Google 管理コンソールにアクセスしたら、管理対象の Chrome ブラウザを搭載したデバイスを次の手順で登録します。デバイスを登録すると、そのデバイス上で Chrome ブラウザを開くすべてのユーザーに対してポリシーを適用できるようになります。
ステップ 1: 登録トークンを生成する
認定パートナー: 登録トークンを生成するには、最初にお客様に Chrome Enterprise Core ライセンス契約に同意していただく必要があります。
-
-
管理コンソールで、メニュー アイコン
[デバイス]
[Chrome]
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン
[Chrome ブラウザ]
- (省略可)左側で最上位の組織を選択します。または、トークンを生成する組織部門を選択します。このトークンを使用してその組織部門にブラウザを直接登録することになります。詳細については、組織部門の追加をご覧ください。
- 上部の [登録] をクリックします。
注: ブラウザを初めて登録する場合、Chrome Enterprise Core の利用規約に同意するよう求められます。 - [登録トークンをクリップボードにコピー]
をクリックします。
- [完了] をクリックします。
ステップ 2: 登録トークンを使用してブラウザを登録する
Windows でブラウザを登録するオプション 1: グループ ポリシー管理エディタを使用する
始める前に: 組織で設定をデプロイするためにモバイル デバイス管理(MDM)ツールを使用していない場合は、後述するオプション 2: レジストリ ファイルを編集するの使用を検討してください。
Windows サーバー マネージャーを使用してグループ ポリシー管理エディタにアクセスし、上記の手順でコピーした登録トークンの値を次の場所から CloudManagementEnrollmentToken ポリシーに追加します。
-
[管理用テンプレート]
[Google]
[Google] ポリシー テンプレートをインストールして設定する方法については、管理対象パソコンに Chrome ブラウザのポリシーを設定するをご覧ください。
オプション 2: レジストリ ファイルを編集する
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome の CloudManagementEnrollmentToken を先ほどコピーした生成済みトークンに設定します。
現在の登録が以下のキーを使用している場合は、登録をクリアします。
-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Enrollment
-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment
(省略可)デフォルトでは、登録に失敗した場合(登録トークンが無効になった場合や取り消された場合など)、Chrome は管理対象外の状態で起動します。登録に失敗した場合に Chrome ブラウザが起動しないようにするには、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome の CloudManagementEnrollmentMandatory を true に設定します。
注:
- トークンはローカルマシン レベルで設定する必要があります。ユーザーレベルでは機能しません。Chrome Enterprise Core に登録済みの既存のマシンを再利用する場合は、そのマシンから管理トークンを削除する必要があります。詳しくは、Chrome ブラウザの管理を停止するをご覧ください。
- 登録する複数のマシンで同一の Microsoft Windows イメージを使用する場合は、登録する各マシンに固有識別子が付くように、
/generalizeオプションを指定して Microsoft のシステム準備ツール(Sysprep)を使用してください。Chrome Enterprise Core が各デバイスを個別のマシンとして識別できるように、MachineGuid が一意であることを確認します。
次のレジストリで MachineGuid の値を確認できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid
オプション 3: reg ファイルをダウンロードする
[.reg ファイルをダウンロード] をクリックします。ダウンロードした .reg ファイルを実行すると、自動的にトークンが追加され、現在の登録がクリアされます。
reg ファイルを使用した場合、登録に失敗するとオプション 1 の CloudManagementEnrollmentMandatory ポリシーが優先され、Chrome ブラウザの起動がブロックされます。同一の Windows イメージを使用した複数のマシンを登録する場合は、上述の注意事項をご確認ください。
オプション 4: VMware Workspace One に登録トークンをデプロイする
管理者は、VMware Workspace ONE を使用して Chrome Enterprise Core 登録トークンを生成し、Chrome ブラウザを登録できます。VMware Workspace One でブラウザを登録する(Windows と macOS)をご覧ください。
オプション 1: ポリシーを使用する
始める前に: 組織で設定をデプロイするためにモバイル デバイス管理(MDM)ツールを使用していない場合は、後述するオプション 2: テキスト ファイルをダウンロードするの使用を検討してください。
CloudManagementEnrollmentToken ポリシーとして、トークンをブラウザにプッシュします。Apple Mac デバイスにポリシーを設定するには、Apple プロファイル マネージャ、Jamf、Workspace ONE などのモバイル管理ソフトウェアを使用する必要があります。
注: ポリシーを手動で設定する場合は、ログインのたびに macOS によってポリシー ファイルが削除されます。Mac でポリシーを設定する方法について詳しくは、クイックスタート ガイドとヘルプセンターをご覧ください。
(省略可)デフォルトでは、登録が失敗した場合(登録トークンが無効または取り消された場合など)、Chrome は管理対象外の状態で起動します。登録に失敗した場合に Chrome ブラウザが起動しないようにするには、CloudManagementEnrollmentMandatory を true に設定します。
オプション 2: テキスト ファイルをダウンロードする
[ファイルのダウンロード] をクリックします。必要に応じて、デバイスに /Library/Google/Chrome/ フォルダを作成します。ファイルを /Library/Google/Chrome/ に配置します。テキスト ファイルはデバイスレベルで追加する必要があります。ユーザーレベルで追加した場合は機能しません。
