はじめに
管理対象ゲストセッションとは
管理対象ゲスト セッションを使用すると、複数のユーザーが Google アカウントにログインせずに 1 台の Chrome OS デバイスを共有できます。たとえば、Chrome デバイスをレンタル デバイスや共有パソコンとして設定することが可能です。
ふむ。
管理対象ゲストセッションとゲストブラウジングの違いは?
ゲスト ブラウジングは、ウェブをすばやくブラウジングするのに便利です。ただしゲスト ブラウジングでは、アプリの事前設定、セッション時間の制限、各種セキュリティ ポリシーの適用などを行うことができず、企業や学校の多くが必要とする方法でセッションを管理できません。管理対象ゲスト セッションのブラウジングでは、各ユーザーにログインを要求することなく、多くのユーザー ポリシーを適用できます。
なるほど!
管理対象ゲストセッションの3つのメリット
- Chromeデバイスへのログインが不要
- セッション終了時に、全てのユーザーデータがChromeデバイスから削除・初期化される
- セッションをポリシーで制御可能
設定を進めてみたのだが。。。
今回、以下の「Chrome Enterprise Japanのブログ」を参考にして、設定を進めてみたのですが、Chrome ウェブストアからインストールしたAWSのDaaSサービスであるAmazon WorkSpacesのChromeアプリ(Ver2.4.13)をChromeOS(Ver92.0.4515.130)で起動すると、アプリが即落ちました。。
テレワークに最適な Chrome Enterprise 管理対象ゲスト セッションのご紹介 | Chrome Enterprise Japan 公式ブログ
テレワークに最適な Chrome Enterprise 管理対象ゲスト セッションのご紹介(設定編) | Chrome Enterprise Japan 公式ブログ
Googleの管理コンソール上でもそれらしい設定はないですし、Amazon WorkSpacesのGoogle playストアからインストールしたアプリの方は起動したため、AWS公式を漁っていると以下の記述を見つけました。
バージョン 2.4.13 は、Amazon WorkSpaces Chromebook クライアントアプリケーションの最終リリースです。Google は Chrome アプリのサポートを段階的に廃止するため、WorkSpaces Chromebook クライアントアプリケーションはこれ以上更新されず、その使用はサポートされません。
Android アプリケーションのインストールに対応している Chromebook では、代わりに WorkSpaces Android クライアントアプリケーションを使用することをお勧めします。
Chrome ウェブストアからインストールしたAWSのDaaSサービスであるAmazon WorkSpacesのChromeアプリは2.4.13で2019年にリリースされたバーション。もう更新されず使用はサポートされないみたいなので使用は非推奨みたいです。
なので今回は参考にしたものから少し内容を変えて進めてみました。
設定
今回仮想デスクトップについてはAWSのDaaSサービスであるAmazon WorkSpacesを利用します。Amazon WorkSpacesの環境構築から利用開始までは以下を参考にしてみてください。
また、管理対象ゲストセッションを利用する場合は、Chrome EnterpriseデバイスかChrome Enterprise Upgradeを用いてChromeデバイスを企業登録しておく必要があります。Chrome Enterprise Upgradeの利用開始までは以下を参考にしてみてください。
管理対象ゲストセッションの有効化
- デバイス>Chrome>設定>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- 全般>管理対象ゲストセッションにて「管理対象ゲストセッションを許可する」または「管理対象ゲストセッションを自動起動する」を選択し、ログイン画面に表示するセッション名を入力のうえ、保存をクリックする
自動起動の場合には、自動起動までの遅延時間などのオプションが項目として追加される。このうち、デバイスのシステムログのアップロードについては以下のように公式に記載があるので注意です。
デバイスのシステムログのアップロード有効化
重要: この設定を使用する前に、デバイスの操作が監視される可能性があること、デバイスに入力したデータが意図せずログに記録され、共有される可能性があることを、管理対象キオスク デバイスのユーザーに通知することが義務付けられています。上の内容をユーザーに通知せずにこの設定を有効にした場合は、Google との契約条項違反となります。
カスタム利用規約というものをGoogleの管理コンソールで設定できるみたいなので、そこで用意する感じかね。
管理対象ゲスト セッションのデバイス - Google Chrome Enterprise ヘルプ
DaaSアプリの自動インストール
「Chrome Enterprise Japanのブログ」の流れでは、ここでDaaSアプリをChromeウェブストアから自動インストールするようGoogle管理コンソールから仕込む形になっていますが、前述したとおりAmazon WorkSpacesのChromeアプリは即落ちしたので、飛ばします。(参考までに流れは残しておきます)
Google playストアから自動インストールするよう仕込めば?って思ったんですが、管理対象ゲストセッションではGoogle playストアからの自動インストールをGoogle管理コンソールから仕込めませんでした。。
他のDaaSサービスのChromeアプリであれば動くかもしれないですが、これも前述した通りGoogleはChrome アプリのサポートを段階的に廃止するので、あまりおすすめできません。
- デバイス>Chrome>アプリと拡張機能>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- 右下の+マークから、Chromeウェブストアから追加をクリックする
- WorkSpacesを検索して、WorkSpacesの選択をクリックする
- インストールポリシーを「自動インストールしてChromeOSタスクバーに固定する」にし、保存をクリックする
Webブラウザのアクセス制御
