ASUS Chromebook flip C436FAを業務で使ってみるテスト

以前使っていたHP Chromebook 14aは友人に譲ってしまったものの、業務でChromebookは必要。また、Chrome Enterprise Upgradeを試してみたいということもあって、中古で良い品が見つかったので手に入れました。ASUSのChromebook flip C436FA

ハイパワーでSSD仕様のモデルで新品で買うと良いお値段。しかし今回は格安で手に入れることが出来、前回とは違い色々と出来る幅も広がったので、業務で利用することをフォーカスしてChromebookを調査していきたいと思います。

図:出来ることが一気に広がりPCは不要な時代に

目次

今回利用するマシンやサービス

今回はビジネス目的が中心とは言う事なので、Google Workspaceでの運用も考えChrome Enterprise Upgradeを試用レビューも入れようと思っています。しかし、次項にあるようにハイパワーなChromebookである上にSSD交換まで可能のようなので、それだけではなくHP Chromebook 14aでは出来なかったことも検証対象として含めています。

HP Chromebook 14aを徹底的に活用してみる

C436FAの概要

スペック

今回採用したChromebookはChromebook Plusと呼ばれるものではないものの、ハイスペックの部類に入ります。また、Chromebook Enterpriseと呼ばれる法人向けモデル(Chrome Enterprise Upgradeライセンスが付いてくる)でも無いので、Chrome Enterprise Upgradeで管理したい場合には別途必要になります。また、flipとあるように、モニター部分は裏返しに出来るようになっているため、タブレットのようにすることも可能です。

注目すべきそのスペックですが

  • CPU : Intel Core i7-10510U(4コア8スレッド)
  • RAM : 16GB
  • SSD : 512GB(M.2.のNVMe。PCIe 3.0対応)
  • Display:14inch(1920x1080)、タッチパネル、タッチペン付き
  • WiFi : 802.11ax
  • USB : 3.2x2, HDMI出力およびPD対応
  • microSD : 対応
  • Battery : 11.8時間
  • 重量:1.15kg
  • 指紋センター:対応(パスキーで使えそうだけれど、Googleアカウントでは現状使えない模様

軽くてハイパワーな上に拡張性もあるというマシンになっています。また、CPUがCore i7である為、Qemu/KVM + Virtmanagerを使った仮想環境を構築したり(Nested Virtualization対応)、Parallels for Chromebook Enterpriseが使えるとのことで、これまでのeMMC 64GBで重量の重いChromebookとは趣が異なります(これと似たようなものを探してはいたのですが、ASUS Chromebook Plus CX54くらいしか無く、法人モデルなので個人では手に入れにくい。HP Chromebook x360 13cも同様のスペックでしたが、現在消滅)

HPシリーズでChromebook Enterpriseで近しいスペックのものとなると、HP Elite Dragonfly Chromebook Enterpriseが候補になるかなぁと言った所。

教育市場向けで選ぶとすれば1.1kg以下のDynabook Chromebook C70が10.1inchモデルとして新規に登場。CPUがMediaTek Kompanio 520というARMになる点と、ストレージがeMMC 64GBがマックスなのでその点は注意。子供向けには良い商品だと思います。

※2024年5月29日、続々とChromebook Plusの製品が発表され、ゲーミング向けなどもリリースされています。また、Plusユーザには特典として1年分の「Google One AIプレミアムプラン」が付属し、Gemini for Google Workspaceなどが使えるようです。

※2024年10月、Parallels for ChromeOSが終了する噂が出ています。まぁ、正直需要ないと思うしなぁ。

Gemini for Google Workspaceの実力ってどれだけあるのか?

レビュー

C436FAはハイエンドのChromebookですが、所詮Chromebookなんじゃないのかい?と思っていたら全然違いました。良い点悪い点で単純に見て、評価をしてみました。比較対象は普段使いのM1 Macbook Air 2020です。

良いポイント

Chromebookとしてはかなり破格のスペックを誇ってるだけあって、一般的なChromebookのつもりで見るとギャップがあります。

  • M.2. SSD仕様なので、eMMCなものに比較してもディスクアクセスが高速
  • おまけにディスク容量512GBもあるので、Linuxコンテナや複数アカウント使い分けが捗る。
  • Core i7とRAM16GBは伊達じゃない。ハイパワーで重たい処理でもらくらく処理が可能
  • harman/kardon4指向性スピーカーがめっちゃ音が良い。
  • タッチパネルでマルチタッチジェスチャー対応。Androidアプリで活躍する。
  • 英数/かなキーで日本語入力オンオフできるのでmacOS使いにとっては非常に使いやすい
  • 14インチなのに1.15kgと超軽量。でもマグネシウムを利用してるボディなので結構ガッチリ

高いわりにはちゃっちぃ某日本のとあるPCは17万円くらいしてたのですが、こちらのほうが全然良いです。無駄に軽さ追求して色々犠牲になってるPCとかも見てきてるのでバランス取れてるのにハイパワーは自分好み。

悪いポイント

確かに快適で最高の1台ではあるのですが、普段Macbook Air 2020を使ってる側からすると残念な部分もあったりします。

  • キーボードの文字が明るい部屋だと実に見にくい(イルミ仕様で光るのだけれど、真っ暗闇で使う人はいないでしょ)
  • 同じくキーボードのEnterキーが小さくて打ちにくい。他、妙に右端のキーが幅広いので邪魔
  • 同じくキーボードが妙につるつるしててホームポジションに戻りにくい。
  • PCのヒンジ?か下にセンサーがあるのか、台の上に乗せてつかうと勝手にタブレットモードになりキーやタッチパッドが効かなくなってビビる
  • ディスプレイは綺麗なんだけれど光沢アリのグレア仕様。部屋の証明とかがやたら映り込む。

慣れれば気にならないとは言え、ちょっとこの辺りが惜しいなぁという機種。しかし、このレベルのChromebookは殆ど存在しないので、他社が安さに走って残念なことになってるのはもうちょっとどうにかして欲しい所。

ちょっとした良い話

2024年6月12日、Googleより将来的にChromeOSについてはAndroidベースとして構築し直し、Geminiを統合していくという発表がなされました。すでにGeminiに関しては次期Chromebook Plusにて統合されはじめており、今後大きくChromebookが進化する可能性があります。

ただ、Androidベースになるというと、ChromeOSというLinuxベースではなくなる為、存在意義どうなのよ?(Androidタブと変わらないんじゃないの?)といった話も出てくるわけなのですが、一部ではChromeOS FlexでAndroidアプリが使えるようになるのでは?といったような期待も出てきています。

公式のブログ記事はこちら

おそらく、OSを別々に開発しているとAI機能の搭載やリリースに大きなオーバーヘッドが掛かることで感覚が空いてしまうという点が大きな変更理由と思われます。ある意味すでにその領域にAI機能やGeminiが入ってきてるということの裏返しかもしれません。

Chromebookを勧める理由

WindowsやMicrosoft Office、もはやそれそのものが企業にとってリスクでありコスト源となっています。ITリソースの棚卸しと見直しをする上でChromebookは大きな選択肢になります。

おすすめ概要

この端末ならばコスト減が期待できる

Chromebookというと、個人用途でよく聞く評判が

  • パワーが無いからやりたいことが出来ない(ゲームや動画編集等)
  • 出来ることが限られてるから使い勝手が悪い
  • 10万円を超えるChromebook買うならWindows機買うわ
  • コンパクトで軽量なのが無いから買いづらい

確かに個人用途ならばそうかもしれません。但し個人用途と言っても、それはアレもこれもPCでやる上級者ならばという話です。そうではないライトユーザにとっては、WindowsやmacOSは様々なトラブルが待っており、対処が難しい。

しかし、法人用途となると話が違ってきます。まず、法人ではとりわけセキュリティを考慮しなくてはならず、かといって潤沢な情シス要員がいるわけじゃないので、トラブルが少ないに越したことはないのです。しかし、C436FAのような機種であるならば

  • パワーがあるので、従来のChromebookでは出来なかった事も可能になる
  • 出来ることをむしろ「限定させたい」ので、Chromebookは法人用途では最適(Windowsはポリシーで頑張ってもこれが出来ない)
  • 出来ることが限られてるが故、またOSの特性が故にOS起因のトラブルなどが殆どない。つまり、ヘルプデスクコストが大幅に削減出来る。
  • アプデ保証期間10年なので、端末更新間隔をざっくり2.5倍伸ばせる(通常のPCは最大でも4年がいいところ)⇒同じような端末単価であっても、トータルでコスト減に繋がる
  • 使用期間が長くなったからといって、重くなったりしない
  • 14インチでも薄型軽量なマグネシウムボディなので、営業や外回りでの持ち運びでも苦にならない(キーピッチも大きいので打ちづらいということもない)
  • Chrome Entrerprise UpgradeでMDM管理をし、リモートワイプとかポリシー制御、端末管理、初回キッティングが異常に楽
  • そもそもランサムウェアやウイルスに感染する脅威が非常に低い。注意すべきはAndroidとChrome拡張機能のみ(Chrome Enterpriseで完全コントロール可)。Emotetのような事例やランサムウェア被害とは無縁なので、金融機関や教育機関、病院などでは特に導入すべきでしょう。
  • 結果、Windowsと違いセキュリティ製品を過剰に導入する必要性がそもそも無い。会社に一体いくつのセキュリティ製品入れてしまってますか?

脱Windowsや脱Microsoft Officeするだけでどれだけの見えないコストや更新コスト、またその為の莫大な情シス負荷が減らせるのか?を考えたら、C436FAはそういった企業要望の二律背反を成立させる数少ない端末と言えます。

社内で展開するWindowsクローニング作業入門

Windowsのイメージバックアップを取る最適解

セキュリティ製品由来の障害に巻き込まれない

2024年7月19日、CrowdStrikeというEDR製品のデバイスドライバが原因で、導入してる世界中のPCに於いてBSODの発生や再起動を繰り返すなどの大規模障害が発生しました。Redditの情報によると、以下の作業をすればとりあえず回避出来るということなのですが・・・エラーの内容はpage_fault_in_nonpaged_areaのようです。

  1. Windowsをセーフモード、またはWindows 回復環境で起動する
  2. C:WindowsSystem32driversCrowdStrike」フォルダーを開く
  3. C-00000291*.sys」を検索し、ヒットしたファイルを削除
  4. Windowsを再起動

まず、これ普通のそれ相応の処置をしてる企業では実行出来ません。理由はBitlocker。セーフモード等で起動するにはBitlockerの回復キーの入力が必要になります。当然ユーザのデバイス全部でキーが異なりますし、相応の企業の場合、MicrosoftアカウントではなくActive Directoryに回復キーが登録されていることでしょう。しかも上記の策は一時的な回避策であって解決策ではない。その間のセキュリティの担保や他の障害(Incomingの処理など)はどうするのか?

