ChromeOS デバイスで Imprivata OneSign を使用する

2. 必須のポリシーを設定する

本記事は管理対象の Chrome OS デバイスに関する説明です。

最初に、テストを行う組織部門の少数のデバイスに設定を適用することをおすすめします。デバイスが正常に動作していることを確認してから、組織全体に設定を適用します。

設定方法

ChromeOS には Imprivata 用に次の 3 つの統合タイプが用意されています。

初期のデフォルト設定では、以下の手順に沿って共有型管理対象ゲストセッションを設定することをおすすめします。その後、必要に応じて、分離型管理対象ゲストセッションまたはユーザーセッションに切り替えます。詳しくは、統合タイプを切り替えるをご覧ください。

すべて開く | すべて閉じる

手順 1: 管理対象ゲストセッションの設定を行う

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで、メニューアイコン [デバイス] [Chrome] [設定] [管理対象ゲストセッションの設定] に移動します。
（省略可）設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る
ChromeOS デバイスの管理対象ゲストセッションを以下の手順で有効にします。
1. [全般] に移動します。
2. [管理対象ゲストセッション] をクリックします。
3. [管理対象ゲストセッションを許可する] を選択します。
4. セッション名を入力します。
5. [保存] をクリックします。
アイドル時の動作を無効にします。
注: アイドル時の処理とタイムアウトは、Imprivata 管理コンソールを使用して設定します。
1. [電源とシャットダウン] に移動します。
2. [アイドル設定] をクリックします。
3. [AC 接続時のアイドル時の動作] で [何もしない] を選択します。
4. [バッテリー駆動時のアイドル時の動作] で [何もしない] を選択します。
5. [保存] をクリックします。
自動ログアウトダイアログを無効にします。
1. [セッションの設定] に移動します。
2. [ログアウト確認ダイアログを表示する] をクリックします。
3. [最後のウィンドウを閉じたときに、ログアウト確認ダイアログを表示しない] を選択します。
4. [保存] をクリックします。
（省略可）トレイにログアウトボタンを表示しないようにします。
注: 共有キオスクワークステーションを使用する場合におすすめです。
1. [セッションの設定] に移動します。
2. [トレイにログアウトボタンを表示する] をクリックします。
3. [トレイにログアウトボタンを表示しない] を選択します。
4. [保存] をクリックします。
（省略可）ログイン時にブラウザウィンドウが自動で起動しないようにします。
1. [起動] に移動します。
2. [ログイン時にブラウザを起動する] をクリックします。
3. [ログイン時にブラウザを起動しない] を選択します。
4. [保存] をクリックします。
（省略可）シェルフの配置をカスタマイズします。
注: 仮想デスクトップを全画面表示で使用する場合に、仮想シェルフやネイティブシェルフが重なって表示されないようにカスタマイズできます。
1. [ユーザーエクスペリエンス] に移動します。
2. [シェルフの位置] をクリックします。
3. [右] を選択します。
4. [保存] をクリックします。
（省略可）セッションの言語を設定します。
1. [ユーザーエクスペリエンス] に移動します。
2. [ChromeOS で許可されている言語] をクリックします。
3. 使用する言語を選択します（複数可）。
4. [保存] をクリックします。
5. [セッションの言語と地域] をクリックします。
6. 言語の順序を指定します。
7. [保存] をクリックします。
  注: [セッションの言語と地域] を設定すると、セッション内の ChromeOS 言語とセッション内の Imprivata 拡張機能の通知の言語に影響します。
（省略可）全画面表示モードの Chrome 向けに Citrix Workspace または VMware Horizon Client を設定する場合は、デバイスのロック解除後に通知を表示しなくても全画面で開ける URL を指定しておくことをおすすめします。
1. [ユーザーエクスペリエンス] に移動します。
2. [ロック解除後に全画面表示] をクリックします。
3. 必要に応じて URL を入力します。URL の構文については、URL 拒否リストのフィルタ形式をご覧ください。
  - サンプル URL: chrome-extension://appId（appID は Citrix または VMware のアプリ ID）。
4. [保存] をクリックします。

