在宅勤務からオフィス勤務に戻すことをご検討中のお客様は、Chrome OS の活用方法をご覧ください。

Active Directory で Chrome OS デバイスを管理する

注: 新規ユーザーの方には、Microsoft Active Directory(AD)を使用した Chrome OS デバイス管理をご利用いただけなくなりました。AD 環境の Chrome OS デバイスには、クラウドベースの Chrome 管理と Kerberos をご利用ください。詳しくは、Chrome OS デバイスのポリシーを管理するをご覧ください。

Chrome OS デバイスと Microsoft Active Directory サーバーを連携させて使用することができます。連携するとデバイスがドメインに加わるため、ドメイン コントローラとクラウドベースの Google 管理コンソールでデバイスを確認できるようになります。連携済みのデバイスを管理したり、ユーザーやデバイスにポリシーを適用したりするには、管理コンソールではなく Windows グループ ポリシーを使用します。ユーザーは Active Directory の認証情報を使用してデバイスにログインします。ユーザー名を Google サーバーと同期する必要はありません。

ポリシーの設定や、Active Directory と連携していないデバイスの管理を行うには、引き続き管理コンソールを使用します。ユーザーは Active Directory の認証情報を使用してクラウド管理型のデバイスにログインすることはできません。そのため、Google ドメインのデータを Active Directory と同期する必要があります。

始める前に

  • 組織で Chrome Education Upgrade をご利用の場合、この機能はご利用いただけません。代わりに、Google Cloud Directory Sync を使用して Active Directory からユーザーを同期したり、(必要な場合は)Password Sync を使用してユーザーのパスワードを同期したりできます。その後、クラウドベースの Google 管理コンソールを使用してデバイス ポリシーを管理します。詳細
  • Active Directory で管理しているデバイスをキオスク、管理型ゲスト セッション、デジタル サイネージとして使用することはできません。代わりに、管理コンソールを使用してポリシーの設定とデバイスの管理を行ってください。
  • デバイスがサポートされていることを確認します。Active Directory を使用してデバイスを管理するには、Chrome OS バージョン 61 以降が必要です。また、Intel ベースまたは AMD ベースのプラットフォームで Chromebook を実行する必要があります。ARM チップセットを搭載した Chromebook はサポートされていません。ご利用になっているデバイスがサポートされているかどうかを確認するには、chrome://system にアクセスして CPU の行までスクロールします。この行に [Intel] または [AMD] と表示されているデバイスはサポートされています。
  • Chrome OS デバイスと、別の利用規約が適用されているサーバーが連携することになります。このようなサーバーで行われるデータ処理には、Chrome Enterprise の利用規約が適用されません。
  • 管理対象となる単体の各デバイスには、Chrome Enterprise Upgrade のサブスクリプションが必要です。または、Chromebook Enterprise デバイスを使用する必要があります。Chrome Education Upgrade または Chrome Nonprofit Upgrade を使用するデバイスでは、Active Directory との連携はサポートされていません。

ドメインを設定する

ステップ 1: Active Directory との連携を有効にする

この操作を行うには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [設定] 次に [ユーザーとブラウザ] をクリックします。
  4. 最上位の組織部門を選択します。
  5. [登録の管理] に移動します。
  6. [Microsoft Active Directory] の横にある [Active Directory の管理を有効にする] を選択します。
  7. [保存] をクリックします。
ステップ 2: (省略可)managed Google Play ストアにアクセスするようにドメインを設定する