少人数の企業ならば情シスレベルでこれをユーザに伝えて作業をしてもらうということも出来ますが、大人数の企業で果たしてこれが出来るのか?(100台、1000台を情シスメンバーで出来るとは思えないし、現場の人にこれやってもらう気なのかな?)メールも使えないわけでどうやって伝達する気なのか?同じビル内とは限らないわけで(世界中の支店とか)。

とまぁ、Windowsという脆弱性の塊の為に導入してるEDRという製品が巻き起こした騒動。これによりその企業の全業務が停止し、そして復旧に莫大な時間と労力が必要になる。そのコストは誰が負担するのか?といったら導入してる企業であって、セキュリティ製品販売してる企業では有りません(いわゆる免責事項や規約と呼ばれるもの。実際、JALなどのウェブサイトが使えない、デルタ航空などは管制がストップしてて着陸も離陸も出来ないなどが起きてるようで)。

2025年10月にWindows10はサポート終了になりますが、後述の脱Windowsではありませんが、Windowsそのものもセキュリティリスクのある製品ですが、そのカバーの為にコストを掛けて導入してるセキュリティ製品にまで振り回されるのは生産的とは言えません。良い機会なので、Windows10終了をきっかけに、脱Windows⇒Chromebookの導入を考えてみるのは良いのではないかと思います。

  • ※どうやら初の事件ではなくこちらのRedditの投稿こちらの記事を見てわかるように過去にも同様のことを起こしていたようで。こちらは過去の宣伝記事です。
  • ※イーロン・マスクはブチギレてCrowd Strikeを全削除したようです。
  • ※2010年にもMcAfeeがWindowsXP破壊事件というのを起こしてるのですが、George Kurtzという人が当時のMcAfeeのCTOで、現Crowd StrikeのCEOというのがにんともかんとも。
  • ※そしてこういったトラブルは実は他企業のセキュリティ製品でもあったりします
  • ※Windows Updateでも似たような事が過去に何度も発生していますし、WSUSでコントロールして単体テストで防げたとしても、その後のセキュリティ製品のパターンのアップデートとの結合テストとかまで、並の情シスでやりきれるとは到底思えません。その為の人員リソースとお金出せますか?
Windowsで”強制再起動”などトラブル発生 世界規模の障害か|TBS NEWS DIG

【世界各国でシステム障害】考えられる可能性は? 専門家に聞く

ランサムウェアの脅威

前述のコストの項目でも記述しましたが、昨今ランサムウェアによる莫大な身代金要求・業務の停止・会社の信用失墜・データの消失が続いています。中小企業であれば下手すれば一発で企業終了になります。

その殆どがWindowsをターゲットにしていますが、サーバ分野だとWindows Serverの他にもLinuxもターゲットにされつつあります。但しサーバは守るべき台数と場所が限られてるので対策しやすいのですが、問題はクライアント。Windows端末台数が多ければ多いほど穴が同じ数だけ増えることになります。

またITリテラシーが低いメンバーが多いこともままあるため、結果前述のようにいくつものセキュリティ製品をユーザ分全部揃える必要がある・・・このコスト負担はなかなかのものです。結果、サポート切れのまま使うなどして穴だらけの状態で使わざるを得ない状態で「攻撃されるのを待つだけ」という状態になってるところも。

2024年の最近でもKADOKAWAの事件豊田市の情報漏洩KUMONの情報漏洩日本生命の情報漏洩NTTデータの海外拠点の攻撃、などなど・・・・過去には半田病院のようなVPNの脆弱性を攻撃され侵入=>ランサムで暗号化される事件も発生しています。

また身代金を払ったからと言って実はデータを取り戻せる補償などどこにもないだけじゃなく、そもそも暗号化ではなくランダムデータで上書きされて破壊済みといったケースもあり、払い損といったケースも報告されています。おかわりの身代金要求もザラで、攻撃されたら基本オシマイと思って問題ないです。

故に企業組織のクライアントにWindowsを使う以上は強固なセキュリティと相応のコスト支払い能力が求められます。それが難しいのであればChromebookとGoogle Workspaceに切り替えていく方向性を模索する必要性があります。

※豊田市やKUMON, 日本生命、東京海上はすべてイセトーという外部委託企業が漏洩させたものですが、一意の責任は当然委託元のこれらの組織が取ることになります。安易な業務の外注や委託など出来る時代じゃありませんPマークISMS認証を取ってるだけでは信用できないのです。どこの馬の骨とも知らないような企業に市民や自身の情報が外部委託された上に、ランサムで漏洩するという許しがたい行為が日本では行われてるようで。そして、テンプレのような謝罪文とワードを並べられて終わるわけです。

【緊急対策】ニコニコ動画の情報漏洩に学んで自己防衛

VPNはもはやセキュリティリスク

前述のランサムウェアの項目でも記述していますが、日本中で今、VPNの脆弱性を突かれて侵入され⇒ランサムウェアでやられるまでのワンセット攻撃が行われています。VPNでどれだけ回線中のデータを暗号化しようとも、VPN機器というものの脆弱性を攻撃されて侵入されてれば意味がありません。このVPNなのですが、コロナ禍でも話題になりましたが太い回線ではないので、全員が一斉に繋いだらパンクします。

後述の人手不足で消える情シスでも語っている内容ですが誰が面倒見るのか?VPNは?証明書は?もはやVPNを使って外からオンプレアクセス自体がセキュリティリスクになっています。

一方、Google Workspace + Chromebookの場合、後述の「Chrome Enterpriseを使う」にもあるようにコンテキストアウェアアクセスを利用して、デバイスのシリアルナンバー等を利用したアクセス制御が可能です。自宅からGoogle WorkspaceにアクセスするのにVPNなど必要ありません。プロキシを使いたいのであれば、オンプレプロキシではなくクラウドプロキシを使うべきでしょう。

そして問題のオンプレ。これは人員確保が十分出来る企業以外は早急に辞めるべきでしょう。せめてGoogle Cloud上のCompute Engine上で構築し直すなどして移動し、適切なセキュリティ設定をするなどして、VPNレスを推進するべきです。

脱Microsoft

そうは言っても、今の現状Microsoft Windows + Officeから脱却は難しいと考えてる企業は多いですが、その内容を紐解くと実に些細な理由の為に莫大なITコストを払う道を選んでいるのがわかります。

管理部門などはすでにもうWindowsである必要性は消滅しています。次項の内容にも関わってきますが、そもそも人員不足でオンプレを維持する事自体がこれからどんどん難しくなっていくわけです。

そして、一番の要因となってるのがMicrosoft Office。これを紐解くと以下のような理由で脱却できないと言ってるわけです。

  • お客様に渡すファイルがあるので互換性の面でレイアウト崩れがあったら困る
  • お客様の環境がMicrosoft365なのでExcelの関数などで差があっては困る
  • 従業員のスキルがExcel / Wordを基準としてしまってる

これに対する端的な解答は以下のとおりです。

  • ファイルは原則PDFで渡す。(編集可能な状態でPowerPoint資料など渡す必要性は皆無です)
  • Excelはシェイプなどを使わなければレイアウト崩れなど発生しません
  • Wordなどは使う機会も渡す機会もなくなってきてる(一部現場の差込印刷や宛名印刷程度。宛名印刷はラベル屋さん使いましょう)。
  • 既に古いOfficeのまま使い続けてる会社はExcelの関数の差が膨大に発生しています(特に相手がMicrosoft365の場合)
  • そもそも従業員のスキルが元々大したことがない。PowerQueryもVBAも使えないレベルで使いこなしてるとは到底言えない
  • VBA/VBSをマイクロソフトは将来的に廃止の方向に向かわせてる。VBAは現在デフォルトでブロックになっています。

本当に脱Windows/脱Office出来ないのか?」はよくよく突き詰める必要があります。それは単なる従業員や利用者の僅かな利便性の為のわがままであるかもしれません。たかがOfficeを理由に莫大なコストと管理手間を選ぶ時代はもう終わっています。

Google Apps Scriptを始めよう。出来ること代表例【GAS】

Query関数を使ってデータを集計しよう - 其の壱

WSUSの非推奨化

2024年9月20日、Microsoftは社内のWindows Updateと配布をコントロールする「WSUS」について、非推奨化を発表。これはこれまでのローカルの管理からIntuneなどのAzureへの機能の移行を促す一環になります。

これまでは社内にWSUSのサーバを何本も立てて、社員のPCへのWindows Update適用を制御していたわけですが、WSUS非推奨化に伴って、いよいよMicrosoft自身が脱ローカルを始めたとも言えます。もともとEntra ID + Intuneの時点でローカルADからの脱却を図っていたわけですが、これが加速すると思われます。

もともとWSUSはVPNではろくに配布出来ない、社内であっても配布にしくじってユーザのディスク領域を食いつぶす、サーバスペック・回線スペックが足らず十分な速度で配布が出来ないなど問題も多くありました。しかし何よりも問題なのはWindowsというOSの肥大化が一番の原因(経験談です)。

Chromebookのアップデートは非常にシンプル簡素でその容量も非常に低く、そもそもWSUSのような仕組みを必要としません。WSUSに投下されていたITコストや人手はChromebookならば他に回すことが可能です。WSUS廃止は良い機会ですので、前述の脱Microsoftではないですが、「当たり前と思ってるその仕組、そのコスト。本当に当たり前なのか?」ということを一度考え直しても良いのではないかと思います。

人手不足と消える情シス

昨今話題になってる人手不足。そして賃上げによる物価高。企業経営はコストでどんどん利幅が取れなくなってきています。そしてこの事象は「解決する見込みが全く無い」外的要因です。

結果、社内ネットワークやオンプレサーバを維持する要員の確保が出来ず、情シス要員が消えていく。そうなったらPCのキッティング、莫大なヘルプデスク対応誰がやるのでしょうか?そもそも、エンジニアの多くは社内SEに興味がないばかりか、そもそもやりたがらない人が実に多いです(一人情シスとか勘弁です)。当然給与も高いランクなので、金額提示もままならない。

致命的な状況に陥る前に、少人数でも運用可能なGoogle Workspaceに移行し、端末をChromebookに変えて簡略化し、コストも要員の負荷も無くし、来る2025年の崖に備えなければ、移行したくても出来ないという詰みの状態になりかねません。WindowsとMicrosoft Officeはそれだけ手間暇もコストも掛かる要因です。

※Windowsをやめるだけで相当数のヘルプデスク業務が不要になると言われています。

Windows11 パーフェクトバイブル

レンタルPCとキッティング

結構多くの企業が既に取り組みの1つとして、「PCのレンタル化」で情シス負荷の低減や費用の分散化を図っているかと思います。横川レンタリースなどはその代表格で自分もお世話になっていました。

例えばDynabookならばキッティング料金は除いてPC単体のレンタル料金だけ見れば、月額3600円/1台(300名規模ならば、月額108万円、年間12,960,000円)。これの4年保守付きで契約するわけです(4年合計:51,840,000円)。4年で割った場合の端末単価を見ると1台172,800円相当のPCを買い切りしてるのと同額になります。

法人のPCとしては至って普通の金額と言えます。ここに情シス要員の配送やキッティング、修理応対やレンタル屋さん側の技術料が含まれてくるわけです。

Chromebookの場合、C436FAならば8GBモデルでも89,800円。Core i7モデルでは166,580円。前者のクラスで良いのであれば、4年300名としても、4年合計で26,940,000円(値差は24,900,000円)。配送や修理対応などがここに入ってきます。しかし、Chromebookはそもそもキッティングが不要です。故に故障したら代わりのものを送れば良い。東京からならば本州であれば翌日から2日、関門海峡渡っても3日で鹿児島まで届けられます。開封したら自分のアカウントでログインするだけでオッケー。スマフォのように環境が復元されます。

サテライトオフィスなどではレンタルChromebookのサービスを展開しており、Google Workspaceの導入も行ってるパートナー企業です。ワンストップで依頼出来るのは大きな差別化です。

C436FAクラスのものを買い切りでも4年の端末コストに差は殆ど無いものの、前述の見えないコスト(ヘルプデスクやセキュリティ製品導入)を考えると、この差は目をつむるには大きい金額ではないかと思います。

Windows11サブスク化か?なんて記事が出たり、Windows12はそうはならないという記事がでたり、ただOfficeのサブスク推進が進んでる現状ではOSについてもサブスク化が進んでもおかしくない時代です(Windows365なんてものが出てきたり、Windows10/11 BusinessなんてのがMicrosoft365管理センターにあったり)。

図:サブスクWindows?

