Intune を使用して Chrome の SSO を有効にする: ステップバイステップ ガイド
<本文>
このステップバイステップ ガイドでは、Intune を使用して Chrome の SSO を有効にする方法を説明します。 Microsoft® クラウド ID プロバイダーによってサポートされるアカウントの自動ユーザー サインインを有効にし、ユーザーが Entra ID 資格情報を使用してシングル サインオン (SSO) をサポートする Web サイトに自動的にサインインできるようにします。
Chrome のシングル サインオン (SSO) は、ユーザーが一度認証すると、再度ログインすることなく複数の Web サイト、アプリケーション、またはサービスにアクセスできるようにする機能です。基本的に、ユーザーのデバイスまたはネットワーク上ですでに認証されている資格情報を活用することで、Web ベースのリソース全体でのユーザー認証プロセスを合理化します。
Chrome SSO のシングル サインオン (SSO) が Entra ID および Intune とどのように連携するのか知りたい場合は、ここで説明します。 CloudAPAuthEnabled を使用すると、ユーザーは職場アカウントを使用してデバイスにサインインします。プライマリ リフレッシュ トークン (PRT) を使用すると、ユーザーが資格情報を再入力しなくても、Microsoft 365、Azure、およびその他のクラウド アプリにアクセスできるようになります。
Patch My PC を使用してサードパーティ アプリケーションをインストールおよび更新する
Office、Microsoft Edge、Teams などのアプリケーションは、ブローカーを介して PRT を利用してユーザーをシームレスに認証し、ユーザー エクスペリエンスを合理化し、繰り返しのサインインを最小限に抑え、全体的な生産性を向上させます。これは、macOS のプラットフォーム SSO 構成で説明したものと非常に似ています。
Chrome 向け SSO の主な利点
Intune を使用して Chrome ブラウザーに SSO を設定しようとしている組織は、いくつかの重要な利点を得ることができます。
-
ユーザー エクスペリエンスの向上: ユーザーは 1 回ログインするだけで済み、資格情報を繰り返し入力する手間が軽減されます。これは、Entra ID による認証が必要な Web サイトに適用されます。
-
セキュリティの強化: 認証は、多くの場合、Azure AD や Google Workspace などの安全な ID プロバイダーに関連付けられています。これにより、パスワードの再利用やフィッシング攻撃のリスクが軽減されます。
-
生産性の向上: Chrome SSO 機能により、特に毎日複数のアプリやサービスにアクセスするエンタープライズ環境でユーザーの時間が節約されます。
-
管理の簡素化: 管理者は (Intune やグループ ポリシーなどを介して) ポリシーを一元的に適用して、リソースへの安全かつシームレスなアクセスを確保できます。
前提条件
-
デバイスは Entra ID 参加、ハイブリッド参加、または Entra ID 登録されている必要があります。
-
Windows デバイスは Intune に登録する必要があります。 Windows 登録ガイドを参照してください。
-
Google および Chrome ADMX ファイルを Intune にインポートする必要があります。心配しないでください。この前提条件についてはこのガイドで説明されています。
-
最新バージョンの Chrome ブラウザがターゲット デバイスにインストールされている必要があります。 Intune を使用して Chrome を展開する方法をご覧ください。
-
Microsoft Intune および Azure portal への管理アクセス。
ステップ 1: Chrome ADMX テンプレートをダウンロードしてインポートする
Intune を使用して Chrome ブラウザーを構成するには、まず ADMX テンプレートを Intune にインポートする必要があります。テンプレートがすでにインポートされている場合は、次のステップに進むことができます。 Chrome ADMX テンプレートをまだインポートしていない人のために、始める方法を次に示します。
ブラウザを開いて Chrome Enterprise Web サイトに移動し、Chrome ブラウザ用の ADMX テンプレートをダウンロードします。ここで次の選択を行い、同意してダウンロード リンクをクリックして、これらのポリシー テンプレート ファイルをダウンロードします。
-
ポリシー テンプレート: ドロップダウンをクリックして、Chrome ADM/ADMX テンプレートを選択します。
-
管理テンプレートの更新: ドロップダウンをクリックし、Google アップデータ ADMX テンプレートの更新 を選択します。
Chrome ADMX テンプレートをダウンロード
ブラウザは、policy_templates.zip と googleupdateadmx.zip の 2 つのファイルをダウンロードします。これらの zip ファイルをフォルダーに抽出すると、Chrome のすべての .admx および .adml ファイルが表示されます。
Windows 11、24H2 用の Google Update ADMX、ポリシー テンプレート、およびポリシー定義ファイルを 1 つのフォルダーに配置しました。これにより、Intune にアップロードする際が簡単になります。
