管理者は ChromeOS Flex を多数のデバイスに導入できます。ChromeOS Flex のインストールとインストール後のデバイスのセキュリティには、各モデルに固有の BIOS/UEFI 設定が影響するのでご注意ください。
セキュアブートを有効にする
ChromeOS Flex イメージは署名、検証が済んでいるため、最新の UEFI 対応モデルに組み込まれたセキュア ブート システムは、起動時に ChromeOS Flex イメージを検証できます。セキュアブートは、ChromeOS Flex イメージが既知のソース(Google)から提供されたものであることをチェックします。
ChromeOS Flex をインストールする前に、UEFI とセキュアブートを有効にすることをおすすめします(サポートされている場合)。UEFI とセキュアブートを有効にすることで、サードパーティの未署名のオペレーティング システムがデバイスで実行されることを防げます。
セキュアブートを無効にするのは、認定モデルリストの対象モデルの詳細なメモに記載がある場合、またはインストールに必要な場合のみにしてください。詳しくは、認定モデルリストをご覧ください。
TPM のクリアと有効化(サポートされている場合)
一部の ChromeOS Flex 認定モデルには TPM セキュリティ ハードウェアが搭載されています。TPM を適切に設定することで、ユーザー アカウントのロック解除などに使用される暗号シークレットの安全な格納場所が提供されます。
お使いの認定モデルで TPM がサポートされている場合は、ChromeOS Flex をインストールする前に TPM をクリアして有効化してください。そうすることで、ChromeOS Flex のインストール直後にデバイスを登録できます。TPM の準備ができていない状態でデバイスを登録しようとすると、ChromeOS Flex にメッセージが表示されます。
ChromeOS Flex で TPM を使用するをご覧ください。
起動可能メディアと BIOS/UEFI アクセスの制限
多くの場合、ChromeOS Flex のインストールでは、USB 起動をオンにするなど、BIOS または UEFI の設定変更が必要になります。導入時にデバイスの BIOS または UEFI の設定を変更できるのは、管理者のみであることが理想です。
導入後の ChromeOS Flex デバイスのセキュリティとスピードを最大限に高めるために、以下を行うことをおすすめします。
- 外部メディアから起動できないようにする—デバイスを外部メディアから起動できる状態にしておくと、セキュリティが低下し、望ましくない OS が後からインストールされてしまう可能性があります。
注: オプション名は OEM によって異なります。[USB boot]、[Boot from external media]、または同様の設定を探します。 - BIOS または UEFI に安全な管理者パスワードを設定する—パスワードは、それを本当に必要としている IT 管理者と技術サポート スタッフの間でのみ共有してください。そうすることで、ユーザーが変更を加えたり、別の OS を起動したりできなくなります。
公式 ChromeOS Flex イメージのみを導入する
ChromeOS Flex の導入をサポートしている全員がインストール イメージの提供元を把握しているようにしてください。