すでに始まってる動き

すでにもうChromebookの社会に対する影響は広がりつつあります。

地方自治体

地方自治体でのChromebookやGoogle Workspaceへの移行が始まりつつあります。直近の事例だと鹿児島県肝付町の事例。自分は鹿児島市のほうに住んでいますが丁度錦江湾を挟んで向こう側の大隅半島側。のどかな場所なんですが、例に漏れず過疎化が進んでるエリア。だからこそ挑戦するという心意気が良い。

さらにお隣の宮崎市、北海道札幌市、前橋市など自治体でChromebookやGoogle Cloud導入の動きが相次いでるのは、やはりセキュリティ面やコスト面、なによりも三層分離を求められ高コストで重たいVDIを排除したいのでは?と思います。低コストでセキュアな環境となるとGoogle Workspace + Chromebookに至るのは必然。

鹿児島県肝付町 : 人口 14,000 人、町役場の DX を Google で。

[Chromebook 導入事例] 前橋市: 2,600 人の業務端末を Chromebook に刷新

札幌市と Google Cloud のデジタル改革に向けた戦略的提携について

自治体 DX を実現する Google Workspace によるこれからの働き方

学校

学校は言うまでもなく「GIGAスクール構想」。iPadやらSurfaceを入れてる所もありますが、そもそも学校はOfficeアプリを学ぶ場所じゃありません。据え置きのChromebookを導入し、様々な学科にて利用が始まってもう数年。プログラミングが授業で始まるなどの動きも出ており、ますますハイパー小学生が生まれる可能性が出てきました。

Chromebook + ChromeOSであれば、そのままGoogle Apps ScriptScratchの学習が出来、出来る学生はその先をそのまま目指すことが出来ます。iPadやSurfaceでは難しいでしょう。

学校の現場でWindowsなど入れてもコスト面や莫大なセキュリティ対策などやってられないのはもとより、端末の破損も起きやすい場所なので、交換するだけで済むChromebookはピッタリの場所。Google WorkspaceのClassroomなどを使っての授業管理もあり、今後も定着していくことでしょう。

しかもまだ、教職員の方々の業務改善に繋がってるケースは少ない。ここがこれからどれだけ進んでいくのか?がポイントになる。すでにGIGAスクール構想第二期が始まっており、こちらでは要件としてChrome Enterprise Upgradeが必須(特にMDM機能)になっています。

Google Apps Scriptを始めよう。出来ること代表例【GAS】

奈良市版GIGAスクール構想 新しい教室の風景

【TKGP2023】2023年度 No.1小学生決定! 小学生のためのプログラミングコンテスト「Tech Kids Grand Prix 2023」本選決勝プレゼンテーション LIVE配信

【天才】スーパープログラミング小学生の最優秀賞に輝いたアプリが凄すぎる!【EXA KIDS】

医療機関等

自分も現場で働いていたのでよく知ってる医療機関。ここは膨大な個人情報が存在してるだけじゃなく、カルテという重要なシステムも多数ある場所。故に、医療機関の現場はインターネットとは遮断も当たり前です。それでも起きるランサムウェア問題。そもそも医療機関の現場では電子カルテ含めてWindowsを積極的に利用する理由が全くありません。排除するだけでどれだけのセキュリティアップに繋がるか計り知れないほど。

また、医療機関の現場の人はITに詳しくない人が多数でそもそもOfficeにも依存していないため、非常に導入しやすいです。半端にofficeを齧ってる一般企業のほうが面倒です。そのため、ChromebookやGoogle Workspaceでも導入に殆ど障害がなく、また現場の人の士気や統制力は一般企業の事務員なんかより全然高いので、割りとあっさり扱えるようになります。

自分の居た場所では看護学校のレベルからChromebookを導入し、そのまま病院で仕事ができる導線があるため、人材確保の面からも良い仕掛けだと思います。

一般の企業

Chromebookの導入で一番遅れを取ってるというか、身動き取れていない状態なのが日本の一般企業。理由は前述に書いた通りに、Officeに依存しすぎていたりWindowsに依存しすぎ、セキュリティ製品バンバン入れて高コストでも外すことが出来ない社内情勢。この社会情勢下でいつまでそのコストを負担しつづけられるのか?という話になります。

パソコンオタクの言うPC論は企業の現場では意味のないお話で、企業の情シスの現場で一番求められてるのは「セキュリティ確保」「コスト削減」です。前述の医療機関との対比ですが、ITリテラシーが半端にある状態であるがゆえに移行の障害になってるケースは多々あります(その割にExcel使い方の問い合わせをしてくる人がいるのが謎。情シスはIT介護をする部署ではありません)

ドラスティックな改革を行わなければ「日本の企業」では難しいのではないかと思います。

また、所属してる従業員もリスキリングが求められています。AppSheetやGoogle Apps Scriptが即座に利用できるGoogle Workspaceであればその一助になります。リスキリング出来ない従業員はこれから先淘汰されるでしょう。

リスキリングしないと10年後どうなるのか?

Chrome Enterprise 導入事例 - GABA

Chromebookの更新期限が延長された

これまでのChromebookは発売から7年程度が更新ポリシーの期限でした。C436FAは2020年発売なので、本来は2027年あたりで切れてしまうのですが、延長発表に伴って2030年まで保証が付くことに。10年にポリシー変更された事で、長く利用するGIGAスクールなどでもオススメしやすくなりました。

今回敢えて中古で購入した理由の1つがこれです。これでしばらくはこのChromebookで戦えるのと共に、期限が来たらGalliumOSに入れ替えてさらに運用を長くするといったこともスペック的に十分可能です。

図:2030年まで使えるようになった

検証してみた

さて、ここからはC436FAの実力を深堀りしてみたいと思います。HP Chromebook 14aとは大きくことなるハイパフォーマンスChromebookである利点を調べ上げてみました。

各種設定変更

アプリカタログ機能

ChromeOS 124よりchrome://flagsに追加されてる試験運用中の機能がApp Mallアプリカタログページとも呼ばれ用意されています。ここには、Google Workspaceアカウントでは表示されませんが、通常のGoogleアカウントであれば、いますぐ試すことができます。といっても現時点では、Google Playのゲーム類やPWAのアプリが少量登録されているだけで、将来的にはLinuxアプリなども収録されるのでは?という期待値です。

  1. Chromeを起動し、chrome://flagsを開く
  2. cros-mallを検索して、ChromeOS App MallをEnableにしてrestartをクリック
  3. ランチャーやタスクバーに丸い青いツブツブのあるアイコンがいるのでクリックする

Google Playのゲームはまぁ、別にこれで探す必要もないわけですが、今後PWAアプリやLinuxアプリなどが増えていくのであるならば有意義かなと思います。主なリストは

  • Chromebook向けのAndroidアプリのおすすめ
  • またおなじくゲームとしてのAndroidアプリのリスト
  • GeForce Nowで対応してるアプリの一覧
  • PWAとして動作するウェブアプリの一覧

となります。

図:フラグをEnableにする

図:アプリ追加の助けになります

タブレットモードをオフにする

レビューにおいて、「台の上に置いてると勝手に反応してタブレットモードになる」と記述しましたが、これ本当に鬱陶しいのとタブレットモードなど使う機会は無いので、オフにする設定をしてみようと思います。

  1. Chromeを起動して、chrome://flagsを開く
  2. まずは、ash-debug-shortcutsと検索して、Debugging Keyboard Shortcutsを見つける
  3. Enableにする
  4. 次に、top-chrome-touch-uiを検索して、Touch UI Layoutを見つける
  5. Disableにする

こうすることで勝手にタブレットモードにならずに済むとありましたが効果はいかに。またCtrl + Alt + Shit + Tにて手動でモード切替も出来るようになります(ただ、画面をタブレットのように反転させるとタブレットモードになるんですよねぇ・・・効いてるのかな)。ただショートカットキーで戻せるので緩和はしました。

※また、外部キーボードやマウスを接続すると、タブレットモードにはならずに済むようです。

図:2つのflagsを弄ることで快適に

ファイルアプリに統合

Microsoft365 OneDriveに接続

ChromeOSのファイルアプリ上で、MicrosoftのExcelやWordのファイルを開く場合、通常はGoogle SpreadsheetやDocumentが開くようになっています。これはGoogle Drive上だけでなくダウンロードフォルダ上であっても同様です。

しかし、ChromeOSのFlagsを弄ることでMicrosoft365のOneDriveに接続し、Excel OnlineやWord Onlineに開けるようになる機能がプレビュー公開されたようなので試してみました。この機能は普通のGoogleアカウントでは利用出来、Google Workspaceアカウントではまだ有効化されていません。

  1. Chromeを起動して、chrome://flagsを開く
  2. 検索窓で「upload-office-to-cloud」を検索してEnable Office files upload workflowを見つける
  3. Enableにする
  4. Restartをクリックする

コレで使えるようになりました。Google Driveもしくはダウンロードフォルダ上のxlsxファイルなどをダブルクリックすると接続が開始されます。

  1. どれで開きます?みたいなダイアログが出てくるので、Microsoft365を選ぶ
  2. 始めるをクリックする
  3. OneDriveに接続と出るのでクリックする
  4. Microsoft365アカウントでログインする
  5. Connect OneDrive ChromeOSの承認画面が出るので、組織の代理として同意するにチェックを入れて承諾をクリックする
  6. PWAっぽいウィンドウでExcel Onlineで開かれOneDriveにはファイルがコピーされる
  7. ChromeOSのファイルアプリにはOneDriveがGoogle Driveの下あたりに追加され直接操作が出来るようになってる

Microsoftは未だにChromebookのようなものを出せずにいるので、Microsoft365ユーザがChromebook活用というシーンでは使える手段かもしれません。

図:Flagsから機能をオンにする

図:接続承認画面

図:Excel Onlineで開いた様子

図:OneDriveがファイルアプリに追加された

BoxやDropBoxをファイルアプリに接続

ChromeOSのファイルアプリは以前は「新しいサービスの追加」にて、boxやDropboxなども接続追加出来たはずなのに、その機能が無くなっています(ドキュメントは更新されずにそのまま)。どうも、追加方法が全然違うものに変わってるようです。

気がついたのは、DropboxのヘルプページBoxには具体的な記述が見つかりませんでしたが、DropboxもBoxも以下のやり方でファイルアプリに統合することが可能です。以下はBoxの場合の接続方法です。Microsoft365利用してる企業の場合、OneDriveではなくBoxを別途契約して利用してるケースが多いと思うので有益だと思います。

  1. Google Playアプリを起動する
  2. Boxを検索してインストールする
  3. Boxアプリを起動してログインしておく
  4. ファイルアプリを開くとBoxが何故か追加されていて、Boxのドライブに直接アクセス可能になる

なんていうか、実に分かりにくい手順。Androidアプリ入れると入るとは普通思わないでしょ・・・・Androidアプリをアンインストールすると、ファイルアプリからも消えますので注意。

合わせて、Boxのサービス側にBox for Google Workspaceを入れておくと、GWS + Boxな会社では捗るのではないかと思います。

図:Boxがファイルアプリに追加された

ファイルサーバ接続

前回の記事が4年前のものなので、現在のファイルサーバ接続を一応しらべました。といっても自分のNAS環境は変わっていないので、相変わらず、ASUS TUF AX3000にHDDつなげたもの。これはSMB v1の環境なので、ChromeOS標準のSMB共有では接続出来ない(SMB v2以上じゃないと使えない)。社内でNASがある場合には、SMBはv3にしておくと接続が楽になります。

