Chromebook の営業をしていてよくお聞きする質問があります。
「 Chromebook はシンクライアントパソコンになりますか?」
答えは「YES」です。
本稿では、VDI (仮想デスクトップ)における Chromebook のシンクライアント端末化について、その仕組みをご紹介していきたいと思います・・・が、その前に国内の市場環境について少しだけお話をさせてください。
2020年以前、もともと「働き方改革」という考え方が認知され始めたところに、コロナ禍で「在宅勤務」の実施が余儀なくされ、なし崩し的にリモートワークが普及した・・・という経緯は周知の通りです。また、コロナ禍が収まった後も、在宅勤務そのものは頻度や在り方を変えながらも残り続けていくと予想されているという点についても、多くの方がご認識されているかと思います。
そのような背景により、コロナ禍の前から、完全リモートワークの制度を導入していた企業は別として、緊急的に導入せざるを得なかった多くの企業ではセキュリティへの不安や課題を抱えているのが現状です。
社外へパソコンを持ち出すことは、紛失・盗難による情報漏洩リスクを高くします。そこで、リモートワークのセキュリティ対策として再度脚光を浴び導入が増えているのが VDI ・シンクライアント です。
当社では、Chromebook の導入をご検討されているお客さまに対しては、元々セキュリティ対策が搭載されていることに加え、管理コンソールからかなりシビアに制御できるため、積極的に VDI を提案することはありません。しかし、 VDI の改修や新規導入を考えていらっしゃるお客さまには、積極的にシンクライアント端末としての Chromebook をご提案させていただいています。
前置きが長くなってしまいましたが、ここからはどのように Chromebook をシンクライアント端末に変身させるのか、その手順をご案内するとともに、なぜ、 Chromebook のシンクライアント端末利用がおすすめなのか、その理由についてもご説明いたします。
用意するもの
- Chromebook
- Chrome Enterprise Upgrade
- 管理者用端末
- インターネットに繋がる環境
▼ ▼ ▼
作業時間約5分※
この4つさえ用意すれば実現できてしまいます。担当者の作業時間は、脅威の5分程度!
※ネットワーク環境や OS アップデートのタイミングによって前後します
シンクライアント端末化の手順(プロビジョニング)
手順としてはChromebook側と管理コンソール( Chrome Enterprise Upgrade )側の2ステップです。
【 Chromebook での作業 】
- Chromebook を起動してチュートリアルに沿ってログイン画面へ
- ログインはせずに、[その他の設定]から[企業登録]を選択
- キッティング用の ID/Password でログインしてチュートリアルに沿って進める(任意で IT 資産管理番号なども入力可能)
- 通常のログイン画面からログインしてインターネットに接続
【 管理コンソール側での作業 】
- 管理者アカウントで Google 管理コンソールへログイン
- デバイス ≫ Chrome ≫ デバイス※左記とは階層が異なる へと遷移
- 先程登録した端末が反映されていることを確認
- Chromebook が Chrome Enterprise Upgrade を適用(自動)
動画も作成しておりますので、ご確認ください。
たったこれだけで、Chromebook をシンクライアント端末化することができました。
あとは全て Google 管理コンソール( Chrome Enterprise Upgrade )上から端末や組織・ユーザーに応じたポリシー設定を行うだけ。反映は、Chromebook がインターネットに繋がったときで、自動で設定を読み込んでくれます。
各種ポリシー等の設定は、頻繁に変更するものではないので、一度設定さえしてしまえば、あとは端末を企業登録するのみです。
なお、プロビジョニングから設定支援、シールやテプラの作成・貼り付けも含めた、キッティング代行・個別配送も承っております。端末管理のアウトソーシングを考えていらっしゃる企業様も、安心してご相談ください。
シンクライアント端末化するための設定例
Google 管理コンソールは、Google Workaspace や Chrome Enterprise Upgrade 、Google Cloud Platform など、Google の企業向けサービスを契約すると利用することができるようになり、組織・ユーザーの管理やサービスの ON/OFF などすべての管理設定がサービスの垣根を超えて一元的に行えるようになります。
Chrome Enterprise Upgrade は、Chrome OS デバイス を管理するための有償オプションです。このサービスを利用すると、Google 管理コンソールから Chromebook を始めとした Chrome OS デバイス全般を制御することができるようになり、シンクライアント端末化も可能になります。
以下、よく利用される機能・設定例をご紹介します。
1. 端末にデータを残さない
ユーザーがログアウトした際、ローカルのデータを自動的にすべて消去する設定が可能です。
これにより使用ごとに強制的に端末をクリーンな状態に戻すことが出来ます。ただし、これはあくまで消去のみの設定でローカルに一時的に保存されることは止められていないため、以下の設定を併せて行うことが望ましいです(一時的にでもデータを保存できてしまうと、エンドユーザー側では次回ログインした際に、過去保存したデータが端末に残っていると思ってしまいます。想定外の混乱を招く原因になりますので、利用後はデータがクリアされる旨を周知を徹底するか、そもそも保存できなくするかなど、配慮が必要になります)。
- ファイルのローカル(HDD)へのダウンロードの禁止
- カメラの利用 (web会議にも利用できなくなる点に注意)
- スクリーンショットの撮影、録画の禁止
2. 厳格なネットワーク接続の設定
