Google Chromeを組織管理下に置く方法

Google Workspaceを利用してる企業に於いて、Google Chromeを徹底的に管理したいという要望は常にあります。特に勝手に設定を変更したり、自由奔放に拡張機能をインストールを許してしまってたり、無秩序になってるケースが出てきます。特に拡張機能はマルウェアが混入してるケースが結構あったりするのでセキュリティ的に穴になってると後で怖いことに。

また、コンテキストウェアアクセスのような高度なデバイス管理を行う際にも、個別ブラウザの管理は必須となるため、まずは手始めに会社で利用するChromeを管理下に置くようにしましょう。

Google Workspaceで高度なアクセス制限を実現する

今回利用するサービス

組織によるChromeの管理はAdmin Consoleからの設定のみで行えますが、Chrome OSの管理はChrome OS Enterprise Upgradeのライセンスが別途必要になります。Chromeブラウザクラウド管理はサブスクリプションといっても無償で利用が可能です。

この作業を行うことで、俗にいうChrome Enterprise化がなされますので、Admin Console上から端末のChromeの集中管理と制限を課すことが可能になります。

管理対象になってるかどうかのチェック

通常特に何もせずとも、Google Workspaceアカウントでログインしてる状態の場合、その時点のChromeは組織の管理対象下になっています。Chromeの設定を開いた直下に以下のようなdomainによって管理されています表示が出ていれば、管理下になっています。また、chrome://policyにアクセスして、Chrome Policiesに何らかしらの設定が入ってる場合は、ポリシーも適用されています。

図:組織管理かどうかは一目でわかる

図:ChromeのPolicy設定一覧

設定方法

管理対象ブラウザに登録

まずは以下の手順で管理対象ブラウザの登録を行います。

  1. Admin Consoleにログインする
  2. 左サイドバーからデバイス=>Chrome=>管理対象ブラウザを開く
  3. 組織部門を選択する(テストの場合はテスト用の組織部門を作成しておき、そこに対してだけ設定を行う)
  4. 登録をクリックする
  5. 「新しいChromeブラウザを登録」のダイアログが出てくる。Windows用ならばRegファイル、macOSならばテキストファイルをクリックしてダウンロードする(この時のトークンの文字列も一応控えておきます)
  6. 完了をクリックして閉じる

図:管理対象ブラウザ登録画面

実機での登録作業

レジストリやファイルで対応

WindowsとmacOS用のファイルをダウンロードしました。これらのファイルを実機に対して適用する必要があります。それぞれのファイル内には前述のトークンが記述されています。

  1. Windowsの場合はレジストリファイルをダブルクリックするだけで設定が追加されます。レジストリの場合は以下のようなエントリに値が追加される事になります。
  2. macOSの場合はテキストファイルをFinderで/Library/Google/Chrome/を開き、ファイルを配置します
  3. あとはChromeを起動すると「Chrome Enterprise」の表示が出て管理対象ブラウザに自動で登録されます。
  4. アカウント単位ではなくこの作業はマシン単位で必要になります。

※またWindows用のみ、端末のGPOに対してポリシーテンプレートを用意し、gpedit.msc上から設定も可能ですが非常に手間なのでキオスク端末などのケースで用いると良いでしょう。

図:管理対象に起動するだけで登録される

Active Directoryで配信

前述のレジストリファイルをユーザに入れてね!!としても、従わない愚か者が必ず出てくるので、社内でActive Directoryを展開してる場合には、ADでレジストリ設定を追加して強制的に適用するようにしましょう。ここでは、既に用意しGPOをリンク済みのDefault Domain Policyに対して編集を掛けています。

  1. ADにログインし、グループポリシーの管理を起動する
  2. 自社ドメインフォレストの中にあるDefault Domain Policyを右クリック=>編集をクリック
  3. コンピュータの構成=>基本設定=>Windowsの設定を開く
  4. レジストリを開く
  5. 右クリックして、新規作成=>レジストリ項目をクリックする
  6. 前述のレジストリ内容に従って登録を開始
    アクション:作成を選択(更新などもあったほうがよいかもしれない)
    ハイブ:HKEY_LOCAL_MACHINEを選択
    キーのパス:SOFTWARE\Policies\Google\Chromeを入力
    値の名前:CloudManagementEnrollmentTokenを入力
    値の種類:REG_SZを選択
    値のデータはregファイルの中の該当値の名前に入ってるデータを入力する

あとは配信されて適用されると自動で管理対象ブラウザに続々と登録されていく。一度登録されたものを削除変更する場合は、上記のエントリーはレジストリを追加更新で済みますが、以下のエントリーを削除する必要があるので、レジストリファイルでそれを追加するか?ADでまずクリーニングしてから、上記の追加の設定を配布するようにします。

