無料で使える ! Chrome Enterprise のポリシー管理をマスターしよう

Chrome ポリシーの管理方法

Chrome のポリシー管理方法は大きく分けてマシンレベルと、ユーザーレベルの2つがあり、詳細に分けると以下の1-1から2-2までの4つの管理方法があります。

【マシンレベル】
1-1.Active Directory (AD)などによるGPO管理 (リンク先は Google のヘルプ記事) 
1-2.GWSの管理コンソールで管理できる端末単位の管理

【ユーザーレベル】
2-1.ローカルポリシーなどによるOS のユーザーレベルによる管理
2-2.GWSの管理コンソールで管理できる Chrome プロファイル(アカウント)単位での管理

ADやローカルポリシーはイメージがつきやすいかと思いますので、本ブログではGWSの管理コンソールを使用する際のポリシー管理方法(1-2と2-2)について説明します。

Chrome Enterprise による Chrome ポリシー管理

Chrome のポリシー管理はGWSをお使いのユーザーであれば無料で利用可能となっていて、以下の2つの方法で管理できます。
・GWSの管理コンソールで管理できる Chrome プロファイル単位での管理
・GWSの管理コンソールで管理できる端末単位の管理

それぞれ以下の違いがあります。

【GWSの管理コンソールで管理できる Chrome プロファイル(アカウント)単位での管理】
GWSアカウントで Chrome にログインするだけでポリシー適用が可能となります。
とても簡単に管理するための方法の1つですが、プロファイル単位でのポリシー適用になるため、別ドメインの Google アカウントでログインした Chrome プロファイルには適用されません。
※別ドメイン=別契約のGWSテナントを指しています。

【GWSの管理コンソールで管理できる端末単位の管理】
GWSの管理コンソールに Chrome を登録して管理する仕組みで、Chrome Enterprise Core(以降、CECと記載)、旧称 Chrome ブラウザクラウド管理(CBCM)と呼ばれています。
Chrome を管理コンソールに登録すると、その登録した Chrome が「会社端末」の Chrome として認識できるようになるので Chrome に Google アカウントでログインしなくても利便性とセキュリティの向上が期待できます。

さらに、CECを使うと Chrome のプロファイルが別契約のGWSテナントのアカウントでも管理されるようになります。
例えば、以前紹介した Chrome DLPでも、CECで管理していない Chrome プロファイルにDLPを適用させるといった運用が可能となります。

CECは無料で利用可能です。
GWSの管理コンソールを開き、「デバイス > Chrome > 管理対象ブラウザ」の画面で「 Chrome ブラウザ クラウド管理に登録する」で登録ボタンを押して処理を進めれば利用可能になります。
※「Chrome ブラウザ クラウド管理」は旧称のため今後記載が変わる可能性があります(2024/12/9時点)

CECを利用開始した後は、トークンを発行して各端末に登録します。
トークンの端末登録方法など、詳細はヘルプ記事を参照してください。

設定するポリシー例

よく利用されるポリシーは以下の通りです。

【ログインできる Google アカウントのドメインの指定】
Chrome ブラウザを使用して Google アカウントにログインする際にドメインをみてログインを許可するか禁止にするかを制限できます。
禁止にすると以下のようにブロックされます。

ただ、ADやGWSの管理コンソールでこのポリシーを指定しても、他のEdge やSafari などのブラウザを使われてしまうと効かないため、ログインのドメイン制御を行う場合は、プロキシサーバーなどを利用することを推奨します。
※使用している端末(OS)がWindows のみの場合、Legacy Browser Support(LBS)と言う機能を使ってインターネット通信をEdge から Chrome 自動でに切り替えることは可能です

以下はLBSによるブラウザ切り替えのデモンストレーション動画です。

【パスワードマネージャーの禁止】
ログインIDやパスワードをChrome ブラウザに保存しておく機能です。
パスワードを Chrome に保存させてしまうことを嫌がる管理者の方も多くいらっしゃいます。

Chrome のポリシーを使用するとそのパスワードマネージャーの利用を管理者側で禁止にできます。
ただ、気持ちはわかりますがパスワードマネージャーは使用したほうが良いと個人的には考えています。

理由としては以下になります。
・登録されたURLのときにパスワード候補が出てくるため、フィッシングサイトでは動かない
・複雑なパスワードを覚える必要が無い
・パスワードマネージャーを使用するためにパスワードや生体認証が必要なため、簡単に他者に流用はされない

などがあるかなと思います。

特にフィッシングサイトは画面が似ているためうっかり入力してしまうので、パスワードマネージャーが出てこなかったときに「このWebサイトなにか違うのかな？」と気付ける可能性があるかもしれません。

【拡張機能の配布/ブロック】
Chrome の拡張機能ですが、利用自体が本来は非推奨です。
理由としては拡張機能から情報漏えいする可能性があるからです。
今は良くても将来的に悪意のある業者に買収される可能性もゼロではありません。

