管理者は、ユーザーが職場や学校用の Google アカウントで Windows 10 または 11 デバイスにログインできるように、Windows 用 Google 認証情報プロバイダ(GCPW)を設定できます。会社所有デバイスの場合は、管理者または組織内の他の IT 担当者がデバイスに GCPW を設定します。ユーザーが管理者権限を持っている個人用デバイスの場合、GCPW をインストールしてもらいます。
要件
ライセンス要件
- GCPW(スタンドアロン) - この機能に対応しているエディション: Frontline Starter、Frontline Standard、Frontline Plus、Business Starter、Business Standard、Business Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus、Endpoint Education Upgrade、Essentials、Enterprise Essentials、Enterprise Essentials Plus、G Suite Basic、G Suite Business、Cloud Identity Free、Cloud Identity Premium。 エディションの比較
- GCPW と Windows デバイス管理 - この機能に対応しているエディション: Frontline Starter、Frontline Standard、Frontline Plus、Business Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Enterprise Essentials、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較
システム要件
- Windows 10 または 11 Pro、Pro for Workstations、Enterprise、Education(32 ビットおよび 64 ビット バージョンのみ)。ARM ベースのデバイスはサポートされていません。
- 管理者権限でインストールされた Chrome ブラウザ バージョン 81 以降(安定版)
- ChromeOS(100 MB)と GCPW(3 MB)用の空きディスク容量。
- インストーラを実行するには、デバイスの管理者権限が必要です。または、ソフトウェア デプロイ ツールを使用してデバイスにインストーラをデプロイします。
- GCPW は、モバイル デバイス管理のサードパーティ プロバイダに対応していません。
始める前に: デプロイの準備
- まだの場合は、GCPW をインストールする準備をし、Chrome ブラウザをデバイスにインストールします。
- Chrome Enterprise Core を使用する場合は、GCPW をインストールする前に設定を行ってください。詳しくは、Chrome Enterprise Core を設定するをご確認ください。
手順 1: GCPW をダウンロードする
この操作を行うには、特権管理者としてログインする必要があります。
次の手順では、GCPW を手動で設定する方法について説明します。アプリ配布ツールまたは Microsoft PowerShell スクリプトを使用して、GCPW を配布、インストールすることもできます。詳細については、PowerShell スクリプトの例をご覧ください。
-
特権管理者アカウントで Google 管理コンソール にログインします。
特権管理者アカウントを使用していない場合は、この手順を完了できません。
-
- [Windows 用 Google 認証情報プロバイダの設定]
[GCPW のダウンロード] をクリックします。
- 64 ビット版または 32 ビット版の GCPW インストール ファイルをダウンロードし、デバイスに配布します。
手順 2: GCPW で許可されるドメインとオプションの設定
目的に合った構成方法を使用してください。
- 組織内のすべての Windows デバイスに同じ設定を適用するには、管理コンソールを使用するのが最も簡単な方法です。
- デバイスごとに異なる設定を適用するには、管理コンソールの設定を [未設定] のままにして、各デバイスのレジストリ設定を編集します。
注: 両方が設定されている場合、レジストリ設定よりも管理コンソールの設定が優先されます。
管理コンソールで GCPW を設定する(推奨)GCPW を使用するには、許可されたドメインを設定する必要があります。許可されたドメインを管理コンソールで設定するには、デバイスに登録トークンを設定しておく必要があります。トークンを設定するにはいくつかの方法があります。
- GCPW を管理コンソールからダウンロードした場合は、インストール ファイルを実行すると自動的にトークンが設定されるので、そのまま続行できます。
- 以前に Chrome Enterprise Core 用に登録トークンを設定していた場合も、管理コンソールで GCPW 設定を管理できます。
- GCPW を従来のダウンロード ページ(https://tools.google.com/dlpage/gcpw/)からダウンロードした場合は、インストール ファイルにトークンが含まれていません。トークンがないと、許可されたドメインを管理コンソールで変更することはできませんが、[デバイス]
管理コンソールで設定を編集する
この操作を行うには、特権管理者としてログインする必要があります。
始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。
-
特権管理者アカウントで Google 管理コンソール にログインします。
特権管理者アカウントを使用していない場合は、この手順を完了できません。
-
- [Windows 用 Google 認証情報プロバイダ(GCPW)の設定]
