Chrome Enterprise 管理者は、Google 管理コンソールから Chrome リモート デスクトップ セッションを開始することで、ChromeOS デバイス(キオスク デバイスも含む)にリモート接続してトラブルシューティングを行うことができます。
管理コンソールでは 2 種類のリモート接続を利用できます。デバイスへのリモート接続方法は、そのデバイスが使用中であるかどうかで異なります。
- 共有セッション — ユーザーの同意を得た上で、使用中のデバイスをリモートでサポートし、トラブルシューティング、ログの取得、メンテナンスを行うことができます。ユーザーは、共有セッション中に画面を見ることができます。
- 非公開セッション — ChromeOS バージョン 132 以降を搭載したデバイスでは、ユーザーがログインしていない場合に限り、リモートでデバイスにアクセスできます。非公開セッション中は、自分だけが画面を見ることができます(ユーザーは見ることができません)。セッションが終了したら、ユーザーはログインして通常どおりにデバイスを使用できます。
使用するセッションの種類を選ぶ
正しい Chrome リモート デスクトップのセッションの種類を選ぶことは、有効で安全なリモート管理を行う上で重要です。
共有セッション
たとえば、管理者が特定のフローに関してユーザーをサポートする必要がある場合や、ユーザーが特定のフローで期待した結果にならないことを管理者に報告する場合は、共有セッションを使用します。
- リモート管理者は、対象のデバイスを操作するローカル ユーザーをある程度信頼した状態で作業を進めます。
- リモート管理者はセンシティブな情報や機密情報にアクセスしないようにします。そのようなアクセスが生じた場合には、ローカル ユーザーがセッションを停止し、管理者の接続を切断することができます。
- ネットワークが不安定な場合でも、ローカル ユーザーがデバイスの前にいれば、リモート接続の切断時にロック解除されたデバイスが無人で放置される状況が発生せず、セキュリティ リスクが軽減されます。
- Chrome リモート デスクトップの共有セッションを終了する際は、セキュリティを確保するため、管理者は対象デバイスにログインしているすべてのアカウントをログアウトさせるかロックしてください。
非公開セッション
たとえば、管理者が既知の問題を技術的に再現しようとしていて、エンドユーザーとのインタラクションが不要な場合は、非公開セッションを使用します。
- リモート管理者は、ローカル ユーザーの関与がない状態で対象のデバイスにアクセスする必要があります。
- リモート管理者は自身の認証情報でログインする必要があります。また、ネットワークの問題が原因でセッションが中断されても、対象のデバイスに非公開ユーザー セッションがアクティブなまま残らないようにする必要があります(そのため、切断が発生するとログアウトされます)。
- リモート管理者は、ローカル ユーザーに接続を切断されるリスクや、セッション中にローカル ユーザーが情報にアクセスする懸念のない状態で、対象のデバイスを完全に操作できる必要があります。
方法
(非公開セッションのみ)管理者のリモート アクセス接続を可能にする
非公開セッションを使用するには、企業の管理者によるリモート アクセス接続を有効にする必要があります。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [ログイン設定] にアクセスします。
- [企業からのリモート アクセス接続] をクリックします。
- [企業の管理者からのリモート アクセス接続を許可する] を選択します。
- [保存] をクリックします。
デバイスへのリモート セッションを開始する
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- リモートでアクセスするデバイスのシリアル番号をクリックします。
- 左側の [リモート デスクトップ] をクリックします。
注: アクティブ ユーザー セッションまたは管理対象ゲスト セッションのデバイスの場合、ユーザーが接続リクエストを承諾する必要があります。 - デバイスにリモート接続します。[共有セッションを開始] または [非公開セッションを開始] をクリックします。
- リモート セッションを新しいウィンドウで開くには、[セッションを開始] をクリックします。
ファイルを転送する
