Google Workspace のよりセキュアな設定を活用し、安心安全な環境づくりをしよう!Vol.2
今回のブログは、先週お届けした「Google Workspace のよりセキュアな設定を活用し、安心安全な環境づくりをしよう!」の続編になります!
G Suite Enterprise や Google Workspace Enterprise に実装されているセキュリティ、今回は「GCPW」について紹介します。
ぜひ、ブログを最後まで読んでいただき、GCPW について理解を深めましょう!
1. 前章 Vol.1 を振り返ろう
前回のブログでは、
「Google Workspace のよりセキュアな設定を活用し、安心安全な環境づくりをしよう!」とし、
Google Workspace のアプリを細かく制限できる機能「コンテキストアウェアアクセス」、
Google Workspace を利用しているユーザーの基本的なモバイルデバイス管理と高度な
モバイルデバイス管理を Google 管理コンソールで行うことができる
「Google エンドポイント」についてご紹介いたしました。
上記の設定ができるサポート対象エディションは、
Google Workspace Enterprise、Education Plus となっておりますが、
会社支給のデバイスである場合に Google Workspace アプリにアクセスさせないようにするといったことができたり、
特定の IP アドレスからのアクセスのみ許可することができたりすると、
不用意にアクセス元を増やさないことで社内でのセキュリティ面を強化することができます。
簡単に振り返りが終わったところで、今回のブログでご紹介したいのは、
「 GCPW 」という、Windows 用 Google 認証情報用プロバイダについてです。
早速「 GCPW 」の全貌を、次の章から確認していきましょう。
2. GCPWとは?
GCPW、耳にされたことはありますか?
GCPW の正式名称は、”Windows 用 Google 認証情報用プロバイダ” です。
ユーザーの Google アカウントを Active directory または、
ローカルの Windows プロフィールと同期できるようにする機能です。
デバイスで Windows でログインすると Google アカウントにも
自動でログインすることができるようになります。
GCPW を使用するには、Windows デバイスごとに
GCPW をインストールする必要があります。
詳しい設定方法については、次章で確認していきます。
3. GCPWを設定しよう
では、実際に GCPW を設定してみましょう。
下記に GCPW を設定する手順をご案内します。
<手順>
①管理コンソールでの事前設定
Windows 10 での管理を行うためには、Google Workspace 管理コンソールにて、
Windows デバイス管理を有効にする必要があります。
デフォルトでは設定が無効となっていますので、GCPW を利用する際は必ず有効にします。
1.Google Workspace 管理コンソールにアクセスし[デバイス]をクリックします。
2.[モバイルとエンドポイント]>[設定]>[ Windows settings]をクリックします。
3.[ Windows 管理の設定]をクリックします。
4.[有効]を選択後、[保存]をクリックします。
② GCPW でログインできるドメインとオプションを設定
管理者側でユーザーが GCPW を利用してログインするには、
管理者側で許可するドメインを設定します。
また、デバイスを Google Workspace に登録できるオプションもあります。
1.Google Workspace 管理コンソールにアクセスし[デバイス]をクリックします。
2.[モバイルとエンドポイント]>[設定]>[ Windows settings]をクリックします。
3.[ Windows 用 Google 認証情報プロバイダ( GCPW )の設定]をクリックします。
4.[許可されたドメイン]をクリックします。
ドメイン名を入力し、[ドメインを追加]>[保存]をクリックします。
5.設定画面に戻り、[ GCPW の設定]をクリックします。
6.必要に応じて各項目の設定を変更します。
③管理者で GCPW をダウンロードする
管理コンソールより GCPW のインストーラーをダウンロードします。
ご利用の PC にあったGCPW のインストーラーをダウンロードしてください。
1.Google Workspace 管理コンソールにアクセスし[デバイス]をクリックします。
2.[モバイルとエンドポイント]>[設定]>[ Windows settings]をクリックします。
3.[ Windows 用 Google 認証情報プロバイダ( GCPW )の設定]をクリックします。
4.[ GCPW のダウンロード]をクリックし、ご利用の PC にあった GCPW のインストーラーをダウンロードしてください。
5.ダウンロードしたインストーラーをユーザーに配布してください。
④各ユーザーで GCPW をインストールする
PCの管理者( Administrator )権限がユーザー自身にある場合は、
各個人で GCPW をインストールする必要があります。
GCPW をインストールすることで、Windows 10 のログイン画面より、
Google Workspace アカウントにログインすることができます。
1.管理者から配布されたアプリをインストールします。
2.PC を再起動します。
3.Windows のログイン画面の左下に表示された[仕事用アカウントを追加]をクリックします。
4.Google アイコン下の[仕事用アカウントでログイン]をクリックします。
5.ログインしたいユーザーのメールアドレス(@ より前)を入力します。
6.初回アクセス時に以下の画面が表示されるので[同意する]をクリックします。
7.Windows の初期設定画面が表示され、初期設定が完了すると使えるようになります。
※初期設定は会社のルールに則って設定してください
4. GCPWを使ってWindows デバイスを管理
GCPW を経由してログインした Windows PC は管理コンソールの[デバイス]に登録されます。
デバイス名をクリックすると、下記のような画面になります。
画面からわかる情報は
・何で管理されているか(GCPW / Endpoint Verification / MDM 等)
・同期日
・パスワードは設定されているか
・暗号化はされているか(Bitlocker が入っているか)
・OS
・デバイスの ID
・デバイスのシリアル番号
・デバイスの所有社(会社 / ユーザー)
・MAC アドレス
・誰が利用しているか
となります。
この画面からユーザーを WindowsPC からログアウトさせることもでき、また、退職後など、デバイスにアクセスする必要がなくなった際はデバイスから情報を削除し、ログインできなくするようにもできます。
5. デバイスの監査ログを確認しよう
管理者は、管理コンソールの[デバイス]に登録された Windows デバイスで行った操作のログを確認することができます。
監査ログから確認できることは「ユーザーがいつアカウントをデバイスに追加したか」や「ユーザーが何回画面のロック解除に失敗したか」、「不審な操作を行っていないか」等となります。
常日頃から確認する必要はないかと思いますが、デバイスが不正使用されている可能性があるときや、最新のパスワードポリシーをユーザーが適用しているかなど、何か問題があった際に使用することをおすすめします。
なお、監査ログはデバイスの場合、ログに反映されるまでに数時間程掛かる可能性があること、ログが保持される期間は 6ヵ月ということも併せて覚えておきましょう。
(会社の監査上データを保持する必要がある場合は、保持期間が過ぎる前にログを抽出してください)
監査ログは、以下の手順で確認することができます。
1.管理者にて、管理コンソール(https://admin.google.com)にアクセスします。
2.[レポート]を開きます。
3.画面左から[監査ログ]>[デバイス]を開きます。
(https://admin.google.com/ac/reporting/audit/mobile で[デバイス]に直接アクセスすることもできます)
4.画面上部の[フィルタを追加]をクリックして抽出したいデータをフィルタリングしてください。
手順 4でデータをフィルタリング後、画面右上の下矢印アイコンをクリックすることでログをスプレッドシート、または CSV ファイルで抽出することができますので、必要な場合は抽出してください。
弊社では Google Workspace の運用をサポートしている、カスタマーサクセスチームがございます。
運用にあたり、ご不明な点やお悩みのご相談等ございましたら、以下のページよりお気軽にお問い合わせいただけますと幸いです。
皆様のお力添えができるよう、精一杯サポートいたします。