お問い合わせ
SECURITY NOTE — 080

Google Workspace MDM ChromeOS Flex設定ガイド

PUBLISHED2026.05.15
READ9 分
CATEGORYSECURITY

ChromeOS Flexは、既存のWindowsやMac PCを再活用してGoogle Workspace環境のデバイスとして利用できるソリューションです。Google Workspace MDM (Mobile Device Management) を活用することで、これらのChromeOS Flex端末を一元的に管理し、セキュリティを強化できます。

この記事を読んだほうが良い人

  • ChromeOS Flexを既存PCに導入済み、または導入を検討している情シス担当者
  • Google Workspace MDMでChromeOS Flex端末のセキュリティ設定や運用方法を知りたい方
  • ChromebookとChromeOS Flexの管理ポリシーの違いを理解したい方
  • 組織部門(OU)設計とデバイスポリシー適用に悩んでいる方

ChromeOS FlexをGoogle Workspace MDMで管理する意義

既存のPCをChromeOS Flexにすることで、ハードウェアの購入コストを抑えつつ、Google Workspaceのセキュリティと管理機能を享受できます。特にMDMと組み合わせることで、以下のメリットが得られます。

  • 一元的なデバイス管理: Google Workspace管理コンソールからすべてのChromeOS Flex端末の設定、セキュリティポリシー、アプリケーションを管理できます。
  • セキュリティ強化: 強制ログイン、USBデバイスの制御、リモートワイプなどの機能で、情報漏洩リスクを低減します。
  • 運用コスト削減: 自動アップデートやシンプルなトラブルシューティングにより、運用負担を軽減します。

ChromeOS Flex管理の前提知識とChromebookとの違い

ChromeOS FlexデバイスをGoogle Workspace MDMで高度に管理するには、各デバイスにChrome Enterprise Upgradeライセンスが必要です。このライセンスは、Chromebookを企業向けに管理する際にも必要となるものです。ライセンスを適用することで、デバイスポリシーの適用やリモートワイプなどの詳細な管理機能が利用可能になります。

ChromeOS FlexとChromebookの管理機能は非常に似ていますが、いくつかの重要な違いがあります。

  • ハードウェア機能の制約: ChromeOS Flexは既存PCのハードウェア上で動作するため、利用できるセキュリティ機能はPCのスペックに依存します。TPM (Trusted Platform Module) については、既存PCにTPM 2.0が搭載されていればChromeOS FlexがTPMを活用して暗号鍵や機密データを保護できます。ただし、TPM非搭載またはTPM 1.2以前のデバイスではこの保護は機能しません。また、指紋認証リーダーや検証済みブートなどChromebookに標準搭載されているセキュリティ機能は、既存PCのハードウェア構成によっては利用できません。このため、ハードウェアに依存する一部の管理ポリシーはデバイスごとに動作が異なります。
  • 導入方法: Chromebookは購入時からChromeOSが搭載されていますが、ChromeOS FlexはUSBインストーラーなどを使って既存PCに導入します。
  • ライセンスモデル: ChromeOS Flex自体は無償で利用できますが、企業でのMDM管理にはChrome Enterprise Upgradeライセンスが必要です。

これらの違いを理解した上で、組織のニーズに合わせたポリシー設計が重要です。

OU (組織部門) 設計の基本とChromeOS Flexへの適用

Google Workspaceの管理では、組織部門(OU)を適切に設計することが、ポリシーを効率的に適用する上で非常に重要です。OUは階層構造になっており、親OUで設定したポリシーは子OUに継承されますが、子OUで個別に設定することで上書きも可能です。

ChromeOS Flex端末を導入する際は、以下の点を考慮してOU設計を進めてください。

OU設計パターン例

OU階層例 適用ポリシーの考え方 メリット
全体 全従業員に共通する基本セキュリティポリシーを適用(例: パスワード強度) 全社的なセキュリティベースラインを確保
営業部 営業部に特化したポリシーを適用(例: 特定Webサイトへのアクセス許可/禁止) 業務内容に応じた柔軟なポリシー設定
開発部 開発部に特化したポリシーを適用(例: 特定の拡張機能の許可/禁止) 部署ごとの業務効率とセキュリティの両立
管理部 管理部に特化したポリシーを適用(例: リモートアクセス設定) 職務に応じたアクセス制御とセキュリティ
ChromeOS Flex端末 (デバイスOU) ChromeOS Flex端末に特有のポリシーを適用(例: USBデバイス制御) デバイスの種類に応じた詳細な管理。ユーザーOUとは別にデバイスOUを設けることで、ユーザーがどのデバイスを使っても一貫したポリシーを適用できる

OU設計のポイントは、最小限のOUで最大限の管理効率を得ることです。まずは大まかな部門別で分け、その中でデバイスの種類(例: ChromebookとChromeOS Flex)や利用シーン(例: 持ち出し用、固定席用)に応じてさらに細分化することを検討します。

Google Workspace管理コンソールでのデバイスポリシー設定手順

Google Workspace管理コンソールからChromeOS Flex端末のポリシーを設定する手順を解説します。

  1. 管理コンソールにログイン: 管理者権限を持つアカウントでGoogle Workspace管理コンソールにログインします。
  2. デバイス設定への移動: 左側のナビゲーションメニューで デバイス > Chrome > 設定 の順にクリックします。
  3. OUの選択: 設定を適用したい組織部門(OU)を選択します。特定のOUを選択しない場合、最上位の組織部門に設定が適用されます。

