GWS環境の情シスならChrome Enterpriseを使おう
前提
以下、GWS・Windows・Androidです。iOS・ChromeOSは登場しません。
自分はChrome Enterpriseを使い始めるまでによく分からなくて試行錯誤したので、ここに書き残しておきます。
既に導入していて使えそうなポリシーだけ知りたいよ、という方は「ポリシー設定~」あたりを見ていただけるとよいかと思います。
Chrome Enterpriseとは何なのか
ChromeOSやChromeブラウザをいい感じに管理できます。
Google Adminで情報を表示できたり、1台1台設定せずともChromeの設定を変えたり強制したり。
他のPCのChromeにリモートコマンドを送って操作することもできます。
たとえば、社員PCでウェブサイトの表示がおかしいからキャッシュ削除を試してほしいとき、情シスがリモートコマンドを送ればキャッシュ削除できてしまう。便利です。
Chromeを管理下に置いたもの、と雑に考えてよさそうです。
利用者目線で見た場合には、普通のChromeと変わるところはありません。いつも通りのChromeです。
最初に引っかかるところ
まず、公式サイトを見ても無料か有料なのか分かりませんでした。
価格表示はないものの、「お問い合わせ」ボタンがある。これは課金サービスによくあるスタイルだ…
しかもGWSのヘルプや管理画面では「Chrome ブラウザ クラウド管理」という名前になっています。別物かと思うと同じものなんですね。
むずかしい。
結論、GWS利用中ならブラウザ管理は無料で使えます。
Google Adminのサブスクリプション画面に「Chrome ブラウザ クラウド管理 無料プラン」がアクティブ状態で入っていました。
お金がかかるのは、有償サポート(Chrome ブラウザ エンタープライズ サポート)やChromeOSの管理(Chrome Enterprise Upgrade)です。
いざデバイス登録
ライセンスの疑問が解決したので、使っていきます。
Androidデバイスの設定はGoogleエンドポイント管理から行いました。
他のMDM利用の場合でも、丁寧にヘルプが用意されています。この通りにやればOK。
お次はPCです。
弊社PCは…なんと、1台1台レジストリ登録しました!笑
3桁台あるPCを1台ずつレジストリ登録していくというと狂気の沙汰ですが、
特に急いでChrome Enterpriseを入れる理由もなく、時間が解決するのに任せた形です。
PCのキッティングをbatファイルで自動化してあったので、batに1行追記して、あとはほったらかしておきました。
reg import %~dp0\hogehoge.reg
入退社とPCリプレースでいつかは全員に適用されるはず。急ぐ理由がないならいつか終わればいいのだ。
なお、クイックスタートガイドではChrome Browser for enterpriseをインストールする流れになっていますが、
PCに通常のChromeブラウザが入っている場合、そのまま登録が進みます。
レジストリ登録したあとChrome起動するとChrome Enterpriseになっていました。裏で入れ直してくれているのかもしれない?
ポリシー設定しよう
デバイス登録ができたら、ポリシー設定していきます。
何ができるのか知りたければポリシー一覧があるし
GWSヘルプもあるし
GoogleAdminの画面を見ながらやっていくのでもよさそう。
種類がとてもたくさんあるので、設定したいプラットフォームでフィルターして見ていくとよさそうです。
難しいことは置いといて、試しにこうすると…
こうなる!
しかも
「Chrome ブラウザのテーマの色を指定します。ユーザーはこの色を変更できません」
なので破壊力が強すぎますね。慎重にやろう。
ポリシー設定~これはやっておいたらいいかも編
起動時に読み込むページ
- https://chromeenterprise.google/policies/#RestoreOnStartup
- https://chromeenterprise.google/policies/#RestoreOnStartupURLs
Chromeのスタートページを強制できる設定。会社のポータルサイトなどを設定しておくとよさそう。
しかしこれは強制なので、Chrome Enterprise導入前に各自で設定されたものを潰すことになります。弊社もそういう状況だったので設定を諦め、代替手段として下2つの設定を入れました。
ホームボタン、ホームページ
- https://chromeenterprise.google/policies/#ShowHomeButton
- https://chromeenterprise.google/policies/#HomepageLocation
ホームボタンを「常に表示」、ホームページを「下記に設定した URL を常にホームページにする」にして自社ポータルなどを設定。
これで起動時に開くページは自由にしてもらいつつ、いつでもポータルに飛べる状態が実現できました。
管理対象のブックマーク
Chromeのブックマークバーに表示するフォルダやブックマークを設定できます。
弊社では、社内ポータルサイトやQ&Aサイトなど、よく使うものを設定しています。
組織部門ごとに設定できるので、あらかじめ雇用形態で組織部門を分けておけば、社員用ブックマークやアルバイト用ブックマークを設定することも可能。
ブックマーク バー
ユーザー決定、有効、無効が選べます。
有効にすると常にブックマークバーが表示される状態になります。
管理対象ブックマークに気づいてもらうためにも有効にしておきたい。しかし、「ウェブ会議で画面共有する時にブックマークバーが見えたら恥ずかしい><」という話もあるので、要調整ですね。