ステップ 2: デバイスを設定する

管理コンソールで、メニューアイコン [デバイス] [Chrome] [設定] [デバイスの設定] に移動します。
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
デバイスのホスト名を指定します。
1. [その他の設定] に移動します。
2. [デバイスのネットワークホスト名テンプレート] をクリックします。
3. 使用するホスト名テンプレートを入力します。
  Imprivata 管理コンソールにデバイスとこのホスト名が表示されます。ホスト名テンプレートが指定されていない場合、ホスト名はデフォルトでデバイスのシリアル番号になります。
4. [保存] をクリックします。
アプリと拡張機能が直接アクセス可能な USB デバイスを指定します。
1. [その他の設定] に移動します。
2. [USB アクセス] をクリックします。
3. [許可される USB デバイス] で、各デバイスの USB ベンダー ID（VID）とプロダクト ID（PID）をコロンで区切った形式（VID:PID）で 1 行に 1 デバイスずつ入力します。
  サポートされている次のバッジリーダーを入力します。
  c27:3bfa
  c27:3b1e
4. [保存] をクリックします。
（省略可）デバイスがアイドル状態のときにスリープしたり、シャットダウンしたりしないようにします。
1. [電源とシャットダウン] に移動します。
2. [電源管理] をクリックします。
3. [ログイン画面がアイドル状態のときにデバイスをスリープまたはシャットダウンできないようにする] を選択します。
4. [保存] をクリックします。
（省略可）デバイスの言語を設定します。
1. [ログインの設定] に移動します。
2. 使用する言語を選択します。
  注: ログイン言語の設定は、ログイン画面の ChromeOS 言語とログイン画面の Imprivata 拡張機能の言語に影響します。
3. [保存] をクリックします。
  注: Imprivata 拡張機能の一部の文字列は、Imprivata アプライアンスによって直接提供されています。対応する Imprivata コンピュータポリシーを変更して、選択した言語に適合するようにしてください。

ステップ 3: Imprivata 拡張機能を設定する

Imprivata（sign-in screen）拡張機能

管理コンソールで、メニューアイコン [デバイス] [Chrome] [設定] [デバイスの設定] に移動します。
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
[Imprivata] に移動します。
[ログイン画面への Imprivata の統合] をクリックします。
[ログイン画面で Imprivata 拡張機能を使用する] を選択します。
パスワードなどの機密情報が Imprivata 社と共有される可能性があることを確認して、[OK] をクリックします。
ログイン画面のポリシーを設定します。
1. テキストエディタを使用して、拡張機能ポリシーファイルを JavaScript Object Notation（JSON）形式で作成します。Here is an example JSON file.設定できるポリシーの詳細については、以下の表をご覧ください。
  任意のサードパーティ製の JSON 検証ツールを使用して、JSON コードが正しくフォーマットされていることを確認します。
2. [アップロード] をクリックします。
3. アップロードするファイルを選択します。
4. [開く] をクリックします。
[Imprivata のログイン画面のバージョン] で、[バージョン 4 に固定] を選択します。
[保存] をクリックします。
（省略可）JSON ファイルで agentType を sharedKiosk に設定した場合は、以下のように Imprivata の設定を行います。
1. [共有キオスクモード] をクリックします。
2. [共有キオスクモードを有効にする] を選択します。
3. [保存] をクリックします。
4. [共有されたアプリと拡張機能] をクリックします。
5. ユーザーが消去したり再起動したりすることができないようにするアプリと拡張機能の拡張機能 ID を入力します。
  - 重要: 拡張機能ポリシーファイルに入力した Imprivata バージョン 4（in-session）拡張機能 ID（pllbepacblmgialkkpcceohmjakafnbb）と、Citrix や VMware などの拡張機能 ID を必ず追加してください。
  - これらの拡張機能がユーザー間でクリーンアップされないようにするには、ここに VDI 拡張機能 ID を追加します。ユーザーがリソースを手動で起動できるようにする場合は、セッションがクリーンアップされないように VDI 拡張機能をリストに追加しないでください。
6. [保存] をクリックします。

