Professional Chrome Enterprise Administrator 認定試験範囲の解説
こんにちは。クラウドエース株式会社で Google Cloud 認定トレーナーをしている廣瀬 隆博です。近日中にヘヴィメタルのお祭りが開催されるのですが、今年は出演バンドの傾向が大きく変わりました。一言でいえば若返りを目指しているような印象ですが、それには賛否両論あるようで、私の周りでも「今年はとても楽しみ」「今年は参加を止めておこう」といった両極端な意見が出ていたりします。とはいえ、大御所と呼ばれるバンドは高齢となったことで活動休止や解散をすることもあり、今年は変革を狙ったのではないかと感じています。
Web ブラウザの世界でも過去に何度か変革期がありました。Internet Explorer 全盛期に登場した Chrome ブラウザは一世を風靡し、あっという間に大きなシェアを獲得しました。今や Chrome ブラウザはビジネスの現場でも多く使われており、大きな組織であれば一元管理の必要性を感じることでしょう。今回お届けするのは、そういった要件を実現する Chrome Enterprise に関する認定試験範囲の解説です。同資格は比較的最近に登場したばかりなのですが、その内容は「これから Chrome ブラウザを組織的に一元管理したい」という入門者にも最適な内容ですので、受験予定はなくとも Chrome Enterprise に興味のある方は是非ともお読みいただけますと幸いです。
本記事を読み始める前に
本記事は Professional Chrome Enterprise Administrator の認定試験範囲について解説するものであり、Chrome ブラウザに対してある程度の知識・経験を保有している方に向けた内容となっています。どなたにも理解いただけるように、なるべく平易な表現を心がけておりますが、あらかじめご了承ください。
試験範囲の概要
解説を始める前に、そもそもどんな試験なんだ? ということに少し触れておきましょう。
本試験は、Engineer 向けではなく Administrator 向け、つまり日常的に Chrome ブラウザを運用管理する方を対象とした試験ですね。そのため、アーキテクチャを理解・設計するような内容はあまり含まれておらず、Chrome Enterprise が提供する機能を使って Chrome ブラウザを効率的に管理するノウハウ が問われます。Professional と命名されていますが、Google Cloud 認定資格における Associate レベルの内容だと感じますので、「とりあえずやってみよう」という軽い気持ちで学習に挑んでみてはいかがでしょうか。
試験範囲の解説
それでは、試験範囲の解説に入りましょう。まずは Chrome Enterprise の概要に少し触れたあと、実際に導入する手順を解説します。Chrome Enterprise が使える状態となったら各種管理機能を実装し、運用開始後の管理機能を学んで終了といった形ですね。記事に従って実際の操作することで理解の助けになると思うので、ドメインをお持ちの方は是非とも試してみてください。
Chrome Enterprise とは
そもそも Chrome Enterprise とは何でしょうか。Chrome と言えば Google の提供する Web ブラウザだということは、今となっては説明が不要なくらい有名でしょう。組織的に使っていることも多いと思います。
しかし、組織の規模が大きくなってくると、Chrome ブラウザの動作を一元的に管理したいという要望もあると思います。例えば、「個人の Google アカウントでログインさせたくない」という要件は多くの組織が持っていそうですね。そういう時に使うのが Chrome Enterprise です。
エディション
Chrome Enterprise では 2 種類のエディションが提供されており、それぞれ Core および Premium という名称です。前者は無償で基本機能が使えるものであり、後者は有償ですが、優れた管理機能が使用可能となります。それぞれの機能差異は公式ドキュメントが参考になるので、軽く見ておくと良いですね。
クラウド管理
Chrome Enterprise は Google の管理コンソールを用いた クラウド管理 が可能です。対となる言葉はオンプレミス管理でしょうか。
オンプレミス管理の場合、Active Directory などの管理サーバーは組織内のローカルなネットワークに配置されます。管理サーバーと通信可能なデバイスは問題ありませんが、リモートワークや Bring Your Own Device(以下、BYOD) の場合に管理が行き届かない可能性があります。例えば VPN などで遠隔地からローカルなネットワークに接続させることもできますが、それを維持しなければなりません。