ChromeOS キオスク デバイスでは、リモートホストとの間でファイルを転送できます。この機能を使用すると、トラブルシューティング時にログをダウンロードしたり、デバイスに必要なデータをアップロードしたりすることができます。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [キオスクの設定] に移動します。
- [リモート アクセスの管理者にホストとの間のファイル転送を許可する] をクリックします。
- [Chrome リモート デスクトップ ファイル転送を有効にする] を選択します。
- [保存] をクリックします。
これで、[Chrome リモート デスクトップのオプション] パネルの [ファイル転送] セクションでファイル転送にアクセスできるようになりました。
補足情報
共有セッションと非公開セッション
- Chrome Education Upgrade をご利用の場合は、必ず管理コンソールで Chrome リモート デスクトップをオンにしてください。詳しくは、ユーザーに対して Chrome リモート デスクトップを有効または無効にするをご覧ください。
- デバイスにリモートで接続するには、そのデバイスがオンライン状態でなければなりません。
- ユーザーの認証情報がリモートでリセットされる事態を防止するために、Chrome リモート デスクトップを介したパスワードの再設定はブロックされます。
- リモート接続セッションは、[管理の監査ログ] の [ChromeOS デバイスのコマンド] セクションにすべて記録されます。
- [リモート デスクトップの開始] 権限を持つ委任管理者はユーザーのデバイスにリモート接続できますが、デバイスの詳細に変更を加えることはできません。詳しくは、Chrome で管理者ロールを委任するをご覧ください。
共有セッション
- キオスクで共有サポート セッションを開始する場合:
- 過去 5 分以内にデバイスにユーザー アクティビティがあった場合:
- 「
Device is in use」(デバイスが使用中)というプライバシーに関する警告が表示されます。 - デバイスに接続中に新たなユーザー アクティビティがあった場合でも、リモート セッションは継続され、デバイスに接続されたままになります。
- 「
- 過去 5 分以内にデバイスにユーザー アクティビティがなかった場合:
- プライバシーに関する警告は表示されません。
- デバイスに接続中に新たなユーザー アクティビティがあった場合、リモート セッションは自動的に停止され、デバイスへの接続が解除されます。
- 過去 5 分以内にデバイスにユーザー アクティビティがあった場合:
- ユーザー セッションおよび管理対象ゲスト セッションのデバイスの場合、共有セッションを開始すると、リモート接続をリクエストするメッセージがユーザーに表示されます。ユーザー アクティビティがなく、デバイスが管理対象ネットワーク上にあり、過去 5 分以内にユーザーの操作があった場合は、30 秒後に自動的に共有が開始されます。これらの条件を満たさない場合は、ユーザーがリクエストを承認するまで、共有セッションを行うことはできません。
- ユーザー アクティビティには、マウスやキーボードによる操作のほか、ログインやデバイスのロック解除なども含まれます。
- 管理対象のネットワークには、管理対象の Wi-Fi やイーサネットのネットワークが含まれますが、VPN、管理対象のプロキシ、管理対象または管理対象外のモバイル ネットワークは含まれません。
非公開セッション
- ユーザーがログインしていないデバイスの非公開セッションの場合:
- 非公開セッションが終了した後で、ユーザーがデバイスの使用を再開する場合: ログインの前に、不在中に管理者がデバイスにリモート接続しメンテナンス作業を行ったことを知らせるメッセージがユーザーに表示されます。
- 非公開セッション中にユーザーがデバイスの使用を再開しようとした場合: ユーザーはデバイスを操作できず、非公開セッションが終了するまで待機する必要があります。管理者が現在リモート接続してメンテナンス作業を行っていることを知らせるメッセージがユーザーに表示されます。ユーザーができる操作は、電源ボタンを使ってデバイスをシャットダウンし、現在の非公開セッションを終了することだけです。非公開セッションが終了すると、デバイスの完全な制御権はユーザーに移ります。ユーザーはログインして、デバイスを通常どおり使用できるようになります。