以降は、AD側で配布の制御が可能ですが、ADにログインしないと配布されないので、VPN等でAD経由していないような場合には基本はレジストリファイル配布の形をとりましょう。

図:レジストリも配信してしまえば楽ちん

図:レジストリの登録画面

ポリシー変更を実行する

これで、対象のChromeはGoogle Workspaceの管理下になったので、後は以下の作業でポリシーを個別に適用し配信する事が可能になります。試しにChromeのタスクマネージャで強制停止をさせないポリシーを適用してみたいと思います。

  1. Admin Consoleを開く
  2. 左サイドバーからデバイス=>Chrome=>設定=>ユーザとブラウザを開きます。
  3. 組織部門を選択する(テストの場合はテスト用の組織部門を作成しておき、そこに対してだけ設定を行う)
  4. 検索窓で「タスク」と検索し、アプリと拡張機能の「タスクマネージャー」をクリックする
  5. 「Chromeタスクマネージャでのプロセス終了をユーザに禁止する」に変更して、保存をクリック
  6. 配信されると、ユーザのChromeに於ける「プロセスを終了ボタン」がグレーアウトしてポリシーが有効化されてるのを確認できます。
  7. chrome://policyでも新たに「TaskManagerEndProcessEnabled」ポリシーが追加されてるのを確認できます。
  8. ポリシーに於いて、「ブラウザに関するレポート」を有効化することで、Chromeのバージョンや拡張機能の利用状況、マシン情報を管理対象ブラウザの項目で把握することが可能になります。

通常は、BrowserSignInとRestrictSigninToPatternをオンにして運用すると良いでしょう。また、組織部門移動の場合ユーザを移動しただけでは変更されないので、ユーザとブラウザの設定上からも対象の「デバイス」を対象の組織部門へ移動する必要があるので要注意です。

図:非常に沢山のChromeポリシーがあります

図:ポリシー変更が有効化された

デバイスを再登録する

テスト中に間違って色々な人のデバイスが管理対象ブラウザに登録されてしまうことがあります。その場合、前述のレジストリエントリーを削除するだけでは、自動再登録されません。以下のエントリーを削除する必要があるため、それを踏まえたregファイルを作成し、登録時に該当エントリーを削除する必要があります。

  • HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollmentのdmtokenを削除
  • HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Enrollmentのdmtokenを削除

よって、上記を踏まえた上でのregファイルは以下のように作ります。

AD配布の場合は、一度Tokenの文字列の追加はせず、dmtokenを削除するADポリシーを配布して、暫くしたのちにdmtokenのポリシーを削除して、Token追加のポリシーを追加すると良いでしょう。但し、ADにログインしないと反映しないので、基本はレジストリファイルをユーザに配布して叩いてもらう必要があります。

実際に管理を行う

単純にChromeのポリシーを管理する為だけでなく、他にも様々なデフォルトの挙動を管理する事が可能です。よく使うであろうものをピックアップしてみました。

拡張機能のインストール制限

ポリシー設定を変更する

Google Chromeの拡張機能は、Chrome OSならば数少ないアプリ的な機能を追加できるポイントでもあったりするのですが、一方で結構有名所の拡張機能にマルウェアがいつの間にか紛れ込み、問題にもなってる機能です。そこで、この拡張機能については情シス側で指定したモノ以外はインストールをさせない、また特定の拡張機能については強制的にデフォルトでインストール(サイレントでPushでインストールされます)といったような配信を行わせることが可能です。

  1. Admin Consoleにログインする
  2. 左サイドバーからデバイス=>Chrome=>アプリと拡張機能=>ユーザとブラウザを開く
  3. 右上の「追加の設定」をクリックする
  4. 許可 / ブロックモードに於いて、編集をクリックする
  5. Chromeウェブストアに於いて、「全てのアプリを拒否する、管理者が許可リストを管理する、ユーザーは拡張機能をリクエストできる」に設定変更
  6. 保存をクリック

これで管理者が指定した拡張機能だけをインストール可とし、ユーザは追加リクエストは出せても手動でインストールはさせない設定にできます。即時反映するので、インストール済みの拡張機能はその場で無効化(アインインストールはされない)されます。

アプリケーションのその他の設定では更に細かく設定が可能です。

図:拡張機能はユーザ任せにしない

インストール許可する拡張機能を登録する

拡張機能のインストールを許可するものを登録&強制配信することが可能です。

  1. Admin Consoleにログインする
  2. 左サイドバーからデバイス=>Chrome=>アプリと拡張機能=>ユーザとブラウザを開く
  3. 右下の+アイコンをクリックして、「Chromeウェブストアから追加」を選択
  4. Chromeウェブストアが開かれるので、今回は試しにChrome Remote Desktopを追加してみたいと思います。
  5. Chrome Remoteで検索すると出てくるので、クリックして右上の「選択」をクリック
  6. 右にサイドバーが出てくる。インストールポリシーで「自動インストールしてブラウザのツールバーに固定する」を選択すると、強制配信されます。インストール許可の場合は、任意でのインストールとなります。
  7. 最期に右上の「保存」をクリックすると適用開始されます。
  8. 強制配信としたので10秒程度で自動インストールされて利用できる状態になりました。

