フォーム読み込み中
Chromebook のポリシーを半自動で管理する
Google Workspace導入/技術支援チーム
ソフトバンクのGWSエンジニアが、その専門分野で様々な記事を日々執筆しています。
2023年11月10日掲載
皆さん、こんにちは。
Google Workspace導入/技術支援チームです。
お客さまがGoogle Workspace(GWS)を導入する中で出てきた課題や、要望、お困り事などを解決するためのTIPS等について、私たちSEのGWS利用方法を踏まえて発信しています。
今回は管理者向けの内容となります。
はじめに
Chromebook という名前を聞いたことがあるかと思います。
Chromebook とはGoogle が開発したChrome OSを搭載したパソコンになります。
現時点(2023年10月時点)でGIGAスクールではシェアNo1のOS(端末)になります。
そのChromebook とGoogle Workspaceを組み合わせ、働く場所によってポリシーを変更する方法を紹介します!
例えば、社内ではGoogle Workspaceの全サービスに自由にアクセス可能だけど、社外に出たらGoogleドライブはアクセス禁止したいとか、ダウンロードを禁止したいなどといったことができるようになります。
- この記事では、Chromebook とGASを使用して働く場所によりポリシーを変更する方法を紹介します。
概要
社内ルール用(社内からGWSにアクセスするユーザー用)の組織と社外ルール用(会社の外からアクセスするユーザー用)の組織をそれぞれ用意します。
ユーザーとChromebook を作成した組織間を移動させることでユーザーとChromebook それぞれに適用するポリシーを変更させます。
その組織移動をGoogle Apps Script(GAS)、移動の申請をGoogle フォームで実装します。
必要なもの
【ライセンス】
ユーザー用:GWS Enterprise Standard / Plusまたは Cloud Identity Premium
Chromebook 用:Chrome Enterprise Upgrade
【利用する機能】
・コンテキストアウェアアクセス(CAA)
・Chrome ポリシー
・Googleフォーム(ユーザーの申請用)+ スプレッドシート + GAS(規模によっては別途開発が必要)
設定内容
1.Google Formを2つ作成する(それぞれスプレッドシートにエクスポートするように設定)
2.組織を「社外用」と「社内用」の2つを用意する。
3.作成した組織にコンテキストアウェアアクセス、Chromeポリシー等を適用する
4.ユーザーとChromebook のデバイスID(後述するDirectory API ID)を紐付けるリストを作成する
5.Google Formの申請をもとに項番4で作成したシートから移動するユーザーとChromebook を抜き出し組織移動するスクリプトを組む(GASで対応可能)
Chromebook とユーザーの組織移動を行うスクリプトについては以下のリファレンスを参考にしてください。
ユーザーの組織移動リファレンス:AdminDirectory.Users.update({orgUnitPath:"/OU名"}, userKey)
userKey にはユーザーのメールアドレス(ログインID)が入ります。
OU名には移動したい組織のパスが入ります。
最上位組織を / として表現するのでその下のOU名から頭に / を付けて記載します。
以下の()が組織を指定するときの記載例です。
Chromebook の組織移動は以下の通りです。
Chromebook の組織移動リファレンス:AdminDirectory.Chromeosdevices.moveDevicesToOu({deviceIds:[”Directory API ID”]}, "my_customer", orgUnitPath)
ユーザー移動時とChromebook 移動時ではOU名の記載の仕方が異なるので注意してください。
例
【ユーザー】
AdminDirectory.Users.update({orgUnitPath:"/移動先組織名"}, <ユーザーメールアドレス>)
【Chromebook 】
AdminDirectory.Chromeosdevices.moveDevicesToOu({deviceIds:[<Device ID>]}, "my_customer", "/移動先組織名")
Device ID(Directory API ID)はChromebook を管理コンソールに登録(エンロール)すると管理コンソール上で確認可能になります
ここで移動するユーザーとChromebook の紐づけを行うために事前にユーザーメールアドレスとDirectory API IDの紐付けリストを作成しておく必要があります。
Directory API ID(Device ID)は以下のAPIで一括取得が可能です。
https://developers.google.com/admin-sdk/directory/reference/rest/v1/chromeosdevices/list?hl=ja
また、GASはトリガーを使って定期的に実行するように設定します。
Google フォームの送信をトリガーにせずスプレッドシート側で定期的に実行するようにします。
※Google フォームで送信したタイミングのトリガーだと動作しないことがあるため
ポリシー設定例
各組織に設定する例を以下のように記載します。
例なので必要であれば設定は自由に追加してください。
【社内用の組織】(会社の中からアクセスする場合)
・コンテキストアウェアアクセス(IPアドレス制御)
1.社内ネットワークからならWindowsでもChromebook でもGmail、Googleドライブなど全部のGWSサービスにアクセス可能。
【社外用の組織】(会社の外からアクセスする場合)
・コンテキストアウェアアクセス(デバイス制御)
会社所有端末または承認済みのChromebook のみアクセス可能。
ただしGoogleドライブにはアクセスできない
・Chrome ポリシー
1.ファイルのダウンロード、スクリーンショット、印刷等を禁止する
2.シャットダウン時に端末のデータを全部消去する
運用イメージ
1.社外に出る前に社外持ち出し用の申請フォームでボタンを1個クリックします。
2.自動でスクリプトが実行され、ユーザーとChromebook が組織移動する
タイムスタンプとメールアドレスはフォームで自動的に記載され、処理結果などはGASで記載するようにしています。
社内に戻る場合は、上記と同様に、社内に戻ったときの申請用フォームを使って元の組織に戻すだけになります。
開発は必要になってしまいますので外注してしまうとコストが高くなってしまいますが、内製で構築できれば、自在にポリシー変更させることも可能だと思います。
まとめ
Chromebook のポリシーは簡単に変更できる!
今後は学生時代にChromebook + GWSを利用していた新卒の方々が増えていくと想定されます。
ぜひGWSとChromebookをご検討ください!
最後まで読んでいただきありがとうございました。
次回もぜひ楽しみにしていただけると嬉しいです。
◆Google Workspaceに関することは、ぜひソフトバンク窓口又は担当営業までご相談ください。
関連サービス
Google Workspace
Google スプレッドシート、Gmail、Google カレンダー、Google Chat、Google ドライブ、Google Meet などのさまざまなサービスがあらゆる働き方に対応する業務効率化を実現します。
Google Cloud
Google サービスを支える、信頼性に富んだクラウドサービスです。お客さまのニーズにあわせて利用可能なコンピューティングサービスに始まり、データから価値を導き出す情報分析や、最先端の機械学習技術が搭載されています。
MSPサービス
MSP(Managed Service Provider)サービスは、お客さまのパブリッククラウドの導入から運用までをトータルでご提供するマネージドサービスです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
