お問い合わせ
SECURITY NOTE — 040

Google Workspace MDMとSecure LDAP連携でオンプレミスデバイス認証をクラウド移行する実践ガイド

PUBLISHED2026.04.27
READ12 分
CATEGORYSECURITY

Google Workspace MDM(Endpoint Management)とSecure LDAPを組み合わせることで、オンプレミス環境のデバイス認証をクラウドへ移行し、管理を効率化できます。特にLinuxワークステーションのような多様なデバイスが混在する環境では、この連携がセキュアなハイブリッド管理を実現する鍵となります。

この記事を読んだほうが良い人

  • オンプレミス環境のデバイス認証をGoogle Workspace (GWS) に統合したい情シス担当者
  • ハイブリッド環境におけるデバイス認証の管理負荷を軽減したいと考えている方
  • Linuxワークステーションの認証と管理をGWSと連携させる方法を探している方
  • Google Workspaceのセキュリティ機能(MDM、Secure LDAP)の活用方法を知りたい方

なぜ今、オンプレミスデバイス認証のクラウド移行が必要なのか

多くの企業で、従業員が利用するデバイスはWindows、macOS、スマートフォン、そして特定用途のLinuxワークステーションなど多岐にわたります。これらのデバイス認証をオンプレミスのActive Directory (AD) などのLDAPサーバーで管理している場合、以下のような課題に直面しがちです。

  • 管理コストの増大: ADサーバーの運用・保守、証明書管理、複数拠点の同期など、維持に手間とコストがかかります。
  • セキュリティリスク: ADサーバーが単一障害点となるリスクや、パッチ適用遅延による脆弱性が懸念されます。リモートアクセスが増える中で、VPN経由での認証はボトルネックにもなり得ます。
  • リモートワークへの対応: 社外からのデバイス認証が複雑になり、ユーザーエクスペリエンスの低下やセキュリティホールの原因となることがあります。

Google Workspace (GWS) は、メールやカレンダー、ドキュメント作成ツールだけでなく、ID管理 (Google Cloud Identity) とデバイス管理 (Google Workspace Endpoint Management) の機能も提供しています。これらを活用することで、既存のオンプレミス認証基盤をクラウドへ移行・統合し、よりセキュアで効率的な管理体制を構築できます。

Google Workspace MDMとSecure LDAP連携の基本

オンプレミスデバイス認証をクラウドへ移行する際、Google Workspaceの主要な機能として「Secure LDAP」と「Google Workspace Endpoint Management (MDM)」が挙げられます。これらがどのように連携し、どのような役割を果たすのかを見ていきましょう。

Secure LDAPとは

Secure LDAPは、Google Cloud IdentityのユーザーディレクトリをLDAPサーバーとして利用できるようにするサービスです。これにより、オンプレミスのアプリケーションやデバイスが、Google Workspaceのユーザーアカウントとパスワードを使って認証できるようになります。

Secure LDAPの主な利用例:

  • NASやプリンターなどのネットワークデバイスへのユーザー認証
  • VPNへのユーザー認証
  • LinuxワークステーションのOSログイン認証

従来のLDAPサーバーの構築・運用が不要になり、Googleが管理するセキュアなインフラ上でLDAPサービスを利用できる点が大きなメリットです。

Google Workspace Endpoint Management (MDM) とは

Google Workspace Endpoint Management(旧称 Google Workspace MDM)は、組織のデバイスを管理・保護するための機能群です。スマートフォン、タブレット、ノートPCなど、従業員が利用する様々なデバイスに対してセキュリティポリシーを適用し、データの保護やアクセス制御を行います。

Endpoint Managementの主な機能:

  • デバイスの登録とインベントリ管理
  • パスワードポリシー、画面ロック設定の強制
  • リモートワイプ、デバイスロック
  • アプリケーション管理 (対応OSのみ)
  • コンテキストアウェアアクセス (CAA) によるアクセス制御

ただし、Endpoint Managementの機能はOSによって異なります。特にLinuxワークステーションの場合、WindowsやmacOSのようなOSレベルでの包括的な管理(例:GCPWのようなOSログインと同期するツール)は提供されていません。主にChromeブラウザのポリシー管理や、デバイスのセキュリティ状態をコンテキストアウェアアクセスに連携する用途での利用が中心となります。

