はじめに
Chrome のポリシー管理については、以下の2パターンがあります。
グループポリシーで管理
監理対象は Windows に限定される。
XML ベースの管理用テンプレート(ADMX)を Windows に導入する必要がある。
クライアントに導入すると1台ずつ設定する必要があるが、AD に導入するとドメインに参加している全ての Windows を管理できる。
Google 管理コンソールで管理
企業用の Google アカウントを取得して端末管理を行う。
Googleアカウントベースの管理となるため、Windows 端末以外も管理できる。
XML ベースの管理用テンプレート(ADMX)で設定できない項目も設定できる。
例えば 2022/03 頃より Chrome の 長期サポート(LTS)が利用できるようになったが、設定するためには管理コンソールでチャンネル設定する必要がある。
ちなみに無償版の Google enterprise アカウントでは設定できない。
現状有料版の Google enterprise を契約していない組織であれば、グループポリシーで管理する方が導入の手間が無いと思われる。
今回は既存の ADに管理用テンプレートを導入し、グループポリシーを配布して管理する。
組織内で使用するブラウザは通常の Chrome ではなく Chrome enterprise を利用する。
https://chromeenterprise.google/intl/ja_jp/browser/download/#windows-tab
Chrome Enterprise – Windows 版 Chrome ブラウザ
導入
まず以下のページから ADMX テンプレートをダウンロードする。
https://chromeenterprise.google/intl/ja_jp/browser/download/#manage-policies-tab
Chrome Enterprise – ポリシーを管理する
テンプレートは 2種類あり、以下に分かれる。
- 更新管理テンプレート・・・Google が提供するアプリケーション関連の更新に関わる設定を管理、Chromeのアップデート関連も含まれる
- ポリシーテンプレート・・・Chrome の設定に周りの管理
それぞれのテンプレートをダウンロードして解凍し、以下のファイルをコピーする。
- 更新管理テンプレート
- GoogleUpdateAdmx\google.admx
- GoogleUpdateAdmx\GoogleUpdate.admx
- GoogleUpdateAdmx\en-US\google.adml
- GoogleUpdateAdmx\en-US\GoogleUpdate.adml
- ポリシーテンプレート
- policy_templates\windows\admx\chrome.admx
- policy_templates\windows\admx\google.admx
- policy_templates\windows\admx\ja-JP\chrome.adml
- policy_templates\windows\admx\ja-JP\google.adml
AD にログインし、上記のファイルを以下に保存する。
※adml ファイルは、コピー先でも en-US や ja-JP 配下に保存。
\\[ドメイン名]\SYSVOL[ドメイン名]\Policies\PolicyDefinitionshttps://support.google.com/chrome/a/answer/7649838?hl=ja&ref_topic=7649835
Chrome Enterprise – Chrome ブラウザ クイック スタート(Windows)
上記で AD にてグループポリシーの設定が行えるようになる。
グループポリシーの設定方法
- AD にログオン
- ファイル名を指定して実行」を起動する([Windows]+[R])
- gpmc.msc を入力する
- OU「グループ ポリシー オブジェクト」も新規オブジェクトを作成
- 作成したオブジェクトを右クリックから編集
- 利用したいポリシーを設定する
※詳細は後述 - 設定完了後「X」でウィンドウを閉じる
- 設定したい端末がある OU を右クリックし「既存の GPO のリンク」から作成した オブジェクトをリンクする
Chrome のポリシー
Chrome のアップデート頻度を設定する場合
[ポリシー] - [管理者テンプレート] - [Google] - [Google Update] - [Application] - [Google Chrome]
・Target Channel override:「stable」 or 「beta」or「dev」Stable(安定版)は、4週間に1回のメジャーバージョンアップ行われる。
ユーザ側で自動で Chrome をアップデートさせない場合
[ポリシー] - [管理者テンプレート] - [Google] - [Google Update] - [Application] - [Google Chrome]
