Windows 用 Google 認証情報プロバイダ(GCPW)を管理者が設定すると、ユーザーが初めてログインするときの利便性を高めることができます。GCPW でユーザーの既存の Windows プロファイルと Google アカウントを関連付けることが可能です。この方法を使用すると、ユーザーはすでに仕事で使用している Windows プロファイルに Google アカウントでログインできます。また、GCPW によってユーザーの Google パスワードと Windows パスワードも同期されます。
新しい Windows プロファイルを作成してユーザーの Google アカウントに関連付けるには、この記事の手順をスキップして GCPW をインストールします。
この場合は、ユーザーが初めてデバイスにログインすると GCPW によって Windows プロファイルが作成され、Google アカウントが新しいプロファイルに関連付けられます。
アカウントの関連付けの仕組み
GCPW では Google ディレクトリに追加したカスタム属性に基づいて、ユーザーの Google アカウントが既存のローカル プロファイルまたは Active Directory(AD)Windows プロファイルに関連付けられます。カスタム属性には、ローカル プロファイルまたは AD Windows プロファイルのユーザー名を指定します。
GCPW のインストール後にユーザーが初めてデバイスにログインすると、GCPW がディレクトリ内のユーザー情報で Windows ユーザー名を確認します。GCPW はユーザーの Windows ユーザー名をディレクトリから取得し、デバイス上で一致するプロファイルまたは AD ユーザー名を探します。 注: AD 上のデバイスに AD でバックアップ済みの Windows プロファイルがない場合(この場合はログイン時に [他のユーザー] をクリックする必要があります)、初回ログインのために AD に接続する必要があります。
- Windows プロファイルまたは AD ユーザー名が見つかった場合は、Google アカウントを Windows プロファイルに関連付けてパスワードを同期します。
- ディレクトリにユーザーの Windows ユーザー名が含まれていない場合や、一致するものが見つからない場合は、デバイスに新しい Windows プロファイルが作成されて Google アカウントに関連付けられます。
- AD ドメイン参加済みデバイスの場合、無効な AD ユーザー名が原因でエラーが返されることがあります。Google アカウントにカスタム属性が設定されていない場合、ユーザーがログインするためにクリックしたアカウントのタイプに応じて、Windows プロファイルが作成されるか、エラーが返されます。
ユーザーのログイン方法について詳しくは、GCPW のインストール後に Windows にログインするをご覧ください。
始める前に
GCPW のインストールを準備する方法を確認してください。
手順 1: ユーザー アカウントにカスタム属性を追加する
カスタム属性は、管理コンソール、デベロッパー向けドキュメントのウィジェット、Directory API、または Google Cloud Directory Sync(GCDS)を使用して追加できます。
管理コンソールで追加する-
特権管理者アカウントで Google 管理コンソール にログインします。
特権管理者アカウントを使用していない場合は、この手順を完了できません。
- メニュー アイコン
[ディレクトリ] > [ユーザー] に移動します。
- [ユーザー] リストの上部にある、[その他]
[カスタム属性を管理します] をクリックします。
- [標準の属性] でユーザーのプロフィール内の標準属性を確認します。
- 右上の [カスタム属性を追加] をクリックします。
- [カテゴリ] に「
Enhanced desktop security」と入力します。カテゴリ名では大文字と小文字が区別されます。 - [カスタム フィールド] で次の値を指定します。
- 名前: ユーザーの Windows プロファイルの種類に応じて、「
Local Windows accounts」か「AD accounts」のいずれかまたは両方を個別の項目として入力します。名前では大文字と小文字が区別されます。 - 情報の種類: [テキスト] を選択します。
- 公開設定: [ユーザーと管理者が閲覧可能] を選択します。
- 値の数: [複数の値] を選択します。
- 名前: ユーザーの Windows プロファイルの種類に応じて、「
- [追加] をクリックします。[ユーザー属性を管理] ページに属性が追加されました。
注: [カテゴリ] または [名前] の値を誤って入力した場合、カスタム属性を編集して修正することはできないため、属性を削除して最初からやり直してください。
API ドキュメントには、コーディングしなくてもリクエストを送信して特権管理者の Google アカウントで認証できるテスト ウィジェットが用意されています。
API テスト ウィジェットでカスタム属性を追加するには:
- Schemas: insert リファレンスを開きます。
