はじめに
中小企業でChromebookを業務利用する際に必要なのが、Chrome Enterprise Upgrade ライセンスと Google Admin Console での集中管理です。
本記事では、Google Admin Console での Chromebook 管理を、実際の設定画面・設定例・運用Tipsを交えて解説します。
前提条件
- Google Workspace Business / Enterprise エディション契約済み
- Chrome Enterprise Upgrade ライセンス(1台あたり $50/year、永続版あり)
- Google Admin Console の特権管理者権限
ChromeOS Flex(既存PCを再利用)の場合も、Chrome Enterprise Upgrade ライセンスで同じ管理が可能。
Step 1: 組織部門(OU)の設計
Chromebook管理の基礎は、**組織部門(Organizational Unit, OU)**設計です。
Admin Console → ディレクトリ → 組織部門
推奨OU構造(中堅企業向け)
example.com (ルート)
├── 役員
├── 営業部
│ ├── 東京営業
│ ├── 大阪営業
│ └── 福岡営業
├── 事務
├── 開発
│ ├── エンジニア
│ └── デザイナー
├── IT管理(特殊権限グループ)
└── 退職者(無効化用、保管)
OUの目的
OUごとに異なる:
- 端末ポリシー(インストール可能アプリ、Wi-Fi設定)
- ユーザーポリシー(Drive容量、共有設定)
- ネットワークアクセス(プロキシ、強制SSL)
を設定できます。
Step 2: Chrome Enterprise Upgrade ライセンスの割り当て
Admin Console → 端末 → Chrome → 管理対象ブラウザ・端末
ライセンスは自動的に空き枠から消費されます。明示的に割り当てたい場合:
端末 > Chrome > 端末 > [対象端末を選択] > ライセンス管理
ライセンス購入元
- Google 直販(Cloud Identity Console)
- Google Workspace パートナー(リセラー)
- HP / Lenovo / Dell 等の端末バンドル
中小企業はリセラー経由が一般的(請求書払い対応のため)。
Step 3: 端末の自動登録(ゼロタッチ展開)
Chromebookを「箱から出してWi-Fi繋いだら自動的に管理対象」にする設定です。
3-1. Zero Touch Enrollment 対応機種を選定
HP / Lenovo / Acer / Dell 等の対応Chromebookは、購入時にZero Touch対応として出荷可能。
3-2. Admin Console での事前準備
端末 > Chrome > 設定 > ユーザーとブラウザの設定
| 項目 | 推奨設定 |
|---|---|
| ログイン時の登録 | 有効 |
| ユーザーが本人ログイン以外でログインすることを許可 | 無効 |
| ゲストモード | 無効(業務利用なら) |
| 強制再登録 | 有効(端末初期化時に自動再登録) |
3-3. 端末投入時のフロー
1. Chromebookを箱から出す
2. 電源ON、Wi-Fi接続
3. Google Workspace アカウントでサインイン
4. 自動的に管理対象として登録される
5. OUに応じたポリシーが適用される
「社員のサインインだけで業務開始」状態が完成します。
Step 4: デバイス強制ポリシー(端末セキュリティ)
Admin Console → 端末 → Chrome → 設定 → 端末設定
セキュリティ系の必須設定
| 項目 | 推奨設定 | 理由 |
|---|---|---|
| ログイン時 ユーザー ホワイトリスト | *@example.com |
個人アカウントログイン禁止 |
| アイドル時のロック | 5分 | 物理セキュリティ |
| デバイス監査 | 有効 | 監査ログ収集 |
| 強制再登録 | 有効 | リセット時の再管理 |
| 開発者モード | 無効 | ChromeOS改変防止 |
| デバッグキー | 無効 | 同上 |
Wi-Fi 自動構成
端末設定 > ネットワーク > Wi-Fi
社内Wi-Fi(EAP-TLS / EAP-PEAP)を事前構成しておけば、Chromebook初回サインイン時に自動接続。
network_name: "Office-WiFi"
ssid: "OfficeNet"
security: "WPA2-Enterprise"
authentication: "EAP-PEAP"
phase2_auth: "MSCHAPv2"
identity: "${USER_EMAIL}" # ユーザーアカウントを使用
password: "${USER_PASSWORD}"
USB制限
端末設定 > USB アクセス > USB ホワイトリスト
特定のUSB機器(社内認定機種)以外を禁止できます。VendorID / ProductIDで指定。
Step 5: ユーザーポリシー(ChromeOS / Chromeブラウザ)
Admin Console → 端末 → Chrome → 設定 → ユーザーとブラウザの設定
推奨ポリシー
| 項目 | 推奨設定 |
|---|---|
| 拡張機能の管理 | 「組織が許可した拡張機能のみインストール可」 |
| プライベートブラウジング | 無効(業務利用) |
| パスワード保存 | 無効(または特定OUのみ) |
| Webサイト追跡防止 | 有効 |
| セーフブラウジング | 有効(標準保護) |
| 印刷の管理 | OU別に複合機を強制設定 |
拡張機能のホワイトリスト
ユーザーとブラウザの設定 > 拡張機能 > 拡張機能のインストールを許可するアプリ
業務に必要な拡張機能を指定:
- LastPass / 1Password (パスワード管理)
- Grammarly (英文校正)
- Google Tasks (タスク管理)
- Zoom Scheduler (会議調整)
強制インストール
ユーザーとブラウザの設定 > 拡張機能 > 自動インストールするアプリと拡張機能
新規Chromebookでも自動的に必要なアプリがインストールされる:
- Google Drive デスクトップ(オフライン同期)
- Cisco Webex / Microsoft Teams(PWA版)
- 社内業務アプリ(PWA化されたもの)
Step 6: ネットワークセキュリティ(Chrome Enterprise Connectors)
2023年以降、Chrome Enterprise Premium ライセンスで利用可能。