連携によるハイブリッド環境の管理アーキテクチャ

Secure LDAPとEndpoint Managementを組み合わせることで、以下のようなハイブリッド環境の管理アーキテクチャを構築できます。

  1. IDの一元管理: ユーザーIDはGoogle Workspace(Google Cloud Identity)に集約されます。
  2. デバイス認証: Linuxワークステーションなどのオンプレミスデバイスは、Secure LDAPを介してGoogle WorkspaceのIDでユーザー認証を行います。
  3. デバイス管理: デバイス自体はGoogle Workspace Endpoint Managementに登録され、セキュリティポリシーが適用されます。Linuxの場合は、主にChromeブラウザの管理や、デバイスの基本的な情報(OSバージョン、最終同期時刻など)が収集されます。この情報がコンテキストアウェアアクセスと連携し、デバイスの状態に応じたアクセス制御が可能になります。

このアーキテクチャにより、ユーザーはGoogle WorkspaceのIDを使って様々なデバイスにログインでき、情シス担当者はクラウドベースでIDとデバイスの両方を管理できるようになります。

Linuxワークステーションにおける実践的な連携

ここでは、Linuxワークstationに焦点を当て、Secure LDAPとGoogle Workspace Endpoint Managementを連携させる具体的な手順とポイントを解説します。

1. Secure LDAPサービスの設定

まず、Google Workspace管理コンソールでSecure LDAPサービスを有効にし、LDAPクライアントを設定します。

  • Secure LDAPサービスの有効化:

    • Google 管理コンソールにログインします。
    • アプリ > LDAP に移動します。
    • 「LDAP クライアントを追加」をクリックします。
    • クライアント名(例: Linux Workstations)を入力し、必要な設定(アクセス権限、認証方法など)を行います。
    • 生成された認証情報(クライアントID、クライアントシークレット)は、Linux側でSecure LDAPに接続する際に必要になるため、安全に保管してください。

  • アクセス権限の設定:

    • どのユーザーやグループがSecure LDAP経由で認証できるかを設定します。組織部門やグループを指定して、アクセスを制限することが推奨されます。

詳細な手順は、Google Workspace管理コンソールのヘルプ「Secure LDAP サービスについて」を参照してください。

2. LinuxワークステーションでのSecure LDAPクライアント設定

LinuxワークステーションがSecure LDAP経由でGoogle Workspaceのユーザー認証を行うには、System Security Services Daemon (SSSD) を設定するのが一般的です。

SSSDのインストールと設定例 (Ubuntu/Debian系の場合)

  1. 必要なパッケージのインストール: bash sudo apt update sudo apt install sssd sssd-ldap libnss-sss libpam-sss

  2. SSSD設定ファイル (/etc/sssd/sssd.conf) の作成: Secure LDAPのクライアント認証情報と合わせて設定します。

    ```ini [sssd] domains = default config_file_version = 2 services = nss, pam

    [domain/default] id_provider = ldap auth_provider = ldap chpass_provider = ldap access_provider = ldap

    ldap_uri = ldaps://ldap.google.com ldap_search_base = dc=example,dc=com # あなたのGoogle Workspaceドメインに合わせて変更 ldap_default_bind_dn = clientid=YOUR_CLIENT_ID,dc=example,dc=com # Secure LDAPで生成したクライアントID ldap_default_authtok = YOUR_CLIENT_SECRET # Secure LDAPで生成したクライアントシークレット ldap_id_use_start_tls = False ldap_tls_reqcert = hard ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt # 必要に応じてCA証明書のパスを指定 ldap_schema = rfc2307 enumerate = false

    Google Workspaceのユーザー属性をマッピング

    ldap_user_object_class = posixAccount ldap_user_shell = /bin/bash ldap_user_home_directory = /home/%u ldap_user_principal = userPrincipalName

    ldap_group_object_class = posixGroup ldap_group_member = memberUid

    キャッシュ設定 (オフラインログイン用)

    cache_credentials = true debug_level = 0 # エラー発生時は debug_level = 9 などに上げてログを確認 `` *ldap_search_baseldap_default_bind_dndc=example,dc=comは、あなたのGoogle Workspaceドメインに合わせて適切に書き換えてください。例えば、drasenas.comであればdc=drasenas,dc=comとなります。 *YOUR_CLIENT_IDYOUR_CLIENT_SECRET` は、Google 管理コンソールでSecure LDAPクライアントを生成した際に得られる値に置き換えます。

  3. SSSD設定ファイルのパーミッション設定: セキュリティのため、sssd.conf は root のみに読み書き権限を与えます。 bash sudo chmod 600 /etc/sssd/sssd.conf

  4. nsswitch.conf の設定: ユーザーとグループの情報をSSSDから取得するように設定します。/etc/nsswitch.conf を編集し、passwd, group, shadow の行に sss を追加します。 text passwd: files systemd sss group: files systemd sss shadow: files sss

  5. PAM (Pluggable Authentication Modules) の設定: システムログイン時にSSSD経由で認証を行うようにPAMを設定します。 例えば、/etc/pam.d/common-auth を編集し、auth sufficient pam_sss.so を追加します。

    text auth [success=1 default=ignore] pam_unix.so nullok_secure auth requisite pam_deny.so auth optional pam_permit.so auth sufficient pam_sss.so # この行を追加 auth required pam_unix.so use_first_pass

