管理対象ブラウザって何?
- 会社のGsuiteに登録した状態のChrome。詳しくは公式参照
- GsuiteからいろいろChromeのポリシーを配れるようになる
- Chromeに入っている拡張機能などの情報をGsuiteのAdminコンソールから確認できる
ブラウザの拡張機能って制限するの厳しくね? じゃあせめて可視化したくね? って言い始めた人がいたのが今回記事をかくことになった発端。
各端末のChromeを管理対象にする方法
やっぱり詳しくは公式参照。概要としては以下の3ステップでよい。
- 登録用のトークンをGsuite Adminコンソールで発行する
- このトークンを端末に配布・設定する
- 端末でChromeを再起動すると管理対象としてAdminコンソールで管理できるようになる
あとは定期的に監視するなりポリシーを配るなり。
トークンの配布をMDMで行う方法
Mac x Jamfのケース
- JamfについてはGoogle公式で手順がある。こちらの手順に従って進めればOK。
- 簡単に言うとConfiguration Profileを作成して、配布してやればよい。簡単。
Windows x Intuneのケース
- Windowsはレジストリに登録トークンを設定してやる必要がある。
- ADにドメイン参加してる端末とかならGPOで終了だが、フルリモート環境とかでやろうとするとVPNがなかったりした場合結構辛い。というかそもそもADが存在しないケースとかもある。(今回はAzureAD単独の環境)
- regファイル配ってユーザーに実行してもらうというのももちろん手だが、ここはIntuneでPowershellスクリプトのリモート実行を行う。
- Intune Management Extensionが必要なので注意。といっても、Win10 1607以降でIntuneに登録すれば自動でインストールされる。古い端末等ではケアが必要。
まずはレジストリを変更するためのPowershellを作る。参考にしたサイト
enrollment.ps1
$RegPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"
$RegKey = "CloudManagementEnrollmentToken"
$RegKeyType = "String"
#Gsuite側で発行した登録用トークンを入れる
$RegKeyValue = "XXXXXXXXXXXXXX"
#登録済みだった場合、Enrollmentのレジストリができちゃってるので、そちらを消す
$EnrollmentRegPath = "HKLM:\SOFTWARE\Google\Chrome\Enrollment"
$Enroll_CHK = Get-Item $EnrollmentRegPath -ErrorAction SilentlyContinue
if ( $Enroll_CHK -ne $null ) {
Remove-Item -Path $EnrollmentRegPath -Recurse
}
#登録作業
$RegPath_CHK = Get-Item $RegPath -ErrorAction SilentlyContinue
if ( $RegPath_CHK -ne $null ) {
#レジストリがあるなら、キーもあるか確認
$RegKey_CHK = Get-ItemProperty -Path $RegPath -Name $RegKey -ErrorAction SilentlyContinue
if ( $RegKey_CHK -ne $null ) {
# キーがあれば値を更新。
Set-ItemProperty -Path $RegPath -Name $RegKey -Value $RegKeyValue
} else {
# キーが無ければ新規作成
New-ItemProperty -Path $RegPath -Name $RegKey -PropertyType $RegKeyType -Value $RegKeyValue
}
} else {
#レジストリがなかったらどっちも新規で作る
New-Item -Path $RegPath -Force
new-ItemProperty -Path $RegPath -Name $RegKey -PropertyType $RegKeyType -Value $RegKeyValue
}
その後、Intune上でPowerShellスクリプトを登録する。(※2020年9月時点の情報なので、適宜読み替えてください)
- Intuneの管理画面にアクセス(最近Azureポータルから独立したらしい)
- デバイス > スクリプト > 追加 > Windows10
-
基本
→ ポリシー名と説明を適宜記入 -
スクリプト設定
- ↑で作成したスクリプトファイルをアップする
-
このスクリプトをログオンしたユーザーの資格情報を使用して実行する
はいいえに設定(レジストリの変更にあたって管理者権限が必要なため。ログオンユーザーが管理者権限持ってるならはいでもOK) -
スクリプト署名チェックを強制
→いいえ
-
64 ビットの PowerShell ホストでスクリプトを実行する
→はい
(これは環境に合わせて適宜変えてください)
-
割り当て
→ デバイスグループを指定
以上。あとはスクリプトのチェックインが1時間毎(もしくは再起動の度)に走るので、テスト機で動作を確認すればOK。
なお、スクリプトの中身を変えれば他のレジストリのメンテナンス等にも利用できます。
さいごに
前々からいってるがMSはドキュメントや管理画面のUIをだな。。