この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
こんにちは。大阪オフィスの林です。
「Google Workspace(旧 G Suite)」「Chrome Enterprise」「Chromebook」を使って色々と機能の検証をしているのですが、今回は、Chromebookにログインするユーザーを制限するポリシーを検証していきたいと思います!
デフォルトポリシーの動作
デフォルトのポリシーではすべてのユーザーがChromebookにログインできます。
ここで言うところのすべてというのが少々分かりにくいのですが、Google Workspace(旧 G Suite)で管理しているドメインに紐付くユーザーアカウント(メールアドレス)に加え、@gmail.comのユーザーアカウント(メールアドレス)を使ってもChromebookにログインすることができると解釈頂ければと思います。
やってみた
「ログインの制限」において、用意されているポリシーは3つあります。今回は下記3つそれぞれの動作の違いを見ていきたいと思います。公式のヘルプはこちらから。
- ログインをリスト内のユーザーのみに制限する
- すべてのユーザーにログインを許可する
- いずれのユーザーにもログインを許可しない
設定はこちらから
Google管理コンソールにログインし、メニューから「デバイス」を選択します。
遷移後の画面から、「Chromeデバイス」を選択します。
設定したいOUを選択して、「デバイス」-「設定」を選択します。
「デバイスの設定」-「ログイン設定」-「ログインの制限」から設定します。
それではそれぞれのポリシーの動作を見ていきたいと思います。
ログインをリスト内のユーザーのみに制限する
『ログインをリスト内のユーザーのみに制限する』を選択する場合、併せてログインを許可するユーザーのホワイトリストを指定します。ワイルドカードを指定した許可も可能です。今回は管理しているドメインからのみ許可する設定としたいため「*@classmethod.jp」と指定しておきます。
「@classmethod.jp」のユーザーはもちろんログインできますが、「@gmail.com」のユーザーでログインしてみるとしっかりはじかれました。
※注意:本設定はあくまでもChromebookへのログインに対するポリシーのため、「@classmethod.jp」のユーザーでログイン後に、「@gmail.com」のユーザーアカウントを使用してGoogleの各種サービスを利用することは可能です。
すべてのユーザーにログインを許可する
『すべてのユーザーにログインを許可する』を選択した場合、「@gmail.com」アカウントでもログインすることができます。
いずれのユーザーにもログインを許可しない
『いずれのユーザーにもログインを許可しない』を選択した場合、「@classmethod.jp」のユーザーでも、「@gmail.com」のユーザーでもログインすることができません。
で、どういうときにどのポリシーを使うのか?
「それぞれのポリシーをどういったユースケースの時に採用するか?」というのを表にまとめてみました。
| ログインをリスト内のユーザーのみに制限する |
|
|---|---|
| すべてのユーザーにログインを許可する |
|
| いずれのユーザーにもログインを許可しない |
|
まとめ
デバイスを制御するポリシーはまだまだあるので引き続き検証していきたいと思います!
以上、大阪オフィスの林がお送りしました!