前回同様に以下の2つを試しましたが、どちらも利用することが出来ました。

  1. AndroidアプリのCX File Explorerから接続してファイル操作
  2. File System for Windowsがまだ利用可能なのでこれを利用する

どちらの場合も、IPアドレス, User Name, Passwordを入れて接続すればNASに入ることが可能です。

※また、ラズパイ5で作成したファイルサーバの場合、File System for Windowsがなくても標準機能でファイルサーバに接続ができました。非常に高速で快適です。

図:Androidアプリが一番確実

図:設定自体は簡単です。

図:接続してフォルダの中身を見られる

ASUS TUF-AX3000で快適なテレワーク環境を作ってみる

Raspberry Pi 4でファイルサーバを作成する

Chromeのタブにファイルマネージャ表示

実はchrome://file-managerをChromeで実行するとファイルマネージャアプリが起動します。これをChromeのタブの中で開くようにしただけの拡張機能がGithubで公開されています。色々と便利です。但し、Chrome Webstoreで公開されてる拡張機能ではない為、インストールはちょっと手間です。

  1. chrome://extensions/を開いて拡張機能の管理を開く
  2. 右上のデベロッパーモードをオンにする
  3. こちらのサイトからfilestab.crxをダウンロードする
  4. ファイルを掴んで拡張機能の管理に放り込む
  5. 警告画面が出るので色々とオッケーする
  6. あとは拡張機能のアイコンをクリックするとタブ内でファイラが開かれます

図:実に単純な拡張機能

Androidアプリを実行

通常のアプリの実行

Chomebookの1つの大きなアドバンテージが「Androidアプリ」が実行できる点。いつもの「ねこあつめ」と「SmartNews」はバッチリ動作。この当たりはある意味動いて当然な領域。macOSと違ってアプリが豊富でサクサク動くので非常に助かる(macOSはiOS用アプリを異常に制限してる)。タッチパッドなのでタッチ系のアプリも動かせる。

ただし、現時点でChromebookのAndroid環境ではGoogle Geminiが使えないようで(Microsoft CopilotやChatGPTは動く。こういう所で遅れを取ってるのがGoogle)。

さて、前回のChromebook 14aでは到底動作しないAsphalt9を動かしてみようと思います。Google Play Gamesとアプリを入れて、自分のスマフォのデータを復元させプレイ。重量級のゲームではあるのだけれど、普通に楽しめました。Chromebook14aでは話にならなかったようなこういったアプリもバッチリ動かせる。

Androidベースで仕事をする未来が十分アリ得るなと言える検証でした。

※Android環境もChromeOS上のARCVMと呼ばれる仮想環境で動作してるようです。chrome://flagsにもmemory割当を変更するフラグなどがあったりします。

図:普通に楽しめました

図:出遅れてますよ、Googleさん

図:SmartNewsはバッチリ動作

図:Android13が入ってる

図:flagsにあるARCVM関係のフラグ

野良アプリを実行

ADBコマンドでインストール

ChromebookはGoogle Playがあるので豊富なAndroidアプリを入れられるのですが以下の2つの制約があります。

  1. Google PlayにあってもChromeOS対応としていないのでインストールできないものがある
  2. 野良アプリはインストールができない

1.の事例はScreen Masterなどがその事例になります(Proはなぜかインストール出来る)。後者はGoogle Playには無いアプリのapkファイルがそれに該当します。

これらのアプリをインストール可能にする為には以下の処置が必要ですが自己責任となるので要注意。Screen Masterの事例になります。

  1. Linux開発環境を有効化しておく
  2. Linux開発環境の設定の中にある「Androidアプリの開発」に於いて、ADBデバッグを有効にするのチェックをオンにする
  3. 再起動がかかる
  4. ADBでデバッグを有効にしますか?では、「確認」をクリックする。
  5. ターミナルを起動する
  6. 以下のコマンドを実行して、adbをインストールする

    これで、adbコマンドが使えるようになります。
  7. ファイルアプリにてダウンロード内にフォルダを作り、Linuxと共有をしておく
  8. APKComboを利用してapkへの直リンクを使い、このページからapkをダウンロードし、5.のフォルダに入れる
  9. ダウンロードしたapkの名前をscreenmaster.apkにでも変えておく
  10. ターミナルから以下のコマンドを実行する
  11. 途中USBデバッグの要求ダイアログが出てくるので許可してあげる。
  12. 無事にインストールされたので起動してみる

※古い記事だとChromebookをデベロッパーモードにしないとapkインストール出来ないようなことが書かれていますが、本手法はデベロッパーモードにする必要はありません。故にChromebookを初期化する必要がありません。ただし、ADB無効化時はPowerwashが必要になります。

図:adb debug有効化

図:USBデバッグダイアログ

図:APK Downloader

図:無事に起動しました

パッケージインストーラでインストール

ChromeOSのAndroid環境はデフォルトでパッケージマネージャがインストールされていないので、CX File Explorerを使ってapkをインストールしようとしても出来ません。また、Chromebookのファイルアプリ上からapkをダブルクリックしても当然インストールが出来ません。

しかし、前述の手法でパッケージマネージャをADBでインストールすると上記のことが出来るようになります。

  1. ここからC436FAのAndroidと同じVersion13用のパッケージインストーラのAPKをダウンロードする
  2. package.apkと名前を変えてapkフォルダに移動しておく
  3. Linux側のターミナルで前述と同様にコマンドを入力する

    特にランチャーなどには登録されない
  4. 一旦、Chromebookを再起動する。
  5. ファイラアプリを起動する
  6. apkファイルをダブルクリックするとインストールが開始出来るようになってる。
  7. 同じく、CX File Explorerでapkをタップするとインストールが出来るようになってる。
  8. 一部で以前のバージョン用ってことでブロックしましたと出ますが、∨の記号をクリックしてインストールをクリックすると続行可能

これで、ADBコマンドをいちいち打たなくても、APK Downloaderを使ってのAPKや野良APKがインストール可能になります。

図:ニコブラウザをapkからインストール中

図:ファイラアプリからインストール中の様子

対応リンクをアプリで開く

Chromebookはスマートフォンと違って画面も広いしフルブラウザなので特定のWebサービスをChromeで開いても何ら問題はないのですが、リンクをクリック時にどうしてもChromeではなく特定のAndroidアプリで開きたい場合があります。

そんな場合は、Android側の設定を追加することで対応することが可能です。以下はYoutubeを別のアプリで開く場合の設定になります。

  1. 設定アプリを開く
  2. アプリを開く
  3. Google Play設定を管理をクリック
  4. Android設定を開く
  5. デフォルトのアプリを開く
  6. リンクを開くをクリック
  7. 開きたいアプリをクリックする
  8. リンクを追加をクリック
  9. 以下の内容を選択する(ない場合もある)
  10. 対応リンクを開くのスイッチをオン

これで閉じて、Chromeなどで対象のYoutubeのリンクをクリックすると、Chromeではなくアプリで開かれるようになります。Youtubeのサイトを開いて動画をクリックした場合は、Chrome内部で開かれます。

図:対応URLを追加する

ゲームパッド対応

手持ちのPS5コントローラをC436FAに有線・無線接続させてAndroidアプリで使えるのか?テストをしてみました。結果はちょっと渋い結果。ゲームパッドのテストサイトではオカシナ挙動はなかったものの

  • Asphalt9 : 認識されゲームバッチリ。しかし一部のシーンでオカシナキーが入れっぱなしみたいな現象あり
  • RetroArch:認識されてはいるもののゲームのGUIのみ操作可能で、ゲーム自体は操作が出来ず。

いまいちな結果。使えないわけじゃないのだけれど、Chromebook 14aの頃とは大分OSも違うし、Androidのバージョンも違うので不具合が出てるのかな?という感じです。アプリのせいなのかOSのせいなのか?それともChromeOSのAndroid VMのせいなのかは不明。

PS5のコントローラを他のデバイスで使う方法

Android用Wine対応

Chromebook 14aの時はCrossOver for ChromeOSみたいなのが存在した。しかし現在は存在せず、類似のものを探していみるとWinlatorであったりexagearwine for androidというものが見つかる。

これらを全部試してみましたが、Wine for Androidは起動せず。残りの2つも起動はするもののRunを実行すると無限ループでデスクトップが表示されない。同じAndroid13の自分のスマフォだと普通にWineのデスクトップが起動するのだけれど。

どうもAndroid13といっても、ChromeOSのそれとスマフォのAndroidでは違うようだ。やはりWineはLinux環境で動かすべし。

図:無限ループで起動しない

リモートデスクトップ

Google ChromeにあるChromeリモートデスクトップではなく、Windows ServerやWindowsマシンに備わってるRDPプロトコルによるリモートデスクトップは、AndroidアプリのMicrosoft製のRemote Desktopアプリを利用します。

接続にあたっては相手側でRDPの許可やファイアウォールの通過許可、ID/PWなどが必要です。Windows版のそれよりも高機能というわけではないですが、クリップボードの共有など必要最低限できることは備わってるので、サーバーメンテやGCPのCompute EngineのWindows ServerにRDPで接続などの仕事は十分に可能です。

試しにmacOSのUTM上で起動したWindowsXPの仮想マシンでRDP許可して、Chromebookから接続してみました。バッチリ接続することが出来て、WindowsXPの仮想マシンを遠隔操作することができました。

このようにRDPも十分活用できる為、情シスの仕事でもChromebookは仕事をすることが可能です。

図:RDPで仮想環境のWindowsXPに接続

Linux環境

システムの標準言語を変更

Linuxの標準の言語を日本語表記にする場合には、以下の手順で日本語ロケールにする必要性があります。デフォルトが英語になっている為。

  1. ターミナルよりsudo dpkg-reconfigure localesを実行する
  2. en_US.UTF-8を探し出して、*を外す。直接クリックで外せます(もしくはスペースキー)
  3. ja_JP.UTF-8 UTF-8を探し出して、*をつける
  4. Default Localeを聞いてくるので、今設定したja_JP.UTF-8を選択して、OKする
  5. Generating Localesと出て完了する。一度ここでターミナルを右クリックして、Linuxをシャットダウンさせます
  6. 再度ターミナルを起動して、localeと入れて4.で設定した言語になっていればOK
  7. これで以降、エラーメッセージ等のシステムメッセージが日本語表記になります。
  8. 次にターミナルから以下のコマンドを実行します
  9. 再度、Linux環境を再起動するとアプリのGUIは原則日本語になります。

図:日本語ロケールに変更中

フラグを有効化

ChromeOSのLinux環境をフルに活用する為にはいくつかChromeOSのフラグを弄る必要があります。ただ、正式実装されてるものではないので不具合が出る場合があるのでその場合はDisableにしておくのが肝要です。

  1. Chromeを起動する
  2. chrome://flagsを開く
  3. GPUで検索をすると、Crostini GPU Supportが出てくる(Linux環境でGPUパススルー?が効くらしい)
  4. Enableに変更する
  5. Shecdulerで検索すると、Scheduler Configurationが出てくる(Hyper Threadingを有効化する)
  6. Enableに変更する
  7. RestartをクリックしてChromeを再起動する

図:この設定が悪さをする場合がある

Qemuによる仮想環境の構築

ChromeOSのLinux環境はそれそのものが仮想環境のコンテナです。よって、CPUが対応していないと更にこの中で仮想環境を構築することは出来ません。しかし、C436FAはCPUが入れ子の仮想化であるNested Virtualizationに対応してるので、Chromebook上で他のOSを動作させるといった事が可能になります。CPUはx86-64なので、エミュレーションする必要はありません。