ここから、主要なポリシーカテゴリと設定項目を見ていきましょう。

ユーザーとブラウザの設定

このセクションでは、ユーザーのログイン動作やブラウザの利用に関するポリシーを設定します。

  • ログイン設定:
    • ゲストモードの許可: ゲストモードでのログインを許可するかどうかを設定します。情報漏洩リスクを考慮し、通常は無効にすることが推奨されます。
    • 強制ログイン: ユーザーにGoogleアカウントでのログインを強制するかどうかを設定します。企業端末では必須とすべき設定です。
  • アプリケーションと拡張機能:
    • インストールを許可するアプリと拡張機能: Chromeウェブストアからのインストールを許可/禁止したり、特定のアプリや拡張機能を強制インストールしたりできます。業務に必要なもののみを許可し、不要なものはブロックすることでセキュリティを強化します。
  • URLフィルタリング:
    • URLブラックリスト/ホワイトリスト: 特定のウェブサイトへのアクセスをブロックしたり、特定のサイトのみを許可したりできます。業務と関係のないサイトへのアクセスを制限する際に活用します。

デバイスの設定

このセクションでは、デバイス自体の動作やセキュリティに関するポリシーを設定します。

  • 自動アップデート:
    • 自動アップデートを許可する: ChromeOS Flexの自動アップデートを有効にするかどうかを設定します。セキュリティパッチや新機能の適用のため、通常は有効にすることが推奨されます。
    • ターゲットバージョン: 特定のChromeOS Flexバージョンに固定したり、ロールバックを許可したりできます。安定した運用のため、テスト期間を設けてから新しいバージョンを適用する際に利用します。
  • リモートワイプ:
    • デバイスのワイプ: 紛失・盗難時にデバイス内のデータを工場出荷時の状態にリセットできます。これは情報漏洩対策として非常に重要な機能です。
  • USBデバイスの制御:
    • 外部ストレージデバイスへのアクセス: USBメモリなどの外部ストレージデバイスの利用を許可/禁止します。情報持ち出しのリスクを減らすために制限を検討すべき項目です。
  • 電源管理:
    • アイドル状態での動作: デバイスが一定時間操作されない場合に、スリープ、シャットダウン、画面オフなどの動作を設定します。

ChromeOS Flex特有の考慮事項

前述の通り、ChromeOS Flexは既存PCのハードウェアで動作するため、Chromebookと比較していくつかの制約があります。

  • ファームウェアレベルの管理: 既存PCのBIOS/UEFI設定など、ハードウェアのファームウェアレベルでの管理はGoogle Workspace MDMの対象外です。これはOSレベルの管理が中心となるためです。
  • Wi-Fi/ネットワーク設定: 一部の高度なネットワーク設定(例: EAP-TLS証明書ベースの認証)は、既存PCのWi-Fiチップセットの互換性に依存する場合があります。

これらの制約を踏まえ、利用可能なポリシーを最大限に活用しつつ、不足する部分は組織のセキュリティポリシーで補完することを検討してください。

実践!ChromeOS Flex端末の具体的な管理シナリオ

例えば、営業部にChromeOS Flex端末を導入し、セキュリティを強化するシナリオを考えてみましょう。

  1. OU設計:
    • 全体 OUで共通のパスワードポリシーと自動アップデートを有効化。
    • 営業部 OUを作成し、その中に 営業部-Flex というデバイス専用OUを設ける。
  2. 営業部-Flex OUへのポリシー適用:
    • ゲストモードの無効化: 営業部の端末でゲストログインを禁止し、常にGoogleアカウントでの認証を強制します。
    • USBデバイスの制御: 顧客情報などの持ち出しを防ぐため、USBストレージデバイスへのアクセスを読み取り専用、または完全に禁止します。
    • URLフィルタリング: 業務に関係のないSNSや動画サイトへのアクセスをブロックし、業務効率とセキュリティを向上させます。
    • リモートワイプ: 紛失・盗難に備え、リモートワイプ機能をいつでも利用できるように設定を確認します。

このように、OUとポリシーを組み合わせることで、ユーザーの職務やデバイスの利用状況に応じたきめ細やかな管理が可能になります。

まとめ: 既存PCをセキュアに活用するために

ChromeOS Flexは、既存PCを有効活用し、Google Workspaceのセキュリティと管理機能を享受できる強力な選択肢です。しかし、その真価を発揮するには、Google Workspace MDMによる適切なポリシー設計と設定が不可欠です。

特に以下のポイントを押さえることが重要です。

  • Chrome Enterprise Upgradeライセンス: 高度なMDM機能を利用するために、各ChromeOS Flex端末にライセンスを適用します。
  • OU設計: 組織の構造と利用シーンに合わせてOUを設計し、ポリシーの継承と上書きを効果的に活用します。
  • Chromebookとの違いを理解: ハードウェアの制約により適用できないポリシーがあることを認識し、適切な代替策を検討します。特にTPMの有無はデバイスごとに異なるため、導入前に端末スペックの確認が必要です。
  • 主要ポリシーの活用: ログイン設定、アプリ/拡張機能管理、URLフィルタリング、USB制御、リモートワイプなどの機能を積極的に利用し、セキュリティを強化します。

一度設定したら終わりではなく、組織のIT環境や業務内容の変化に合わせて、ポリシーを定期的に見直し、最適化していくことが、セキュアで効率的なデバイス運用につながります。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。