Google のワークスペース・デバイス・マネージャーを追加する

オンラインで編集

Google Workspace® をデバイスマネージャーとして設定します。

始める前に

注: デバイスマネージャー用の mtlsidaas グローバルテナントは現在非推奨となっており、2024年3月以降に削除される予定です。 「 カスタムホスト名の取得 」に進み、カスタムドメインを申請してください。 詳細については、 「デバイスマネージャーの追加」 を参照してください。
  • このタスクを完了するには管理者権限が必要です。
  • IBM Verify 管理者として管理コンソールにログインしてください。

手順

  1. 「認証 」>「 デバイスマネージャー」 を選択します。
  2. 「デバイスマネージャーを追加」 を選択します。
  3. 設定するデバイスマネージャーの種類として、 「 Google 」ワークスペースを選択してください。
  4. 「次へ」 を選択します。
  5. 一般設定 」ページで、以下の情報を入力してください。
    • 表示された欄に 「デバイスマネージャー」 と入力してください。
    • メニューから IDプロバイダー を選択してください。
    • メニューから 「トラスト」 の種類を選択してください。 デバイスの信頼設定を行うには、ユーザーは設定済みの一次認証方式を使用してログインする必要があります。 デバイスの信頼性は、認証が管理対象デバイスから行われているかどうかを確認するだけです。
      注: デバイス信頼機能( CI-114829 )は、ご要望に応じて有効化できます。 この機能をご希望の場合は、 IBM の営業担当者、または IBM の担当者までご連絡いただき、本機能の有効化をご希望であることをお伝えください。 権限をお持ちの場合は、サポートチケットを作成してください。 IBM Verify 無料体験版では、サポートチケットを作成することはできません。
    • ユーザー・アカウントに対してジャストインタイム・プロビジョニングを有効にするかどうかを選択します。
      注: ユーザーアカウントのジャスト・イン・タイム(JIT)プロビジョニングは、「ユーザーおよびデバイスの信頼」 が選択されている場合にのみ適用されます。
    • クライアント証明書の有効期間を選択してください。 デフォルトでは、選択期間は3年間です。
    • デバイスごとに証明書の最大数を指定します。
    • ユーザーおよびデバイスの情報を保持する分数を指定します。
  6. 「次へ」 を選択します。
  7. API 認証情報 」ページで、 Google ワークスペース内のアプリケーションのAPI情報を入力してください。
    • 既にアプリケーションがある場合は、「フォームのみ」を選択します。
      1. アプリケーション ID、シークレット、およびテナント名を指定します。
      2. あらかじめ定義された属性のリストから選択 Unique user identifier するか、 「カスタムルール」 を選択して属性のマッピングを指定します。 カスタムルールを使用することを選択した場合、カスタム属性とルールを追加できます。 属性値を計算するルールを入力してください。 例えば、以下のとおりです。
        requestContext.email[0].split('@')[0]
        注: カスタムルールの選択は、デバイス信頼には適用されません。 ただし、用意されている入力欄に適切な属性を入力することは可能です。
      3. 「資格情報のテスト」 を選択して資格情報を検証します。
      4. 「次へ」 を選択します。
    • アプリケーションを作成する場合は、 「ステップを表示」を選択し、その手順に従います。
      1. https://support.google.com/a/answer/7378726 にアクセスして、サービスアカウントを作成してください。
        注:サービスアカウントの作成 」ページの手順 1、2、および 4 を完了してください。
      2. サービスアカウントのAPIを有効にしてください。
      3. 新しいプロジェクトの横にあるチェックボックスにチェックを入れてください。
      4. 「APIとサービス」 をクリックし、次に「 ライブラリ」 をクリックします。 まず 「メニュー」 をクリックする必要があるかもしれません。
      5. 必要なAPIごとに、 API名をクリックし、「Admin SDK」を有効にしてください。
      6. APIが見つからない場合は、検索ボックスにAPI名を指定してください。
    • サービスアカウントにドメイン全体の権限を委任します。
    Google Workspace ドメインのスーパー管理者による以下の手順の実行が必要です。
    1. Google Workspace ドメインの管理コンソールから、 [メインメニュー] > [セキュリティ] > [アクセスとデータ制御] > [API コントロール] に移動します。
    2. ドメイン全体の委任 」ページで、 「ドメイン全体の委任を管理」 を選択します。
    3. 「新規追加」 をクリックします。
    4. [ クライアント ID ] フィールドに、サービス アカウントのクライアント ID を入力します。
      注: サービスアカウントのクライアント ID は、 「サービスアカウント 」ページで確認できます。
    5. OAuth 」のスコープフィールドに、アプリケーションにアクセス権を付与できるスコープの一覧を入力してください。 https://www.googleapis.com/auth/admin.directory.user.readonlyhttps://www.googleapis.com/auth/admin.directory.device.chromeos.readonly入力:、。
    6. 「承認」 をクリックしてください。
  8. 「次へ」をクリックします。