この操作を行うには、特権管理者としてログインする必要があります。

  1. Microsoft Windows Server で証明書利用者信頼を設定します。
    注: この手順を開始する前に、Active Directory フェデレーション サービス(AD FS)サーバーが設定済みであることを確認してください。
    1. AD FS 管理コンソールで、[AD FS] 次に [信頼関係] 次に [証明書利用者信頼] の順に選択します。
    2. [証明書利用者信頼の追加] を選択して [開始] をクリックします。
    3. [オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートする] を選択します。
    4. [フェデレーション メタデータのアドレス] に「https://m.google.com/devicemanagement/data/api/SAML2」と入力します。
    5. [次へ] 次に [閉じる] の順にクリックします。
    6. [要求規則の編集] ボックスで [ルールの追加] をクリックします。
    7. [要求として LDAP 属性を送信する] がオンであることを確認し、[次へ] をクリックします。
    8. [属性ストア] で [Active Directory] を選択します。
    9. [LDAP 属性] に「objectGUID」と入力します。
    10. [出力方向の要求の種類] で [名前 ID] を選択します。
    11. [完了] 次に [OK] の順にクリックします。
      証明書利用者信頼の設定については、Microsoft のウェブサイトで詳細をご覧ください。
  2. AD FS メタデータ ファイル(federationmetadata.xml)をサーバーからダウンロードします。このファイルは、サーバー上の次の場所にあります。
    https://[ADFS サーバー名]/federationmetadata/2007-06/federationmetadata.xml
  3. 管理コンソールで SAML の設定を行います。
    1. Google 管理コンソールログインします。

      特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

    2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
    3. [設定] 次に [ユーザーとブラウザ] をクリックします。
    4. 最上位の組織部門を選択します。
    5. [登録の管理] 次に [Microsoft Active Directory] の順に選択します。
    6. [ID プロバイダのメタデータ] で [アップロード] をクリックします。
    7. AD FS メタデータ ファイルを見つけ、[開く] をクリックします。
    8. [保存] をクリックします。

SAML エンドポイントでユーザーの認証が行われた後、ユーザーは Chrome OS デバイスで managed Google Play ストアを使用できるようになります。

ステップ 3: (省略可)ドメインの設定テンプレートを追加する

設定テンプレートを使用すると、ユーザーがデバイスを Active Directory ドメインに追加する際の入力項目の数を最小限にすることができます。テンプレートを使用した場合、登録を行うユーザーは Chromebook のマシン名を入力し、「セールス」や「エンジニアリング」などの設定を選択するだけです。

この操作を行うには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [設定] 次に [ユーザーとブラウザ] をクリックします。
  4. 最上位の組織部門を選択します。
  5. [登録の管理] 次に [Microsoft Active Directory] の順に選択します。
  6. [ドメインの参加設定] で [アップロード] をクリックします。
  7. 設定ファイルを見つけ、[開く] をクリックします。
  8. [保存] をクリックします。

設定テンプレート ファイルのサンプルはこちらからダウンロードできます。このファイルはテキスト エディタを使用して編集できます。設定テンプレート ファイルには機密データが含まれているため、この Microsoft PowerShell スクリプトを使用してパスワードを設定し、ファイルを暗号化してください。また、出力ファイルの拡張子を .base64 に変更してください。変更しないと、ファイルのアップロードで問題が発生する可能性があります。登録するユーザーは、Chromebook を AD ドメインに追加するときにこのパスワードを入力する必要があります。

