概要
Google Workspace(のCloudIdentity)アカウントでWindowsにログインできます。
OSログイン時のMFA、Google ChromeでのSSOが可能になります。
背景
利用者(社?)を滅多に見かけないGoogle Workspaceの中で、更に使われないGCPW(Windows用 Google 認証情報プロバイダ)を個人的に使っているので備忘録として記事にします。
やりかた
前提条件
Google Workspaceは適当に契約してください。
CloudIdentityが使えればいいので、触ってみたいだけの方はFree版でも大丈夫です。
申込みの過程でCNAMEの設定可能なドメインが必要になります。適当なドメインを取得しておいてください。
ログインするWindowsは、Windows10または11でProエディション以上である必要があります。
Google管理コンソール
Google管理コンソールにログインします。
左ツリーの[デバイス]-[モバイルとエンドポイント]-[設定]-[Windows]を開きます。
[Windows用Google認証情報プロバイダ(GCPW)の設定]にある展開ボタンをクリックします。
[許可されたドメイン]をクリックします。
ドメイン名を入力して[ドメインを追加]をクリック、最後に[保存]をクリックします。
設定が反映されたら[GCPWのダウンロード]をクリックします。
インストール対象のOSにあわせてGCPWクライアントをダウンロードします。
ダウンロードしたインストーラを対象のWindowsにコピーします。
複数のPCをキッティングする場合でもインストーラは使い回せます。
Windows
対象のWindowsにログインします。
まず、Windowsに設定されているパスワードポリシーをスカスカに設定します。
ドメインに参加しているWindowsはGPO、WORKGROUPのWindowsはローカルグループポリシーエディターを使います。
次にGoogle Chromeをインストールします。
Microsoft Edgeが入っているからChromeなくてもいいでしょと思ってこの手順を無視すると失敗します。
最後にGCPWをインストールします。
ダウンロードしたインストーラを実行するとインストールが開始され終了します。ユーザー操作はありません。
完了すると次の画面が表示されます。
動作確認
導入は終わりましたので、Google Workspaceのアカウントでログインできることを確認します。
キッティングに使用したアカウントをサインアウトし、ログイン画面に移動します。
左下の[仕事用アカウントを追加]をクリックし、中央の右矢印をクリックします。
CloudIdentityに登録されているメールアドレスとパスワードを入力しWindowsにログインします。
おまけ
MFAの設定
Google管理コンソールの[ディレクトリ]-[ユーザー]-[<対象ユーザー>]-[2段階認証プロセス]を[オン]にすると、上記の認証画面でMFAが要求されるようになります。
GCPWのその他の設定
GCPWはいくつか他の機能がありますが、[オフライン アクセス]は割と優秀です。
Windowsのキャッシュログオンは期限指定ができないので、キャッシュログオン自体を塞ぐか無期限でキャッシュログオンできるまま諦めるかしかないのですが、この機能を使うと、「一定期間であればオフラインでもログインできるがある日数過ぎるとGoogleに認証にいかないとログインできなくなる」ということが可能になります。
参考
Windows 用 Google 認証情報プロバイダをインストールする – Google Workspace 管理者 ヘルプ
概要: Windows 向けの高度なデスクトップ セキュリティ – Cloud Identity ヘルプ
Windows 10 または 11 デバイスに設定を適用する
コメント