・Update policy override:Updates Disabled
その他組織内でよく設定するポリシー
[ポリシー] - [管理者テンプレート] - [Google] - [Google Chrome]
・Chrome クリーンアップから Google へのデータを管理する:無効
・Google Chrome を既定のブラウザに設定する:有効
・Google とのデータ同期を無効にする:有効
・URL 全体を表示する:有効
・プロキシ設定:
{
"ProxyMode": "fixed_servers",
"ProxyServer": "hoge.go.jp:8080",
"ProxyBypassList": "172.16.*;
}[ポリシー] - [管理者テンプレート] - [Google] - [Google Chrome] - [リモートアクセス]
・このパソコンへのリモート アクセス接続を許可する:無効
・このパソコンへのリモート サポート接続を許可する:無効前述した設定項目の内容については次章で説明を記載します。
良く使うポリシーの説明
| ポリシー名 | 説明 |
| Chrome クリーンアップから Google へのデータを管理する | このポリシーを有効に設定した場合、Chrome Cleanup で望ましくないソフトウェアが検出されたときに、SafeBrowsingExtendedReportingEnabled で設定されたポリシー値に沿って、スキャンに関するレポートが Google に送信可能となります。Chrome Cleanup でクリーンアップを行うかどうかをユーザーに確認し、結果が Google に送信されます。 このポリシーを無効に設定した場合、Chrome Cleanup で望ましくないソフトウェアが検出されたときに、SafeBrowsingExtendedReportingEnabled の値に関係なく、スキャンに関するレポートは Google に送信されません。Chrome Cleanup でクリーンアップを行うかどうかをユーザーに確認し、結果は Google に送信されません。 このポリシーを未設定のままにした場合、SafeBrowsingExtendedReportingEnabled で設定されたポリシー値に沿って、Chrome Cleanup で望ましくないソフトウェアのスキャンに関するレポートが Google に送信可能となります。Chrome Cleanup でクリーンアップを行うかどうかと、望ましくないソフトウェアの検出精度を向上するために、結果を Google と共有するかどうかをユーザーに確認します。これらの結果には、Chrome のプライバシー ホワイトペーパーで説明されているとおり、ファイルのメタデータのほか自動インストールされた拡張機能とレジストリキーが含まれます。 Microsoft® Windows® では、この機能は Microsoft® Active Directory® ドメインに追加されたインスタンス、Windows 10 Pro で実行されているインスタンス、Chrome Browser Cloud Management に登録されているインスタンスでのみ使用できます。 |
| Google Chrome を既定のブラウザに設定する | このポリシーを True に設定すると、Google Chrome で起動時にデフォルトのブラウザであるかが常に確認され、可能であれば自動的に登録されます。このポリシーを False に設定した場合、Google Chrome でデフォルトであるかどうかが確認されなくなり、このオプションに対するユーザー制御がオフになります。このポリシーを未設定のままにした場合は、Google Chrome でデフォルトに指定するかどうかをユーザーが制御でき、またデフォルトにしない場合はユーザー通知が表示されるかどうかを制御できます。注: Microsoft®Windows® 管理者の場合は、Windows 7 が稼働するマシンについてのみ、この設定をオンにできます。それ以後のバージョンについては、Google Chrome を https プロトコルと http プロトコル(必要に応じて ftp プロトコルとその他のファイル形式)のハンドラにする、「デフォルトのアプリケーション関連付け」ファイルをデプロイする必要があります。Chrome ヘルプ(https://support.google.com/chrome?p=make_chrome_default_win)をご覧ください。 |
| Google とのデータ同期を無効にする | このポリシーを有効に設定した場合、Google でホストされる同期サービスを使用した Google Chrome でのデータ同期が無効になります。 Chrome Sync サービスを完全に無効にするには、Google Admin console でこのサービスを無効にすることをおすすめします。 このポリシーを無効に設定するか未設定のままにした場合、ユーザーは Chrome Sync を使用するかどうかを選択できます。 注: RoamingProfileSupportEnabled が有効に設定されている場合は、同じクライアントサイドの機能が共有されるため、このポリシーを有効にしないでください。この場合、Google でホストされる同期は完全に無効になります。 |