- デバイス>Chrome>設定>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- URLのブロック>ブロックされるURLに*を入力します
- ブロックするURLの例外に「clients.amazonworkspaces.com」と「[Amazon WorkSpaces用に作成したディレクトリの組織名].awsapps.com」を入力します。このURLはAmazon WorkSpacesのwebアクセスログインをする場合にアクセスするURLなので許可します
- 他に例外として「chrome://*」を入力しておきます。ブロックされるURLに*を指定しているのでchrome://で開くOSやブラウザの設定もブロックされますが、ブロックする場合は別項目として存在する「システム機能の無効化」でブロックするのが推奨なので、例外にchrome://を入れます
- 保存をクリックする
システム機能の無効化
- デバイス>Chrome>設定>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- システム機能の無効化で任意の項目にチェックを入れて、保存をクリックする。ここではカメラとOSの設定とブラウザの設定にチェックを入れました。スキャンとキャンバスは何を指しているのか分からず…。ウェブストアにチェックを入れて保存をクリックするとなぜかエラーが表示されました
起動時に読み込むページを指定する
- デバイス>Chrome>設定>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- 起動時に読み込むページに「clients.amazonworkspaces.com」と入力し、保存をクリックする。これで管理対象セッションに入ったらすぐにブラウザが起動し、Amazon WorkSpacesのアクセス画面が表示されます
スクリーンショットの禁止
- デバイス>Chrome>設定>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- スクリーンショットにて「ユーザーにスクリーンショットの撮影とビデオ録画を許可しないを選択し、保存をクリックする
外部ストレージの使用禁止
- デバイス>Chrome>設定>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- 外部ストレージデバイスにて「外部ストレージデバイスを許可しない」を選択し、保存をクリックする。任意で読み取り専用にもできる
プリンタの追加の制限
- デバイス>Chrome>設定>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- プリンタの管理にて「ユーザーに新しいプリンタの追加を許可しない」を選択し、保存をクリックする
印刷の無効化
- デバイス>Chrome>設定>管理対象ゲストセッションをクリックする
- 適用対象のChromebookが配置されている組織部門を選択する
- 印刷にて印刷を無効にするにし、保存をクリックする
アクセスしてみる
管理対象ゲストセッション
- 管理対象ゲストセッションを有効にしてあるので、Chromebookを起動すると、指定したセッション名(test-managed-guest)が表示されるので、こちらをクリックする。ちなみに右側にはGoogleアカウントでの通常利用のアカウントが表示されてる
- 利用する上のでメッセージが表示されるので、次へ進みます。メッセージについては2種類あるようです
管理対象ゲスト セッションのデバイス - Google Chrome Enterprise ヘルプ
カスタム利用規約を設定している場合は同意画面が表示されます。設定していなければそのままセッションが開始されます。
Amazon WorkSpaces
- 管理対象ゲストセッション起動すると指定しておいた「clients.amazonworkspaces.com」でブラウザが自動起動するので、Web Accessをクリックする
- WorkSpaces作成時に届いた招待メールにある登録コードを入力して進む
- ユーザーIDと設定したパスワードを入力してサインインします
- 続けるにはクリックをクリックすると、デスクトップ画面が表示されます
ログイン成功
操作した感じ
管理対象ゲストセッション
許可した以外のURLにChromeでアクセスしようとすると、Webアクセスがちゃんとブロックされてる。
設定アイコンもちゃんと非活性化されてる。
設定アイコンをクリックするとちゃんとブロックされてることがわかる。
ブラウザの設定も、印刷もちゃんとブロックされてる。
開いてるアプリを全部閉じると自動的にセッションの終了ポップアップが表示される。ログアウトをクリックするか、下にあるセッションを終了をクリックすると、セッションを終了することができる。
セッションを終了する前に保存してあったスクショのファイルは、再度管理対象ゲストセッションを開始して確認すると、削除されていました。
- 再度管理対象ゲストセッションを開始して、Web Accessをクリックすると、再度登録コードの入力が求められます。管理対象ゲストセッションの場合には、この一手間が発生します。ユーザーIDとパスワード以外に登録コードも覚えるのはきつい。
Amazon WorkSpaces
ChromebookのWebアクセス以外に、以下の4パターンで操作してみました。もしかするとデバイスによっても違いがあるかも。
OSに応じたクライアントアプリの方が使用感は良い。WSP版も推奨だしアプリの方を使うのが良さそう。という感想です。
ChromeOS,Chrome(Chromebook) 92.0.4515.157
macOS Catalina10.15.7
Chrome(Mac) 92.0.4515.159
WorkSpacesアプリ(Chromebook) 3.0.2.0
WorkSpacesアプリ(Mac)3.1.9.1976
終わりに
管理対象ゲストセッションの設定自体はGoogleの管理コンソールからすぐに設定できるので、この設定を利用したChromebookのシンクラ端末化は簡単でした。
ただ、Googleの管理コンソールからインストール設定したChromeアプリが起動せずで、Amazon WorkSpacesを利用するのにWebアクセスを使う形になったのは辛いです。
気が向いたらWindows365 Cloud PCも触ってみようかと思います。