ログイン画面のポリシー

ポリシー	説明
主要な設定
agentType	デフォルトは `sharedKiosk` 組織部門でのワークステーションの使用方法に応じて、`singleUser` または `sharedKiosk` を指定します。共有環境にすばやくログインするには、`sharedKiosk` をおすすめします。詳しくは、統合タイプを切り替えるをご覧ください。
dailySessionLogoutTime	デフォルトは `01:00` デバイスがロック画面でアイドル状態になっている時間が dailySessionLogoutRequiredIdleTimeInMinutes で指定した時間に達すると、拡張機能は dailySessionLogoutTime + jitterDurationMaximumSeconds でセッションをログアウトします。 dailySessionLogoutRequiredIdleTimeInMinutes と組み合わせて使用します。
dailySessionLogoutRequiredIdleTimeInMinutes	デフォルトは `5` デバイスがロック画面でアイドル状態になっている場合、拡張機能によって管理対象ゲストセッションのログアウトがトリガーされるまでの分数です。管理対象ゲストセッションのログアウト前にデバイスが使用された場合、アイドル時間は 0 にリセットされます。デバイスが再びロック画面になると、アイドル時間のカウントが再開します。 dailySessionLogoutTime と組み合わせて使用します。
serverUrls	1 つ以上の要素が必要 Imprivata アプライアンスの URL です。リストには、サイト内のすべてのアプライアンスが含まれている必要があります。最初のデバイス設定更新の段階で、フェイルオーバーサイトを含むサーバーリストが取得されるまで、クライアントによって 1 つのサーバーが（ロードバランシング用に）ランダムに選択されます。IP アドレスではなく、DNS 名を指定してください。
追加の設定
adfsLoginPagesAllowlist	シームレスなアクセスを提供する Imprivata Web SSO が設定された医療用ワークステーションと、デフォルトの AD FS ログインワークフローを使用して認証を行う医療用以外のワークステーションが混在する企業向けのオプションの構成です。 Imprivata が提供する Microsoft Active Directory Federation Services: Imprivata Web SSO Setup のドキュメントに準拠します。注: Imprivata パートナーポータルへのアクセスが必要です。 Imprivata（in-session）でのみサポートされます。
citrixReceiverExtensionId	デフォルトは `haiffjcadagjlijoggckpgfnoeiflnem` Citrix Receiver アプリの拡張機能 ID です。
debugLoggingEnabled	デフォルトは `false` デバッグログへのアクセスを可能にするかどうかを指定します。本番環境以外の別の組織部門にあるシングルデバイスの場合のみ、`true` に設定することをおすすめします。詳しくは、Imprivata OneSign の連携に関する一般的な問題を解決するをご覧ください。
debugSessionEnabled	デフォルトは `false` ログイン画面を閉じてデバッグセッションを開始できるかどうかを指定します。本番環境以外の別の組織部門にあるシングルデバイスの場合のみ、`true` に設定することをおすすめします。詳しくは、Imprivata OneSign の連携に関する一般的な問題を解決するをご覧ください。
defaultDomain	デフォルトはアルファベット順で最初のドメイン利用可能なドメインのうち、ログイン画面とロック画面で選択済みのデフォルトのドメインです。文字列の値は、利用可能なドメインのいずれかと完全に一致する必要があります。
greetingNotificationDurationMs	デフォルトは `8000` 挨拶メッセージを表示する時間をミリ秒単位で指定します。値を「`0`」に設定すると、メッセージが表示されなくなります。
guestSessionOnOutageEnabled	デフォルトは `false` ChromeOS デバイスが Imprivata アプライアンスに接続できない場合に、ユーザーがゲストとしてログインすることを許可するかどうかを指定します。
jitterDurationMaximumSeconds	デフォルトは `600` 新しくインストールされた Imprivata 拡張機能が Imprivata アプライアンスに接続するまで待機する最大秒数です。この値を指定すると、Imprivata のサーバーの負荷が急増するのを回避するために役立ちます。値を「`0`」に設定すると、すべてのデバイスが即座に Imprivata アプライアンスに接続します。値を「`600`」（10 分）に設定すると、10 分間にわたって、新しくインストールされた拡張機能から Imprivata アプライアンスへの負荷が分散されます。ユーザーはいつでも Imprivata アプライアンスに接続し、ジッターの時間をスキップすることができます。
metricsCollectionEnabled	デフォルトは `true` 指標の報告を有効にするかどうかを指定します。詳しくは、その他の機能を設定するをご覧ください。
pinnedRemoteApp	セッションの開始時に ChromeOS シェルフに固定される VDI アプリの名前です。ユーザーがアイコンをクリックすると、ChromeOS ランチャーを開かずにアプリを起動できます。文字列の値は、ユーザーが利用可能なリモートアプリのいずれかと完全に一致する必要があります。
roamingEnabled	デフォルトは `true` 最後の仮想アプリまたは仮想デスクトップを閉じたときに、ユーザーを自動でログアウトさせるかどうかを指定します。たとえば、ローミングする場合などがあります。
showAppsInLauncher	デフォルトは `true` リモートアプリを起動するためのショートカットをランチャーに追加するかどうかを指定します。
showDesktopsInLauncher	デフォルトは `true` リモートデスクトップを起動するためのショートカットをランチャーに追加するかどうかを指定します。
showUsernameOnSharedKioskLockScreen	デフォルトは `true` 共有されたキオスクセッションのロック画面にユーザー名を表示するかどうかを指定します。注: 管理対象ゲストセッションを使用する場合にのみ適用されます。
skipLoginScreen	デフォルトは `false` `true` に設定した場合、Imprivata 拡張機能はログイン画面をスキップし、管理対象ゲストセッションを開始します。MGS を事前に読み込み、ユーザーがデバイスを手にするときにはデバイスの準備が整っているようにします。
smartCardConnectorExtensionId	デフォルトは `khpfeaanjngmcnplbdlpegiifgpfgdco` パソコン、スマートカード用の近接型カードリーダーに使用する Smart Card Connector アプリの拡張機能 ID です。詳しくは、その他の機能を設定するをご覧ください。
ssoProfile	ID プロバイダ（IdP）として Imprivata で Web SSO が構成された組織部門の SSO プロファイル ID です。たとえば、[エンティティ ID] の値が https://accounts.google.com/samlrp/metadata?rpid=ABCxyz123 のようになっている場合、 ssoProfile の値は ABCxyz123 になります。 useSamlUserSessionsForSingleUserWorkstation と組み合わせて使用します。
useSamlUserSessionsForSingleUserWorkstation	デフォルトは `false` 開始するセッションを ChromeOS ユーザーセッションにするかどうかを指定します。 agentType を `singleUser` として設定した場合にのみ使用できます。 Web SSO を構成して ssoProfile 拡張機能ポリシーを設定する必要があります。
vmwareClientExtensionId	デフォルトは `ppkfnjlimknmjoaemnpidmdlfchhehel` VMware クライアントアプリの拡張機能 ID です。