インストール

まずは、Qemuやvirt-managerをインストールする必要があります。ターミナルよりインストールするだけの簡単な作業です。

  1. ターミナルを起動する
  2. 以下のコマンドを打って、アプリをインストールする
  3. Linuxをシャットダウンして再起動する
  4. ターミナルからsudo virt-managerで仮想環境を作るアプリが起動します

但し、実際には次項の設定変更をしてからでないと仮想環境を作る際にエラーが出てしまいます。

図:CPU対応状況を調べてみた(KVM対応)

設定変更

インストールした直後のまま、virt-managerを起動して仮想環境を作ろうとしてもエラーがでてうまくいきません。「Unable to set XATTR trusted.libvirt.security.dac」だったり、「Failed to chown device /dev/urandom: Operation not permitted」だったり。これらを解消するには、以下の設定ファイルに追記する必要があります。

  1. nanoをインストールしておく(sudo apt install nano)
  2. 以下のコマンドでファイルを開く
  3. 以下の内容を一番文末に追記して、Ctrl+Oで保存し、Ctrl+Xで抜けます
  4. 一旦Linuxをシャットダウンして再度ターミナルを起動
  5. sudo virt-managerで起動し、仮想環境を構築する

とりあえず、macOSのUTMで利用していたWindowsXPをそのまま流用してみました。同じQemu環境なのでそのまま持ってこられるのが大きなメリットです。ChromeOS側から特定フォルダをLinuxと共有し、/mnt/chromeos/MyFiles/Downloads/に表示されますので、そちら経由でqcow2ファイルを渡して仮想環境を作りました。

図:virt-managerが無事起動した

WindowsXPを起動してみた

特にVirt-Manager上で作成にあたりデバイスの変更をせずにそのまんま起動してみました。予め、macOS上のUTMでGPUやネットワークカードのドライバなどは仕込み済みの環境ではあるので、アクティベーション表示が出る以外は、何の障害もなく起動。UTMとは違いCPUエミュレーションをしていないので、実に快適に動作しました。

もうちょっと重たいWindows8.1あたりでも実験してみたい所。

図:ChromeOS上でWinXPが起動した

Wine環境

本家のWineをインストール

HP Chromebook 14aの頃は、Wineのインストールは結構四苦八苦していました。現在のChromeOSのLinuxはDebian12 Bookwormになっているのですが、インストールは果たして楽になっているのだろうか?

  1. ターミナルから以下のコマンドを実行します。
  2. 続けて以下のコマンドを入力してリポジトリの追加を行います。
  3. 以下のコマンドでアップデートを実行する
  4. 以下のコマンドでWineをインストールする
  5. 追加のモジュールをインストールする
  6. 最期に、wine --versionを実行して、wine-9.0と表示されたら成功
  7. 続けてwinetricksをインストールします。

    win32として32bitのwineprefixを作成し、Visual Basic 4 Runtime等をインストールしています(デフォルトは64bit)。64bit環境だとvb4runはインインストールが出来ない。また、winetricks単体でも起動することが可能です。

結構あっさり障害もなく終わりました。wine winecfgと入力すればWineの設定画面が出てきます。前述の日本語化の設定をしておけばアプリのUIも日本語が原則適用されます。

しかし、一方で気になったのが、前回同様の手法にも関わらず、VB4アプリやインストーラが起動しない。互換性落ちたのだろうか?Notepad++も公式サイトのインストーラだと起動失敗し、Winetricks上からだとインストールが出来る。

こういった不具合が嫌だなぁという人は、CrossOver LinuxPlayOnLinuxを使いましょう。

図:Wine9.0がインストールされました

図:Notepad++をインストールしてみた

CrossOver Linuxを使ってみた

以前はCrossOver for ChromeOSとして別に販売されていましたが、現在はCrossOver Linuxで統一された高機能商用Wineアプリケーションですが、こちらでNotepad++をインストールしてみました。

以前も独立したエントリーで検証していますが、C436FAでもバッチリ動作。もちろん何でも動作するわけではないのですが、14日間の体験版でテストすることが出来るので、確かめてから購入することが可能です。

図:安心のCrossOver Linux

ChromebookでWindowsアプリを動かしてみよう

Bottlesを使ってみた

とはいえ、本家Wineはコマンドラインベースで非常に使いにくい。ということで、以前もつかったことのあるBottlesをインストールしてみることにしました。実はちょっと前に試したらセットアップから先に進まない現象で諦めていたのですが、今回トライしたら通過できたので、以下にインストール方法を記述します。

  1. ターミナルを起動して、以下のコマンドを実行しflatpakをインストールする
  2. 次に以下のコマンドを実行してBottlesをインストールする。色々聞かれますが、yとだけ答えておけばオッケー。エラーが出ても再度実行して完了させることが可能です。
  3. インストールが起動したら以下のコマンドでBottlesを起動する
  4. 起動したらダイアログのボタンをクリックして進めると後ろで色々ダウンロードされて、使えるようになる

アプリ自体は日本語対応なので前述のシステムの標準言語を変更をしておけば、起動時には日本語で起動するハズなのですが、なぜか今回は英語のまま。また文字化けする場合には一旦以下のコマンドでキャッシュをクリアすると良いでしょう。

オリジナルWineだけじゃなく、ProtonなどのWineもRunnerとして選ぶことができる上にGUI上で構築ができるので非常に楽ちんです。ただ、文字化けやら動作しないアプリなども多いため、試行錯誤が必要なのも事実。

図:ボトル作成中

コンテナのバックアップ

色々とLinux環境を構築していると時に誤って環境を破壊してしまうことがあります。そこでこのLinux環境を取っておくためにもバックアップが必要です。

  1. 設定アプリを開く
  2. 一番下のChromeOSについてをクリック
  3. デベロッパーにあるLinux開発環境をクリック
  4. バックアップと復元をクリックする
  5. バックアップをクリックする(同じ画面に復元もあります)
  6. マイファイル直下でオッケーなので保存をクリックする

以前の環境だと64GBのディスク容量しかないので、Linux環境も大きなのが作れなかったり、バックアップが大変だったりしましたが、C436FAは512GBのSSDであるため、かなり余裕があります。

図:NASにでも退避させておきましょう

日本語入力環境

Mozcではなく、ChromeOS標準の日本語入力が使えるようになってるので、以下の設定を作って対応します。

  1. ターミナルを起動する
  2. 以下のコマンドでディレクトリを作る
  3. nanoを起動して以下の内容を記述して、Ctrl+O, Ctrl+Xで保存する。ファイル名はime.confとする
  4. Linux環境をシャットダウンして再起動する
  5. 但し、sudoの場合だけは通常通り起動しても日本語入力設定が反映しないので、例えばgeditならば以下のコマンドにて-Eをツケて起動する
  6. するとIMEオンオフがLinuxアプリ側でも反映しています。

chromeのフラグのオン・オフも既に不要で、cros-imeのインストールも不要です。上記の手順だけでIMEのオンオフが出来るようになっています。

ChromebookのLinuxで日本語入力

root権限でGUIアプリ起動

GnomeのgeditやNautilusをroot権限で起動するといったことは頻繁にあります。設定ファイルの書き換えなどでは必要だからです。しかし、sudo geditなどと実行すると、「Error: cannot open display: :0」というエラーは相変わらず出ます。sudoでなければ問題なく起動します。この辺はChromebook 14aの頃と変わっていません。

この問題を解決するには以下の処置をしておきます。

これで、sudoでもアプリが起動するようになります。毎回打つのも面倒なので、nanoなどを使ってsudo nano ~/.bashrcを開き、上記のコマンドを追記して保存すれば、次回からはsudoでGUIアプリが普通に動作するようになります。

図:root権限でファイラを起動してみた

複数コンテナとUbuntu

LinuxコンテナはGUI上では1個しか作れないような感じですが、実は複数作成することが可能です。以前はchrome://flagsからcrostini-multi-containerをオンにしないと出来なかったのですが、現在は以下の手順で2個目を作成して、尚且つDebinaではなくUbuntuをインストールする事が可能です。

  1. Ctrl + Alt + TでCroshを起動する
  2. 以下のコマンドでターミナルに入る
  3. 最新版Ubuntu 24.04を入れるならば以下のコマンドを実行する

    インストールが始まります。名前が勝手につけられ、neat-goatという名前がつけられてしまった。なのでubuntu:24.04の後に引数で好きな名前をつけることが可能です。
  4. lxc listコマンドを実行すると2個目として新しいコンテナが追加されてるのを確認できる
  5. 以下のコマンドで新しく作ったコンテナにログイン出来る
  6. あとはaptなどでパッケージを追加したり実行することも可能だけれど、通常のターミナルからはこのコンテナが選ぶ画面が無いのでCroshから入るしかないようだ。

2個目のコンテナが作れるのは良いのですが、GUIから直接ターミナル入れないであったり、2個目のコンテナのバックアップ方法、GUIアプリ入れて通常起動してもcannot open displayと出て起動しない等、ちょっと使いにくい。複数インスタンスが起動してるような状態なので、パフォーマンスにも影響する。

削除する場合には今回のケースならば以下のコマンドで停止してから削除することが可能です。

図:Ubuntuコンテナを追加してみた

ターミナルでCtrl+Spaceで日本語オンオフ

ChromebookはLinuxのターミナル上であっても、かな/英数キー、英数キー、かなキーでIMEのオンオフが可能です。なので通常困ることはないのですが、Linux界隈で慣れきった人は日本語入力のオンオフはCtrl + Spaceでオンオフしたい人がいます。このキーでオンオフは以下の手順で可能になります。

  1. タスクバーのターミナルアイコンを右クリック⇒設定をクリック
  2. ターミナルの設定にてキーボードとマウスを開く
  3. 一番上部の「OSのデフォルトのキーボードバインディング/ショートカットを使用する」にチェックを入れる
  4. ダイアログを閉じる

これで、Ctrl+Spaceでオンオフが出来るようになります。

図:ショートカットキーをオンにする

Linux環境でマイクを使う

Linux環境でマイク付きのイヤホンなどを接続してマイクから録音などや音声入力をしてみました。事前に設定をする必要があります。Linux環境でマイクから録音などを使う場合に必要です。また、C436FAはイヤホンジャックがついていますが、今回は「USB Type-Cをヘッドフォンジャックに変換するコネクタ」で有線イヤホンを利用してみています。

  1. 設定を開き、ChromeOSについてを開く
  2. Linux開発環境を開く
  3. Linuxにマイクのアクセスを許可するにチェックを入れる。この時、Linuxが起動中だとシャットダウンされるので再度起動する
  4. Linux環境でaudacityをインストールしてみる
  5. audacityを起動してみる
  6. 録音をクリックして音声入力が出来てるか確認する

図:マイクアクセスを許可する

図:Audacityの録音デバイスはデフォルトでオッケー

OBS-Studioが動かなくなった

起動が意図的にブロックされてる

HP Chromebook 14aの時はインストールして動作もしたOBS Studio。ためしにC436FAにインストールしてみたのですが、エラーがでて起動できず。明確にChromeOSをサポートしていない旨のメッセージが。

もともとカメラにアクセスできないということもあるのですが(DroidCamは使えるのに)、どうもOBS側で意図的にChromeOSであることを検出してブロックする処理を入れてるようです。Flatpakのほうも試しましたが同様にブロックされていました。古いバージョンはインストール自体ができず(29.1.3辺りのバージョン)。

※ただし、crostiniだけが駄目なようなので、前述のUbuntuをインストールした場合はインストールできるらしい・・・

図:意図して動作させないようです

解除する方法

どうしても動かしたい場合、この起動ブロックを解除する必要があります。cros-containerを検出してブロックしてる様子なので、本来はビルドの時点でそういったコードを除外してビルドするのが望ましいですが簡単じゃありません。

そこで、vimにてバイナリエディタとして開いて編集し、該当部分のコードを書き換えることでブロック解除が可能です。あらかじめ、Linuxにvimをインストールしておきましょう。

  1. 以下のコマンドでvimをバイナリエディタモードでOBS自体を開く
  2. 文字化けしたいろいろな文字が出ますが、ここで以下のvim上でコマンド入力をする
  3. バイナリエディタに鳴るので、続けてvim上で以下のコマンドを入力して検索して、Enterを入力
  4. i キーを入力すると編集モードになるので押す
  5. cros-containerの行の7300となってる値を7700に書き換える
  6. escキーを何回か押す(編集モードを抜ける)
  7. vim上で以下のコマンドを入力してEnterを入力し通常モードに戻る
  8. 元のエディタモードに戻ったら以下のコマンドを入力して、上書き保存する
  9. ターミナルからobsを入力して起動する

これで無事に最新のChromeOSでもOBSを起動させることが出来るようになりました。バイナリエディタで直接フラグを書き換えてるので失敗すると実行ファイルが壊れますので注意。

※但しChromebook 14aの時同様にウィンドウキャプチャは動かないので別の動画ソースからの入力を利用する必要があります。

※Linux版のDroidCamプラグインを手に入れて、インストールすればスマフォをソースにして配信出来るかもしれない。

図:バイナリエディタモードに入る

図:crosで検索を掛ける

図:7300を7700に書き換える

図:無事に起動しました

OBS Studioでライブ配信環境を作る

CPUパワーを検証

動画編集はできそうか?