設定テンプレート ファイルのサンプルには次の項目が含まれています。

  • デバイス名 - 必須の文字列
  • Active Directory のユーザー名 - 省略可能な文字列
  • Active Directory のパスワード - 省略可能な文字列
  • 組織部門 - 省略可能な文字列
  • 暗号化のタイプ - 省略可能な文字列で、Strong(強い)All(すべて)legacy(以前の暗号化タイプ) のいずれかの値
  • コンピュータ名を確認するための正規表現 – 省略可能な文字列
ステップ 4: デバイスを Active Directory ドメインに追加する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [設定] 次に [ユーザーとブラウザ] をクリックします。
  4. To apply the setting to all users, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. [登録の管理] に移動します。
  6. [デバイス管理モード] で [Active Directory] を選択します。
  7. (省略可)ドメインでデバイスを登録できるユーザーを制御するには、[登録の権限] までスクロールして次のいずれかのオプションを選択します。
    • この組織内のユーザーに、新しいデバイスの登録や既存のデバイスの再登録を許可する — ユーザーは新しいデバイスを登録することも、プロビジョニング解除済みデバイスを再登録することもできます。また、データをワイプしたデバイスと初期状態にリセットしたデバイスも再登録できます。
    • この組織内のユーザーに、既存のデバイスの再登録のみを許可する(新しいデバイスやプロビジョニング解除済みデバイスは登録できない) — ユーザーは、データをワイプしたデバイスと初期状態にリセットしたデバイスの再登録のみ行えます。新しいデバイスの登録とプロビジョニング解除済みのデバイスの再登録はできません。
    • この組織内のユーザーに、新しいデバイスの登録や既存のデバイスの再登録を許可しない — ユーザーはデバイスの登録や再登録が一切できなくなります(これには、強制再登録による再登録も含まれます)。
  8. [保存] をクリックします。
ステップ 5: グループ ポリシー オブジェクトを設定してユーザーとデバイスを管理する

グループ ポリシーを使用して、Active Directory と連携済みの Chrome デバイスにポリシーを適用します。管理コンソールで変更した設定は、強制再登録の場合を除き、デバイスには適用されません。

始める前に

  • デフォルトでは、Chrome OS デバイスの暗号化(Advanced Encryption Standard)の強度を「Strong(強い)」に設定しておく必要がありますが、ご利用になっている環境でこの暗号化がサポートされていない可能性があります。Active Directory 認証情報を使用したログインに問題がある場合は、DeviceKerberosEncryptionTypes ポリシーにアクセスし、サポートされている暗号化のタイプを確認します。RC4 暗号化が必要な場合は、暗号化のタイプを「All(すべて)」または「Legacy(以前の暗号化タイプ)」に変更します。
  • Chrome OS デバイスで使用できるポリシーを確認するには、ポリシーリストに関するドキュメントをご覧ください。

グループ ポリシー オブジェクトを設定する

  1. Chrome OS ADMX テンプレートをダウンロードします。
  2. [グループ ポリシー管理コンソール] を起動します。
  3. グループ ポリシー オブジェクトを作成し、ユーザーまたはデバイスに関連する組織部門とグループに適用します。
ステップ 6: (省略可)現在のクラウド ポリシーを Active Directory に書き出す

管理コンソールを使用して、ユーザーとデバイスのクラウド ポリシーを PowerShell スクリプト ファイルとして書き出すことができます。その後、Active Directory を使用して管理している Chrome デバイスにこれらのポリシーを適用することができます。

注: Google では最近、ユーザーとデバイスの一部の設定に関するポリシー名を変更しました。デバイスでは引き続き以前のポリシー名を使用できますが、書き出してから設定した場合は、新しいポリシー名が優先されます。

管理コンソールの場合:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [設定] をクリックします。
  4. 設定ページの [ユーザーとブラウザ] または [デバイス] を選択します。
  5. すべてのユーザーまたはデバイスの設定を書き出すには、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
  6. 右端にあるエクスポート設定 "" をクリックします。
  7. (省略可)[ユーザーとブラウザ] および [デバイス] の設定ページにアクセスできる場合は、ユーザー設定またはデバイスの設定のいずれかを書き出すか、またはその両方を書き出すかを選択します。
  8. [エクスポート] をクリックします。PowerShell スクリプトが自動的にデバイスにダウンロードされます。

Microsoft Windows Server マシンの場合:

  1. PowerShell セッションを開きます。
  2. 署名の確認を無効にして、次のように入力します。
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
    詳しくは、Microsoft のドキュメントをご覧ください。
  3. ダウンロードした PowerShell スクリプトを実行します。
ステップ 7: (省略可)ユーザー向けに Android アプリを設定する