(省略可)デフォルトでは、登録が失敗した場合(登録トークンが無効または取り消された場合など)、Chrome は管理対象外の状態で起動します。登録に失敗した場合に Chrome ブラウザが起動しないようにするには、/Library/Google/Chrome/ の下に CloudManagementEnrollmentOptions というファイルを作成し、Mandatory(大文字と小文字を区別)というテキストをこのファイルに記入します。このファイルは .txt ファイルとしてエンコードする必要がありますが、ファイル名には拡張子(.txt)を付けないでください。
上記の両方の方法でトークンがプッシュされると、Chrome はポリシー内の値を使用してファイルを無視します。トークンは、ユーザーの Mac のホーム ディレクトリの下にあるディレクトリに保存されます。各 macOS ユーザーが個別に登録する必要があります。
オプション 3: Jamf Pro に登録トークンをデプロイする
Jamf Pro バージョン 10.19 以降で Chrome Enterprise Core 登録トークンを生成して、Chrome ブラウザを登録できます。Jamf Pro(macOS)でブラウザを登録するをご覧ください。
オプション 4: VMware Workspace One に登録トークンをデプロイする
管理者は、VMware Workspace ONE を使用して Chrome Enterprise Core 登録トークンを生成し、Chrome ブラウザを登録できます。VMware Workspace ONE でブラウザを登録する(Windows と macOS)をご覧ください。
トークンをプッシュするには、/etc/opt/chrome/policies/enrollment の下に CloudManagementEnrollmentToken というテキスト ファイルを作成します。このファイルには、トークンのみを含める必要があります。または、[ファイルをダウンロード(Mac および Linux)] をクリックします。
(省略可)デフォルトでは、登録が失敗した場合(登録トークンが無効または取り消された場合など)、Chrome は管理対象外の状態で起動します。登録に失敗した場合に Chrome ブラウザが起動しないようにするには、/etc/opt/chrome/policies/enrollment/ の下に CloudManagementEnrollmentOptions というファイルを作成し、Mandatory(大文字と小文字を区別)というテキストをこのファイルに記入します。このファイルは .txt ファイルとしてエンコードする必要がありますが、ファイル名には拡張子(.txt)を付けないでください。
注: 登録とレポートが適切に機能するように、/etc/machine-id はマシンごとに一意にする必要があります。
Android デバイス上の Chrome ブラウザを管理する方法について詳しくは、Android デバイスを対象に Chrome Enterprise Core を設定するをご覧ください。
iOS デバイス上の Chrome ブラウザを管理する方法について詳しくは、iOS を対象に Chrome Enterprise Core を設定するをご覧ください。
ステップ 3: 登録を確認する
ステップ 2 のいずれかの方法で登録トークンを設定した後、管理対象デバイスで Chrome ブラウザを終了してから(開いている場合)、ブラウザを再度起動します。管理コンソールを使用して登録を確認できます。
-
-
管理コンソールで、メニュー アイコン
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン
- (省略可)左側で組織部門を選択します。デフォルトでは、すべてのブラウザが表示されます。
- (省略可)詳細を確認するには、マシンの名前をクリックします。
注:
- 1 台のデバイスに複数の Chrome ブラウザがインストールされている場合、ブラウザリストには単一の管理対象ブラウザとして表示されます。
- 登録トークンは登録時にのみ使用されます。登録後、トークンは管理コンソールで取り消すことができます。ただし、登録済みのブラウザは登録されたままになります。
- Windows では、Chrome ブラウザの登録に管理者権限が必要なため、システム インストールのみがサポートされています。
登録した直後は、多くの項目にデータがない状態です。詳細なレポート情報にアクセスするには、ブラウザのレポートを有効にする必要があります。詳しくは、ステップ 3: Chrome ブラウザのレポートを有効にするをご覧ください。
トークンとデバイスを管理する
組織部門ごとに使用できる登録トークンは 1 つのみです。トークンの登録を一時停止する必要がある場合は、特定の組織部門のトークンを完全に取り消して、新しいトークンを生成することができます。新しいブラウザを登録する際に、この新しいトークンを使用します。すでに登録済みのデバイスのトークンを取り消した場合でも、そのデバイスは引き続き有効で登録されたままになります。
-
-
管理コンソールで、メニュー アイコン
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン
- (省略可)左側で組織部門を選択します。デフォルトでは、すべてのブラウザが表示されます。
- 上部の [登録] をクリックします。
- [トークンを取り消して再生成] をクリックします。
- コピーアイコン
をクリックして、新しい登録トークンをコピーします。
- [完了] をクリックします。
をクリックして、新しい登録トークンをコピーします。-
-
管理コンソールで、メニュー アイコン
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン
- (省略可)左側で組織部門を選択します。デフォルトでは、すべてのブラウザが表示されます。
- 上部の [登録] をクリックします。
- [トークンの履歴を表示] をクリックします。
Chrome Enterprise Core からブラウザの登録を解除すると、デバイスからクラウド ポリシーが削除され、次回 Chrome を開いたとき、または次回 Chrome から Chrome Enterprise Core に接続しようとしたときにデバイス トークンが無効になります。プラットフォーム ポリシーとクラウドベースのユーザー ポリシーには影響はありません。Chrome Enterprise Core からデバイスの登録を解除すると、管理コンソールにすでにアップロードされているデータも削除されます。