URL ベースのアクセス制限
ユーザーとブラウザの設定 > URL ブロックリスト
業務時間中のSNSアクセス等を制限。
ブラックリスト:
- facebook.com
- twitter.com
- instagram.com
ホワイトリスト(ブラックリストより優先):
- *.example.com
- *.google.com
Data Loss Prevention(DLP)
Chrome Enterprise Premium で、
- クリップボードへのコピー禁止
- スクリーンショット禁止
- 印刷禁止
- ダウンロード制限
を、対象URL/ドメインごとに設定可能。
dlp_rule:
name: "顧客管理システムからのデータ持ち出し防止"
trigger:
url: "https://crm.example.com/*"
actions:
- block_clipboard
- block_screenshot
- block_print
- watermark: "CONFIDENTIAL - example corp"
Step 7: アプリ管理(Android アプリ・Linuxアプリ)
ChromeOSではAndroidアプリ(Play Store)とLinuxコンテナが動作します。
Androidアプリの管理対象化
端末 > Chrome > アプリと拡張機能 > Android アプリ
Google Play からアプリを選択し、強制インストール / 任意インストールを設定。
Linux(Crostini)の有効化
端末設定 > Linux > Linux 開発環境
エンジニアOU向けに有効化。VSCode / Git / Docker をChromebookで動作可能。
Linux有効化はOU単位で。事務職には無効化推奨(攻撃面を減らすため)。
Step 8: 印刷管理(CUPS / Mopria)
複合機の集中設定
端末 > Chrome > プリンタ
社内複合機の情報を事前登録すると、Chromebookに自動配信。
printer:
name: "1F-カラー複合機"
uri: "ipps://10.0.0.50:443/ipp/print"
ppd: "Auto-detect"
description: "1F廊下のカラー複合機"
ユーザー側は「印刷」ボタンを押すだけで、自動的に複合機リストが出てくる状態に。
Mopria 対応複合機の活用
Mopria認定の複合機は、追加ドライバ不要でChromeOSから印刷可能。最近のCanon / Ricoh / Fuji Xerox機種は対応している場合が多い。
Step 9: 監査ログ・レポート
Admin Console の監査ログ
レポート > 監査 > Chrome デバイス
確認できる情報:
- 端末の登録・解除
- ユーザーログインログ
- ポリシー変更履歴
- アプリインストール履歴
- 不審なアクセス試行
BigQuery エクスポート(大規模監査用)
Google Workspace Enterprise エディションなら、ログを BigQuery にエクスポート可能:
-- ChromeOS ログインの異常検知例
SELECT
user_email,
device_id,
COUNT(*) as login_count,
COUNT(DISTINCT ip_address) as distinct_ips
FROM `your-project.workspace_logs.chrome_os_devices`
WHERE event_type = 'LOGIN'
AND DATE(timestamp) = CURRENT_DATE()
GROUP BY user_email, device_id
HAVING distinct_ips > 3 -- 3つ以上のIPからログインを警告
Step 10: 緊急時対応
紛失・盗難時の端末リモート操作
端末 > Chrome > 端末 > [対象端末を選択]
実行可能なアクション:
- デバイスを無効化:サインイン不可、起動時に「このデバイスはロックされています」表示
- デバイスをリセット:完全初期化(再登録時はOU設定が自動復元)
- 位置情報の取得:管理者によるリモート位置把握(Chrome Enterprise Premium必要)
退職者対応
ユーザーアカウントを停止 → 自動的に該当ユーザーのChromebookは無効化
物理回収できなくても、サインイン不可になるため業務データへのアクセスは遮断されます。
運用Tips
Tip 1: OU設計は最初が肝心
途中でOU構造を変えると、ポリシーの再評価で全端末が再起動されるなど混乱が生じます。最初の設計に時間をかけること。
Tip 2: ポリシーは最小から始める
「全部禁止」から始めると業務影響が大きい。「最低限の禁止 + 必要な強制」から始めて、徐々に厳しく。
Tip 3: 全社展開前にPoC
3〜5名で1ヶ月運用 → 課題抽出 → 全社展開、が定石。
Tip 4: 管理者アカウントは2系統で
- 日常運用用アカウント
- 緊急対応用アカウント(特権管理者、別ユーザー、別MFA)
これにより、片方を失っても復旧可能。
Tip 5: バックアップ/エクスポート
OUとポリシーをCSV/JSONでエクスポートし、Gitで管理。設定の世代管理が可能に。
# Admin SDK API でOUとポリシーをエクスポート
gam print ous > ous_backup.csv
gam print policies > policies_backup.json
GAMはGoogle Workspace 管理を CLI で行えるオープンソースツール。中小企業の情シスでも導入推奨。
まとめ
ChromebookのGoogle Admin Console管理は、
- 集中管理の手厚さ:Intuneと比較してもシンプルかつ強力
- ゼロタッチ展開:箱から出してサインインだけで業務開始
- セキュリティ機能:DLP、URL制限、USB制御が標準で揃う
- コスト効率:Chrome Enterprise Upgrade $50/year/台 で全機能利用可能
という、中小企業に非常に親和性の高い特性を持っています。
Windowsの「Intune+ Defender + Entra ID Premium」と比較すると、ChromebookとGoogle Workspace Business Plus の組み合わせはシンプルで管理工数が少なく済みます。
著者
亀田 英佑 / 株式会社BTNコンサルティング 代表取締役
中小企業向け情シスアウトソーシング「情シス365」運営
Chromebook導入、Google Workspace 移行、Google Admin Console 設計支援を多数遂行。Microsoft 365との比較・移行判断もご相談ください。