Wi-Fi 等のネットワーク設定も管理コンソールから web 上で一括配布可能です。例えば、貸与していないネットワーク機器や公共の Wi-Fi など、指定した接続方法以外での接続をできないようにすることも可能です。
3. メディア等のデバイスへの読み書きや印刷の禁止
USB 等のストレージを持ったメディアへの読み書きの制限も可能です。
また、印刷についてもかなり細かく制限できます。
4. OSのアップデートや変更をさせない
よくあるリクエストとして、ユーザーに(勝手に)OSのアップデートをさせたくない・・・というご要件があります。OS アップデート自体は出来る限りリリース後に迅速に適用すべきですが、帯域や検証などの関係でタイミングを IT 管理者側でコントロールすべきという考え方もあって当然かと思います。Chrome OS はバックグラウンドで OS のアップデートを行うためユーザーへの影響は極めて軽微で、管理コンソールからアップデートのタイミングを設定したり、配布スケジュールを最大14日間で設定することが可能に。ユーザへの周知や帯域を気にする煩わしさからも解放されます。
5. リモートアクセス用途以外では利用させない
Chromebook をシンクライアント端末として利用するために管理側の意図しないアプリのインストールや、Webアクセスは制限する必要がありますが、もちろんそれも可能です。反対に、リモートアクセス用のアプリや証明書のほか利用させたいアプリを強制的に配布することもできます。また、URL ホワイトリスト化・ブラックリスト化機能も実装されています。さらには、社員個人の Google アカウントでのログインを禁止して、会社で契約している Google アカウント のみを利用させるという設定は、Google Workspace ユーザーさまには特に喜ばれています。
・利用するアプリの制限
・URLのアクセス制限
セキュリティ設定には、ユーザーの利便性とトレードオフとなるものも少なくないため、一時的にローカルに置くことは許可するなど、理想(管理者目線)と現実(ユーザー視点)の狭間で落とし所を探る必要が出てくることがあります。
その他の設定:管理対象ゲストセッション と キオスク
ここまでお伝えしてきた内容は、基本的に『 ユーザーセッション 』についてのご説明となります。その他にも、 Chrome Enterprise Upgrade の機能により、『 管理対象ゲストセッション 』や『 キオスク 』も設定可能です。
シンクライアント化する場合は、基本的にユーザーセッションが選択されることがほとんどですが、管理対象ゲストセッションやキオスクについてもよくご質問をいただくため、蛇足ながら以下について解説いたします。
ユーザーセッション
Chromebook をユーザーにログインさせて使わせたい企業向けの設定です。 ユーザーは読み込まれた Google アカウント情報からいつも業務で利用している環境(Chrome の拡張機能や Android アプリ)が同期して提供されるようになっていますので、Google Workspace(旧 G Suite)をご利用中であれば特に、ユーザーさまにとってもメリットが大きいです。(ダウンロードしたファイルなど、ローカルにしか存在しないデータは引き継げません。)
シンクライアント端末としてご利用の場合、VDI( DaaS含む )や リモートデスクトップ接続をするために、Android アプリを利用することが多いため、利用可能なこちらをご選択いただくことがほとんどです。なお、 web アクセスで問題ない場合は、後述の設定でもシンクライアント端末としてご利用いただけます。
管理対象ゲストセッション
Google アカウントによるログインを行わずにユーザーセッションとほぼ同等の機能を利用できます。レンタル デバイスや共有パソコンとしての利用に向いています。ユーザーは全画面モードではなくウィンドウ モードで複数のウェブサイトにアクセスし、自由にブラウジングしたり、印刷をすることができます。ユーザーがセッションを終了すると、Chromebook 上のデータは削除され、次のユーザーにデータや作業履歴を知られることはありません。ユーザーセッションとの大きな違いとして、Androidアプリが利用できないことが挙げられます。Androidアプリを使用することを前提とする場合こちらのモードは利用できないことにご留意ください。
キオスク( PWA・Chrome 拡張機能 の利用)
単一のアプリケーションを動作させるためのモードです。PWA のURL を指定、または Chrome ウェブストア にあるChrome アプリや独自に作成したキオスクアプリを利用できます。無人受付のゲスト登録、図書館の蔵書・貸出状況検索、店舗の POS システムなど、専用端末として利用される場合に最適です。なお、こちらも Android アプリは利用できません。
[RELATED_POSTS]シンクライアント端末には Chromebook
繰り返しとなりますが、Chromebook のプロビジョニングはわずか5分で完了します。細かな設定は、一度実施してしまえば頻繁に触る必要はないため、これまで端末管理にかかっていた管理工数が大幅に削減されます。
また、URL フィルタリングや様々なセキュリティ設定、各種クラウドサービスとのアカウント連携や利用制限が可能ですので 、VDI 上で行うには課題が多い web 会議や動画視聴などだけに限定してインターネットからの直接接続を許可するといった、ユーザー側での現実的な働き方にフレキシブルに適応すると同時に、セキュリティを担保することができます。これが、シンクライアント端末に Chromebook をおすすめする最大の理由です。
Chromebook は Web ブラウジングに特化した端末というご紹介をすることも多いのですが、設定次第でシンクライアント端末化が簡単に行えます。ライセンス体系もいたってシンプルで、リプレイスされたお客さまからは、コストと管理工数が激減したとの評価をいただいています。
無償でトライアル可能となっておりますので、ぜひお気軽にお申し込みください。検証ご支援も無償で行っております。
