G Suiteでモバイル端末管理を行う場合に、
Chromeの拡張機能:Endpoint Verificationを活用すると、
組織内で使用されているMacやWindows PC、Chromebookの端末情報や状態を、自動で収集し管理できるようになります。
従来の様に、端末情報を目で確認し、手打ちでその情報を入力する必要もありません。
より早く、より正確に端末管理を行えるようになります。
また、端末の状況を把握するだけではなく、不審なアクセスが起こった場合に備えて通知設定を行うことも可能です。
今回は、そのような管理を可能にするChrome拡張機能:Endpoint Verificationの導入手順を紹介致します。
※Google Cloud Platform、Cloud Identity、G Suite Business、G Suite Enterpriseの環境で利用可能です。
詳細設定については以下ヘルプページをご参照ください。
https://support.google.com/a/answer/9007320?hl=ja
ー目次ーーーーーーーーーーー
1)どのような管理ができるのか
2)管理者コンソールの設定
3)利用者の設定
4)まとめ
ーーーーーーーーーーーーーーー
1)どのような管理ができるのか
端末の詳細を把握できるようになります例えば、
・デバイスのOSバージョン
・ストレージの暗号化の有無
・パスワードが設定されているか
・端末ID
・シリアル番号
・最終同期年月日
・ユーザー詳細
などがあります。
※MACアドレスは表示されませんでした。
イベントの監査を行う事ができます。
監査イベント表示 > レポートからフィルタをかけてイベントを確認することができます。 例えば、
・アカウントの登録先(どの端末で同期したか)
・不審な操作 ・画面ロック解除の失敗など
例えば、不審な操作が行われた場合に特権管理者にアラートを送信することができます。
詳細設定については以下ヘルプページをご参照ください。 https://support.google.com/a/answer/3230421?hl=ja
管理中の端末リストを参照できます。
端末はアカウント単位で表示されます。
例えば、 複数のアカウントで共有していた場合、
管理コンソール上では 以下のようにユーザーアカウント単位で表示されます。
例)
AAAA さんの Dell Chromebook ....
BBBB さんの Dell Chromebook ....
CCCC さんの Dell Chromebook ....
2)管理者コンソールの設定
管理コンソールでの事前設定1)端末管理
2)画面左側のメニューのセットアッを選択
3)「エンドポイントの同期」へスクロールして選択
4)ブラウザ拡張機能を介したパソコンからの報告を許可するボックスがチェックされているか確認
5)チェックされていない場合は、ボックスをチェックして、保存
6)端末管理
7)Chrome管理を選択
8)アプリ管理を選択
9)アプリの検索または更新で「Endpoint Verification」を検索し、選択
10)ユーザー設定を選択
11)組織を選択
12)以下のスライダをオンに設定する
・インストールの許可
・自動的にインストール
・クライアント証明書とキーへのアクセスを許可する
・エンタープライズ キーの本人確認へのアクセスを許可する
13)下にスクロールし、保存をクリック
※変更した設定が適用されるまで、最大24時間かかる場合があります。
3)利用者の設定
管理者が自動ダウンロード設定を有効にた場合ユーザーはChromeブラウザ終了し、再度ブラウザを起動した際に、ユーザーメニューバー上に「Endpoint Verification」の拡張機能が自動的に表示(追加)されます。
この拡張機能のアイコンをクリックし、「AGREE」をクリック:同意すると同期が始まります。 再度同期する場合はSync(同期)をクリックします。
※Chromebook からのログアウトは不要です。
!!注意!!
Endpoint Verification をアンインストールする場合に、 ユーザーは、ユーザー自身がChrome ウェブストアから Endpoint Verification をインストールした場合は、自分でコンピュータから削除できますが、管理者がコンピュータに Endpoint Verification を自動インストールした場合は、ユーザー自身が削除する事はできません。
参考ヘルプページ:
https://support.google.com/a/users/answer/9018161#install
事前にユーザー自身がChrome ウェブストアから Endpoint Verification をインストールし、その後に 管理者が自動インストール設定を行った場合
WindowsとMacユーザーはアンインストールができましたが、Chromeユーザーはできませんでした。
アンインストールを行うと、同期不可となり、管理者は「最終同期以降の端末情報の更新を確認できなくなります。最終同期以前の端末情報は参照可能です。
※WindowsとMacユーザーのアンインストール方法は
ネイティブ ヘルパー アプリをアンインストール をご参照下さい。 https://support.google.com/a/users/answer/9018161?hl=ja
ユーザー自身が拡張機能を追加する場合【WindowsおよびmacOS端末】
WindowsおよびmacOS端末では、Endpoint Verification拡張機能とネイティブヘルパーアプリの両方をインストールする必要があります。
拡張機能: https://chrome.google.com/webstore/detail/endpoint-verification/callobklhcbilhphinckomhgkigmfocg
インストールプロセス中に、ユーザーは拡張機能の使用条件を承認し、同意する必要があります。
手順に沿ってインストールし、ユーザーがEndpoint Verificationの同期を許可します。
【ChromeOS端末】
ChromeOS端末では、前述の管理者設定(:管理コンソールのアプリのユーザー設定にて、「自動的にインストール」の有効化) を行わなければ、Endpoint Verification拡張機能のインストールができませんでした。
エラーメッセージが表示されていました。
「Endpoint Verification 拡張機能」が強制的にインストールされる設定となっていないため表示されるワーニングメッセージとなります。
管理コンソールのアプリのユーザー設定にて、「自動的にインストール」の有効化を行うと同意を選択でき、同期ができるようになりました。
4)まとめ
ユーザーがEndpoint Verification拡張機能を同期(Sync)することで、管理者はどのユーザーがどの端末にアクセス(サインイン) したのか最新の状態を把握することができます。管理者側、ユーザー側両方の設定も簡単で管理画面での検索の絞込もわかりやすいものでした。
サインインした各ユーザーの名前と電子メールアドレス、各端末の種類やOS、OSのバージョン、シリアル番号など、より詳細な端末情報を表示させることができ、より簡単に、より正確に端末管理を行えるようになるのでは、と期待しています。
またレポート機能と連携もしているので不審な操作時などにアラートを設定できることも利点であります。