一方、Google の管理コンソールでクラウド管理が可能な Chrome Enterprise では、管理サーバーの維持管理が不要であり、VPN のような仕組みも導入する必要はありません。インターネット経由で Google にさえ繋がれば管理可能なので、オンプレミス管理よりも手間が削減されますね。
なお、「Active Directory のサーバーをクラウドで運用してグローバルな IP アドレスを割り当てればよいじゃないか」という発想もありそうですが、それはもうオンプレミス管理とは言えないんじゃないかと思います。セキュリティも心配になりそうですね。
Chrome Enterprise の利用開始
Chrome Enterprise について少し理解したところで、実際に使い始める準備しましょう。
以下の公式ドキュメントは Core を使い始めるための手順ですが、Enterprise であっても基本は同じです。
Google 管理コンソールへのアクセス
これまでにも何度か登場していた Google 管理コンソールですが、以下の URL からアクセスすることができます。Chrome Enterprise の設定に用いる画面なので、この後の手順を実際に試す場合はアクセスしてみてください。なお、結構な高権限が必要なので、私も所属する組織の Google 管理コンソールにはアクセスすることができませんでした。
ドメイン所有権の証明
はじめに、ドメインの所有権 を証明します。この手順は、Google Workspace や Cloud Identity といったサービスと共通です。管理画面も同じ Google 管理コンソールを使用するため、Chrome Enterprise の管理機能は、既存のサービスに追加されるアドオンと捉えると分かりやすいでしょう。
ドメインの所有権を証明するためには、証明用の Domain Name System(以下、DNS)レコードを取得し、ドメインの DNS サーバーに TXT レコードとして追加することで所有権を証明することができます。
Google「このランダム文字列を登録してね」 → 利用者「登録したよ」 → Google「登録してあるね!ドメインを所有していることが確認できたよ!」といった感じのフローですね。
組織部門の作成
ドメインの所有権を証明して Chrome Enterprise が使用できるようになったら、まずは 組織部門 を作成します。組織部門とは、Active Directory における Organizational Unit(OU)と同等の機能 といえば、すんなり理解できる方も多いでしょう。Google Cloud であれば、リソース階層におけるフォルダですね。フォルダのようなものでユーザーやデバイスをグループ化し、階層構造の上から下へポリシーを継承することで組織内を一元管理するための仕組みとなります。
設計のコツとして、ユーザーとデバイスで組織部門の構造を分けることが挙げられます。
- 同じユーザーでも、組織から支給されたノート PC と BYOD のスマートフォンで Chrome ブラウザの制御を変えたい
- 交代制勤務のため複数人でデスクトップ PC を共用するが、役職ごとに制御を変えたい
Google グループの作成
組織部門によって管理対象の Chrome ブラウザを階層構造で管理しますが、それだけでは要件を満たせない場合があります。そういった場合には、Google グループ を用いて管理対象をグルーピングします。
管理対象の登録
組織部門が作成できたら、Chrome ブラウザを管理対象として登録します。登録トークン と呼ばれる文字列を生成し、これを対象のデバイスに登録することで、デバイス内に導入した Chrome ブラウザが管理対象として登録される仕組みです。
Chrome Enterprise の機能
Google 管理コンソールに Chrome ブラウザが管理対象として登録されたことで、管理する準備が整いました。それでは、Chrome Enterprise を用いることで実現可能な管理について、各機能を解説していきます。
本項には Chrome Enterprise の機能ではなく、Chrome ブラウザ自身のものも含まれますが、そういった仕組みを複合的に活用することで組織としての一元管理を実現します。試験対策の観点では「こっちは Chrome ブラウザ」「あっちは Chrome Enterprise」と機能を分けて覚える必要はありませんので、総じて Chrome ブラウザの管理機能 だと覚えていきましょう。
なお、Windows 上の Chrome ブラウザについて、管理するための各種資料へのリンク集が以下の公式ドキュメントとなります。様々なケースで Chrome ブラウザを管理する際の助けとなりますので、是非一度眺めてみるだけでも試験対策になるかと思います。
ポリシー
冒頭で解説した「Chrome の動作を一元的に管理したい」という要望に大きく寄与する機能が ポリシー です。Chrome ブラウザごとに個別設定が可能なパラメータを、組織として一元管理することができます。
