グループポリシーでChromeのLINE拡張機能やChromeリモートデスクトップを禁止しよう!
PCで気軽にLINEができるGoogle Chrome版ウェブアプリ登場! : LINE公式ブログの投稿を見た瞬間に、ドキッとしました。
そして、ADで出来そうだよねって思ったまま放置してました(汗
ドキッとした理由は、社員のアカウントはUsersグループだし、万が一LINEのサイトからインストーラーを起動したとしても管理者のIDとパスワードを入力しなければインストールできないから大丈夫!って思ってたんですもの。
ところがですよ、Chromeの拡張機能ってことは、たとえ社員のアカウントが新しいアプリケーションを追加できないように設定していたとしても、導入可能ってことになってしまいます。
ChromeのLINE拡張機能で何ができるの?
- メッセージ機能(スマホ・デスクトップ版のLINEと同様)
- 画面の共有機能(デスクトップ版のLINEと同様)
- ファイル送信機能(デスクトップ版のLINEと同様)
- メモ機能(スマホ版ではGoogle Keepで閲覧可能((ただし、zipファイルに圧縮されるため解凍が必要)))
もちろん、ノート、アルバム機能など出来ない機能もありますが、こっそり情報を流しちゃえ!なんて悪意を持ったら簡単に極秘資料をキャプチャしたり、ファイルを社外に送ったりメモ機能で一見メッセージとして送信していないようにしてどこでもLINEにログインできればチェックができるようにしたりすることもできるのです。
あかんやん。
Chromeのリモートデスクトップ機能も、社内のパソコンに導入されてしまっては、自宅から操作をされてしまうかもしれませんし、その逆もまたありますね。
仕事していると思っていたら、自宅パソコンで遊んでいたなんてことになっては業務効率はぐっと下がってしまいそうです。
参考:
Chromeリモートデスクトップで外出先から自宅や会社のPCを使えるようにしよう:マイナビニュース
そんなの、Chromeを禁止にすればいいんじゃない?
と言われても、どうしても業務でChromeを利用しているユーザがいたりするとなかなかそういうわけにもいかない。
Chromeのポリシーテンプレートを利用しよう!
Googleが公開しているデバイス用のChromeポリシーを利用すると、企業の管理者にとっては痒いところに届きそうで届かなかった部分に楽々手が届くようになります。
例えば、特定の拡張機能だけ許可したり、特定の拡張機能だけを禁止したり!
今回は例として、LINE拡張機能を取り上げますが、Chromeリモートデスクトップはじめ、企業として情報漏洩の第一歩に繋がりそうな拡張機能を導入禁止にする際には大活躍しますよ。
デバイス用のChromeポリシー入手先:デバイス用の Chrome ポリシーを設定する - Google Apps 管理者 ヘルプ
「ポリシー テンプレート」から「policy_templates.zip」をダウンロードして展開します。
ダウンロードした「policy_templates.zip」を展開して、日本語の管理用テンプレートファイルを確認しましょう。
chrome_policy_list.html | ポリシー名と説明の一覧表と個別の詳細説明 |
Chrome.adm | Windows XP / 2003 形式のテンプレート |
Chrome.admx | Windows Vista / 7 / 2008 形式の言語に依存しないテンプレート |
Chrome.adml | Windows Vista / 7 / 2008 形式の言語に依存固有のテンプレート (↑の構成では日本語) |
chrome.reg | Home Editionなどドメイン参加できない場合のレジストリ用テンプレート(英語) |
VERSION | ポリシーファイルのバージョン |
いろいろ、テンプレートが用意されていますので、ぜひチェックしましょう。
ADのグループポリシー で Chromeのテンプレートを追加しよう!
ファイル | 保存場所 |
Chrome.admx | C:\Windows\Sysvol\domain\Policies\PolicyDefinitions |
Chrome.admlファイル | C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP |
ここにテンプレートファイルを保存することで、グループ ポリシー オブジェクト エディタが、ADMX ファイルと ADM ファイルの両方から管理用テンプレートのポリシー設定を自動的に読み取って表示してくれるようになりますよ。
ローカル グループ ポリシー エディター で Chromeのテンプレートを追加しよう!
- ローカル グループ ポリシー エディターを開く
- [コンピュータの構成] の [管理用テンプレート] を右クリックし、[テンプレートの追加と削除]をクリックする
- 「テンプレートの追加と削除」ダイアログ端末内の[追加]をクリックし、端末内に展開した「Chrome.adm」を開く
- テンプレートが追加されていることを確認する
- コンピュータの構成>管理用テンプレート>従来の管理用テンプレート (ADM)>Google
参考:[about:blank:title=従来の管理用テンプレートを追加または削除する]
また、Chrome.admを利用するのではなく、Chrome.admxとChrome.admlを利用する場合には、以下の場所にテンプレートファイルを保存します。
ファイル | 保存場所 |
Chrome.admx | C:\Windows\PolicyDefinitions |
Chrome.admlファイル | C:\Windows\PolicyDefinitions\ja-JP |
ローカル グループ ポリシー エディターを開くと、次の場所にテンプレートが追加されています。
-
- コンピュータの構成>管理用テンプレート>Google
Homeエディション で Chromeのテンプレートを追加しよう!
LINE拡張機能に関する設定を行おう!
ポリシー追加を行えばあとは設定をするだけです。
Google>Chrome>拡張機能 を開きポリシーを設定します。
拡張機能の可否を指定できる設定項目は以下の通り。
LINE拡張機能を無効にする場合には、ブラックリストの項目にLINE拡張機能のID(menkifleemblimdogmoihpfopnplikde)を指定します。
指定する拡張機能のIDは、無効にしたい拡張機能のURLをChromeウェブストアから確認することが可能です。
LINE拡張機能のURLは、以下の通りで、一番最後の「/」から「?hl=ja」の間に含まれる文字列が拡張機能のIDです。
https://chrome.google.com/webstore/detail/line/menkifleemblimdogmoihpfopnplikde?hl=ja
もし、LINE拡張機能がすでに追加されていたら?
LINE拡張機能を追加しようとしたら?
追加、Chromeウェブストアからは通常と同様に「+Chromeに追加」ボタンをクリックすることができます。
しかし、確認表示で「アプリを追加」をクリックしても、「エラーが発生しました、LINE(拡張機能ID「menkifleemblimdogmoihpfopnplikde」)は管理者によってブロックされています。」と表示され、追加されません。
この挙動は、Portable版のChromeで行う場合も同様です。
Chromeリモートデスクトップの拡張機能のIDは「gbchcmhmhahfdphkhkmpfmihenigjmpp」ですので、こちらを禁止したい場合も、「拡張機能インストールのブラックリストを設定する」に設定しましょう。
レジストリで行う場合には、以下のレジストリの値にLINE拡張機能のIDを指定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlacklist\1\
1にはサンプル値「extension_id1」が入っていますので書き換えればOKです。