Imprivata（in-session）拡張機能

管理コンソールで、メニューアイコン [デバイス] [Chrome] [アプリと拡張機能] [管理対象ゲストセッション] に移動します。
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
Imprivata（in-session）拡張機能を追加します。
1. 追加アイコン「Chrome アプリや拡張機能を ID で追加」アイコンをクリックします。
2. Imprivata（in-session）拡張機能 ID「pllbepacblmgialkkpcceohmjakafnbb」を入力します。
3. [カスタム URL] を選択します。
4. スペースを入れずに次の URL を入力します。
  https://storage.googleapis.com/chromeos-mgmt-public-extension/imprivata/v4/update_manifest.xml
5. [保存] をクリックします。
Imprivata（in-session）拡張機能を設定します。
1. アプリと拡張機能のリストで、追加した Imprivata（in-session）拡張機能（pllbepacblmgialkkpcceohmjakafnbb）を見つけます。
2. [インストールポリシー] で [自動インストールする] を選択します。
3. Imprivata（in-session）拡張機能（pllbepacblmgialkkpcceohmjakafnbb）をクリックします。オプションパネルが開きます。
4. [証明書の管理] で、[鍵へのアクセスを許可する] の隣にあるアイコンをオンにします。
5. [保存] をクリックします。

注: Imprivata（in-session）拡張機能には、拡張機能ポリシーファイルは不要です。

ステップ 4: Chrome 向けに Citrix Workspace または VMware Horizon Client を設定する

Citrix

バージョンを選択する

Citrix は安定版のクライアントアプリを Chrome ウェブストアで提供しています。Citrix Workspace の拡張機能 ID は haiffjcadagjlijoggckpgfnoeiflnem です。

Citrix Tech プレビューや自己ホスティングを使用している場合など、デフォルトで Citrix の安定版を使用していない場合は、以下の操作を行います。

ステップ 3: Imprivata 拡張機能を設定するで設定した Imprivata（sign-in screen）拡張機能の citrixReceiverExtensionId 拡張機能ポリシーを更新します。
カスタマイズした Citrix クライアントアプリの ID を Citrix バックエンドの許可リストに登録します。詳しくは、Citrix のドキュメントをご覧ください。