Chrome ブラウザでは、chrome://settings にアクセスすることで、設定を変更することが可能です。これを Google 管理コンソールから設定することで、管理対象の Chrome ブラウザに反映させる仕組みとなっています。
ポリシーリスト
Chrome ブラウザのポリシーは非常に多く、数百個もあります。ここでは詳細を割愛しますが、試験対策という観点では個別のポリシーまで覚える必要はありません。詳しく知りたい方は、以下の公式ドキュメントをご参照ください。
適用されたポリシーの確認
Chrome ブラウザでは、chrome://policy にアクセスすることで、適用されたポリシーを確認することができます。Google 管理コンソールで意図した設定が管理対象の Chrome ブラウザに登録されていることを確認する際に重宝するので、是非とも覚えておきましょう。
ポリシーの優先順位
ポリシーは複数の方法で設定可能です。例として、Google 管理コンソールで登録する設定は、ユーザーが個別に Chrome ブラウザ で設定することも可能です。これが重複した場合、Google 管理コンソールが優先されるのは何となく想像できると思います。
正確には設定方法は 4 つあり、既定では以下の優先順位で適用されます。この順位は変更可能なので、必要に応じて調整しましょう。
- プラットフォームのポリシー : Windows であれば、レジストリやグループ ポリシーで指定するデバイス用の設定
- マシンのクラウド ポリシー : Google 管理コンソールから 管理対象の Chrome ブラウザに設定する
- OS ユーザーのポリシー : Windows であれば、レジストリやグループ ポリシーで指定するユーザー用の設定
- クラウド ユーザーのポリシー(Chrome プロファイル) : Google 管理コンソールから 管理対象のユーザーに設定する
ポリシーの継承と上書き
前述の「ポリシーの優先順位」は設定箇所によるものでした。ところが、同じ Google 管理コンソール内の設定であっても、組織部門による階層構造で設定が重複した場合、優先順位に応じた設定が適用されます。既定では下位の組織部門で設定したポリシーが優先されます。「組織全体としては A という設定にしたいが、一部の部署では B が良い」といった制御が可能ですね。
テスト環境
ポリシーの継承と上書きをうまく使うことで、テスト用の Chrome ブラウザに先行して設定を実装する 仕組みが可能です。実際に Chrome Enterprise の運用が始まった後でポリシーを変更したい場合、事前検証もなくすべての Chrome ブラウザへ反映されると困りますよね。継承と上書きをうまく使い、テスト環境を用意しましょう。
プロファイル
Chrome ブラウザにおける プロファイル とは、複数の Google アカウントが必要な場面において、それぞれのアカウントが持つデータを分離して扱うための仕組みです。BYOD における個人と業務のアカウントを分離することはもちろんのこと、複数の組織が発行するアカウントを使い分ける際にも活躍します。
拡張機能
Chrome ブラウザには、Chrome ウェブストアから提供される 拡張機能 があります。これは Android における Google Play と同じようなもので、Chrome ブラウザに多様な機能を追加するもの です。一方、拡張機能は個人開発者が提供しているものもあり、セキュリティが必ずしも盤石とは言えません。 そういった拡張機能は組織として一元管理することで、セキュリティの脅威を避けることに繋がります。
組織としての拡張機能の管理
拡張機能はセキュリティの懸念を捨て去ることはできないものの、基本的には便利であり、生産性を高めるものです。頭ごなしにすべてを拒否するのはもったいない側面もあるので、組織として拡張機能を管理 しましょう。
拡張機能のブロックと許可
組織のセキュリティ ポリシーにもよりますが、こういった管理は、大別すると ホワイトリスト形式と ブラックリスト形式 があります。前者は組織が認めたものだけ許可する方式であり、後者は組織が禁止したものだけをブロックする方式です。よりセキュアなものはホワイトリスト形式ですが、最先端の拡張機能を気軽に試すことができなくなるので、組織の構成や方針に応じて柔軟に選択することが必要ですね。
拡張機能のバージョン固定
拡張機能をホワイトリスト方式で運用する場合、「最新バージョンは安全か」を確認したうえで利用を許可したいという需要があります。そういった場合には 拡張機能のバージョンを固定する ことが有効な対策となります。前述のテスト環境と組み合わせることで事前に最新バージョンの動作を確認したうえで組織内へ展開することが可能なので、うまく運用することで 安全で便利な Chrome ブラウザ を実現しましょう。
セーフ ブラウジング
Chrome ブラウザには、セキュリティの脅威からユーザーを守るための セーフ ブラウジング 機能があります。既定でも本機能は有効ですが、より強固な 保護強化機能 を用いることで未知の脅威にも一定の防御が期待できます。