Google Vids

現在まだGoogle Workspace Labsレベルのアプリケーションですが、公式にGoogle Workspaceファミリーの新アプリとして開発中なのが、Google Vids。詳細は以下のエントリーを参考にしてみてください。

ウェブブラウザ上とGoogle Driveを使って動画編集することが可能です。クラウドアプリなのでローカルのパワーに左右されることなく使えるのと、Google公式という安心感があります。

Gemini for Google Workspace連携もあるため、これから色々と期待されるアプリケーションです。

図:Chromebookでももちろん使える

Google Vidsで楽しい動画作成方法

Gemini for Google Workspaceの実力ってどれだけあるのか?

DaVinci Resolveをインストールしてみた

HP Chromebook 14aでは到底動かなかった動画編集ソフトであるDaVinci Resolve 19をダウンロードしてインストールしてみました。しかし、前回と異なりそのままだとインストールが起動せずなので、コマンドを叩きます。あらかじめインストーラはダウンロードしておきましょう。

  1. 事前準備として以下のコマンドを叩いてインストールしておく
  2. DaVinci ResolveのインストーラはZIPで固められてるので解凍して中にはいってる拡張子が.runのものを取り出しておく
  3. Linux側で見える位置に移動しておく
  4. ターミナルを再び開いて、3.の位置まで移動しておく
  5. 以下のコマンドを叩いてインストーラを起動する

    実行権限がついてないので777でつけちゃいました。またsudoでインストールする必要があるので、display 0問題回避のためにxhostのコマンドも追加しています。
  6. インストーラが起動するので指示に従ってインストールする

インストールが完了するとランチャーのLinuxアプリの中に登録される。実際に起動してみたのですが、GPU Initialization Failedというエラーが出てしまい。瞬時に終了。フォーラムでもGPU依存の強いDaVinci Resolveは起動しないだろうという回答。

プログラムをターミナルから起動する場合は、「 /opt/resolve/bin/resolve」が実体なのですが、 やはり落ちる。ということで、C436FAレベルのChromebookでも起動させることはGPUの問題でできませんでした。残念。他の動画編集ソフトを当たることにしましょう。

図:インストールは出来たのだけれど

図:GPUドライバのエラーで終了

Shotcut Video Editor

Chromebook 14aでもインストールできて起動もできましたが、C436FAではどうか?ということで同じく実験してみました。chrome://flagsにてCrostini GPU SupportをEnableしておく必要性があります。LanguageをJapaneseにしてみましたが文字化けも発生せず。2024年も開発が続いています。

  1. ターミナルを起動する
  2. sudo apt updateでアップデートしておく
  3. 以下のコマンド群にて、flatpakからインストールする

問題なく起動し、4K60fpsの動画を読み込ませてみましたが問題なく再生もできています。OpenShotのほうも試していますが、あちらも問題なく起動し動作しました。この2つであれば十分に動画編集ができそうです。

図:これなら行けそうだ

ゲームを楽しめるのか?

ポリシーを解除する

とてもじゃないけれどChromebook 14aでは今どきのゲームを楽しむようなスペックはありません。しかし、C436FAはハイスペックであるので、ひょっとしたらゲーム出来るんじゃないか?ということでSteam for Linuxを試してみることにしました(同時にSteam for Chromebookも試しています)。Wineでもやってみましたが、まともに動作しませんでした。

但し、Google Workspaceアカウントの場合、デフォルトでロックが掛かってるのでこれを解除します(これはSteam for Chromebookのケースで、Linuxコンテナに手動で入れる場合はとくに障害はありません)。

  1. 管理コンソールにログインする
  2. 左サイドバーからデバイス⇒Chrome⇒設定を開きます。
  3. ユーザとブラウザの設定のままで検索窓で「Borealis」と検索します。
  4. ChromeOSでのSteamというのが見つかるのでクリックします。
  5. ChromeOSでSteamを許可するに変更し、保存します。

図:こんなポリシーが設定されてる

Linuxコンテナに自力でインストール

ターミナルを起動して、以下の手順でファイルをインストールしていきます。こちらはインターフェースを日本語化する事も出来るのですが、起動時に妙なダイアログが出るのだけが気になる。ゲームが大容量の場合、Linuxコンテナスペースが不足する可能性があるので、サイズ変更をしておく必要があります。

  1. ターミナルでまずadd-apt-repositoryを使えるようにする
  2. 次に以下のコマンドでリポジトリを追加する
  3. 次にSteamのサイトを開き、steam.debとリンク先にあるLinux版をダウンロード
  4. 3.のファイルをファイルアプリを起動してLinuxファイルに移動させる
  5. 以下のコマンドでインストールを実行する
  6. インストールが終わったら、ターミナルから「steam」と入力して起動する
  7. おかしな小さなダイアログが出るがスルーする
  8. あとは設定からInterfaceの言語を日本語に変更すれば日本語のUIになります。

あとはゲームをインストールするだけなのですが、Steam Deckと異なりProtonが入ってるLinux版とは言え、動くのか?と思っていたのですが、少なくともEuro Truck Simulator 2はバッチリ動作しました。Little Nightmare大神は動作せず。動くけれど動かせるものがやはり少ない。しかし、大きな前進と言えます。

※ひょっとして、CPUで力技で動かしてるのではなくCrostini GPU Supportが効いてるのかもしれない(こちらにはHWアクセラレーションはサポートしていないと記述があるけど)。

図:Steam自体はバッチリ起動しました

図:Euro Truckもバッチリ動作

図:ストリーミングも出来るようだ

Steam for ChromeOSをインストール

通常のアプリを入れることのできないChromebookに対して、Google公式でSteam for Chromebookに言及してたので何なのだろうか?と思っていたのですが、C436FAでも動くっぽいので以下の手順で実行してみました。色々要件緩和で対応ハードも増えてるみたいです。こちらに詳しいシステム要件等が掲載されています。

メールで詳細なSteam for Chromebookの情報を頂けました。大変おもしろい内容でした。以下内容を加筆修正させていただきました。本当にありがとうございます。

  1. 公式サイトに行き、Chromeマークをクリックする
  2. すると、通常のインストーラではないダイアログが出てくるので「インストール」をクリックする
  3. 設定完了まで待つのですが、Linuxコンテナで動いてるっぽい文言が出るのですが、既存のLinuxコンテナとはちょっと違い、Linuxコンテナ上に構築されてるわけじゃなくArch Linuxの仮想マシン上で動いてるようです。自力のほうは、OS=>Linuxコンテナ=>Debianの上で動いてるので土台がそもそも異なる。
  4. アンインストール方法は、Steamアプリを右クリック→アンインストールするか?Croshから仮想マシンごと消去する方法で出来るみたいです。
  5. 完了すると起動させることが可能。但し、UIを日本語にすると文字化けして豆腐になります。

英語UIでもまぁ、問題ないと言えば無いのですが、自力で入れたほうは文字化けしないのでもうちょっとなんとか頑張ってほしい点。ゲームをインストールすると初回に自動的にProtonなどの色々なライブラリ類がインストールされます。

自分のLinuxコンテナではないので、Crosh上でvmc listをするとborealisという端末が見えます。中に入ってコンソールで操作するには、以下のコマンドで入ります。Arch LinuxなのでDebian Linuxコンテナと作法が異なりますので要注意。入れるということは、日本語パッケージ追加もできるかも

肝心の動作検証なのですが、自力で入れたSteamと違って、重たいながらもLittle Nightmareが起動しました!!Steam for Chromebookのほうが多くのゲームが動きそうです。アプリインストール時に重たい場合はシェーダーキャッシュ生成処理が後ろで走ってるので暫く待ってからプレイすると良いかもしれません。

図:Googleな感じのインストーラ

図:vmc listでマシンリストを見てみた

図:Little Nightmareが起動できた

図:Protonがインストールされる

図:Steam for ChromeOSのアンインストール

Steam for ChromeOSを日本語化

前述の公式のSteam for ChromeOSですが標準で英語のUIでなおかつ日本語フォントが入っていないので、Interfaceの言語を日本語にすると文字化けします。そこで以下の手順でフォントを手動でインストールしてからUIの言語を日本語を指定すると文字化けせずに日本語のUIでSteamを楽しむことが出来るようになります。

  1. こちらのサイトからIPAexフォント Ver.003.01をダウンロードしておく
  2. ダウンロードしたファイルはZIPなのですべて解凍しておく
  3. Ctrl+Alt+TでCroshを起動する
  4. 以下のコマンドを実行してDownloadsフォルダをborealisに共有しつつ、中に入る
  5. 以下のコマンドを実行して解凍したフォントをコピーする
  6. Steam for ChromeOSを起動する
  7. メニューよりSteam => Settingsを開く
  8. 左サイドバーからInterfaceをクリックし、右パネルのSteam Client LanguageをEnglishから日本語に変更する
  9. Steamを再起動する
  10. 日本語になっていれば成功

これで唯一の難点だった日本語表示が出来るようになったので、快適に遊ぶことが出来ます。

図:無事に日本語化出来ました

図:大神もバッチリ動作する

PS5コントローラは動くのか?