- 右側の [Try this API] パネルで次の値を入力します。
- customerId: 「
my_customer」と入力します。 - Request body: プレースホルダ コンテンツを削除し、次のテキストをコピーして貼り付けます。
{ "displayName": "Enhanced Desktop Security", "fields": [ { "displayName": "AD accounts", "fieldName": "AD_accounts", "fieldType": "STRING", "multiValued": true, "readAccessType": "ADMINS_AND_SELF" }, { "displayName": "Local Windows accounts", "fieldName": "Local_Windows_accounts", "fieldType": "STRING", "multiValued": true, "readAccessType": "ADMINS_AND_SELF" } ], "schemaName": "Enhanced_desktop_security" }
- customerId: 「
- [EXECUTE] をクリックします
- プロンプトが表示されたら、特権管理者アカウントの認証情報を入力します。
リクエストが成功すると、パネルの下部に 200 レスポンスが返されます。カスタム属性が作成されたことを確認するには、管理コンソールを開いて [ユーザー] [その他]
[カスタム属性を管理します] に移動します。
Directory API を使用してカスタム属性を追加します。
Active Directory に値を追加し、Google Cloud Directory Sync(GDCS)を使用して値を管理コンソールに同期します。
手順 2: 各ユーザーのアカウントでカスタム属性を設定する
GCPW で Google アカウントを既存の Windows プロファイルと関連付けるユーザーごとに、次の操作を行います。属性の編集について詳しくは、ユーザー プロフィールのカスタム属性を作成する事をご覧ください。
ユーザーごとにカスタム属性の値を設定するには:
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
- メニュー アイコン
- [ユーザー] リストで、目的のユーザーを見つけて名前をクリックします。詳しくは、ユーザー アカウントの検索をご覧ください。
- [ユーザー情報] をクリックし、[Enhanced desktop security] に移動します。
- ユーザーが Active Directory アカウントを持っている場合は、テキスト欄に [ドメイン]\[ユーザー名] の形式で sAMAccountName を入力します。
たとえば、ドメインが example.com で、Windows にログインするユーザーの名前が jsmith の場合は、sAMAccountName「
example.com\jsmith」を入力します。注:
- 1 人のユーザーに対して入力できる Active Directory アカウントは 1 つのみです。複数のアカウントを入力した場合、GCPW では最初のエントリのみが使用されます。
- ローカル アカウントのエントリも追加した場合(次のステップ)、GCPW は最初に Active Directory アカウントを検索します。
- ユーザーがローカルの Windows プロファイルを持っている場合は、テキスト欄に un:[Windows ユーザー名] の形式でアカウント情報を入力します。Windows ユーザー名にはスペースを含めることができます。ユーザーが複数のローカル Windows アカウントを持っている場合は、新しい [Local Windows accounts] 欄にアカウントを入力します(各アカウントの入力を開始すると、新しい欄が追加されます)。
ユーザーのアクセスを特定のデバイスに制限する場合は、un:[Windows ユーザー名],sn:[デバイスのシリアル番号] の形式で入力します。カンマの後にスペースは挿入せず、デバイスのシリアル番号は 1 つだけ入力してください。
たとえば、Windows にログインするユーザーの名前が jsmith の場合は「
un:jsmith」と入力します。ユーザーがシリアル番号 123456 の特定のデバイスにログインするように制限するには、「un:jsmith,sn:123456」と入力します。 - [保存] をクリックします。
複数のユーザーをまとめて更新するには、次のいずれかの方法を使用して属性値を追加できます。
- Directory API
- Google Cloud Directory Sync(GDCS) - Active Directory の値を同期します。
次のステップ: GCPW をインストールする
Windows 用 Google 認証情報プロバイダをインストールするの操作を行います。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