- GCPW でのログインを許可するドメインを入力します。ドメインを追加しなければ、ユーザーは GCPW を介してログインすることはできません。
- [保存] をクリックします。許可されたドメインがデバイスに同期されるまで 1 時間ほどかかることがあります。
必須項目は [許可されたドメイン] のみです。その他の GCPW 設定については、次の手順に進みます。
- ページの上部にある [Windows の設定] をクリックします。
- [GCPW の設定] をクリックします。
- (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る
- 次のいずれかの設定をクリックし、必要に応じて更新します。
設定 説明と設定 GCPW を自動更新する GCPW の新しいバージョンを Windows デバイスに自動的にインストールするには、[GCPW を自動更新する] チェックボックスをオンにします(デフォルトでオンになっています)。
特定のバージョンまでの更新のみを許可するには、[特定のバージョンまでに更新を制限します] チェックボックスをオンにして、最後に許可されたバージョンを入力します。すべてのユーザーにデプロイする前に最新バージョンをテストしたい場合は、このオプションを使用することをおすすめします。
注: 新機能やセキュリティ アップデートがブロックされないように、バージョンを承認する際にこの設定を更新する必要があります。デバイスにインストールされているバージョンよりも前のバージョンを入力しても、GCPW はそのバージョンにロールバックされません。
GCPW の自動更新を無効にするには(非推奨)、[GCPW を自動更新する] チェックボックスをオフにします。
複数のアカウントを管理する 複数の Google Workspace アカウントにデバイスへの GCPW 経由のログインを許可するには、[有効] を選択します。Windows デバイス管理を使用する場合は、GCPW で複数のアカウントの使用を許可しても、各デバイスで Windows デバイス管理に登録できるユーザーは 1 人のみです。
1 つの Google Workspace アカウントのみにデバイスへの GCPW 経由のログインを許可するには、[無効] を選択します。
[未設定] にした場合、
enable_multi_user_loginレジストリ設定が 0 に設定されていない限り、複数の Google Workspace アカウントでデバイスにログインできます。デバイス管理に登録する 組織で Windows デバイス管理を使用している場合は、ユーザーが GCPW 介して最初にログインしたときに、デバイスを自動的に登録できます。
[デバイス管理に自動登録する] チェックボックスがオンになっておらず、組織で Windows デバイス管理を使用している場合は、
enable_dm_enrollmentレジストリキーを「1」に設定しない限り、デバイスを手動で登録する必要があります。オフライン アクセス ユーザーがオフライン時に GCPW を介してデバイスにログインできる時間を制限するには、値を [有効] に変更し、日数を設定します。
制限の有効期限が切れると、ユーザーはインターネットに接続するまでデバイスにログインできなくなります。
[未構成] にした場合、
validity_period_in_daysレジストリ設定がデバイスで設定されていない限り、ユーザーはオフライン中に無制限にログインできます。 -
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承] をクリックします。
GCPW の設定は 1 時間ごとにデバイスに同期されるため、設定が適用されてユーザーが GCPW にログインできるようになるまでに最大 1 時間かかることがあります。
管理コンソールの設定で GCPW を管理しない場合や、管理コンソールで設定できない値を指定する場合は、各デバイスのレジストリ設定を使用できます。
次の手順ではレジストリキーを手動で設定する方法について説明しますが、管理者または管理者権限を持つユーザーは PowerShell スクリプトを使用してキーを設定することもできます。
注: GCPW の設定を管理コンソールとデバイスのレジストリの両方で行った場合、レジストリよりも管理コンソールでの設定が優先されます。
- 指定したドメインのユーザーが GCPW でログインできるようにする必須のレジストリキーと、組織に必要なその他のレジストリキーを設定します。
設定 デフォルトの動作と手動設定 必須: GCPW でのログインを許可するドメインを指定します。
注: このレジストリキーが設定されるまで、ユーザーは GCPW でログインできません。デフォルト: GCPW でのログインを許可されたドメインはありません
設定
- Windows の [スタート] メニューから [ファイル名を指定して実行] をクリックします。
- [ファイル名を指定して実行] ボックスに「regedit」と入力します。
- レジストリ エディタで、HKEY_LOCAL_MACHINE\Software\Google に移動して Google を右クリックし、[新規]
- フォルダに GCPW という名前を付けます。
- GCPW フォルダを右クリックし、[新規]
- 名前に「
domains_allowed_to_login」と入力します。 - 名前をダブルクリックし、[値のデータ] ボックスに許可するドメイン名のカンマ区切りリストを入力します。例: example.com, example.org, example.net。
- [OK] をクリックします。
Windows デバイス管理の自動登録をオフにする デフォルト: 1(デバイスを自動的に登録する)
設定
- レジストリ エディタで GCPW フォルダを右クリックして、[新規]
- 名前に「
enable_dm_enrollment」と入力します。 - 名前をダブルクリックし、[値のデータ] ボックスに「0」と入力します。キーをリセットして自動登録を許可する場合は、値を「1」に変更します。