図:強制配信してみた

新規タブやホームのURLを強制する

新規に開く際のタブのURLやデフォルトで開かれるURLを指定することができます。ここで社内のポータルサイトのURLを指定しておけば、ブラウザ起動時には、嫌でもポータルサイトからのスタートとなるので、掲示板見ない人間やポータルの場所を知らないといったような人の動きの統制を行うことが可能です。

  1. Admin Consoleを開く
  2. 左サイドバーからデバイス=>Chrome=>設定=>ユーザとブラウザを開きます。
  3. 検索窓から「起動」で検索する
  4. ポリシーの起動にある「起動時に読み込むページ」を開きます。
  5. 設定の中にあるプルダウンをURLのリストを開くにし、URLを記述する。複数行記述すると起動時に全部開かれるようになります。あまり多く入れすぎると煩くなるのでポータルのURLや自分の場合自作の座席表アプリのURLなどを入れています。

図:ユーザには必ずポータルからスタートさせる

ブックマークの整備

一番最初の利用時は当然ブックマーク等が整備されていないまっさらな状態ですが、新入社員等にPC配布してChromeの使い方や各種ウェブサービスの使い方のレクチャーをするに当たって、URLはこれで・・・なんてかったるいので、デフォルトでこちらであらかた用意したブックマークを配信することが可能です。

  1. Admin Consoleを開く
  2. 左サイドバーからデバイス=>Chrome=>設定=>ユーザとブラウザを開きます。
  3. 検索窓から「エクスペリエンス」で検索する
  4. 管理対象のブックマークを開く
  5. +アイコンクリックでブックマークやフォルダを追加できる
  6. ブックマークを追加を選び、名前とURLを追加して追加をクリックする
  7. 最期に保存をクリックする
  8. 配信されて、管理対象のブックマークとしてChromeに追加されます。このブックマークはユーザサイドでは削除や編集は一切できません。

同時にブックマークバーは常に表示するポリシーをオンにしておくと良いでしょう。

図:ブックマークの編集画面

図:自動配信されたブックマーク

その他

他にもChromeの設定関係に関してはほぼすべて、このポリシー等のページから設定が可能で

  • セーフブラウジング強制を行う
  • 閲覧履歴削除を無効にする
  • パスワード漏洩警告を消せないように変更する
  • 怪しいサイト警告を表示させない設定を無効化する
  • スクリーンショットの無効化
  • 印刷の無効化

など、企業の用途や求められてるセキュリティポリシー次第によって、ユーザに一切設定を任せずこちらからの設定で統一できます。同時にGoogle Workspaceの場合はコンテキストウェアアクセスを利用し、デバイス証明書が無いPCからのログインを拒否するようにすれば、安全な運用が可能になります。

お勧め拡張機能と設定ポリシー

自分が設定している拡張機能と設定対象ポリシーの一覧です。非常にたくさんの項目があって初期導入時に迷うのでこちらでまずは設定すべきものとしてまとめてあります。企業によって、追加で設定をしたり許可する拡張機能の足掛かりとして参考にしていただければ。

拡張機能

極端に少ない拡張機能だけ許可とすると、制限が厳しすぎてユーザから多くの不満を流される可能性があり、また結果として勝手にChromiumやらBraveやら他のブラウザ使われるといったシャドーITを招くことにもなるので、適度に制限するのがポイントです。

主に自分が許可 and 強制してる拡張機能は以下の通りです。他にも自社内独自に入れてるソリューション用の拡張機能等をこれに追加して運用しています。これらはChrome Webstoreの自社向けとしての表示も追加しているので、ユーザはそちらから追加をすることになります。以下のリストは開発系のものも含まれてるので、一般的な用途では不要なものもあります。

Chromeは拡張機能でより便利になる

設定ポリシー

設定するポリシーは緩めで設定はしていますが、個人的には不要な機能がデフォルトでオンになっていたり、ユーザに強制させる為の用途があるためやや厳しめに設定しています。ウェブ開発をする上で障害になる場合もあるので、そこら辺の匙加減が必要です。

主に自分が設定として変更を掛けてるポリシーは以下の通りです。

関連リンク

コメントを残す

メールアドレスが公開されることはありません。 ※ が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください。