Google Workspace デバイス・マネージャーの追加

オンラインで編集

Workspace® をデバイ Google スマネージャーとして設定してください。

始める前に

注: デバイス・マネージャーの mtlsidaas グローバル・テナントは非推奨になり、2024 年 3 月以降に削除されます。 バニティドメインをリクエストするには、バニティホスト名の取得に進んでください。 詳細については、 「デバイスマネージャーの追加」 を参照してください。
  • このタスクを完了するには管理者権限が必要です。
  • IBM Verify 管理コンソールに管理者としてログインします。

手順

  1. 認証 > デバイスマネージャーを選択します。
  2. 「デバイス・マネージャーの追加」を選択します。
  3. セットアップするデバイス・マネージャーのタイプとして Google Workspace を選択します。
  4. 「次へ」を選択します。
  5. 「一般設定」 ページで、以下の情報を指定します。
    • 表示されたフィールドに デバイス・マネージャー名 を入力します。
    • メニューから 「ID プロバイダー」 を選択します。
    • メニューからトラスト・タイプを選択する。 デバイスの信頼を選択する場合、ユーザーは設定された第一要素認証メカニズムでログインする必要があります。 デバイスの信頼は、認証が管理対象デバイスから行われたかどうかだけを確認する。
      注: デバイス信頼機能 CI-114829 は、リクエストに応じて有効にすることができます。 この機能をご希望の場合は、 IBM 営業担当者または IBM までご連絡ください。 許可があれば、サポートチケットを作成してください。 IBM Verify トライアルサブスクリプションはサポートチケットを作成できません。
    • ユーザー・アカウントに対してジャストインタイム・プロビジョニングを有効にするかどうかを選択します。
      注意: ユーザー アカウントの JIT (Just-in-Time) プロビジョニングは、ユーザーおよびデバイスの信頼を選択した場合にのみ適用されます。
    • クライアント証明書の有効期間を選択します。 デフォルトでは3年となっている。
    • デバイスごとに証明書の最大数を指定します。
    • ユーザーおよびデバイスの情報を保持する分数を指定します。
  6. 「次へ」を選択します。
  7. 「API 資格情報」 ページで、 Google Workspace にアプリケーションの API 詳細を入力します。
    • 既にアプリケーションがある場合は、「フォームのみ」を選択します。
      1. アプリケーション ID、シークレット、およびテナント名を指定します。
      2. 属性の事前定義リストから Unique user identifier を選択するか、 「カスタム・ルール」 を選択して属性マッピングを指定します。 カスタム・ルールを使用することを選択した場合は、カスタム属性とルールを追加できます。 属性値を計算するルールを入力します。 例えば、以下のとおりです。
        requestContext.email[0].split('@')[0]
        注意: カスタム ルールの選択は、デバイスの信頼には適用されません。 しかし、提供されたフィールドに適切な属性を入力することができます。
      3. 「資格情報のテスト」 を選択して資格情報を検証します。
      4. 「次へ」を選択します。
    • アプリケーションを作成する場合は、 「ステップを表示」を選択し、その手順に従います。
      1. サービスアカウントを作成するには、 https://support.google.com/a/answer/7378726 [Go to] にアクセスしてください。
        注: 「サービス・アカウントの作成」 ページでステップ 1、2、および 4 を実行します。
      2. サービス・アカウントの API をオンにします。
      3. 新規プロジェクトの正味のボックスにチェック・マークを付けます。
      4. 「API」&「サービス」 をクリックしてから、 「ライブラリー」をクリックします。 最初に 「メニュー」 をクリックする必要がある場合があります。
      5. 必要な API ごとに、 「API 名」 をクリックしてから、「管理 SDK」を有効にします。
      6. API が見つからない場合は、検索ボックスに API 名を指定します。
    • ドメイン全体の権限をサービス・アカウントに委任します。
    Google Workspace ドメインのスーパー管理者は、以下の手順を実行する必要があります。
    1. ワークスペース Google ドメインの管理コンソールから、 [メインメニュー ] > [セキュリティ ] >[アクセスとデータ制御 ] > [API コントロール ] に移動します。
    2. 「ドメイン全体の委任」 ページで、 「ドメイン全体の委任の管理」を選択します。
    3. 「新規追加」をクリックします。
    4. 「クライアント ID」 フィールドに、サービス・アカウントのクライアント ID を入力します。
      注: サービス・アカウントのクライアント ID は、 「サービス・アカウント」 ページで確認できます。
    5. 「OAuth スコープ」 フィールドに、アプリケーションにアクセス権限を付与できるスコープのリストを入力します。 https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly, https://www.googleapis.com/auth/admin.directory.user.readonlyと入力します。
    6. 「許可」をクリックします。
  8. 「次へ」をクリックします。
  9. ユーザーのプロパティページ(ユーザーとデバイスの信頼関係を選択した場合に開きます)、またはデバイスのプロパティ(デバイスの信頼関係を選択した場合に開きます)で、デバイスマネージャの属性をIBM Verify属性にマッピングします
    少なくとも 1 つの属性を IBM Verify 属性にマップし、属性の保管方法を指定します。
    注: 属性名では大/小文字が区別されず、重複する属性は許可されません。
    1. Google Workspaceで属性名を指定する。
    2. オプション: メニューから変換を選択してください。
    3. 必須: マッピングする属性 Verify を選択してください。
    4. ユーザーのプロファイルに属性を保管する方法を選択します。
  10. オプション: [属性を追加 ] をクリックします。
    カスタム・ルールを使用することを選択した場合は、カスタム属性を一度に 1 つずつルールに追加できます。 属性値を計算するルールを入力します。 例えば、以下のとおりです。
    idsuser.email[0].split('@')[0]
    「テストの実行」 をクリックして、ルールが機能することを確認します。
  11. 「OK」をクリックします。
  12. 「次へ」をクリックします。
  13. ルート証明書プロファイルを作成します。
    表示された指示に従ってください。
    1. 提供されている以下のルート証明書および中間証明書の .zip ファイルをダウンロードします。
    2. 管理コンソール() Google で、[設定 admin.google.com] に移動します メニュー > デバイス > ネットワーク > 証明書 >
    3. 前のステップで IBM Verify テネットからダウンロードした trusted-certificates.zip ファイルを解凍する。
    4. 注: 設定をすべてのユーザーに適用するには、親組織単位を選択したままにします。 それ以外の場合は、子組織単位を選択します。
      「証明書の追加」をクリックします。 証明書名: < 記述名を指定します>。
    5. ステップ 1 でダウンロードしたルート証明書プロファイルをアップロードします。
    6. 「認証局」セクションで、Chromebook 用の有効なチェック・ブックを選択します。
    7. 「追加」をクリックします。
    8. 中間証明書に対してステップ 2 から 7 を繰り返します。
  14. 「次へ」を選択します。
  15. 「SCEP 証明書プロファイル」 ページで、アプリケーションの API 詳細を入力します。
    • 既に SCEP 証明書プロファイルがある場合は、 「値のみ」 を選択し、以下の値を使用して SCEP 証明書プロファイルを作成します。
      1. 共通名
      2. 会社名
      3. 「Orガザティオアル単位」
      4. ChromeOS SCEP URL
      5. 「次へ」を選択します。
    • SCEP 証明書プロファイルを作成する場合は、 「ステップを表示」を選択し、その手順に従います。
      1. 管理コンソール Google () admin.google.comで、 メニュー > デバイス > ネットワーク に移動します。
      2. 「セキュア SCEP」に関連付けられているセクションをクリックします。
      3. 「セキュリティー・プロファイルの追加」をクリックします。
      4. 以下の構成設定を使用します。
        デバイス・プラットフォーム
        Chromebook (ユーザー)
        SCEP プロファイル名
        プロファイルの記述名です。 この名前は、プロファイルのリストに表示されます。
        サブジェクト名の形式
        「完全識別名 (Fully Distinguished Name)」 を選択して、構成値を指定します。
        サブジェクトの別名
        デフォルトは none (なし) です。 E メールを指定するには、「カスタム」を選択し、 「属性の追加」 ボタンをクリックします。 「サブジェクト代替名タイプ」 として RFC822 を選択し、値として ${USER_EMAIL} を指定します。
        単一アルゴリズム
        SHA256withRSA
        キー使用法
        キーの暗号化、デジタル署名。
        キー・サイズ (ビット)
        2048
        安全
        「Strict」 または 「Relaxed」を選択します。
        SCEP サーバー属性
        SCEP サーバー URL
        Verify テナントから提供された SCEP URLを使用してください。
        証明書の有効期間
        適切な有効期間を指定するか、デフォルト値のままにします。
        数日以内に更新
        適切な有効期間を指定するか、デフォルト値のままにします。
        チャレンジのタイプ
        「静的」 チェック・ボックスを選択し、適切なパスワードを指定します。
        認証局
        前のステップで作成した中間証明書プロファイルを選択します。
      5. セーブをクリック。
  16. 「次へ」を選択します。
  17. Google Cloud 証明書コネクターを構成します。
    リンクに記載されている手順1に従ってください: https://support.google.com/chrome/a/answer/11053129?hl=en
  18. 構成をテストします。
    指示に従います。
  19. 「セットアップの完了」を選択します。
    1. 設定を確認します。
    2. 「変更の保存」を選択します。