ユーザーが managed Google Play ストアを開くと、ドメイン向けに承認したすべてのアプリが自動的に表示されます。

ユーザーのアプリを承認、設定するには:

  1. managed Google Play にログインします。
  2. ユーザー用のアプリを承認します。詳しくは、Android デバイス向け管理対象アプリを設定するをご覧ください。
  3. ユーザーが Google Play ストアにアクセスできるようには、[ARC を有効にする](ArcEnabled)ポリシーを true に設定します。
  4. アプリをユーザーに強制的にインストールし、管理された設定を適用するには、[ARC を設定する](ArcPolicy)ポリシーを設定します。
  5. Android アプリを Chrome アプリと同様にランチャーに固定するには、[固定されたアプリ](PinnedLauncherApps)ポリシーを使用します。

デバイスを設定する

ステップ 8: (省略可)Chrome デバイスを登録して、Active Directory ドメインに追加する

Chrome デバイスと Active Directory を連携させる手順は 2 段階で行います。まずデバイスを Google サーバーに登録し、次にそのデバイスを Active Directory ドメインに追加します。この 2 段階の手順は、デバイスを再起動せずに完了させます。つまり、デバイスをユーザーにデプロイする前に両方の手順を実行する必要があります。

Chrome デバイスを登録する

デバイスの登録を開始する前に、デバイスを登録するユーザーが該当する組織部門(Active Directory ドメインでデバイスの追加先となる組織部門)に所属していることを確認します(前述のステップ 4をご覧ください)。現在登録されているデバイスの管理方法を変更する場合は、そのデバイスをワイプして再登録する必要があります。

Chrome デバイスの登録の手順に沿って、Google サーバーにデバイスを登録します。

デバイスを Active Directory ドメインに追加する

始める前に

  • Chrome デバイスをドメインに追加して初回の認証を行うには、管理者とユーザーがドメイン コントローラから認識されている必要があります。
  • デフォルトでは、Chrome OS デバイスの暗号化(Advanced Encryption Standard)の強度を「Strong(強い)」に設定しておく必要がありますが、ご利用になっている環境でこの暗号化がサポートされていない可能性があります。デバイスをドメインに追加するときに Active Directory に接続できない場合は、[詳細設定] に移動してサポートされている暗号化のタイプを確認し、RC4 暗号化が必要な場合は、暗号化のタイプを [All(すべて)] または [Legacy(以前の暗号化タイプ)] に変更します。

登録した各デバイスで次の手順を行います。

  1. Active Directory サーバーで識別するためのデバイス名を入力します。
  2. ドメイン設定テンプレートをご利用の場合:
    1. 設定テンプレート ファイルの暗号化に使用したパスワードを入力します(上述のステップ 3)。
    2. 設定を選択します。
  3. ドメイン設定テンプレートを使用しない場合は、必要な情報を手動で入力します。

ユーザーは各デバイスに表示されるログイン画面で、Active Directory のユーザー名とパスワードを入力して直接ログインできるようになります。

ステップ 9: デバイスが登録済みであることを確認する

Microsoft Windows Server マシンの場合:

  1. [Active Directory ユーザーとコンピューター] を開きます。
  2. Chrome デバイスが Chrome ドメインに表示されていることを確認します。
  3. 目的の組織にデバイスを移動して、適切な設定が適用されるようにします。

管理コンソールの場合:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [デバイス] をクリックします。
  4. 左側で、デバイスが属する組織部門をクリックします。
  5. 目的のデバイスを見つけます。
    ヒント: [管理モード] フィルタを使用すると、Active Directory と連携済みのデバイスの一覧を表示できます。
  6. [管理モード] が [Microsoft Active Directory] になっていることを確認します。
  7. (省略可)デバイスの管理を行う組織部門に移動します。詳しくは、Chrome デバイスを組織部門に移動するをご覧ください。

関連トピック

Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
false
false
true
true
410864
false
false