UnenrollBrowser サンプル スクリプトを使用して、Chrome Enterprise Core の登録解除を自動化することを検討してください。
Chrome ブラウザの登録を解除するには:
-
-
管理コンソールで、メニュー アイコン
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン
- (省略可)左側で組織部門を選択します。デフォルトでは、すべてのブラウザが表示されます。
- 登録を解除するブラウザの横にあるチェックボックスをオンにします。
- 上部の [その他]
Chrome ブラウザの登録トークンを手動で読み取ったり変更したりする必要がある場合は、次の場所を参照してください。
- Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome に移動して CloudManagementEnrollmentToken を確認します。
- Mac: /Library/Google/Chrome/CloudManagementEnrollmentToken に移動します。トークンが設定プロファイルと一緒にデプロイされている場合は、任意のモバイル デバイス管理ツールを使用してトークンにアクセスします。
- Linux: /etc/opt/chrome/policies/enrollment に移動して CloudManagementEnrollmentToken を確認します。
Chrome ブラウザのデバイス トークンを手動で読み取ったり変更したりする必要がある場合は、次の場所を参照してください。
- Windows: デバイス トークンは 2 つの場所に同じものが書き込まれます。値を確認するには、HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment または HKEY_LOCAL_MACHINE\Software\Google\Chrome\Enrollmen に移動し、dmtoken をご覧ください。
- Mac: ~/Library/Application Support/Google/Chrome Cloud Enrollment または /Library/Application Support/Google/CloudManagement に移動します。デバイス トークンのファイル名はデバイスのシリアル番号のハッシュであるため、識別が難しい場合があります。
- Linux: $user_data_dir/policy/Enrollment に移動します。デバイス トークンのファイル名は DeviceID です。これは chrome://policy で確認できます。
注: デバイス トークンが含まれるユーザーデータのディレクトリ($user_data_dir)を確認するには、chrome://version に移動して [プロフィール パス] を探し、最後のパス コンポーネントを削除します。たとえば、~/.config/google-chrome/Default にあるプロフィールのユーザーデータ ディレクトリは ~/.config/google-chrome となります。
注: 登録トークンを保持したままデバイス トークンを削除すると、次回の再起動時に Chrome ブラウザが再登録されます。
誤って管理コンソールでデバイスを削除した場合は再登録できます。
管理対象デバイスで以下の操作を行います。
- Chrome ブラウザを閉じます。
- デバイス トークンを削除します。
- Windows: HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment に移動して dmtoken を削除します。次に、HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Enrollment に移動して dmtoken を削除します。
- Mac: ~/Library/Application Support/Google/Chrome Cloud Enrollment と /Library/Application Support/Google/CloudManagement に移動します。デバイス トークンのファイル名はデバイスのシリアル番号のハッシュであるため、識別が難しい場合があります。
- Linux: $user_data_dir/policy/Enrollment に移動します。デバイス トークンのファイル名は DeviceID です。これは chrome://policy で確認できます。
注: デバイス トークンが含まれるユーザーデータのディレクトリ($user_data_dir)を確認するには、chrome://version に移動して [プロフィール パス] を探し、最後のパス コンポーネントを削除します。たとえば、~/.config/google-chrome/Default にあるプロフィールのユーザーデータ ディレクトリは ~/.config/google-chrome となります。
- Chrome ブラウザを開きます。
注: 管理対象デバイス上の登録トークンは削除しないでください。
質問
登録トークンはいつ使用されますか?
登録トークンは登録時にのみ使用されます。登録後に取り消すことができますが、その場合も登録済みのブラウザは登録されたままになります。登録トークンについて詳しくは、Chrome Enterprise Core のホワイトペーパーをご覧ください。
このトークンの登録プロセスに Windows での管理者権限は必要ですか?
はい。Windows では、システム インストールのみがサポートされています。
登録プロセスで何がアップロードされますか?
Chrome ブラウザでは、登録プロセス中に次の情報がアップロードされます。
- デバイス ID
- 登録トークン
- マシン名
- OS のプラットフォーム
- OS のバージョン
- Windows BIOS シリアル番号
管理コンソールに Chrome 管理セクションが表示されないのはなぜですか?
以前の無償版の G Suite をご利用になっている場合、今のところ管理コンソールで Chrome 管理をご利用いただくことはできません。以前の無償版については今後の対応を予定しています。
システム イメージにデバイス トークンを含める必要がありますか?
いいえ。設定するデバイスごとに一意のデバイス トークンを使用する必要があります。システム イメージを使用して Chrome ブラウザをデプロイする場合、イメージにデバイス トークンが含まれていないことを確認します。デバイス トークンが含まれていると、すべてのデバイスがイメージに含まれている値を使用しようとするので、デプロイに失敗します。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。