  9. ユーザーのプロパティ 」ページ (「ユーザーおよびデバイスの信頼」を選択した場合に表示されます)または「 デバイスのプロパティ」 (「デバイスの信頼」を選択した場合に表示されます) で、デバイスマネージャーの属性を属性に IBM Verify マッピングします。
    少なくとも1つの属性を属性 IBM Verify にマッピングし、その属性の保存方法を指定します。
    注: 属性名は大文字小文字を区別せず、重複する属性は使用できません。
    1. Google ワークスペースで属性名を指定します。
    2. (任意): メニューから変形を選択してください。
    3. 必須: マッピング先の属性 Verify を選択してください。
    4. ユーザーのプロファイルに属性を保管する方法を選択します。
  10. (任意): 属性を追加 」をクリックします。
    カスタムルールを使用するように選択した場合、カスタム属性を1つずつルールに追加できます。 属性値を計算するルールを入力してください。 例えば、以下のとおりです。
    idsuser.email[0].split('@')[0]
    「テストを実行」 をクリックして、ルールが正常に動作するか確認してください。
  11. 「OK」 をクリックします。
  12. 「次へ」をクリックします。
  13. ルート証明書プロファイルを作成します。
    表示された指示に従ってください。
    1. 提供されている以下のルート証明書および中間証明書 .zip ファイルをダウンロードしてください。
    2. admin.google.comGoogle 管理コンソール()で、 [メニュー ] > [デバイス ] > [ネットワーク] >[証明書 ] > [ ] の順に選択します。
    3. 前の手順で tenet IBM Verify からダウンロードしたファイルを trusted-certificates.zip 解凍してください。
    4. 注: 設定を全員に適用するには、親組織単位を選択したままにしてください。 それ以外の場合は、子組織単位を選択してください。
      「証明書の追加」 をクリックします。 証明書名: <わかりやすい名前を入力してください>。
    5. 手順 1 でダウンロードしたルート証明書プロファイルをアップロードしてください。
    6. 「認証局」セクションで、「Chromebook用のチェックブックを有効にする」を選択します。
    7. 「追加」 をクリックします。
    8. 中間証明書についても、手順2~7を繰り返します。
  14. 「次へ」 を選択します。
  15. SCEP証明書プロファイルページで、アプリケーションのAPI情報を入力してください。
    • すでにSCEP証明書プロファイルをお持ちの場合は、 「値のみ」 を選択し、以下の値を使用してSCEP証明書プロファイルを作成してください。
      1. 一般名
      2. 会社名
      3. 組織単位
      4. ChromeOS SCEP URL.
      5. 「次へ」 を選択します。
    • SCEP 証明書プロファイルを作成する場合は、 「ステップを表示」を選択し、その手順に従います。
      1. admin.google.comGoogle 管理コンソール()で、 [メニュー ] > [デバイス ] > [ネットワーク] の順に選択します。
      2. Secure SCEP」 に関連するセクションをクリックしてください。
      3. 「セキュアSCEPプロファイルを追加」 をクリックします。
      4. 以下の構成設定を使用します。
        デバイスプラットフォーム
        Chromebook(ユーザー)
        SCEPプロファイル名
        プロファイルの説明的な名前。 その名前はプロファイルの一覧に表示されます。
        サブジェクト名の形式
        「完全修飾名」 を選択し、設定値を入力してください:
        サブジェクトの別名
        デフォルトは none (なし) です。 メールアドレスを指定するには、「カスタム」を選択し、「 属性を追加 」ボタンをクリックしてください。 「Subject」の別名タイプとして「 RFC822 」を選択し、値として「 ${USER_EMAIL} 」を指定します
        単一アルゴリズム
        SHA256withRSA
        キー使用法
        キーの暗号化、デジタル署名。
        キー・サイズ (ビット)
        2048
        安全
        厳格 」または「 緩やか」 を選択してください。
        SCEPサーバーの属性
        SCEP サーバー URL
        テナント Verify から提供された SCEP の URL 値を使用してください。
        証明書の有効期間
        適切な有効期間を指定するか、デフォルト値のままにしておいてください。
        数日以内に更新してください
        適切な有効期間を指定するか、デフォルト値のままにしておいてください。
        チャレンジのタイプ
        [Static] チェックボックスを選択し、適切なパスワードを入力してください。
        認証局
        前の手順で作成した中間証明書プロファイルを選択してください。
      5. セーブをクリック。
  16. 「次へ」 を選択します。
  17. Google Cloud 証明書コネクタを設定します。
    リンク先( https://support.google.com/chrome/a/answer/11053129?hl=en )に記載されている手順1に従ってください
  18. 構成をテストします。
    指示に従います。
  19. 「セットアップを完了」 を選択します。
    1. 設定を確認します。
    2. 「変更を保存」 を選択します。