グループポリシーでChromeのLINE拡張機能やChromeリモートデスクトップを禁止しよう!

PCで気軽にLINEができるGoogle Chrome版ウェブアプリ登場! : LINE公式ブログの投稿を見た瞬間に、ドキッとしました。
そして、ADで出来そうだよねって思ったまま放置してました(汗

ドキッとした理由は、社員のアカウントはUsersグループだし、万が一LINEのサイトからインストーラーを起動したとしても管理者のIDとパスワードを入力しなければインストールできないから大丈夫!って思ってたんですもの。

ところがですよ、Chrome拡張機能ってことは、たとえ社員のアカウントが新しいアプリケーションを追加できないように設定していたとしても、導入可能ってことになってしまいます。

ChromeのLINE拡張機能で何ができるの?

  1. メッセージ機能(スマホ・デスクトップ版のLINEと同様)
  2. 画面の共有機能(デスクトップ版のLINEと同様)
  3. ファイル送信機能(デスクトップ版のLINEと同様)
  4. メモ機能(スマホ版ではGoogle Keepで閲覧可能((ただし、zipファイルに圧縮されるため解凍が必要)))

もちろん、ノート、アルバム機能など出来ない機能もありますが、こっそり情報を流しちゃえ!なんて悪意を持ったら簡単に極秘資料をキャプチャしたり、ファイルを社外に送ったりメモ機能で一見メッセージとして送信していないようにしてどこでもLINEにログインできればチェックができるようにしたりすることもできるのです。

あかんやん

Chromeリモートデスクトップ機能も、社内のパソコンに導入されてしまっては、自宅から操作をされてしまうかもしれませんし、その逆もまたありますね。
仕事していると思っていたら、自宅パソコンで遊んでいたなんてことになっては業務効率はぐっと下がってしまいそうです。

参考:
Chromeリモートデスクトップで外出先から自宅や会社のPCを使えるようにしよう:マイナビニュース

そんなの、Chromeを禁止にすればいいんじゃない?
と言われても、どうしても業務でChromeを利用しているユーザがいたりするとなかなかそういうわけにもいかない。

Chromeのポリシーテンプレートを利用しよう!

Googleが公開しているデバイス用のChromeポリシーを利用すると、企業の管理者にとっては痒いところに届きそうで届かなかった部分に楽々手が届くようになります。

例えば、特定の拡張機能だけ許可したり、特定の拡張機能だけを禁止したり!

今回は例として、LINE拡張機能を取り上げますが、Chromeリモートデスクトップはじめ、企業として情報漏洩の第一歩に繋がりそうな拡張機能を導入禁止にする際には大活躍しますよ。

バイス用のChromeポリシー入手先:デバイス用の Chrome ポリシーを設定する - Google Apps 管理者 ヘルプ

「ポリシー テンプレート」から「policy_templates.zip」をダウンロードして展開します。
ダウンロードした「policy_templates.zip」を展開して、日本語の管理用テンプレートファイルを確認しましょう。


chrome_policy_list.html ポリシー名と説明の一覧表と個別の詳細説明
Chrome.adm Windows XP / 2003 形式のテンプレート
Chrome.admx Windows Vista / 7 / 2008 形式の言語に依存しないテンプレート
Chrome.adml Windows Vista / 7 / 2008 形式の言語に依存固有のテンプレート (↑の構成では日本語)
chrome.reg Home Editionなどドメイン参加できない場合のレジストリ用テンプレート(英語)
VERSION ポリシーファイルのバージョン

いろいろ、テンプレートが用意されていますので、ぜひチェックしましょう。

ADのグループポリシー で Chromeのテンプレートを追加しよう!

ファイル 保存場所
Chrome.admx C:\Windows\Sysvol\domain\Policies\PolicyDefinitions
Chrome.admlファイル C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP

ここにテンプレートファイルを保存することで、グループ ポリシー オブジェクト エディタが、ADMX ファイルと ADM ファイルの両方から管理用テンプレートのポリシー設定を自動的に読み取って表示してくれるようになりますよ。

参考:グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ ステップ ガイド

ローカル グループ ポリシー エディター で Chromeのテンプレートを追加しよう!

  1. ローカル グループ ポリシー エディターを開く
  2. [コンピュータの構成] の [管理用テンプレート] を右クリックし、[テンプレートの追加と削除]をクリックする
  3. 「テンプレートの追加と削除」ダイアログ端末内の[追加]をクリックし、端末内に展開した「Chrome.adm」を開く
  4. テンプレートが追加されていることを確認する
    • コンピュータの構成>管理用テンプレート>従来の管理用テンプレート (ADM)>Google

参考:[about:blank:title=従来の管理用テンプレートを追加または削除する]

また、Chrome.admを利用するのではなく、Chrome.admxとChrome.admlを利用する場合には、以下の場所にテンプレートファイルを保存します。

ファイル 保存場所
Chrome.admx C:\Windows\PolicyDefinitions
Chrome.admlファイル C:\Windows\PolicyDefinitions\ja-JP

ローカル グループ ポリシー エディターを開くと、次の場所にテンプレートが追加されています。

    • コンピュータの構成>管理用テンプレート>Google

Homeエディション で Chromeのテンプレートを追加しよう!

  1. chrome.reg を ダブルクリックしレジストリの値を追加する
  2. レジストリエディタを起動し、以下のキーが追加されていることを確認する
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google

LINE拡張機能に関する設定を行おう!

ポリシー追加を行えばあとは設定をするだけです。
Google>Chrome>拡張機能 を開きポリシーを設定します。

拡張機能の可否を指定できる設定項目は以下の通り。

LINE拡張機能を無効にする場合には、ブラックリストの項目にLINE拡張機能のID(menkifleemblimdogmoihpfopnplikde)を指定します。

指定する拡張機能のIDは、無効にしたい拡張機能のURLをChromeウェブストアから確認することが可能です。

LINE拡張機能のURLは、以下の通りで、一番最後の「/」から「?hl=ja」の間に含まれる文字列が拡張機能のIDです。
https://chrome.google.com/webstore/detail/line/menkifleemblimdogmoihpfopnplikde?hl=ja

もし、LINE拡張機能がすでに追加されていたら?

「変更内容を確認、アプリ「LINE」は自動的に削除されました。」と表示されます。

LINE拡張機能を追加しようとしたら?

追加、Chromeウェブストアからは通常と同様に「+Chromeに追加」ボタンをクリックすることができます。

しかし、確認表示で「アプリを追加」をクリックしても、「エラーが発生しました、LINE(拡張機能ID「menkifleemblimdogmoihpfopnplikde」)は管理者によってブロックされています。」と表示され、追加されません。

この挙動は、Portable版のChromeで行う場合も同様です。

Chromeリモートデスクトップ拡張機能のIDは「gbchcmhmhahfdphkhkmpfmihenigjmpp」ですので、こちらを禁止したい場合も、「拡張機能インストールのブラックリストを設定する」に設定しましょう。

レジストリで行う場合には、以下のレジストリの値にLINE拡張機能のIDを指定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlacklist\1\
1にはサンプル値「extension_id1」が入っていますので書き換えればOKです。

chrome_policy_list.html をじっくり眺めよう

Chromeのポリシーテンプレートで出来ることは、このファイルの中に丁寧に説明されていますので、ぜひ使えそうな設定を探してみてください。

グループポリシーを利用して幸せになりましょう :-)