイス上の管理対象の eSIM が管理対象から外れ、いずれのポリシー設定もネットワークに適用されなくなります。
ネットワーク接続を制限する
-
-
管理コンソールで、メニュー アイコン [デバイス] [ネットワーク] の順に移動します。
- [全般設定(Chromebook のみ)] をクリックします。
-
全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- (省略可)管理対象のネットワークのみに自動接続するようにします。
- [自動接続] をクリックします。
- [マネージド ネットワークへの自動接続にのみ接続を許可する] チェックボックスをオンにします。
- [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。
- (省略可)選択した組織部門向けに設定された Wi-Fi ネットワークへの接続のみをユーザーに許可します。
- [Wi-Fi ネットワーク] をクリックします。
- [この組織部門向けに設定された Wi-Fi ネットワークにのみ接続を許可する] のリストから次のいずれかのオプションを選択します。
- [制限] - 管理対象のネットワークが利用可能かどうかにかかわらず、管理対象外のネットワークへのアクセスはすべてブロックします。
- [管理対象の Wi-Fi ネットワークがデバイスの範囲内にある場合にのみ制限する] - 利用可能な管理対象のネットワークがない場合には、管理対象外のネットワークへの接続を許可します。たとえば、職場や学校以外の場所にいる場合などです。
- [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。
- (省略可)選択した組織部門向けに設定されたモバイル ネットワークへの接続のみをユーザーに許可します。
- [モバイル ネットワーク] をクリックします。
- [この組織部門向けに構成されたモバイル ネットワークにのみ接続を許可する(Chrome バージョン 100 以降)] チェックボックスをオンにします。
- [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。
- (省略可)ユーザーがデバイスの SIM に PIN ロックを適用できないように制限します。
- [SIM ロック] をクリックします。
- [デバイスの SIM をユーザーが PIN ロックできないように制限する(Chrome バージョン 108 以降)] チェックボックスをオンにします。
- [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。
- [許可されているネットワーク インターフェース] をクリックします。
- 許可するネットワーク インターフェースのチェックボックスをオンにします。[Wi-Fi]、[イーサネット]、[モバイル ネットワーク]、[VPN] から 1 つ以上選択します。
注: [VPN] チェックボックスは、統合型 Chrome OS VPN にのみ適用されます。VPN アプリ ソリューションの場合は、アプリ制限ポリシーを使用して VPN アクセスを許可またはブロックします。 - [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。
- (省略可)特定の WI-FI ネットワークにユーザーが接続できないようブロックします。
- [ブロック対象の Wi-Fi ネットワーク] をクリックします。
- ブロックする SSID を入力します。SSID は 1 行に 1 つずつ入力してください。
- [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。
- (省略可)ユーザーのデバイスで、モバイル ネットワークの SIM テキスト メッセージに関する通知を制限します。
- [SIM テキスト メッセージ] をクリックします。
- [デバイスでのテキスト メッセージの表示を許可する] で、次のいずれかのオプションを選択します。
- [ユーザーによる決定を許可] - これがデフォルトです。ユーザーは自分のデバイスで [テキスト メッセージを表示] の設定を変更することができます。ユーザーは、ネットワークごとにテキスト メッセージの通知を表示するかどうかを指定できます。
- [制限しない] - ユーザーは自分のデバイスのすべてのモバイル ネットワークでテキスト メッセージの通知を受け取れます。ユーザーは自分のデバイスで [テキスト メッセージを表示] の設定を変更することはできません。
- [制限] - デバイスですべてのモバイル ネットワークのすべてのテキスト メッセージの通知が抑制され、ブロックされます。ユーザーは自分のデバイスで [テキスト メッセージを表示] の設定を変更することはできません。
- [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。