- [OK] をクリックします。
一定期間オフラインになっていたデバイスで、オンラインでのログインを必須にする デフォルト: 値なし(オンライン ログインは必須ではありません)
設定
- レジストリ エディタで GCPW フォルダを右クリックして、[新規]
- 名前に「
validity_period_in_days」と入力します。 - 名前をダブルクリックし、[値のデータ] ボックスにオンラインでの GCPW ログインの間隔(日数)を入力します。
たとえば、「5」と入力した場合、ユーザーはデバイスがオフラインになってから 5 日経つとオンラインでログインする必要があります。「0」と入力した場合、ユーザーはデバイスがインターネットから切断された直後からオンラインでログインする必要があります。
- [OK] をクリックします。
Google アカウントを使用してデバイスにログインできるユーザーを 1 人のみに制限する デフォルト: 複数のユーザーが各自の Google アカウントでデバイスにログインできます。Windows デバイス管理を使用する場合は、GCPW で複数のアカウントの使用を許可しても、各デバイスで Windows デバイス管理に登録できるユーザーは 1 人のみです。
設定
- レジストリ エディタで GCPW フォルダを右クリックして、[新規]
- 名前に「
enable_multi_user_login」と入力します。 - 名前をダブルクリックし、[値のデータ] ボックスに「0」と入力します。キーをリセットしてデバイスで複数のアカウントを自動的に許可する場合は、値を「1」に変更します。
- [OK] をクリックします。
GCPW での初回ログインに既存のローカルの Windows プロファイルを使用できるようにする([仕事用アカウントを追加] のクリックは不要) デフォルト: GCPW ログインで既存のローカル プロファイルは使用されません。ユーザーは初回ログイン時に、[仕事用アカウントを追加] をクリックする必要があります。
設定
- レジストリ エディタで GCPW フォルダを右クリックして、[新規]
- キーに Users という名前を付けます。
- Users フォルダを右クリックし、[新規]
- キーの名前として、ユーザーの Windows アカウントの SID(セキュリティ識別子)を指定します。ユーザーの SID を確認するには、Microsoft のドキュメントをご覧ください。
- SID フォルダを右クリックし、[新規]
- 名前に「
email」と入力します。 - 名前をダブルクリックし、[値のデータ] ボックスにユーザーのローカル Windows アカウントと関連付ける仕事用アカウントを入力します。ユーザーの完全なメールアドレス(例: user@[会社名].com)を使用してください。[email protected]
- [OK] をクリックします。
GCPW で、ユーザーの職場または学校のメールアドレスのユーザー名部分のみを使用した新しい Windows アカウント名を設定する デフォルト: Google アカウントと既存の Windows プロファイルを関連付けていない場合、または Windows プロファイルが存在しない場合、GCPW への初回ログイン時にユーザーの Windows プロファイルが作成される際に、ユーザーのメールアドレスから [ユーザー名]_[ドメイン名] の形式でアカウント名が生成されます。
設定
- レジストリ エディタで GCPW フォルダを右クリックして、[新規]
- 名前に「
use_shorter_account_name」と入力します。 - 名前をダブルクリックし、[値のデータ] ボックスに「1」と入力します。
- [OK] をクリックします。
- デバイスを再起動します。
手順 3: GCPW をインストールする
GCPW をインストールする方法は複数あります。
- ここで説明するように手動でインストールする。
- PowerShell スクリプトを使用する。詳細については、PowerShell スクリプトの例をご覧ください。
- サードパーティ製のアプリ配布ツール、またはパソコンのシステム イメージを使用する。
GCPW を手動でインストールする方法
- デバイスでインストーラを実行します。インストール ファイルをダブルクリックするか、コマンド プロンプトから実行できます。
- コマンド プロンプトを開きます。
- 64 ビット版クライアントをインストールするには、gcpwstandaloneenterprise64.exe を管理者として実行します。32 ビット版クライアントをインストールするには、gcpwstandaloneenterprise.exe を管理者として実行します。インストーラをサイレント モードで実行する場合は /silent /install 引数を追加します。
インストールにより 4 つのファイルが作成されます。
- C:\Program Files\Google\CredentialProvider\version number\Gaia.dll
- C:\Program Files\Google\CredentialProvider\version number\gcp_setup.exe
- C:\Program Files\Google\CredentialProvider\version number\gcp_eventlog_provider.dll
- C:\Program Files\Google\CredentialProvider\version number\extension\gcpw_extension.exe
- (省略可)Google による GCPW の改善にご協力いただける場合は、デバイスで GCPW の自動エラーレポートを有効にしてください。
手順 4: GCPW デバイスを管理する
ユーザー エクスペリエンス
