Google 管理コンソールから Chrome ポリシーを設定する管理者を対象としています。
Chrome Enterprise 管理者は、Chromebook などの管理対象 ChromeOS デバイスでユーザーがウェブサイトまたは独立したウェブアプリ(IWA)にアクセスする際に適用される、ウェブの機能のアクセス権限を管理できます。
IWA は、ユーザーのブラウジング コンテキストから切り離された安全な隔離環境で動作するウェブ アプリケーションです。隔離環境にある IWA は他のタブやユーザーの閲覧データにアクセスしたり通信したりできません。これにより、セキュリティ強化を実現しています。安全性が高いことから、IWA では、画面録画など機密情報を扱う API や制限付き USB デバイスを制限なしで利用することが可能です。IWA には次のような利点があります。
- セキュリティの強化: サーバーサイド コードを侵害したり不正なコンテンツを挿入したりするクロスサイト スクリプティングやサーバーサイド攻撃への対策を強化できます。
- プライバシーの向上: IWA 内ではユーザーデータは隔離されたままとなるため、他のブラウジング コンテキストへのデータ漏洩を防止できます。
- 機能の強化: IWA の隔離環境は、脆弱性やそれを利用した不正プログラムの影響を受ける可能性がほとんどありません。そのため、通常のウェブ アプリケーションでは利用できない、機密情報に関連する高度な機能にアクセスできます。
ウェブの機能によって、ウェブサイトや IWA はハードウェアまたは OS レベルの機能(デバイスへの接続、ファイル システムへのアクセス、ウィンドウの作成など)も利用できるようになります。
管理コンソールでウェブの機能のアクセス権限を管理することで、脆弱性を悪用される可能性のあるアプリへのアクセスをブロックできるほか、管理対象ユーザーに権限の使用許可を求める必要がなくなるためユーザー エクスペリエンスが向上します。
権限は、「デフォルト」と「オリジン単位」の 2 種類の方法で管理できます。
- デフォルト: 各種権限のグローバル デフォルト値が、すべてのアクセス先オリジン(URL またはウェブアプリ)に適用されます。
- オリジン単位: 管理者が追加する特定のオリジン用に権限の値を設定します。有効なオリジンについて詳しくは、Enterprise ポリシーの URL パターンの形式をご覧ください。
注: 管理コンソールの [ウェブの機能] ページにはすべての管理者がアクセスでき、IWA と通常のウェブアプリの両方の機能が表示されます。IWA 関連の機能は、IWA プログラムに参加している一部のパートナーとお客様のみがご利用になれます。現在のところ、IWA は管理対象ユーザー向けにインストールすることが可能です。IWA 専用の権限を設定しても、通常のウェブアプリには影響しません。
詳しくは、独立したウェブアプリに関するよくある質問をご覧ください。
始める前に
特定のデバイス グループに対して設定を行うには、そのデバイスを組織部門に配置します。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
管理コンソールで、[メニュー]
[デバイス]
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- すべてのサイトに対して設定を適用するには、[すべてのオリジンのデフォルトの権限] セクションで、目的の設定をクリックして設定を行います。
- 特定のオリジンに対して設定を適用するには、[オリジン固有の権限] セクションで次のいずれかを行います。
- 新しいオリジンを追加して設定を行う場合、手順は次のとおりです。
- [オリジンを追加] をクリックします。
- [オリジン / サイトパターン] で、権限を設定するウェブサイト、プログレッシブ ウェブアプリ(PWA)、または独立したウェブアプリ(IWA)を入力します。
- 目的の設定をクリックし、必要な設定を行います。
- [保存] をクリックします。
- 既存のオリジンに対して設定を行う場合、手順は次のとおりです。
- オリジンをクリックします。
- 目的の設定をクリックし、必要な設定を行います。
- 新しいオリジンを追加して設定を行う場合、手順は次のとおりです。
- 各設定について確認します。
ヒント: 上部にある検索ボックスにテキストを入力すると、設定を簡単に見つけることができます。
親から継承されている設定には、[継承] と表示されます。また、子の設定が優先されている場合は、[ローカルに適用] と表示されます。
- [保存] をクリックします。
通常、設定は数分で反映されますが、全員に適用されるまで最長で 24 時間ほどかかることがあります。
各設定の詳細
本記事は管理対象の Chrome OS デバイスに関する説明です。
デバイス固有の設定アイコン 
ほとんどのポリシーは、ChromeOS に関連付けられているユーザーと外部ドメイン ユーザーの両方に適用されます。ユーザーと、ユーザーがログインする ChromeOS デバイスが同じドメインで管理されている場合、そのユーザーは関連付けられていることになります。別のドメインの管理対象ユーザーとしてデバイスにログインしているユーザーは、外部ドメイン ユーザーになります(例: domainA.com のユーザーが domainB.com で管理されているデバイスにログインする場合や、管理対象外のデバイスにログインする場合)。関連付けられているユーザーまたは外部ドメイン ユーザーのいずれかのみに適用されるポリシーは、管理コンソールで明示されています。
コンテンツ
ウィンドウ管理You can set the default window management permission for users. Window management controls the ability of sites to see information about the device's screens and use that information to open and place windows or request fullscreen on specific screens.
Choose from one of the following options:
- Unset—The Ask users setting applies, but users can change this setting.
- Block—Blocks the window management permission on all sites by default.
- Ask users—Asks users every time a site wants to get the window management permission.
Sets the default local fonts management permission for users. Local fonts management controls the ability of sites to see information about local fonts.
Choose for one of the following options:
- Unset—The Ask users setting applies, but users can change this setting.
- Block—Blocks the local fonts permission on all sites by default.
- Ask users—Asks users every time a site wants to get the local fonts permission.
Allows the automatic screen capture of multiple screens for users. The API allows Isolated Web Apps (IWAs), identified by their origin, to capture multiple screens at once without additional user permission.
For more details on IWAs, see Getting started with Isolated Web Apps.
Due to the sensitivity of the permission, the following restrictions apply:
- Only applies to IWAs—It does not apply to other web applications.
- It is origin specific—Global default values can’t be defined and must be set at origin level.
- It is blocked by default—You must allow screen recording at origin level for each app.
Choose for one of the following options:
- Unset—Screen recording is blocked for the origin.
- Allowed—Screen recording is allowed for the origin.
To improve privacy, if you change the setting during a user session, the change does not apply until the user has signed out and signed back in again.