Google Workspaceのエンドポイント管理でモバイルデバイスを安全に管理する

記事タイトルとURLをコピーする

G-gen の三浦です。当記事では、Google Workspace の エンドポイント管理を使用して、iPhone や Android 端末などのモバイル端末を管理する方法を紹介します。

概要

エンドポイント管理とは

エンドポイント管理は、Google Workspace が提供するデバイス管理機能です。従業員が使用するモバイル端末やパソコンを一元的に管理し、組織のセキュリティポリシーを適用できます。

一般的に、このようなデバイス管理の仕組みは MDM(Mobile Device Management)と呼ばれます。MDM は、セキュリティポリシーの適用、アプリの配布、デバイスの監視、紛失・盗難時のデータ消去などの機能を提供するツール全般を指します。

エンドポイント管理を使用するメリット

Google Workspace のエンドポイント管理を使用すると、以下のようなメリットがあります。

メリット 詳細
Google Workspace とのシームレスな統合 アカウントと端末の管理を一元化できます。コンテキストアウェア アクセスで Gmail や Google ドライブへの柔軟なアクセス制御も可能です。
追加費用や専用アプリ不要 Business Plus や Enterprise プランなどに標準搭載されており、追加費用や専用アプリは不要です。
Android ゼロタッチ登録と BYOD ゼロタッチ登録で多数の端末を簡単にセットアップできます。また個人所有デバイス(BYOD)においても業務データと個人データを分離できるようになり、セキュリティとプライバシーを両立できます。

ゼロタッチ登録及びコンテキストアウェア アクセスの詳細な設定手順については、以下のドキュメントと記事を参照してください。

blog.g-gen.co.jp

前提条件

基本管理と詳細管理

Google Workspace のエンドポイント管理には、基本管理詳細管理があります。Google Workspace のエディションによって、どちらの機能が利用できるかが決まります。

機能の名称 詳細
基本管理 デバイス登録、紛失時の Google アカウントリモート削除、
デバイスのセキュリティステータス(例:OS バージョン)
の確認などの基本的な管理機能を提供します。
詳細管理 組織で許可されていないアプリを禁止する機能やデータ操作制限
など、より高度な制御が可能。個人所有デバイス(BYOD)
やゼロタッチ登録により、柔軟にデバイスを管理できます。

iOS デバイスの詳細管理

iOS デバイスで詳細管理を行うには、Apple プッシュ証明書が必要です。この証明書は Apple Push Certificates Portal で取得できます。詳細は以下のドキュメントを確認してください。

検証手順

以下の手順でエンドポイント管理を設定し、動作を確認します。

  1. デバイスの登録(iOS/Android)
    管理コンソールにデバイスを登録します。

  2. iOS のポリシー設定
    Google ドライブやドキュメントの業務データをローカル(例:Files アプリ)に保存できないよう制限します。

  3. Android のポリシー設定
    業務用アプリ(例:Google Gemini)をリモート配布するための設定をします。

  4. iOS 動作確認(ローカル保存不可)
    業務データが Files アプリに保存できないことを確認します。

  5. Android 動作確認(業務用アプリの配布)
    業務用アプリがインストールされ、アンインストールできないことを確認します。

  6. Android 動作確認(アカウントワイプ)
    管理コンソールから端末上の会社で使用している Google アカウントを削除します。

エンドポイント設定

デバイスの登録(iOS/Android)

デバイスの Google Chrome で Google(https://google.co.jp)にアクセスします。

Googleにアクセス

会社で使用する Google アカウントでログインすることで、管理コンソールにデバイスが登録されます。

会社アカウントでログイン

デバイスの登録確認(iOS/Android)

Google Workspace の管理コンソール(https://admin.google.com)にログインします。

[デバイス] > [モバイルとエンドポイント] > [デバイス] へ移動し、フィルタからメールアドレスでデバイスを抽出し、登録されていることを確認します。

モバイル端末の登録確認

iOS のポリシー設定

[モバイルとエンドポイント] > [設定] > [iOS] > [データ共有] を選択します。

データ共有を選択

設定を適用する組織部門を選択し、[データ操作] の [編集] を選択します。

編集を選択

以下を選択し、[保存] または [オーバーライド] を選択します。

  • Google Workspace のデータが外部と共有される可能性のある操作を iOS で行うことをユーザーに許可しない

設定を選択

Android のポリシー設定

[モバイルとエンドポイント] > [設定] > [一般] > [全般] を選択します。

全般を選択

設定を適用する組織部門を選択し、[モバイル管理] の [編集] を選択します。

編集を選択

[カスタム] から Android詳細に変更し、[保存] または [オーバーライド] を選択します。

設定を選択

[アプリ] > [ウェブアプリとモバイルアプリ] へ移動し、[アプリを追加] から [限定公開の Android アプリを追加] を選択します。

限定公開のAndroidアプリを追加を選択

検索バーに Gemini と入力し、リストから Google Gemini を選択し、[選択] を選択します。

Geminiアプリを選択

選択

アプリを適用する対象(全ユーザーまたは特定の組織部門や Google グループ)を選択し、[続行] を選択します。

インストール対象を選択

以下を選択し、[完了] を選択します。

  • 自動インストール
  • ユーザーがアプリをアンインストールできないようにする

アプリへのアクセス方法を選択

動作確認

iOS の動作確認(ローカル保存不可)

Google ドキュメントアプリを起動し、会社で使っている Google アカウントを選択します。

Google ドキュメントファイルを開き、右上の […] を選択します。

... を選択

[共有とエクスポート] > [コピーを送信] > [PDF] > [OK] を選択します。

コピーを送信を選択

["ファイル"に保存] を選択すると、ファイルを共有できませんと表示され、ローカルに保存ができないことを確認します。

ファイルに保存を選択

ローカルへの保存失敗

Android の動作確認(業務用アプリの配布)

設定アプリから会社で使っている Google アカウントを選択し、仕事用プロファイルのセットアップを開始します。

仕事用プロファイルのセットアップ

以下メッセージが表示された場合、[モバイルとエンドポイント] > [デバイスの承認] から端末を選択し、[デバイスを承認] を選択します。

このデバイスは有効になっていません 管理者によるデバイスの承認が必要です。

デバイス未承認エラー

モバイル端末の承認

セットアップが完了すると、設定したアプリが表示されます。業務用アプリはアプリのアイコンに鞄のアイコンが表示されます。

業務用アプリのインストール確認

業務アプリは、先の設定の通り、アンインストールしようとすると失敗します。

業務用アプリのアンインストール不可確認

Android の動作確認(アカウントワイプ)

[デバイス] > [モバイルとエンドポイント] > [デバイス] から端末を選択します。

Android デバイスを選択

[その他] > [アカウントをワイプ] を選択します。

アカウントをワイプを選択

[アカウントをワイプ] を選択し、ワイプを実行します。

ワイプの実行

ワイプ後のデバイスステータス

インストールした業務アプリが削除されていることを確認します。

業務アプリの削除確認

三浦 健斗(記事一覧)

クラウドソリューション部

2023年10月よりG-genにジョイン。元オンプレ中心のネットワークエンジニア。ネットワーク・セキュリティ・唐揚げ・辛いものが好き。