  6. SSSDサービスの再起動と動作確認: bash sudo systemctl restart sssd sudo systemctl enable sssd Google WorkspaceのユーザーアカウントでSSHログインやsuコマンドを試すことで、認証が機能するか確認します。 id <google_workspace_username> コマンドでユーザー情報が取得できれば成功です。

3. Google Workspace Endpoint Management (MDM) の役割と限界

LinuxワークステーションをGoogle Workspace Endpoint Managementで直接的に「管理」する機能は、WindowsやmacOSほど包括的ではありません。しかし、以下の点でMDMが役立ちます。

  • Chromeブラウザの管理: Linux上のChromeブラウザに対して、Google Workspace管理コンソールからポリシー(拡張機能の強制、ブックマーク設定、セキュリティ設定など)を適用できます。これは、ユーザーがGoogleアカウントでChromeブラウザにログインすることで適用されます。
  • デバイス情報の収集: デバイスの基本的な情報(OSバージョン、最終同期時刻など)を管理コンソールで確認できます。これにより、デバイスのインベントリ管理に役立ちます。
  • コンテキストアウェアアクセス (CAA) との連携: Endpoint Managementに登録されたデバイス(たとえ一部の機能しか利用できなくても)は、そのセキュリティ状態をCAAに連携させることができます。例えば、特定のOSバージョンやセキュリティパッチが適用されているデバイスからのみ、機密情報へのアクセスを許可するといったポリシーを適用できます。

Linuxワークステーションに対する本格的なOSレベルのMDMを求める場合、AnsibleやChef、Puppetなどの構成管理ツールとの併用が現実的な選択肢です。Google Workspace MDMは認証基盤としてのSecure LDAPと組み合わせることで、セキュリティとアクセスポリシーの統合を強化する役割を担います。

AnsibleとGWSを組み合わせた補完構成

筆者が実務で採用しているアプローチは、「GWS = 認証・IDの責任者、Ansible = OS設定の責任者」と明確に役割分担する構成です。

レイヤー 使うツール 担う役割
認証 GWS Secure LDAP + SSSD 誰がログインできるかを制御
OS設定 Ansible SSH設定・パッケージ・セキュリティポリシーの統一
インベントリ管理 GAS + GWS グループ 管理対象デバイスの自動把握
アクセス制御 GWS CAA セキュリティ状態に応じたリソースアクセス制限

この構成で肝になるのは、「GWSのIDが正しくても、OSの設定が基準を満たさないとGWSリソースにアクセスできない」という二重構造を作れる点です。CAAポリシーで「Ansibleによるハードニング適用済みのデバイスのみ許可」という条件を設定すると、設定漏れのデバイスが自動的にアクセス制限を受けます。

以下は、LinuxワークステーションのSSH設定を一括ハードニングするAnsible Playbookの例です。

# hardening.yml - SSH設定の強化
- name: Linux Workstation SSH Hardening
  hosts: workstations
  become: true
  tasks:
    - name: パスワード認証を無効化
      lineinfile:
        path: /etc/ssh/sshd_config
        regexp: '^PasswordAuthentication'
        line: 'PasswordAuthentication no'
        backup: yes
      notify: restart sshd

    - name: ルートログインを禁止
      lineinfile:
        path: /etc/ssh/sshd_config
        regexp: '^PermitRootLogin'
        line: 'PermitRootLogin no'
      notify: restart sshd

    - name: 不要なサービスを停止
      service:
        name: "{{ item }}"
        state: stopped
        enabled: false
      loop:
        - avahi-daemon
        - cups
      ignore_errors: yes

  handlers:
    - name: restart sshd
      service:
        name: sshd
        state: restarted

GWSグループ連動のAnsibleインベントリ自動生成(GAS活用)

もう一歩進めると、GWSのグループメンバーシップをAnsibleのインベントリに自動変換するGASスクリプトを組めます。「Linuxワークステーション利用者グループ」にユーザーを追加するだけで、次回のAnsible実行でそのデバイスが管理対象に自動追加される仕組みです。

以下のスクリプトは、指定したGoogle Groupのメンバー一覧からAnsibleインベントリファイルを生成し、Google Driveに保存します。事前にGASプロジェクトの「サービス」から Admin SDK Directory API を有効化してください。

