グループポリシーでChromeのLINE拡張機能やChromeリモートデスクトップを禁止しよう！ - 家庭内インフラ管理者の独り言（はなずきんの日記っぽいの）

PCで気軽にLINEができるGoogle Chrome版ウェブアプリ登場！ : LINE公式ブログの投稿を見た瞬間に、ドキッとしました。
そして、ADで出来そうだよねって思ったまま放置してました(汗

ドキッとした理由は、社員のアカウントはUsersグループだし、万が一LINEのサイトからインストーラーを起動したとしても管理者のIDとパスワードを入力しなければインストールできないから大丈夫！って思ってたんですもの。

ところがですよ、Chromeの拡張機能ってことは、たとえ社員のアカウントが新しいアプリケーションを追加できないように設定していたとしても、導入可能ってことになってしまいます。

ChromeのLINE拡張機能で何ができるの？

メッセージ機能(スマホ・デスクトップ版のLINEと同様)
画面の共有機能(デスクトップ版のLINEと同様)
ファイル送信機能(デスクトップ版のLINEと同様)
メモ機能(スマホ版ではGoogle Keepで閲覧可能((ただし、zipファイルに圧縮されるため解凍が必要)))

もちろん、ノート、アルバム機能など出来ない機能もありますが、こっそり情報を流しちゃえ！なんて悪意を持ったら簡単に極秘資料をキャプチャしたり、ファイルを社外に送ったりメモ機能で一見メッセージとして送信していないようにしてどこでもLINEにログインできればチェックができるようにしたりすることもできるのです。

あかんやん。

Chromeのリモートデスクトップ機能も、社内のパソコンに導入されてしまっては、自宅から操作をされてしまうかもしれませんし、その逆もまたありますね。
仕事していると思っていたら、自宅パソコンで遊んでいたなんてことになっては業務効率はぐっと下がってしまいそうです。

参考：
Chromeリモートデスクトップで外出先から自宅や会社のPCを使えるようにしよう：マイナビニュース

そんなの、Chromeを禁止にすればいいんじゃない？
と言われても、どうしても業務でChromeを利用しているユーザがいたりするとなかなかそういうわけにもいかない。

Chromeのポリシーテンプレートを利用しよう！

Googleが公開しているデバイス用のChromeポリシーを利用すると、企業の管理者にとっては痒いところに届きそうで届かなかった部分に楽々手が届くようになります。

例えば、特定の拡張機能だけ許可したり、特定の拡張機能だけを禁止したり！

今回は例として、LINE拡張機能を取り上げますが、Chrome リモートデスクトップはじめ、企業として情報漏洩の第一歩に繋がりそうな拡張機能を導入禁止にする際には大活躍しますよ。

デバイス用のChromeポリシー入手先：デバイス用の Chrome ポリシーを設定する - Google Apps 管理者ヘルプ

「ポリシーテンプレート」から「policy_templates.zip」をダウンロードして展開します。
ダウンロードした「policy_templates.zip」を展開して、日本語の管理用テンプレートファイルを確認しましょう。

chrome_policy_list.html	ポリシー名と説明の一覧表と個別の詳細説明
Chrome.adm	Windows XP / 2003 形式のテンプレート
Chrome.admx	Windows Vista / 7 / 2008 形式の言語に依存しないテンプレート
Chrome.adml	Windows Vista / 7 / 2008 形式の言語に依存固有のテンプレート (↑の構成では日本語)
chrome.reg	Home Editionなどドメイン参加できない場合のレジストリ用テンプレート(英語)
VERSION	ポリシーファイルのバージョン

いろいろ、テンプレートが用意されていますので、ぜひチェックしましょう。

ADのグループポリシーで Chromeのテンプレートを追加しよう！

ファイル	保存場所
Chrome.admx	C:\Windows\Sysvol\domain\Policies\PolicyDefinitions
Chrome.admlファイル	C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP

ここにテンプレートファイルを保存することで、グループポリシーオブジェクトエディタが、ADMX ファイルと ADM ファイルの両方から管理用テンプレートのポリシー設定を自動的に読み取って表示してくれるようになりますよ。

参考：グループポリシー管理での ADMX ファイルの使用に関するステップバイステップガイド

ローカルグループポリシーエディターで Chromeのテンプレートを追加しよう！

ローカルグループポリシーエディターを開く
[コンピュータの構成] の [管理用テンプレート] を右クリックし、[テンプレートの追加と削除]をクリックする
「テンプレートの追加と削除」ダイアログ端末内の[追加]をクリックし、端末内に展開した「Chrome.adm」を開く
テンプレートが追加されていることを確認する
- コンピュータの構成>管理用テンプレート>従来の管理用テンプレート (ADM)>Google

参考：[about:blank:title=従来の管理用テンプレートを追加または削除する]

また、Chrome.admを利用するのではなく、Chrome.admxとChrome.admlを利用する場合には、以下の場所にテンプレートファイルを保存します。

ファイル	保存場所
Chrome.admx	C:\Windows\PolicyDefinitions
Chrome.admlファイル	C:\Windows\PolicyDefinitions\ja-JP

ローカルグループポリシーエディターを開くと、次の場所にテンプレートが追加されています。

- コンピュータの構成>管理用テンプレート>Google

Homeエディションで Chromeのテンプレートを追加しよう！

chrome.reg をダブルクリックしレジストリの値を追加する
レジストリエディタを起動し、以下のキーが追加されていることを確認する
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google

LINE拡張機能に関する設定を行おう！

ポリシー追加を行えばあとは設定をするだけです。
Google>Chrome>拡張機能　を開きポリシーを設定します。

拡張機能の可否を指定できる設定項目は以下の通り。

拡張機能インストールのブラックリストを設定する
- ブラックリストに値「*」を登録→すべての拡張機能が禁止
- ブラックリストに値「拡張機能のID」を登録→指定した拡張機能のみを禁止
拡張機能インストールのホワイトリストを設定する
- ブラックリストに値「*」を登録し、ホワイトリストに「拡張機能のID」を登録→指定した拡張機能のみを許可

LINE拡張機能を無効にする場合には、ブラックリストの項目にLINE拡張機能のID(menkifleemblimdogmoihpfopnplikde)を指定します。

指定する拡張機能のIDは、無効にしたい拡張機能のURLをChromeウェブストアから確認することが可能です。

LINE拡張機能のURLは、以下の通りで、一番最後の「/」から「?hl=ja」の間に含まれる文字列が拡張機能のIDです。
https://chrome.google.com/webstore/detail/line/menkifleemblimdogmoihpfopnplikde?hl=ja

もし、LINE拡張機能がすでに追加されていたら？

「変更内容を確認、アプリ「LINE」は自動的に削除されました。」と表示されます。

LINE拡張機能を追加しようとしたら？

追加、Chromeウェブストアからは通常と同様に「+Chromeに追加」ボタンをクリックすることができます。

しかし、確認表示で「アプリを追加」をクリックしても、「エラーが発生しました、LINE(拡張機能ID「menkifleemblimdogmoihpfopnplikde」)は管理者によってブロックされています。」と表示され、追加されません。

この挙動は、Portable版のChromeで行う場合も同様です。

Chrome リモートデスクトップの拡張機能のIDは「gbchcmhmhahfdphkhkmpfmihenigjmpp」ですので、こちらを禁止したい場合も、「拡張機能インストールのブラックリストを設定する」に設定しましょう。

レジストリで行う場合には、以下のレジストリの値にLINE拡張機能のIDを指定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlacklist\1\
1にはサンプル値「extension_id1」が入っていますので書き換えればOKです。

chrome_policy_list.html をじっくり眺めよう

Chromeのポリシーテンプレートで出来ることは、このファイルの中に丁寧に説明されていますので、ぜひ使えそうな設定を探してみてください。

グループポリシーを利用して幸せになりましょう :-)