管理対象ブラウザに関するレポート
オンにしました。
これでGoogle AdminからChrome Enterpriseの情報を見ることができます。
イベントレポート
こちらもオンにしました。
ポリシー設定 ~ガチガチに制限したい編
ブラウザのログイン設定
-
https://chromeenterprise.google/policies/#BrowserSignin
ブラウザへのログインを無効・有効・強制のいずれかに設定できます。
画像左が有効にしたとき、右が強制にした時です。
強制するとゲストによるブラウジングができなくなるということらしい。
ログイン状態で使うことを強制したいなら、後述「シークレットウインドウ」も併せて設定すればよさそうです。
シークレット モード
-
https://chromeenterprise.google/policies/#IncognitoModeAvailability
シークレットモードを禁止したり強制したりできます。
絶対ログインさせたいならシークレットモードを封じる、共用端末として使うならシークレットモードを強制する、などの用途がありそう。
ブラウザの履歴
「ブラウザの履歴を保存しない」または「常にブラウザの履歴を保存する」が選択できます。
全社は共用端末に、後者はログイン強制・シークレットモード禁止と合わせると監査ログになりそうですね。
ブラウザの履歴の削除
利用者がブラウザ履歴を消すことを許可または禁止できます。
ログインをパターンに制限する
指定したパターンと一致しないユーザー名をブラウザのメイン アカウントとして設定しようとすると、エラーが表示されます。
フリーのGmailログインを抑止する機能かと思いきや…
設定を会社ドメインに絞った上で、ChromeにフリーのGoogleアカウントで入ると以下のメッセージが出てきます。
出てきはしますが、Chromeにログインはできるし、そこからGmailなどのサービスも使えてしまいます。ブックマークなどの同期はオフにされていました。
予備のアカウントにログインする
- https://chromeenterprise.google/policies/#AllowedDomainsForApps
- https://chromeenterprise.google/policies/#SecondaryGoogleAccountSigninAllowed
フリーGmail抑止の本命はこちら。
「ユーザーに以下の Google Workspace ドメインへのログインのみを許可する」を選択して自社ドメインを入力。
フリーGmailでChromeへのログインを試みると…
ログインを抑止できます!
他のパターンも試してみましたが、今のところ死角はなさそうです。
試したバリエーション
-
この設定をする前にフリーGoogleアカウントでChromeログインしていた場合、ブラウザのプロファイルは引き続き使えました。ただし、このプロファイルからGmailにアクセスすると以下エラーになります。Googleドライブなどのサービスも同様です。
フリーGoogleアカウント利用が蔓延している状態でも、設定をすれば抑止できるということですね。
-
(「ブラウザのログイン設定」でログインを強制していない場合)ゲストブラウジングからフリーGmailのログインを試したところ、エラーになりました。ブラウザへのログインでなくても抑止できるということですね。
-
(「シークレット モード」でシークレットウインドウの利用を許可している場合)シークレットウインドウからフリーGmailのログインを試したところ、エラーになりました。
「ログインをパターンに制限する」とは何だったのか。
ポリシー設定 ~使いどころがあるかも編
パスワード マネージャー
-
https://chromeenterprise.google/policies/#PasswordManagerEnabled
Chromeパスワードマネージャーを使わせない設定ができます。
別途パスワードマネージャー製品を入れている企業はオフにするとよさそうです。
ブックマークの編集
ブックマークの編集を許可するか選べます。共用PC的な使い方をするときに便利そう。
ダウンロード先
ダウンロード先を、デフォルトローカル(変更可)・デフォルトGoogleドライブ(変更可)・Googleドライブ(変更不可)から選べます。
ローカルにファイルを残させない設定ができるとは強い。
リモートコマンド
コマンドといってもGUIで操作できるんですね。
キャッシュ削除をやってみます。
こちらが対象のChromeプロファイルです。
左がコマンド送信前、右が送信後。キャッシュが消されているのが分かります。
ポリシー設定~使いどころがわからない編
タスクマネージャ
[Chrome タスク マネージャーでのプロセスの終了をユーザーに許可する] または [Chrome タスク マネージャーでのプロセスの終了をユーザーに禁止する] が選べます。
タスクマネージャを触らせたくない利用シーンが分からない。お店の展示用とか?
タスクマネージャを触らせなくてもChrome自体を触られたら終わりな気もします。
いつ使うんでしょうか。
Chrome ブラウザのメモリ制限
「このポリシーを設定した場合は、上限を超えると、メモリを節約するためにブラウザのタブが自動的に閉じます。」だそうです。暴挙が過ぎる。
社員用PCで使う場面はなさそう。
おわり
ポリシーがたくさんあって、まだざっとしか確認できていません。
他にも設定マストなポリシーがあるかもしれないですね。随時追記します。
それでは良きChrome Enterpriseライフを!
Discussion