// GAS: GWS グループからAnsibleインベントリを自動生成
function generateAnsibleInventory() {
  const GROUP_EMAIL = 'linux-workstations@example.com'; // Linuxユーザー管理グループ
  const FOLDER_ID   = 'YOUR_DRIVE_FOLDER_ID';           // 保存先フォルダID

  const members = AdminDirectory.Members.list(GROUP_EMAIL).members || [];

  let inventoryLines = '[workstations]\n';
  members.forEach(member => {
    // メールアドレスの @ 前をホスト名として使用(命名規則がある前提)
    const user = member.email.split('@')[0];
    inventoryLines += `${user}.internal ansible_user=${user}\n`;
  });

  const folder  = DriveApp.getFolderById(FOLDER_ID);
  const dateStr = Utilities.formatDate(new Date(), 'Asia/Tokyo', 'yyyyMMdd');
  const fileName = `ansible-inventory-${dateStr}.ini`;

  // 同名ファイルがあれば削除して上書き
  const existing = folder.getFilesByName(fileName);
  while (existing.hasNext()) existing.next().setTrashed(true);

  folder.createFile(fileName, inventoryLines, MimeType.PLAIN_TEXT);
  Logger.log(`インベントリを生成しました: ${fileName}`);
}

時間トリガーを設定(例: 毎日深夜)すれば、GWSのグループ変更がAnsibleのターゲット管理に自動反映されます。入退社対応でGWSのグループを更新するだけで、翌朝のAnsible実行から新しいデバイスが管理対象に入る運用が実現します。

4. ハイブリッド環境での管理戦略

Secure LDAPとEndpoint Managementを組み合わせたハイブリッド環境では、以下のような管理戦略が考えられます。

  • ユーザー認証の一元化: すべてのデバイスでGoogle WorkspaceのIDを使ってユーザー認証を行う。
  • アクセス制御の強化: コンテキストアウェアアクセスを活用し、デバイスのセキュリティ状態、ユーザーの場所、IPアドレスなどに基づいてGoogle Workspaceアプリへのアクセスを制御する。
  • ブラウザ環境の標準化: Chromeブラウザの管理ポリシーを適用し、セキュリティリスクを低減する。
  • Linuxデバイスの補完管理: Secure LDAPで認証をクラウド化しつつ、OSレベルの管理は構成管理ツールなど既存のLinux管理手法と併用する。

連携のメリットと考慮点

メリット

  • セキュリティ強化: Google Workspaceの多要素認証 (MFA) やコンテキストアウェアアクセス (CAA) を活用し、デバイス認証とアクセス制御を強化できます。
  • 運用効率化: オンプレミスのLDAPサーバー運用から解放され、IDとデバイスの管理を一元化できます。
  • リモートワーク対応: 社内外問わず、Google WorkspaceのIDでセキュアにデバイス認証が行えるため、リモートワーク環境での管理が容易になります。
  • コスト削減: オンプレミスサーバーのハードウェア、ソフトウェア、運用コストを削減できます。

考慮点

  • 既存システムとの互換性: Secure LDAPは標準的なLDAPプロトコルをサポートしますが、既存のアプリケーションやデバイスが特定のLDAP拡張機能に依存している場合、互換性の確認が必要です。
  • 移行コストと学習コスト: 既存の認証システムからSecure LDAPへの移行には、設定変更やテストが必要です。情シス担当者の学習コストも考慮する必要があります。
  • GWS MDMの機能限界 (OSによる差): 特にLinuxワークステーションの場合、Google Workspace Endpoint Managementが提供する機能は、WindowsやmacOSと比較して限定的です。この点を理解し、必要に応じて他の管理ツールとの併用を検討することが重要です。
  • インターネット接続への依存: Secure LDAPおよびEndpoint Managementはクラウドサービスであるため、デバイスがインターネットに接続されている必要があります。オフライン時の認証やポリシー適用については、cache_credentials設定や、GCPWのようなオフライン機能を持つツールの利用(Windowsの場合)を検討します。

まとめ: クラウド移行で実現するセキュアなデバイス認証

Google WorkspaceのSecure LDAPとEndpoint Managementを組み合わせることで、オンプレミス環境のデバイス認証をセキュアにクラウドへ移行し、管理の効率化を図ることが可能です。特にLinuxワークステーションのような多様なデバイスが混在する環境では、Secure LDAPによるユーザー認証のクラウド化は大きなメリットをもたらします。

Linuxに対するGWS MDMの限界は、Ansibleによる構成管理と役割分担することで補えます。「GWSでIDと認証を管理し、AnsibleでOS設定を管理し、CAAで両者の状態を統合してアクセス制御する」という三層構造が、現時点での最も現実的なアプローチです。GASを使ったインベントリ自動生成まで組み込めば、入退社時のオペレーションコストも大幅に下がります。

まずはスモールスタートで一部のデバイスやユーザーからSecure LDAPの導入を試み、その効果を検証しながら段階的に移行を進めることをお勧めします。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。