Chromebookにログインするユーザーを制限する

2020.10.12

はじめに

こんにちは。大阪オフィスの林です。

Google Workspace(旧 G Suite)」「Chrome Enterprise」「Chromebook」を使って色々と機能の検証をしているのですが、今回は、Chromebookにログインするユーザーを制限するポリシーを検証していきたいと思います!

デフォルトポリシーの動作

デフォルトのポリシーではすべてのユーザーがChromebookにログインできます。
ここで言うところのすべてというのが少々分かりにくいのですが、Google Workspace(旧 G Suite)で管理しているドメインに紐付くユーザーアカウント(メールアドレス)に加え、@gmail.comのユーザーアカウント(メールアドレス)を使ってもChromebookにログインすることができると解釈頂ければと思います。

やってみた

「ログインの制限」において、用意されているポリシーは3つあります。今回は下記3つそれぞれの動作の違いを見ていきたいと思います。公式のヘルプはこちらから。

  • ログインをリスト内のユーザーのみに制限する
  • すべてのユーザーにログインを許可する
  • いずれのユーザーにもログインを許可しない

設定はこちらから

Google管理コンソールにログインし、メニューから「デバイス」を選択します。

遷移後の画面から、「Chromeデバイス」を選択します。

設定したいOUを選択して、「デバイス」-「設定」を選択します。

「デバイスの設定」-「ログイン設定」-「ログインの制限」から設定します。

それではそれぞれのポリシーの動作を見ていきたいと思います。

ログインをリスト内のユーザーのみに制限する

『ログインをリスト内のユーザーのみに制限する』を選択する場合、併せてログインを許可するユーザーのホワイトリストを指定します。ワイルドカードを指定した許可も可能です。今回は管理しているドメインからのみ許可する設定としたいため「*@classmethod.jp」と指定しておきます。

「@classmethod.jp」のユーザーはもちろんログインできますが、「@gmail.com」のユーザーでログインしてみるとしっかりはじかれました。 ※注意:本設定はあくまでもChromebookへのログインに対するポリシーのため、「@classmethod.jp」のユーザーでログイン後に、「@gmail.com」のユーザーアカウントを使用してGoogleの各種サービスを利用することは可能です。

すべてのユーザーにログインを許可する

『すべてのユーザーにログインを許可する』を選択した場合、「@gmail.com」アカウントでもログインすることができます。

いずれのユーザーにもログインを許可しない

『いずれのユーザーにもログインを許可しない』を選択した場合、「@classmethod.jp」のユーザーでも、「@gmail.com」のユーザーでもログインすることができません。

で、どういうときにどのポリシーを使うのか?

「それぞれのポリシーをどういったユースケースの時に採用するか?」というのを表にまとめてみました。

ポリシー
ユースケース
ログインをリスト内のユーザーのみに制限する
  • ChromebookにログインするユーザーがGoogle Workspace(旧 G Suite)で管理しているドメイン配下のユーザーに限られる場合
  • ChromebookにログインするユーザーがGoogle Workspace(旧 G Suite)で管理しているドメイン配下のユーザーではないがログインに使用するメールアドレス(gmail.com)が特定できホワイトリストに登録できる場合
  • すべてのユーザーにログインを許可する
  • ChromebookにログインするユーザーがGoogle Workspace(旧 G Suite)で管理しているドメイン配下のユーザーに限られない場合
  • ログインに使用するメールアドレス(gmail.com)が特定できずホワイトリストに登録できない場合
  • ログインに使用するメールアドレス(gmail.com)が特定できるが量が多くホワイトリストに登録するのが現実的ではない場合
  • いずれのユーザーにもログインを許可しない
  • 通常は使用しない。デバイスの紛失等、有事の際にデバイスへのログインを防止する際に指定する
  • まとめ

    デバイスを制御するポリシーはまだまだあるので引き続き検証していきたいと思います!

    以上、大阪オフィスの林がお送りしました!