| URL 全体を表示する | この機能は、アドレスバーに URL 全体を表示できるようにします。 このポリシーを True に設定した場合、スキームとサブドメインを含む URL 全体がアドレスバーに表示されます。 このポリシーを False に設定した場合、デフォルトの URL 表示が適用されます。 このポリシーを未設定のままにした場合、デフォルトの URL 表示が適用され、ユーザーはコンテキスト メニューを使ってデフォルトの URL 表示と URL 全体の表示を切り替えることができます。 |
| プロキシ設定 | このポリシーでは、Chrome と ARC アプリのプロキシ設定を行います。いずれもコマンドラインで指定されたプロキシ関連の設定はすべて無視されます。 このポリシーを未設定のままにした場合、ユーザーはプロキシ設定を選択できます。 ProxySettings ポリシーを設定すると、次のフィールドを受け取れるようになります。 ・ProxyMode: Chrome で使用するプロキシ サーバーを指定して、ユーザーがプロキシ設定を変更できないようにします ・ProxyPacUrl: プロキシ .pac ファイルへの URL ・ProxyPacMandatory: ネットワーク スタックが無効または使用できない PAC スクリプトを使用して直接接続にフォールバックできないようにします。 ・ProxyServer: プロキシ サーバーの URL ・ProxyBypassList: プロキシを使用しないホストのリスト ProxyServerMode フィールドは非推奨となりました。代わりに ProxyMode フィールドを使用してください。 ProxyMode については、以下のいずれかの値を指定します。 ・direct: プロキシは一切使用せず、他のフィールドをすべて無視します。 ・system: システムのプロキシを使用して、他のフィールドをすべて無視します。 ・auto_detect: 他のフィールドをすべて無視します。 ・fixed_servers: ProxyServer フィールドと ProxyBypassList フィールドを使用します。 ・pac_script: ProxyPacUrl フィールド、ProxyPacMandatory フィールド、ProxyBypassList フィールドを使用します。 注: 詳しい例については、Chromium プロジェクトの説明(https://www.chromium.org/developers/design-documents/network-settings#TOC-Command-line-options-for-proxy-sett)をご覧ください。 スキーマと書式設定について詳しくは、https://cloud.google.com/docs/chrome-enterprise/policies/?policy=ProxySettings をご覧ください。 サンプル値: { “ProxyMode”: “fixed_servers”, “ProxyServer”: “123.123.123.123:8080”, “ProxyBypassList”: “https://www.example1.com,https://www.example2.com,https://internalsite/” } |
| このパソコンへのリモート アクセス接続を許可する | このポリシーを無効に設定した場合、リモート アクセス ホストサービスを開始したり、受信方向の接続を許可するよう設定したりできなくなります。このポリシーは、リモート サポートのシナリオには影響しません。 このポリシーを有効に設定するか、空白または未設定のままにした場合、ポリシーは無視されます。 |
| このパソコンへのリモート サポート接続を許可する | このポリシーを無効にした場合、リモート サポート ホストを起動することも、外部からの接続を受け入れるように設定することもできなくなります。このポリシーは、リモート アクセスのシナリオには影響しません。このポリシーは、企業の管理者が管理対象の Google Chrome OS デバイスに接続する妨げにはなりません。このポリシーを有効にするか、空白または未設定のままにした場合、ポリシーは無視されます。 |
まとめ
Chrome Enterprise(企業向けの Chrome) を AD のグループポリシーで管理できると AD を利用している組織では一元的に管理できてありがたい。
Windows 以外も管理したい場合は、有償の Google 管理コンソールを利用するしかない。
有償になるとサポートも受けられるメリットもあるので、組織にあう選択をしたい。
(と言っても大体の組織が AD を使っているような気もする)
IE のサポートも完全に切れたので、組織内のデフォルトブラウザに Chrome を採用することも多いと思うので活用していきたい。
コメント