Chromebook デバイスを組織部門に配置してみた – 「デバイスの登録」ポリシー
みなさま Xin chao !
引き続き、Chromebook で色々試しています。
今回は、数あるポリシーの中から [ユーザーとブラウザの設定] の "登録の管理 - デバイスの登録" ポリシーを試してみました。
デバイスの登録 - ユーザーまたはブラウザに Chrome のポリシーを設定する - Google Chrome Enterprise ヘルプ
このポリシーでは、デバイスを初めて登録する場合、または、プロビジョニングが解除されているデバイスを登録する場合に、Chrome デバイスを組織部門のどこに配置するかを指定することができます。
このポリシーの設定を変えることによって、Chromebook がどのように配置されるか確認してみます。
ポリシーの設定は、Google 管理コンソールで行います。 Google 管理コンソールの操作については、以下のブログをご参照ください。
前提
以下のような状態で試してみます。
- ユーザーのユーザー名・パスワード情報が手元にある
- Wi-Fi の接続に必要な SSID・パスワード情報が手元にある
- ユーザーは登録済みで、組織部門 "Chromebook検証 / demo03" に配置
- Chromebook はプロビジョニング済みで、組織部門 "Chromebook検証" に配置
- ユーザー側で新しいデバイスの登録を行う権限がある
- "登録の管理 - 登録の権限" ポリシーで "この組織内のユーザーに、新しいデバイス登録や既存のデバイスの再登録を許可する" を設定
Google 管理コンソールで確認すると、ユーザーは組織部門 "Chromebook検証 / demo03" に配置された状態です。
デバイスは組織部門 "Chromebook検証" に配置された状態です。
この状態から、プロビジョニングの解除 (=デプロビジョニング) を行い、Chromebook をワイプした後、Chromebook を企業に登録してみます。
やってみた
"Chrome デバイスを現在の組織に配置したままにする" に設定した場合
ポリシーの確認
まず、"デバイスの登録" ポリシーを、"Chrome デバイスを現在の組織に配置したままにする" に設定した状態で、デバイスを企業に登録してみます。
Chromebook のプロビジョニングを解除 (Google 管理コンソールの操作) および ワイプ を行う (Chromebook の操作)
使用する Chromebook は、すでにプロビジョニング済みとなっているため、プロビジョニングを解除し、デバイスのローカルに保存されているユーザーデータを削除するためにワイプします。 工場出荷時状態の Chromebook で試す場合、プロビジョニングの解除およびワイプは不要です。
以下のドキュメントを参考に、デバイスのデプロビジョニング (=プロビジョニングの解除) 、および、ワイプを行います。
Chrome デバイスの修理、用途変更、廃棄 - Google Chrome Enterprise ヘルプ
Chrome デバイスを登録する (Chromebook の操作)
デバイス ポリシーを適用するために、Chromebook を企業に登録します。
以下のドキュメントを参考に、ワイプ後誰もログインしないうちに Chromebook の登録を行います。 手順の中で、Wi-Fi 接続に関する情報の入力が求められます。
Chrome デバイスの登録 - Google Chrome Enterprise ヘルプ
Chrome デバイスの配置状況を確認する (Google 管理コンソールの操作)
Chromebook がどの組織部門に配置されたのか確認します。 プロビジョニングの解除前と変わらず、組織部門 "Chromebook 検証" に配置されています。
過去に 1 度も登録していない初めて登録する Chromebook を登録した場合には、最上位の組織部門に配置されます。
デフォルトでは、デバイスは最上位の組織部門に自動的に登録されます。
Chrome デバイスの登録 - Google Chrome Enterprise ヘルプ より抜粋
このポリシー設定の状態で Chromebook を新規に大量導入した場合、すべての Chromebook が最上位の組織部門に配置されることになります。 適切なデバイス ポリシーを適用するには、IT 管理者の方が Google 管理コンソールで、各 Chromebook を適切な組織部門に移動する必要がある、ということになります。 台数が多いと大変ですね。
"Chrome デバイスをユーザーの組織内に配置する" に設定した場合
ポリシーを設定
今度は、"デバイスの登録" ポリシーを、"Chrome デバイスをユーザーの組織内に配置する" に設定した状態でデバイスを企業に登録してみます。 ポリシーを変更しようとすると、以下のようなメッセージが表示されるので、内容を確認したうえで [OK] をクリックします。
設定内容を確認し、[保存] をクリックします。
組織部門 "Chromebook検証" には、(上位の組織部門から継承されたのではなく) ローカル (=選択している組織部門) で設定されたポリシーが適用されたことが分かります。
Chromebook のプロビジョニングを解除 (Google 管理コンソールの操作) および ワイプ を行う (Chromebook の操作)
使用する Chromebook デバイスは、前述の "Chrome デバイスを現在の組織に配置したままにする" に設定した場合 の操作でプロビジョニング済みとなっているため、プロビジョニングを解除し、デバイスのローカルに保存されているユーザーデータを削除するためにワイプします。 前述の操作を行っていない、工場出荷時状態の Chromebook で試す場合、プロビジョニングの解除およびワイプは不要です。
以下のドキュメントを参考に、デバイスのデプロビジョニング (=プロビジョニングの解除) 、および、ワイプを行います。
Chrome デバイスの修理、用途変更、廃棄 - Google Chrome Enterprise ヘルプ
Chrome デバイスを登録する (Chromebook の操作)
デバイス ポリシーを適用するために、Chromebook を企業に登録します。
以下のドキュメントを参考に、ワイプ後誰もログインしないうちに Chromebook の登録を行います。 手順の中で、Wi-Fi 接続に関する情報の入力が求められます。
Chrome デバイスの登録 - Google Chrome Enterprise ヘルプ
Chrome デバイスの配置状況を確認する (Google 管理コンソールの操作)
Chromebook がどの組織部門に配置されたのか確認します。
プロビジョニングの解除前に配置されていた、組織部門 "Chromebook 検証" からは消え、ユーザーが所属している "Chromebook 検証 / demo03" に配置されていました。
(組織部門 "Chromebook検証 / demo03" の様子)
(組織部門 "Chromebook検証" の様子)
さいごに
以上、[ユーザーとブラウザの設定] の中から "登録の管理 - デバイスの登録" ポリシーを試してみました。
工場出荷状態の新しい Chromebook を企業に登録すると、デフォルトの状態では最上位の組織部門に登録されてしまうため、適切なデバイス ポリシーを適用するためにも、IT 管理者側で Google 管理コンソールを使って適切な組織部門に移動させる必要があります。
"組織の登録 - デバイスの登録" ポリシーを "Chrome デバイスをユーザーの組織内に配置する" に設定することにより、デバイスもユーザーが配置されている組織部門に自動的配置されるようになるため、デバイスとユーザーを同一の組織部門に配置している環境では、IT 管理者の方の手間を煩わせる必要がなくなりますね。