レガシー ブラウザ サポート
今では少なくなりましたが、過去には Windows の Internet Explorer でなければ正常に動作しない業務システムがありました。そういったシステム向けの レガシー ブラウザ サポート を用いると、特定の URL へアクセスした際に Internet Explorer を起動してアクセスすることが可能です。
今では Internet Explorer 自体がサポートを終了していますが、試験対策という観点では頭の片隅にでも覚えておくと得するかもしれませんね。
Data Loss Prevention
Data Loss Prevention(以下、DLP) とは、情報漏洩を防ぐための仕組みです。本機能は Premium エディションでのみ提供されるものであり、同エディションを選択する価値の一つだと言えます。Chrome を用いたデータのアップロードやダウンロード、スクリーンショット、印刷などの操作に対して、情報漏洩の可能性を検知して操作をブロックする目的で使用します。
DLP のルール
DLP とは、定義されたルールに従ってユーザーの操作をスキャンし、機密情報の漏洩をブロックするものです。 ルールにはクレジット カード番号やマイナンバーのような 定義済みのルール もありますが、ユーザーが自由に定義する文字列を検出することも可能です。例えば機密文章に既定の採番ルールが存在する場合、それを検出して外部への発信を防ぐことで、情報漏洩を防ぐ助けとなるでしょう。
コンテキストアウェア アクセス
DLP を効果的に使用するためには、コンテキストアウェア アクセス が欠かせません。例えば、通常使用することが想定されていない国や地域で操作している場合に、デバイスへの機密情報ダウンロードをブロックすることができます。これにより、Google アカウントの利用を想定していない国や地域の悪意あるユーザーにアカウントが乗っ取られてしまった場合にも、機密情報の漏洩を防ぐことにも繋がります。リモートワークや BYOD を想定していない組織であれば、自組織のグローバルな IP アドレス以外は厳しい制限をかけることも有効な情報漏洩対策ですね。
コネクタ
Chrome Enterprise における コネクタ とは、様々なサードパーティー製のツールと Chrome を連動させるための機能です。本機能は DLP を使用する際にも活用できるものであり、ブラウザと DLP の安定性が向上します。Premium エディションと DLP を使用するのであれば、是非ともコネクタを活用しましょう。
運用管理
Chrome Enterprise は Google 管理コンソールで提供される機能であり、サーバーのパッチの適用やバックアップのような、煩雑な運用管理は不要です。しかし、ユーザーが操作している Chrome は日々更新されていくものであり、これを適切に運用していかなければなりません。
ブラウザの更新
Chrome ブラウザは日々更新されます。本記事執筆時点でバージョン 100 を大きく超えており、その数値からも更新頻度の高さがうかがえます。更新処理は既定でもある程度最適化されていますが、組織として様々な観点からコントロールすることも可能です。
リリース チャンネル
Chrome ブラウザは、リリース チャンネル によって最新機能の提供タイミングをコントロールすることができます。分かりやすいところでは、新機能をいち早く試すことができる Beta チャンネルでしょうか。他にも数種類あるので、使いどころも含めて覚えておきましょう。
- Stable : いわゆる安定板であり、十分なテストがされているので、ほとんどのユーザーに最適
- マイナー リリースは 2 ~ 3 週間ごと、メジャー リリースは 4 週間ごと
- Extended Stable : 機能の更新が提供される期間は長くなるが、セキュリティ修正は Stable と同等となるため、新機能をあまり提供したくない場合に用いる
- 更新は 8 週間ごと
- Beta : Stable 版で提供予定の 新機能を 4 ~ 6 週間前にプレビューとして提供する
- 情報システム部門など、一部のユーザーに適用することで新機能の事前検証が可能となる
- Dev : 開発者向けであり、Stable 版で提供予定の新機能を 9 ~ 12 週間早くプレビューできる
- Chrome を用いた Web システムを開発している場合など、安定性より新機能の早期検証が求められる場合に用いる
- Canary : 開発中の時期バージョンであり、積極的に使用するものではない
- 日常的に使用するには不安定であり、サポートからテストするように依頼された場合を除き、使用しないことが推奨される
リリースノート
Chrome ブラウザの更新内容はリリースノートから確認することができます。正式なリリースはもちろんのこと、各リリース チャンネルごとの更新も公開されているので、必要に応じて確認しましょう。
レポート
