(2026.1.29 記)
昨今GIGAスクール等でChromebookを大量展開する事案が増えたと感じます。
様々なChromebook展開案件を通し、どのように大量キッティングしているのかおおよそ理解できたので、今後の為にメモとして残そうという趣旨の記事です。
ここでは特に、Windowsのクローニングとどのように異なるのかわかりやすくまとめてみました。
Windowsの「マスターPC作成→イメージ展開」という文化で育ったエンジニアの私にとって、Chromebookの展開は違いが多くちょっと混乱しましたね。。。
この記事はあくまでも、一般的に公開されている情報について、これから初めてChromebookの大量展開着手したい人向けにまとめた情報になります。
※内容的に有料級の記事ですが、それだと仕事にならなくなるので、あえて実際の操作画面や動画は載せていません
1.基礎知識:Windows vs Chromebook 比較
| 比較項目 | Windows (クローニング) | Chromebook (プロビジョニング) |
| 設定データの持ち方 | 端末内のHDD/SSDイメージ (ハード) | Google 管理コンソール (クラウド) |
| 展開手法 | イメージの流し込み (Sysprep等) | ゼロタッチ登録 (自動紐付け) |
| ライセンス | OSライセンス + 資産管理ソフト | Chrome Education / Enterprise Upgrade |
| アプリ導入 | インストーラー実行 / 焼き込み | コンソールからの「自動プッシュ」 |
大きな違いは、Chromebookは機器自体の設定が無く、「管理コンソール」上で設定した内容をデータとして配布、各端末がログイン時にその設定が適応されるという点です。
イメージ的には、グループポリシーの適用に似ていますね。
2.ライセンスの体系と買い方
「管理コンソールの使用権」を購入するイメージです。
種類:
- 一般企業: Chrome Enterprise Upgrade(年額または買い切り)
- 教育機関: Chrome Education Upgrade(買い切り) ※学校案件はこれ。
買い方:
- 顧客のGoogle Workspaceドメイン(@school.ed.jpなど)を確認
- 認定パートナー(ディストリビューター)へ、ドメイン名と必要数を伝えて発注
- ライセンスは物理納品ではなく、管理コンソールへ直接付与される
3.展開フロー(ゼロタッチ登録:ZTE)
以下からは、仮に500台の端末を一斉展開するときの流れで説明します。
500台規模なら、1台ずつ手動登録ではなく、「ゼロタッチ登録」手法を行うと良いです。
- 設計: 管理コンソールでOU(組織部門)、Wi-Fi、アプリ、セキュリティ設定を定義
- 紐付け: 代理店が端末のシリアル番号をGoogleのDBに登録
- 出荷: 端末をキッティングセンター、またはユーザーへ配送
- 発動: ユーザーがWi-Fiに繋いだ瞬間、管理ポリシーが強制適用される
4.キッティングセンターでの工程と工数
ここでも仮に500台の端末を一斉展開するときの流れで説明します。
以下は、代理店として「動作確認」を行ってから出荷する場合のモデルケースです。
※作業スピードなどは実際に行った際の肌感になります。作業者のレベルによって変動させてください。
作業工程とスピード感(1人日 = 80~100台)
- 工程: 開梱 → 通電 → Wi-Fi接続 → 管理下に入ったかの確認 → 物理チェック → 梱包等
- 所要時間: 1台あたり約5分(動確だけ)
- OSアップデート: 管理コンソールの「自動更新」をオンにしておけば、Wi-Fi接続中にバックグラウンドで完了する
動作確認の中には、アップデートや管理番号シール貼り、箱出し等様々な付帯作業を伴う場合があります。
これらは状況に応じで所要時間を加算し、時間のバッファを設けておくと首が締まらなくて良いです。
全体工数見積もり(例)
| フェーズ | 主な作業 | 想定工数 |
|---|---|---|
| 上流設計 | 要件定義、OU設計、ポリシー作成 | 3〜5人日 |
| 環境構築 | 管理コンソールの初期設定 | 1人日 |
| 検証 | テスト機での挙動確認(運用テスト) | 2人日 |
| 物理作業 | 500台の検品・疎通確認・発送 | 5〜7人日 |
※Chromebookキッティングの「上流設計」の経験が無いので、ここはWindowsクローニング時の工数を入れています。たぶん同じようなことを行うと思うので・・・
非機能要件
大量に請け負うにあたり、場所やインフラ環境といった非機能の要件をクリアする必要、または準備、注意する必要があります。
次の3項目に分けて、確認しておきたい点をまとめてみました。
【準備物】
- 顧客ドメインの管理者権限を確保、またはパートナー連携を承認したか
- 組織部門(OU)は適切に分かれているか(生徒用、教職員用など)
- 必須アプリは「自動インストール」に設定したか
- 壁紙や資産管理用のタグ設定は完了したか
【OS・ネットワーク】
- OSのバージョン指定(LTSチャネル等)は適切か
- 現地のWi-Fi設定をコンソールに登録したか(パスワード入力の手間を省く)
- 受注台数分、一斉更新に耐えられるネットワーク帯域があるか
【納品時】
- ゼロタッチ登録のトークンはディストリビューターに共有したか
- 予備機(1〜2%程度)のライセンスも確保したか
- 検品後の端末を「配送モード(バッテリ保護)」に戻したか
5.お勧めの設定等
作業していて、「この設定内容は覚えておくとどこかで提案できそうだな~」と思ったことをまとめたものです。
4-1.管理コンソールの設定画面:主要3エリア
管理コンソール(admin.google.com)で最も頻繁に触れるのは、[デバイス] > [Chrome] > [設定] の配下にある以下の3つの画面です。
① ユーザーとブラウザの設定
「誰がログインしても適用されるブラウザ挙動」を定義します。
- 画面の特徴: お気に入り(ブックマーク)、拡張機能、閲覧制限などを設定
- ポイント: 特定のGoogleアカウントでログインした際に有効になる設定
② デバイスの設定
「ハードウェアそのもの」に対する制御を定義します。
- 画面の特徴: ログイン画面の挙動、Wi-Fi、OSのアップデート、USBの制限など
- ポイント: 誰がログインしても、あるいはログイン前でも有効になる物理的な制限
③ アプリと拡張機能
アプリの「強制配布」を管理します。
- 画面の特徴: インストールするアプリのリストと、それがタスクバーに固定されるかどうかを設定
4-2.おすすめのセキュリティ設定値(推奨値一覧)
500台規模の学校や一般企業で「とりあえずこれを設定しておけば安全」という推奨値を、Windowsエンジニアに馴染みのある表現でまとめました。
① ログイン・アクセス制御(デバイスの設定)
| 設定項目 | 推奨値 | 理由(Windows的な解釈) |
|---|---|---|
| ゲストモード | 無効 | 匿名利用を禁止し、ADユーザーのような管理状態を維持するため |
| ログイン制限 | 自社ドメインのみ | 個人のGmailでのログインを封じ、情報の持ち出しを防ぐため |
| ユーザーデータの消去 | すべてのログアウト時に消去 | (共有PCの場合のみ)ローカルにデータを残さず、常にクリーンな状態になるため |
② ハードウェア・外部接続(デバイスの設定)
| 設定項目 | 推奨値 | 理由 |
|---|---|---|
| USB外部ストレージ | 読み取り専用 or ブロック | USBメモリによるウイルス混入やデータ抜き出しを防止するため |
| スクリーンロック | スリープ時にロック | 離席時の第三者による操作を防止するため |
| 確認済みブートの強制 | 有効(デフォルト) | OSが改竄されていないか起動時に毎回チェックし、OSを正常な状態に保つため |
③ ネットワーク・ブラウザ(ユーザーとブラウザの設定)
| 設定項目 | 推奨値 | 理由 |
|---|---|---|
| URLブロック(ブラックリスト) | ギャンブル、アダルト等 | WindowsのWebフィルタリングソフトの代わりにするため |
| シークレットモード | 無効 | 履歴を残さない通信を制限し、トラブル時の追跡を可能にするため |
| セーフブラウジング | 常に有効 | フィッシング詐欺サイトへのアクセスをGoogleのDBで自動遮断するため |
4-3.キオスクモード
① キオスクモードとは?
特定のアプリ(またはWebサイト)だけが全画面で起動し、ユーザーがそのアプリを閉じたり、他の設定をいじったりすることが一切できない状態にする機能の事です。
主な用途:
- 教育: CBT(コンピュータベースの試験)で他のサイトを見られないようにする
- 店舗: 受付端末、デジタルサイネージ、注文用タブレット
- 工場/倉庫: 在庫管理システム専用機。
- 特徴:
- ログイン画面(ID/PW入力)すら出さずに、電源オンで即アプリが起動するように設定可能(自動起動)。
- キーボードのショートカット(Ctrl+Nで新しい窓を開くなど)も無効化。
② キオスクモードの設定手順
管理コンソールの [デバイス] > [Chrome] > [アプリと拡張機能] > [キオスク] から設定します。
- アプリの追加:「Chromeウェブストア」「Google Play」「URL(Webサイト)」のいずれかから、専用に動かしたいアプリを選ぶ
- 自動起動の設定:「キオスク アプリの自動起動」の設定を、追加したアプリに変更
- 動作設定のカスタマイズ:「ユーザーによるウィンドウの操作を許可する」か「ステータス領域(時計やWi-Fi情報)を表示するか」などを選ぶ
③ おすすめの「キオスク」設定パターン
利用シーンに合わせて、以下の2種類の使い分けが一般的です。
A. Webサイトをキオスク化(デジタルサイネージ・受付)
特定のURL(例:メニュー表、自社の受付システム)をアプリとして登録します。
- メリット: Webベースのシステムなら、開発不要で即座に専用端末化可能
- 推奨設定: 「ステータス領域の無効化」を行うと、ユーザーがWi-Fiを切り替えたり時計を触ったりできなくなり、より「専用機」らしくなる
B. 試験用ブラウザ(教育機関)
「Test Nav」や「Safe Exam Browser」などの試験用アプリを指定します。
- メリット: 試験中にブラウザの戻るボタンを押したり、検索して答えを探したりする不正を物理的に防げる
④ 運用上の注意点とコツ(代理店向け)
キオスク端末化にはいくつか注意点があります。
- キオスク専用OUの作成:
通常の学習用・業務用端末と「キオスク用端末」は、必ず管理コンソール上の組織部門(OU)を分けて管理してください。OUを分けないと、全端末がキオスク化してログインできなくなる大事故に繋がる - メンテナンス方法:
キオスクモードを解除して通常設定に戻すには、管理コンソールで端末を別のOUに移動させるだけでOK(端末側を直接操作する必要なし) - 電源設定:
サイネージなどで使う場合は、[デバイスの設定] で「AC電源接続時にスリープしない」を有効にしておくのが鉄則
4-4.URLフィルタリングの基本設定(2種類)
管理コンソールの [デバイス] > [Chrome] > [設定] > [ユーザーとブラウザの設定] 内にある「コンテンツ」セクションで設定します。
① URL ブロック(ブラックリスト方式)
特定のサイトを見せたくない場合に、URLを入力します。
- 設定例:
facebook.com,youtube.com - ワイルドカード:
*(アスタリスク)が使えます。例えば*.solitaire.comと入れればサブドメイン含めすべてブロックできる
② URL ブロックの例外(ホワイトリスト方式)
「原則すべて禁止だが、特定の教育サイトだけ見せたい」という強力な制限をかける際に使います。
- やり方:
- 「URLブロック」に
*と入力(これでインターネット全遮断) - 「URLブロックの例外」に、許可するサイト(例:
google.com,wikipedia.org)を入力
※ フィルタリングの注意点
反映の優先順位
URLフィルタリングは「ユーザーポリシー」です。
- AさんがログインすればAさんの制限、BさんがログインすればBさんの制限がかかる
- 共有PCを複数のOU(組織)で使い回す場合、誰がログインするかによって見れるサイトが変わることに注意
ブラウザ以外(Androidアプリ)への影響
管理コンソールのURLフィルタリングは、Chromeブラウザ内のみに有効です。
- 注意点: もしAndroid版の別ブラウザや、独自に通信するアプリを許可している場合、そこでの通信はフィルタリングをすり抜けてしまう