そのため、信頼できる企業( Google など)が作成した拡張機能のみを配布、または、明らかに怪しい拡張機能はブロックするといったことを制御します。

すでに拡張機能を自由に使わせてしまっている場合、GWSの管理コンソール画面から利用者と拡張機能の評価を確認することができます。
※本機能を使う場合はCECを利用し、Chrome ブラウザのレポートを取得する必要があります。

管理コンソール > デバイス > Chrome > レポート > アプリと拡張機能の使用状況

以下の画面は Google 製の「Endpoint Verification」と言う拡張機能です。
バージョンごとに「Spin.AI」と言うサービス上での評価を知ることができます。
また、拡張機能がアクセスできる範囲も同時に確認することができます。
※画面内下部の「リクエストされた権限」を参照。

【共有端末などでの Chrome を閉じたらログアウト】
店舗など共有端末でGWSを使っていることがある場合によくこの設定を入れることがあります。
アカウントは個人単位にありますが、端末は店舗共有のため、前の利用者がログアウトしていないとセキュリティ上問題が発生するため、設定することが多いです。
以前までは Chrome はユーザー自身で閉じる必要があったため、ログアウト漏れの可能性もありましたが、今では以下の設定の組み合わせで、例えば1分間端末が未操作だったときに Chrome を閉じてGWSから強制ログアウトさせることが可能になりました。

・ブラウザのアイドルタイムアウト

※「ログアウト」は iOS 限定の設定です

・デフォルトのCookieの設定
複数のURLに対してセッションのみのCookieを許可するに「[*.]@google.com」を入力するとブラウザを閉じたときに強制ログアウトさせることが可能になります。
※3rd製SSO製品を利用中の場合はそのURLも指定する必要があります

強制終了する前および Chrome 再起動のタイミングで以下のような通知が行われます。

ポリシーの優先順位

ポリシーの配布方法は4種類あると冒頭で説明しましたが、ポリシー適用の優先順位があります。

デフォルトでは優先順位は以下の通りです。
①Active Directory などによるGPO管理
②GWSの管理コンソールで管理できる端末単位の管理(CEC)
③ローカルポリシーなどによるOS のユーザーレベルによる管理
④GWSの管理コンソールで管理できるChrome プロファイル(アカウント)単位での管理

同じパラメーターで異なる値を設定した場合、①のポリシーが適用されます。

ADなどのGPOを使う場合と、CECを使う場合のメリット・デメリットは以下の通りです。

メリット・デメリットを踏まえて、使い分けていくことをおすすめします。
また、この優先順位は変更することも可能です。
CloudPolicyOverridesPlatformPolicy と言うポリシー名があるので、それを変更します。

ただ、ADを管理しているチームとGWSを管理しているチームは異なっているお客さまもいらっしゃると思います。
各チーム間でしっかりと会話し、何をどこで管理するかを決めたほうが良いかと思います。

どのようなポリシーが存在するのか？

Chrome ブラウザ( ChromeOS 含む)に適用できるポリシーのリストはChrome Enterprise Policy List & Management で確認が可能です。

ここで各ポリシーがどの様な動作をするかを調べることが可能です。
参考ですが、一つ前の章で紹介した「CloudPolicyOverridesPlatformPolicy」のページの一番最後に以下の記載があります。

ここで「プロフィール単位」が「いいえ」になっていますが、「いいえ」になっている場合はマシンレベル（CEC、もしくは GPOなど）で適用する必要があります。

おまけ

以前ブログで紹介した Google ドライブの検索をChromeでショートカット するための設定が、今回紹介したGWS管理コンソール上の Chrome ポリシーの設定でできるようになりました！

この機能を利用しているため、 Google ドライブのホーム画面を開くことが無くなってしまいました。
個人的には Google ドライブのホーム画面を開発してるエンジニアさんに申し訳ないと思うこともありますが、一度使いはじめるとやめられなくなってしまいました。
便利な機能なのでぜひ、設定してみてください！

まとめ

Chrome ポリシーは重要な機能です。
ポリシーを管理することでセキュリティ強化にもつながるため、まだ使っていない場合は利用を検討してみてください。
すでにご利用中の場合も、「おまけ」で書いたように追加されているポリシーもあるかもしれません。
この機会に見直してみてはいかがでしょうか。

ただ、Chrome ポリシーはADなどからも設定できるので色々重複してうまく適用されないこともあります。
GWSご契約中のお客さまであれば、 Google Workspace のサポートに問い合わせが可能になるので、ぜひご利用ください。

また、本ブログで使用した動画は Google Vids と言うサービスを使用して編集しています。
※ Google Vids のAI関連の機能は使用していません
こちらもぜひ興味があれば参考にしてください！

最後まで読んでいただきありがとうございました。

それでは、ソフトバンク アドベントカレンダー 2024　10日目にバトンを渡します。

◆Google WorkspaceまたはGoogle Cloudに関することは、ぜひソフトバンク窓口又は担当営業までご相談下さい

関連サービス