Steam for ChromeOSに於いて、Steamをプレイするのにキーボードってのもちょっとやりにくい。ということで、手持ちのPS5コントローラをつなげて認識するのか?やってみました。

通常のLinuxコンテナ内だと認識しなかったのですが、こっちは仮想環境。ならばいけるだろうと。

実際にPS5を繋いでSteam for ChromeOSを起動してコントローラ画面を見るとなんと、「Xbox Controller」として認識されています。故に通常とキー配置がABとXYが逆になります。とは言え認識したので大神をプレイ。バッチリ操作することが出来ました。左右が入れ替わってるだけなので慣れればなんてことない。ゲーム側でキーアサイン変更も出来ます。

ただ、気になったのがこの入れ替え状態を逆にするNintendoボタンレイアウトにすると、BigPictureモードでコントローラが反応しなくなります。一度BigPictureを終了して再度BigPictureにすると認識し直されますが。XYが動かない。というバグのような変な箇所はありますが、通常の設定ならば問題ありませんでした。

大神のウィンドウが右下に固定されていたので、Tキーを押すとマウスで操作出来るようになるので画面真ん中に配置。非常に快適にプレイ出来ました

図:Xboxコントローラとして認識

図:大神がバッチリ動いた

PS5のコントローラを他のデバイスで使う方法

LibreOfficeを動かす

前述のLinux環境を構築しておくことで、Chromebook上でLibreOffice環境を構築可能です。前回のChromebook 14aの場合は重くてちょっと実用的ではありませんでした。しかし、パワーのあるC436FAであるならば違うのではないか?と思い、再検証しました。

日本語入力環境は前述のcros-imeを利用する手法を使うので、従来あったMozcを使った手法を使っていません。

  1. ターミナルを起動する
  2. 以下のコマンドを実行してアプリをインストール
  3. LibreOfficeがLinuxアプリにいるので起動する

手順そのものはアッサリしています。また前述のシステムの標準言語変更や日本語入力をセットしてるので、UIはきちんと日本語になりますし、かな/英数キーで普通に日本語が入力出来ます。随分と導入が楽になったと思います。

また動作の重さですが、やはりCPUとRAMが充実してるC436FAでは全く重さを感じませんでした。これならば十分にLibreOfficeでも仕事が出来ると思います。

Filter関数Unique関数といった配列で返してくれる関数が装備されました。なので、Chromebookでもかなり快適に作業ができます。

図:実に軽快に動作しました

LibreOfficeにXLOOKUP関数やLET関数が装備される

Filter関数を使ってデータを抽出しよう

SSDを見てみる

C436FAは他のChromebookと異なりSSD仕様であるため、ディスクを交換することが可能です。つまり2TBのSSDに交換することも十分可能というわけです。

リカバリディスクを作成しておく

以下の手順でGoogle公式のツールをインストールし作成しておくと良いでしょう。この作業はChromebook以外でも作成可能です。いざという時やSSD交換時に必要になります。ただしモデルを間違えないように。手動でC436FAを指定もできます。

  1. Chromebookリカバリユーティリティをインストールする
  2. 8GB以上のUSBメモリやmicroSDカードを用意し挿しておく
  3. リカバリユーティリティを起動する
  4. 開始をクリックし、Chromebookの識別では対象機種の型番が出てるので、クリックする。
  5. モデル名が完全に一致するものが見つかったら、次へ進む
  6. 使用するメディアを選択する
  7. リカバリイメージの作成で、今すぐ作成をクリックする。わずか数分で完了します。

図:イザという時の為に一本つくっておく

リカバリ手順

なにかのトラブルでChrome OSが壊れてしまった場合には、以下の手順でリカバリを行います。この作業は必ずAC電源につないだ状態で行います。リカバリをするシーンというのは、起動時に「Chrome OS is missing or damaged.Please insert a recovery USB stick or SD card」といったメッセージが出ている時になります。

  1. リカバリメディアを挿入する
  2. ESCキー + Refreshキー(escキーの3つ隣のキー)を押しながら電源を押しつづけます。3.のメッセージが出るまで押します。
  3. ChromeOSが存在しないか破損しています。復元用のUSBメモリまたはSDカードを挿入してください。というメッセージが出るので、2.のキーを離す。
  4. キャンセルする場合には、3.の状態のまま8秒間2.のキーは押しっぱなしにする。これをしないとリカバリキャンセルが出来なくなります。
  5. リカバリスキャンが勝手に始まり勝手に復元が始まります。システム復元中に電源オフを行うとOSが壊れます
  6. リカバリが完了しましたとメッセージが出たら完了。10分程度で完了します

ただし、リカバリは最終手段。まずは、リカバリ作業をする前にこちらのサイトにあるように、リセットを試みるのが良いでしょう。まずは、電源を入れ直してみること。

ハードウェアリセット

リカバリの前にハードウェアリセットを試してみるのをオススメします。以下の手順で行います。

  1. Chromebookからログアウト
  2. Ctrl+Alt+Shift+R キーを長押しする
  3. 再起動を選択
  4. Powerwashが出るので次へすすむ
  5. 表示手順でGoogleアカウントにログインする
  6. リセットが成功したら工場出荷段階になるので、再度セットアップを行う

裏蓋を外す方法

普通のプラスネジではないので、T5サイズのトルクスドライバーが必要になります。注意点は

  1. モニターヒンジ側のゴムの裏に隠しネジがあります。ゴムを取り外す必要があるので慎重に
  2. SSD付近にあるアルミテープは大切にとっておきます。そのまま引っ張ると取れます。
  3. SSDはバッテリー横に縦に配置されています。

難易度は低いですが、1.の問題だけ注意が必要です。

図:ここに隠しネジがある

その他の検証やトラブル

アカウントの追加が出来ないトラブル

どういう理由かはわからないのですが、すでにgmail.comでアカウントを追加してるChromebookに2つ目のアカウントを追加しようとおもったところ、ネットワークに繋がらなくなる現象に遭遇。登録済みのアカウントでは問題もなくログオンもでき、EthernetもWiFiもつながってるのですが、ログオン画面でユーザ追加をクリックすると、「ネットワークは利用できません」画面でチラチラとなり、先に進めず。

ChromeOSも最新までアップデートしているのですが、結局2つ目のアカウントは追加できませんでした。そこで、Powerwashでリセットを掛けてみて、最初のgmail.comアカウントは問題なく追加。その後2つ目のアカウントを登録してみた所問題なく追加できました。

時々このような不可解なトラブルに遭遇することがあるので、その場合はPowerwashで完全リセットすると良いでしょう。

図:Ethernetでも繋がってるのに・・・

Entra IDとSSO連携してる場合

Microsoft AzureのEntra IDと連携してる場合に於いて、Google Workspaceアカウントを追加しようとすると、Microsoftのログイン画面にリダイレクトされて、MicrosoftアカウントでログインするとGoogle WorkspaceにSSOログイン。結果的にアカウントの追加を行うことが出来ます。

よって、Azure Entra IDをIdPにしてMicrosoftアカウントで集中管理した状態でもChromebookを利用することが可能です。

Entra IDアカウントでGoogle WorkspaceにSSO連携してみた

Ethernetコンバータを使う

もともとM1 MacでEthernet接続する為用に購入していたUSB Type-CとEthernetをつなぐコンバータを持っているのですが、試しにC436FAでも使えるのか?テストしてみました。

全く問題なく利用することが可能であり、きっちり速度も出ています。WiFi環境が不安定な場所やWeb会議を行う場所での安定的な通信を確保したい場合には有効な手段ですので1本持っておきたいアイテムです。価格も対して高いわけでもないのと他の機器でも使いまわしが可能です。

ScrcpyでAndroid実機を操縦

Chromebook 14aでもテストしましたが、C436FAでもscrcpyを使って実機の画面をChromebook側から操縦できるか?やってみました。

  1. 実機Android側は開発者オプションを表示して、USBデバッグを有効化しておく
  2. Chromebookと実機のAndroidをUSBケーブルで接続する
  3. Chromebook側でLinux環境を構築しておく
  4. 同時にLinux環境の設定のUSBデバイスの管理にてスマートフォンが表示されてるのでオンにしておく。
  5. Chromebook側の設定からADBを有効化しておく
  6. Linuxのターミナル上から以下のパッケージをインストールしておく
  7. scrcpy実行時にSegmentation faultが出る場合は以下のコマンドを実行してから、scrcpyを実行します。
  8. 以下のコマンドでADB接続をする
  9. 以下のコマンドで実機デバイスのシリアルを調べる。emulatorとでてるものは、ChromebookのAndroid環境なのでそうではないものがもう一つ表示されてるハズなので、xxxx deviceと出てるもののxxxx部分をコピーしておく
  10. 9.でコピーしたシリアルを元に以下のコマンドで実機と接続
  11. Android実機の画面が出てきたら成功

試しにChromebookのAndroid環境では動かないDQ8をスマフォ側で起動しておいて、scrcpyで表示してみました。音は実機から鳴りますが、画面はこちらにも投影。マウスやキーボードでもきちんと遠隔操縦が出来ます。

未だにC436FAはスペック十分なのにApp Streaming機能が使えない状態なので、これで代替することが可能です。

図:Linux側に接続を許可しておく

図:DQ8のゲーム画面が無事に表示された

サニタイズ機能搭載

これまでChromebookの初期化と言ったらデバイス丸ごと初期化する「Powerwash」のみでした。しかしこの手法は設定だけじゃなくファイルからアプリまで何もかもすべて初期化してしまいます。いくら再セットアップが楽といっても、手間が掛かるのは避けられません。

一方でChromeOS128より搭載されたサニタイズ機能の場合、ファイルやアプリなどはそのままに「設定のみをクリアして初期化する」機能です。これであればおかしな設定のせいで不調だった場合回復する可能性があります。

設定→システム環境設定→リセットの中のPowerwashの下に用意されています。

図:ChromeOS128から搭載されました

Chrome Enterprise Upgrade

Chrome Enterprise Upgradeは法人や学校等でChromeOSデバイスを購入し運用していく上では必須のライセンスです。これはChromebookに対するMDM管理機能のようなもので、法人向けiPhoneをMDMで管理するような仕組みになります。

ただ、Chromeブラウザを管理するだけであれば、後述の無償のChrome Enterpriseのみで可能です。

Chrome Enterpriseを使う

Chromeブラウザのポリシーのうち「ユーザポリシー」を管理するのがChrome Enterprise。詳細は以下のエントリーに記述しているので、まずはこれを導入しましょう(無償で導入可能です)。Chromeに対しての様々なポリシー制御が可能ですので、必ず導入するようにしましょう。

但し、Windows/macOSとはちょっとだけ違う点があります。

  • 管理対象ブラウザに登録する必要がありません(そもそもChromeOS自体がChromeそのものなので)
  • モバイルエンドポイントには接続時に自動で表示がされるので、インベントリは確認できますが(シリアル番号は確認出来ない)、デバイス管理はChrome Enterprise Upgradeが別途必要です。
  • 会社所有のインベントリとしてデバイスを登録する場合には、テンプレートに記述の上アップロードが必要です(どちらかというとこちらは、コンテキストアウェアアクセス用
  • 「組織で管理されてる」の表示される場所が異なります。設定⇒Chromeについてにて表示されます。

図:会社所有のインベントリ登録画面

図:会社で管理されてる旨の表示

Google Chromeを組織管理下に置く方法

Google Workspaceで高度なアクセス制限を実現する

Chrome Enterprise Upgradeを使う

Chromebookというデバイスそのものを管理する為にはChrome Enterprise Upgradeが必要になります。こちらは「デバイスポリシー制御であったり、前述のコンテキストアウェアアクセスのようなログイン制御などを行う場合に必要になります。また、MDM管理となるので様々な事が可能になります。

試用してみる

ものは試しということで、以下の手順でChrome Enterprise Upgradeを試用開始して、C436FAに適用してみようと思います。30日間・50台のテストをすることが可能です。

  1. こちらのサイトにアクセスして、「始める」をクリックする
  2. 管理者用アカウント作成画面では、Google Workspaceの特権管理者のメアドを入力して、次へ進みます
  3. ログインして無料試用を開始するをクリックする(特権管理者アカウントでログイン)
  4. 新しいサブスクリプションを追加画面になるので、次へをクリック
  5. 試用プランが選択されてることを確認して、ご購入手続きをクリック
  6. 注文をクリックする