組織として Chrome ブラウザを管理することで、各自の利用状況が レポート として Google 管理コンソールへ集められるようになります。レポートを使うための操作から具体的に得られる情報まで、順に解説していきます。
Chrome ブラウザおよびプロファイルのレポート有効化
レポートを使い始めるためには、ポリシーの一部として提供されている各種レポートを有効にする必要があります。ブラウザに関するレポート というカテゴリーで提供されているので、必要なものを有効にしておきましょう。
分析情報レポート
管理対象の Chrome ブラウザを視覚的に分かりやすく表示する機能が 分析情報レポート です。バージョンの分布確認や長時間更新されていない Chrome ブラウザの調査など、さまざまな情報を分析することができます。
アプリと拡張機能の使用状況レポート
管理対象の Chrome ブラウザで動作している拡張機能の情報を表示する機能が Chrome アプリと拡張機能の使用状況レポート です。どの拡張機能がどれくらい導入されているか、その拡張機能のリスクスコアの高低はどうか、などの情報を確認することができます。
Chrome のログイベント
管理対象の Chrome ブラウザでは、さまざまなイベントが発生します。例えば、拡張機能のインストール、ブラウザのクラッシュ、DLP の保護要件に引っかかるようなセキュリティ インシデントなどは Chrome のログイベント として記録されます。普段はそれほど見ることがないかもしれませんが、何か問題が起きて過去のイベントを調査する必要が発生した場合の助けになるので、是非とも覚えておきましょう。
Chrome ブラウザを管理対象外にする
例えば PC を最新の物と入れ替えた場合、古い PC の Chrome ブラウザは管理する必要が無くなります。こういった場合、Google 管理コンソールから Chrome ブラウザを削除することで管理対象外にすることができます。
また、既定では 540 日を超えて接続されなかったブラウザは Google 管理コンソールから自動的に削除されます。この日数は変更することが可能ですので、必要に応じて変更しましょう。
管理者権限
いわゆる特権管理者であれば、あらゆる操作が可能です。しかし、運用が始まった後であれば、誤操作がトラブルを生む可能性もあります。そういった状況を避けるために、管理に必要な権限がグルーピングされた 既定の管理者ロール があります。例えば、設定を変える必要はないがユーザーだけ管理する必要がある場合、ユーザー管理者が適切と言えるでしょう。必要な権限だけを与える 最小権限の原則 を意識して、管理者権限を適切に与えましょう。
カスタムロール
既定の管理者ロールは便利で扱いやすいですが、それでは権限の過不足が発生して要件を満たせない場合があります。そういった場合には カスタムロール を用いることで、より細やかな権限付与を実現することができます。個別の権限をユーザーが考えてロールにまとめる仕組みなので、少し手がかかるという側面もあり、既定の管理者ロールではどうしても実現できない要件があれば使用するのが良いでしょう。
トラブルシューティング
Chrome ブラウザにトラブルが起きた場合、前述のレポートでも一定の調査は可能です。しかし、もっと詳細に調べる必要が生じた際には、ここで紹介するツールや手法を用いて対応しましょう。
デバッグログ
エラーメッセージが表示されたりブラウザの応答が無くなった場合、原因の調査に デバッグログ が役に立ちます。自動で生成されるものではなく有効化の操作は必要なのですが、常時有効にしておくようなものでもありませんので、必要に応じて一時的に有効化しましょう。
net-export
ブラウザのクラッシュやエラーだけではなく、ネットワークに関するトラブルが発生する場合もあります。特定の Web サイトに繋がらなかったり、繋がっても動作が遅いような状況では、net-export を取得することで原因調査の助けとなります。
リモート コマンドによるキャッシュ クリア
Chrome ブラウザが正常に動作しない場合、Cookie やキャッシュといった情報が原因となっている場合もあります。そういった場合は情報を削除することで復旧することも多いのですが、ユーザーへ操作をレクチャーするのは大変ですよね。リモート コマンド を用いることで、Google 管理コンソールから対象のブラウザやプロファイルに対してクリア操作を遠隔実行することができます。
まとめ
Chrome ブラウザを管理するための手法について解説してきました。SaaS として提供される Chrome Enterprise を Google 管理コンソールから操作するだけなので比較的簡単であり、冒頭に「とりあえずやってみよう」と書いた理由が伝わっていれば幸いです。本記事に書かれた内容をひとしきり操作しておけば、ある程度試験の勝算はあると思いますので、是非ともチャレンジしてみてください。
クラウドエース株式会社 Google Cloud 認定トレーナーの廣瀬 隆博がお届けしました。また次の記事でお会いしましょう。
Discussion