- 対策: 基本的にAndroidアプリのブラウザ利用は禁止し、Chromeブラウザに一本化するのが鉄則
4-5.有害サイトへのアクセスを阻止したい
Windowsの場合、以前はプロキシサーバーを立てたり、有料のフィルタリングソフトを1台ずつインストールしていましたが、Chromebookなら追加費用ゼロ・数クリックでかなり強力な対策が可能です。
ユーザーに提案できそうな、3つの主要なアプローチを整理してみました。
① Googleセーフブラウジングの強制(基本)
Googleが世界中のWebサイトをスキャンして構築している「危険なサイト(フィッシング、マルウェア配布等)」のデータベースを利用します。
- 設定方法:
ユーザーとブラウザの設定>セーフブラウジングを 「常に有効にする」 に設定 - メリット: 管理者がリストを作らなくても、Googleが日々更新する最新の脅威からリアルタイムで守ることが可能
② カテゴリベースのフィルタリング(サードパーティ連携)
管理コンソールの標準機能は「URLを直接指定する」必要がありますが、「ギャンブルサイト全部」「アダルトサイト全部」を管理者が1つずつ登録するのは不可能です。
そこで、多くの代理店が以下のいずれかを提案するのをよく見ました。
A. 有料フィルタリングサービスの導入(日本で主流)
- サービス例: i-FILTER ブラウザー&クラウド、InterSafe GatewayConnectionなど
- 仕組み: Chrome拡張機能として導入
- メリット: 「SNS」「ゲーム」「掲示板」といったカテゴリ単位で一括ブロックでき、日本国内の有害サイトに強力に作用
B. DNSフィルタリング(手軽・安価)
- サービス例: Cisco Umbrella、Cloudflare Gatewayなど
- 仕組み: 管理コンソールから、端末が参照するDNSサーバーをこれらに指定
- メリット: ブラウザだけでなく、システム全体の通信をドメインレベルで遮断可能
③ 「検索結果」をクリーンにする(Google検索・YouTube)
サイトへの直接接続だけでなく、検索結果に不適切な画像や動画が出るのを防ぐ設定です。
- Google セーフサーチの強制: 不適切なコンテンツを検索結果から除外
- YouTube 制限付きモード 「強」に設定: 教育に不適切な動画を排除し、動画のコメント欄も自動で非表示に
これだけで、YouTubeを「娯楽」から「教材」へと変えることが可能です。
④ 代理店がユーザーへ説明するための「3段階の提案」
見積もりや提案書を作成する際、以下のように段階を分けて提示するとユーザーは選びやすくなります。
所謂、松竹梅ってやつです。
| 対策レベル | 内容 | コスト | おすすめのユーザー |
|---|---|---|---|
| レベル1(標準) | 管理コンソールでのURLブロック + セーフサーチ強制 | 無料 | 予算がなく、特定のサイト(SNS等)だけ止めたい場合 |
| レベル2(推奨) | レベル1 + 有料フィルタリング(i-FILTER等) | 月額数百円 | 学校・自治体・厳格な企業などカテゴリ別管理が必須な場合 |
| レベル3(堅牢) | レベル2 + ホワイトリスト運用(許可サイト以外全遮断) | 無料〜 | 塾の自習室、受付端末、特定の業務専用端末 |
運用上のアドバイス:フィルタリングを抜ける「裏技」を塞ぐ
最近の学生や賢いユーザーは、「Webプロキシサイト」や「VPN拡張機能」を使って制限を回避しようとします。
- 対策: 管理コンソールの
アプリと拡張機能設定で、「すべての拡張機能をブロックし、許可したものだけをインストール可能にする」 設定することで、「回避用アプリ」を勝手に入れられることを防ぐことが可能
最後に
Windowsと異なり、物理的なコピー作業から解放されるのがいいですね。
その分、ユーザーがいかにストレスなく使い始められるか(Wi-Fiが自動で繋がるか、必要なアプリがデスクトップにあるか)の「論理設計」に工数を割くのがミソと感じました。
流石に商売なので明確な工数や金額は出せませんが、どうやってChromebookを大量キッティングしているのか想像がついたら幸いです。
コメント