Google Chrome ADMX テンプレートをダウンロード
Chrome ADMX テンプレートを Intune にインポートするには、Intune 管理センターにサインインします。 デバイス > デバイスの管理 > 構成 に移動します。 ADMX のインポート タブを選択し、 + インポート ボタンをクリックして、 Google.admx 、 Chrome.admx 、および GoogleUpdate.admx ファイルを 1 つずつアップロードします。各 .admx ファイルに対応する .adml ファイルを必ずアップロードしてください。
注: ADMX テンプレートのインポート中に奇妙な「NamespaceMissing:Microsoft.Policies.Windows」エラーが発生した場合は、必ず最初に Windows.admx をインポートし、次に他のテンプレートをインポートしてください。
Chrome ADMX テンプレートを Intune にインポートする
ステップ 2: Intune ポリシーを使用して Chrome の SSO を有効にする
Microsoft Intune を使用して Google Chrome のシングル サインオン (SSO) を有効にするには、Chrome ユーザーに対して Microsoft クラウド ID プロバイダーによってサポートされるアカウントの自動ユーザー サインインを有効にする必要があります。
Intune 管理センターにサインインします。 デバイス > デバイスの管理 > 構成 > 作成 > 新しいポリシー に移動します。プラットフォームとして Windows 10 以降を選択し、プロファイル タイプとしてテンプレートを選択します。テンプレートのリストから、インポートされた管理用テンプレートを選択します。 「作成」をクリックします。
Intune で Entra ID を使用して Chrome SSO を強制するポリシーを作成する
ポリシー名を入力し、ポリシーに関する簡単な説明を追加します。
-
名前: Intune を使用して Entra ID で Chrome の SSO を有効にする
-
説明: ポリシーに関するオプションの説明を入力します。
「次へ」をクリックします。
Intune ポリシーを使用して Chrome の SSO を有効にする
設定ピッカーウィンドウで、検索ボックスに「自動署名を許可」と入力し、「検索」をクリックします。検索結果から、次の設定を選択します: Microsoft® クラウド ID プロバイダーへの自動サインインを許可します。この設定を有効にし、ドロップダウンをクリックして「Microsoft® クラウド認証を有効にする」を選択します。 「OK」をクリックして設定ピッカーを閉じます。
ここでは、「Microsoft® クラウド認証を有効にする」ポリシーについて簡単に説明します。
-
有効: このポリシーが有効であるか値 1 に設定されている場合、Microsoft® クラウド ID プロバイダー (つまり、Microsoft® Azure® Active Directory® またはコンシューマー Microsoft® アカウント ID プロバイダー) によってサポートされるアカウントを使用してコンピューターにサインインするユーザー、または Microsoft® Windows® に職場または学校のアカウントを追加したユーザーは、その ID を使用して Web プロパティに自動的にサインインできます。
-
無効: このポリシーを 0 (無効) に設定するか未設定のままにすると、上記の自動サインインが無効になります。
Intune ポリシーを使用して Chrome の SSO を有効にする
スコープ タグ ページで、適用するスコープ タグを選択できます。これはオプションであり、次のページにスキップできます。 Intune で新しいスコープ タグを作成する方法を学習します。 「次へ」をクリックします。
Chrome SSO Intune ポリシーのスコープ タグを指定する
割り当て で、このポリシーの対象となる Entra ID ユーザー グループを選択します。続行するには、「次へ」を選択します。
Chrome SSO Intune ポリシーの割り当てを構成する
「確認と作成」ページで Chrome SSO ポリシー設定を確認し、「保存」をクリックします。これで、ポリシーが割り当てられたグループのメンバーに展開されました。この新しいポリシーは、Intune 管理センターの 構成 > ポリシー タブに表示されます。
Intune で Entra ID を使用して Chrome SSO を強制するポリシーを作成する
ステップ 3: Intune ポリシーを同期する
対象のデバイス上の Chrome ブラウザーの Intune SSO ポリシー設定を適用するには、さまざまな方法を使用して Intune ポリシーを手動で同期します。同期アクションにより、デバイスはすぐに Intune に接続し、最新のポリシーを適用するように求められます。これは通常、アプリまたはポリシーの展開をテストし、その機能を確認するために実行されます。
ステップ 4: Chrome SSO Intune ポリシーを監視する
Intune で Chrome SSO ポリシーの割り当てを監視するには、デバイス > Windows > 構成 に移動します。 「Chrome SSO を有効にする」ポリシーを選択します。 ポリシーの概要 ページで、デバイスとユーザーのチェックイン ステータスを確認します。ポリシーが正常に適用されたデバイスまたはユーザーの数を確認できます。