- これで、ユーザーは GCPW を使用してデバイスにログインできるようになりました。ユーザーは Google アカウントのパスワードを管理することで、デバイスのパスワードを管理できます(許可されている場合)。
- ユーザーがログインに困っている場合は、GCPW のトラブルシューティングの手順に沿ってサポートしてください。
管理者による管理
- 管理者は、ユーザーが初めてログインした後に、管理コンソールでデバイスの詳細を確認できます。
- ユーザーのパスワードを再設定する必要がある場合は、管理コンソールでユーザーのパスワードを再設定することを強くおすすめします。Microsoft Active Directory などのツールを通じてパスワードを再設定する必要がある場合は、Windows のパスワードを更新し、それに合わせて Google アカウントのパスワードを更新する必要があります。自分のパスワードを更新できないユーザー(生徒など)は、アカウントにアクセスできなくなります。
PowerShell スクリプトを使用して GCPW を設定する
PowerShell スクリプトを使用して GCPW のダウンロードとインストールを行い、必要に応じてレジストリキーを設定できます。GCPW の設定の管理には、管理コンソールを使用することをおすすめします。
注: サンプル スクリプトの使用は Google のサポート対象外です。サンプル スクリプトは、PowerShell スクリプトの使用経験がある場合にのみご利用ください。
サンプル スクリプト
このスクリプトは、従来の一般公開サイトから GCPW をダウンロードして(組織固有のトークンは含まれません)インストールしてから、デバイスのログインを特定のドメインのアカウントに制限するために必要なレジストリキーを設定します。スクリプトを使用するには、テキスト エディタにコピーして、許可するドメインを 11 行目に入力します。管理コンソールで GCPW 設定を管理する場合は、管理コンソールでトークンを取得し、スクリプトを使用してレジストリキーにトークンを設定します。
<# このスクリプトは、https://tools.google.com/dlpage/gcpw/ から Windows 用 Google 認証情報プロバイダを
ダウンロードし、インストールして設定します。
スクリプトを使用するには Windows 管理者権限が必要です。#>
<# ログインを許可するドメインに次のキーを設定します。
例:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>
$domainsAllowedToLogin = ""
Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework
<# 1 つ以上のドメインが設定されているかどうかを確認します #>
if ($domainsAllowedToLogin.Equals('')) {
$msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
exit 5
}
function Is-Admin() {
$admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
return $admin
}
<# 現在のユーザーが管理者かどうかを確認し、管理者でない場合は終了します。#>
if (-not (Is-Admin)) {
$result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
exit 5
}
<# ダウンロードする GCPW ファイルを選択します。32 ビット版と 64 ビット版では名前が異なります #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
$gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}
<# GCPW インストーラをダウンロードします。#>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName
<# GCPW インストーラを実行し、インストールが完了するまで待ちます #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)
<# インストールが成功したかどうかを確認します #>
if ($installProcess.ExitCode -ne 0) {
$result = [System.Windows.MessageBox]::Show('Installation failed!','GCPW', 'OK', 'Error')
exit $installProcess.ExitCode
}
else {
$result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}
<# 許可されたドメインで必要なレジストリキーを設定します #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)
$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name
if ($domains -eq $domainsAllowedToLogin) {
$msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
$msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')
}
関連トピック
Windows 用 Google 認証情報プロバイダをアンインストールする
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