ここで、「ChromeOS デバイス管理を設定する」という画面に遷移します。設定ガイドを開くをクリックすると管理コンソールのChrome管理へと飛びます。

ちなみに有償プランで参加すると、1台年間7000円の料金となります(300台ならば2,100,000円)。

図:試用プランでまずは試そう

デバイスポリシーの設定

通常のChrome Enterpriseでは出来ないChromeOSのデバイスポリシー制御が可能です。主に出来るものとしては以下の通り。結構細かく指定することが可能です。

  1. ログイン制御:対象デバイスを利用できるユーザを限定する場合に利用する
  2. アップデート制御:ChromeOSのアップデートバージョンを揃える為にバージョン指定することが可能。
  3. URLブロック:キオスク端末での特定のURLへのアクセスを抑止するための設定
  4. デバイス情報:デバイスに関する細かな情報レポートを有効化するかどうかの設定
  5. 電源関係:シャットダウンの許可やスリープの設定を制御
  6. Linux:Linux環境の有効化を許可するかどうかの設定。ADBの許可に関する設定もここにある。
  7. 周辺機器:周辺機器によるデータアクセスに関して規制するかどうかの設定。USBに関する許可リストもある

図:様々なデバイス制御系のポリシーが用意されてる

初回ログインポリシーの設定

後述のデバイスの登録にも関わってくる内容ですが、デバイスの初回ログインについてのポリシーを設定しておく必要があります。この設定はとっても重要です。

  1. 管理コンソールにログインする
  2. 左サイドバーより、デバイス⇒Chrome⇒設定を開きます。
  3. ユーザとブラウザのタブを開く
  4. 検索窓から「初回ログイン」を入力して検索
  5. 登録の管理の初回ログインを開きます。
  6. 設定はユーザにデバイスの登録を求めるに変更する
  7. 保存をクリックする

図:初回ログイン時にデバイス登録を促す

図:デバイス登録画面が出た

ログイン制限ポリシー

前述のChrome Enterpriseエントリーでのドメインアカウント以外の利用禁止ポリシーは、ドメインのアカウントでChromebookにログイン後のブラウザ上での話であって、これはこれで規制しておくべき対象です。しかし、これだけではChromebook自体にアカウントの追加が出来てしまうので、管理の穴になってしまいます。

そこで、対象のChromebookに対して「そもそもドメインのアカウントでなければユーザ追加は出来ないようにする」為には追加のポリシー適用が必要で、これがデバイスポリシーに含まれています(つまりChrome Enterprise Upgradeでなければ出来ない)。

  1. 管理コンソールにログインする
  2. 左サイドバーより、デバイス⇒Chrome⇒設定を開く
  3. デバイスの設定タブを開く
  4. 検索窓より「ログイン」を検索し、出てきたログインの制限を開く
  5. 設定をログインをリスト内のユーザに制限するに変更する
  6. 下のテキストボックスには、ドメインの正規表現を入れる(例:*@officeforest.org
  7. 保存をクリックする

実際にユーザ追加で、ログインしようとすると「このデバイスを使用する権限がありません。ログイン権限については、デバイスの所有者にお問い合わせください」と出て、使えなくなっています。

図:これでドメインアカウントのみでログイン可となった

図:バッチリログイン制限が掛かってる

デバイスの登録

対象のChromebookをGoogle Workspaceに登録する必要性があります。以下の手順でデバイス登録します。ここではChrome Enterprise Upgradeがバンドルされていない普通のChromebookでの登録手順となります。ライセンスが割当たったデバイスの確認はアップグレードの画面にて確認可能です。

※但しこの作業は、対象のChromebookに誰もログインしていない状態で行う必要性があるため、既にログインしてしまっていた場合にはワイプする必要性があります。

  1. 前述の初回ログインポリシーをセットしていることが前提です。
  2. 初期化状態のChromebookの電源を入れる
  3. アカウントログイン画面まで進める。
  4. 自社ドメインのGoogle Workspaceアカウントでログインする
  5. するといつもとちょっと違うようこそ画面が出て、パスワードを入力し、企業のデバイスを登録するをクリックする
  6. すると、もう一度通常のアカウントログイン画面が出てくるので、ここでもう一度ログインする(ユーザの作業はここまで)
  7. 管理コンソールを開く
  8. 左サイドバーからデバイス⇒Chrome⇒デバイスと進む
  9. プロビジョニング済みとして自身のデバイスが登録される
  10. ここで対象デバイスのシリアル番号をクリックするか?モバイルデバイスとエンドポイントのデバイスで対象のデバイスを開いてみる
  11. この段階でシリアル番号も確認出来るようになるので、前述の企業所有のインベントリで登録が可能になる(コンテキストアウェアアクセスで利用

この段階で、Google Workspaceのルート直下組織に対して対象のChromebookが登録されました。

図:ライセンスの割り当て状況の確認

図:デバイスが無事登録されました

図:登録デバイスのインベントリ情報

Chrome OS Demo: How to enterprise enroll your Chromebook

デバイス登録されたことで出来なくなること

Chrome Enterprise Upgradeで登録されることで以下のことができなくなります。

  • ユーザが任意にPowerwashすることができなくなります。
  • 管理コンソール上で無効化してもデバイス登録はされたままなので、新規に使おうとしても「ロックされています」と出て、再有効化するまでは使えません。
  • 無効化を解除して、デプロビジョニングを実行しないとロックされたままが継続されます。
  • 管理されてるデバイスではLinux開発環境でのADBデバッグは使えません
  • よって、野良APKのインストールも出来ません(adbコマンドを使ったとしても)
マシンに対して遠隔操作

この段階で既にChrome Enterprise Upgradeが適用されて、Chromebookは完全に組織のコントロール配下になります。MDM管理機能として以下のようなことが可能になります。

  1. 無効にするを実行すると、対象の端末にロックが掛かりログインできなくなります。紛失時などはまずはここから始めるべきでしょう。
  2. 遠隔からリセットを掛けて初期化(Powerwashを遠隔で出来ます)。端末紛失や盗難時に役に立ちます。
  3. 管理コンソール上から直接対象のChromebookに対してChrome Remote Desktopで接続出来ます。(相手側は通知欄に出てる共有をクリックする必要がある)。遠隔ヘルプデスクが捗ります。
  4. 遠隔から強制再起動なども掛けることが可能です

もちろん、2.に関してはChromeの拡張機能でも出来ますが、こちらは接続するのにいちいち番号入力といったことをせずにダイレクトに接続してChrome上で遠隔操作出来るので非常に便利です。

また、一番重要なのが飲み屋にChromebook忘れてきたであったり、盗難になって紛失したといった場合にも遠隔からスマフォのようにリモートワイプ出来るようになるので、セキュリティ確保ではもはや必須の機能と言えます。

図:直接リモートデスクトップで操縦中

図:相手側の接続許可通知

ロック時のメッセージ表示

前述の遠隔操作にて、無効にするを実行するとロックが掛かりログイン出来なくすることが出来ます。しかしこれでは依然として紛失してる状態であるため、例えば見つけてくれた人にメッセージを表示するといったAndroidスマフォのFind my Deviceのようなことが可能です。これはデバイスポリシーとしてセットすることが可能です。

  1. 管理コンソールに入る
  2. 左サイドバーよりデバイス⇒Chrome⇒設定を開く
  3. デバイスの設定を開く
  4. 検索窓より「無効」で検索をし、「無効になっているデバイスの返却手順」を見つけてクリックする
  5. 保存をクリックする

紛失したからといっていきなりリモートでPowerwashでは何もかもが消えてまず戻って来ることは無いでしょう(飲み屋さんなら保管しておいてくれるかもしれないけれど)。そこで、ワンクッション入れる為に、デバイスのロックを掛けた場合に備えて、このポリシーを有効化し、メッセージを入れておくことで、戻って来る可能性が向上します。

図:ロックと共にメッセージが表示されるポリシー

Androidアプリの制御

Chromeの拡張機能に関しては前述にあるChrome Enterpriseにて制御することが可能です。ユーザに利用を許可する拡張機能を厳選しそれのみを許可することが出来ます。一方で、ChromeOSのAndroidアプリの利用制限については、Chrome Enterprise Upgradeが必要になります。以下の手順で制御することが可能です。

事前にサブスクリプションのページのデバイスとブラウザよりAndroid Enterprise(無償)の開始⇒注文をクリックして導入しておく必要があります。

  1. 管理コンソールにログインする
  2. 左サイドバーよりデバイス⇒Chrome⇒アプリと拡張機能を開きます。
  3. ユーザとブラウザタブを開きます。
  4. 右上の追加の設定をクリックする
  5. 許可ブロックモードの編集をクリックする
  6. 左側の適用する組織部門を選択する
  7. この項目は拡張機能やAndroidアプリを一括でブロックするかどうかの設定になります。「すべてのアプリを拒否する管理者が許可リストを管理する」に変更して保存します。
  8. 次に許可するアプリのリストを作成します。
  9. 3.の画面に戻り、右下の+をクリックしてGoogle Playから追加をクリックします
  10. 検索窓にて、例えばFirefoxを検索します。
  11. Firefoxを選んで、「選択」をクリックします
  12. 権限表示が出るので、承諾をクリックします。
  13. 右側のサイドバーからは自動インストールやタスクバー固定なども指定可能です。

これでFirefoxについてだけはユーザがGoogle Playからインストールが可能になります。また、社内向けの自作Androidアプリや有料アプリについてPlay Consoleに登録して、managed Google Playに登録し配信といったことも可能になります(登録表示まで最大24時間掛かります)。

図:Android Enterpriseが必要

図:追加の設定より設定する

図:アプリインストールを制限する

図:Firefoxを追加してみる

図:アプリのインストール手段の指定

Chrome Enterprise Premiumとは?

Google Cloud Next '24にて、「Chrome Enterprise Premium」なるものが発表されました。一方で、Beyond CorpというものがこれまでもGoogleからはリリースされており、Beyond Corpの料金ページを見ようとすると、Chrome Enterprise Premiumのページにリダイレクトされてる点から、Beyond Corpのリブランドということが伺えます。

ただ、単純にリブランドしただけというわけではないようです。(これはGoogle Workspaceの製品ではないので管理コンソールのサブスクリプションから追加できるものではありません)

  • Chrome Enterprise CoreというPremiumより機能を削ったバージョンが用意されている(BeyondCorp Enterprise Essentialsに該当?)。こちらは無料で利用できるようです。
  • Chrome Enterprise PremiumはBeyondCorp Enterpriseに該当するもので、こちらはフォームからの問い合わせになっています

よって名前は似ていますが、ChromeOS制御の為のChrome Enterprise Upgradeとは全く方向性の違う独立した別個の製品となります。

また、CoreとPremiumがそれぞれ過去のBeyondCorp製品と同じものか?といったらそうでもないようで、過去にEsseintialsで出来ていたものがCoreでは含まれていなかったりします(マルウェアのサンドボックスやURLフィルタなどが代表例)。

ただ、Chrome Enterprise UpgradeがChromeOSの管理強化の為のサービスという一方で、Chrome Enterprise CoreやPremiumはChromeブラウザを中心に据えて、これまでのVPNレスでイントラにアクセスやより強力なマルウェア対策といったバックエンドの管理強化の為のサービスと捉えると、BeyondCorpという単独で存在してたものをカテゴライズする上で統合したと見ることが出来ます。

よって、今回のChromeOSを管理するサービスという観点からすると上位版という位置づけじゃなく、表と裏のような関係であるので、企業のセキュリティ強化を望むならば両方導入しておくべきという製品と言えます(ただ、Google Workspaceでも類似するもの、例えばコンテキストアウェアアクセスやシングルサインオンを装備してるので、どちらかというと大企業向けのGWSを利用しておらずGCPを利用してるケースがこれに該当するのではないだろうか?)

関連リンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)