Chrome SSO Intune ポリシーを監視する
場合によっては、ポリシー設定が特定のユーザーに適用されないことがあります。これらの問題を解決するには、Windows コンピューター上の Intune ログを確認して問題のトラブルシューティングを行う必要があります。これらは重要な IME ログで、リモート コンピューターでのアプリとポリシーの割り当てエラーのトラブルシューティングに役立ちます。
ステップ 5: エンド ユーザー エクスペリエンス
Chrome SSO ポリシーの展開が完了したら、さまざまな方法でその機能と正常な構成を確認できます。 Chrome で SSO が正しく機能していることを確認できる 3 つの方法をリストします。
方法 1: SSO ポリシーの対象となっている職場アカウントを使用してデバイスにサインインし、Chrome ブラウザーを起動します。 ex の Web サイトを参照します。 https://portal.office.com。ブラウザーでは、ポータルにアクセスするためにユーザー名とパスワード (Entra ID 資格情報) の入力を求められないことがわかります。これにより、Chrome の SSO が意図したとおりに機能していることが確認されます。
方法 2: 管理者は、イベント ビューアを介して Chrome SSO ポリシー設定が適用されているかどうかを確認できます。イベント ビューアーを起動し、アプリケーションとサービス ログ > Microsoft > Windows > Devicemanagement-Enterprise-Diagnostics-Provider > Admin に移動します。ここでイベント ID 814 を探して、Chrome で SSO が有効になっているかどうかを確認します。
以下のスクリーンショットは、Microsoft Intune 経由で CloudAPAuthEnabled ポリシー設定が有効になっているイベント ID 814 を示しています。
MDM PolicyManager: Set policy string, Policy: (CloudAPAuthEnabled), Area: (chrome2ebd4837-14a8-4bbc-faa52b971a75~Policy~googlechrome~ActiveDirectoryManagement), EnrollmentID requesting merge: (53BCD465-4DE6-4293-8A28), Current User: (S-1-12-1-1154075189-3672277412-345537846), String: (<enabled/><data id="CloudAPAuthEnabled" value="1"/>), Enrollment Type: (0x0), Scope: (0x1).
コピー
MDM PolicyManager: Set policy string, Policy: (CloudAPAuthEnabled), Area: (chrome2ebd4837-14a8-4bbc-faa52b971a75~Policy~googlechrome~ActiveDirectoryManagement), EnrollmentID requesting merge: (53BCD465-4DE6-4293-8A28), Current User: (S-1-12-1-1154075189-3672277412-345537846), String: (<enabled/><data id="CloudAPAuthEnabled" value="1"/>), Enrollment Type: (0x0), Scope: (0x1).
Intune 経由で Chrome SSO の展開を確認する
方法 3: Chrome ブラウザを開き、アドレス バーに「Chrome://policy」と入力して Enter キーを押します。これにより、ブラウザに適用されているすべてのポリシーが表示されます。 CloudAPAuthEnabled という名前のポリシーを探し、ポリシー値が 1 に設定されている場合は、Chrome 用の Microsoft® クラウド ID プロバイダーによってサポートされるアカウントの自動ユーザー サインインが有効になっていることを確認します。
Chrome CloudAPAuthEnabled の SSO を確認してください
まだサポートが必要ですか?
上記の記事についてさらにサポートが必要な場合、または他の技術的な問題について議論したい場合は、これらのオプションのいくつかを確認してください。
フォーラム
電報
連絡してください
*️⃣ 出典リンク:
Chrome のシングル サインオン (SSO) 、
、Office、Teams、macOS 用のプラットフォーム SSO 構成、Windows 登録ガイド、Intune を使用して Chrome を展開する方法、ADMX テンプレートを Intune にインポートする、
ADMX テンプレートをダウンロード Chrome ブラウザー、NamespaceMissing:Microsoft.Policies.Windows、Intune で新しいスコープ タグを作成する方法、Intune ポリシーを同期する方法、Windows コンピューター上の Intune ログ、重要な IME ログ、
フォーラム
、 電報、
連絡してください
、