インストール、設定する

管理コンソールで、メニューアイコン [デバイス] [Chrome] [アプリと拡張機能] [管理対象ゲストセッション] に移動します。
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
Citrix Workspace を追加します。
1. 追加アイコン「Chrome アプリや拡張機能を ID で追加」アイコンをクリックします。
2. 使用するバージョンの拡張機能 ID とソースを入力します。
3. [保存] をクリックします。
Citrix Workspace を設定します。
1. アプリと拡張機能のリストで [Citrix Workspace] を見つけます。
2. [インストールポリシー] で [自動インストールする] を選択します。
3. [Citrix Workspace] をクリックします。オプションパネルが開きます。
4. [拡張機能のポリシー] で、有効な JSON 形式を使用して拡張機能ポリシーを編集またはアップロードします。Here is an example JSON fileは、Imprivata 拡張機能と Citrix Workspace アプリの通信を許可します。
  全画面モードなどの設定オプションについては、Citrix 製品のドキュメントをご覧ください。
5. [保存] をクリックします。
（省略可）安定性を高めるには、拡張機能のバージョンの固定を使用してバージョンを固定できます。
ChromeOS の更新を特定のバージョンに固定する方法について詳しくは、ChromeOS デバイスの更新を管理するをご覧ください。

VMware

バージョンを選択する

VMware は安定版のクライアントアプリを Chrome ウェブストアで提供しています。VMware Horizon Client for Chrome の拡張機能 ID は、ppkfnjlimknmjoaemnpidmdlfchhehel です。

ベータ版や自己ホスティングを使用しているなど、デフォルトで VMware の安定版を使用していない場合は、以下の操作を行います。

ステップ 3: Imprivata 拡張機能を設定するで設定した Imprivata（sign-in screen）拡張機能の vmwareClientExtensionId 拡張機能ポリシーを更新します。
カスタマイズした VMware クライアントアプリの ID を VMware バックエンドの許可リストに登録します。
1. Horizon Connection Server の仮想マシンで、次の場所にある settings.properties ファイルを開きます。
  C:/Program Files/VMware/VMware View/Server/sslgateway/conf
2. ファイルの末尾に次の行を追加し、必要に応じてカスタマイズした VMware クライアントアプリの ID を入力します。
  chromeExtension.1=ppkfnjlimknmjoaemnpidmdlfchhehel chromeExtension.2=kenkpdjcfppbccchillfdjkjnejjgand
3. VMware セキュリティゲートウェイコンポーネントサービスまたは Horizon Connection Server 全体を再起動します。

インストール、設定する

管理コンソールで、メニューアイコン [デバイス] [Chrome] [アプリと拡張機能] [管理対象ゲストセッション] に移動します。
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
VMware アプリを追加します。
1. 使用するバージョンの拡張機能 ID とソースを入力します。
2. [保存] をクリックします。
追加アイコン「Chrome アプリや拡張機能を ID で追加」アイコンをクリックします。
VMware アプリを設定します。
1. アプリと拡張機能のリストで VMWare アプリを探します。
2. [インストールポリシー] で [自動インストールする] を選択します。
3. VMWare アプリをクリックします。オプションパネルが開きます。
4. [拡張機能のポリシー] で、有効な JSON 形式を使用して拡張機能ポリシーを編集またはアップロードします。Imprivata（in-session）拡張機能はデフォルトで許可リストに登録されています。ここで説明する設定オプションはすべて省略可能です。詳しくは、VMware のドキュメントをご覧ください。
5. [保存] をクリックします。
（省略可）安定性を高めるには、拡張機能のバージョンの固定を使用してバージョンを固定できます。
ChromeOS の更新を特定のバージョンに固定する方法について詳しくは、ChromeOS デバイスの更新を管理するをご覧ください。

ステップ 5: ネットワークを設定する

証明書を追加する

この手順を実施するには、Imprivata OneSign アプライアンスで使用するルート CA 証明書が必要です。自己署名証明書を使用する場合は、Imprivata アプライアンスのコンソールの [Security] [SSL] タブからダウンロードできます。

管理コンソールで、メニューアイコン [デバイス] [ネットワーク] の順に移動します。
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
証明書を追加します。
1. [証明書] [証明書をアップロード] をクリックします。
2. 証明書の名前を入力します。
3. [アップロード] をクリックします。
4. ルート CA 証明書ファイルを選択します。
5. [開く] をクリックします。
6. [Chromebook] と [Chromebook 上の Imprivata アプリ] を選択します。これらは、追加した証明書がその認証局となるプラットフォームです。
7. [追加] をクリックします。

Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。