お問い合わせ
SECURITY NOTE — 050

Google Workspace MDMで共有デバイスを最適管理:会議室タブレット・受付キオスクのポリシー設計

PUBLISHED2026.05.01
READ11 分
CATEGORYSECURITY

Google WorkspaceのMDM(Mobile Device Management)は、従業員の個人デバイス管理に加えて、会議室タブレットや受付キオスクといった共有デバイスの管理にも活用できます。これらの共有デバイスに特化したポリシー設計は、セキュリティリスクの低減と運用効率の向上に貢献します。

この記事を読んだほうが良い人

  • 100名規模の企業で、会議室タブレットや受付キオスクの管理を担当している情シス担当者
  • 共有デバイスを共通アカウントで運用しており、セキュリティリスクを感じているが対策ができていない方
  • Google Workspace MDMの個人デバイス管理と共有デバイス管理の違いについて理解を深めたい方
  • ChromeOSデバイスやAndroidタブレットをキオスクモードで運用する方法を知りたい方

共有デバイス管理の課題とGoogle Workspace MDMの役割

多くの企業で、会議室の予約用タブレットや来客受付用のキオスク端末、共同利用PCなどが導入されています。これらのデバイスは特定の個人に紐づかない「共有デバイス」として運用されることが一般的です。しかし、その管理方法には特有の課題が存在します。

「共通アカウント運用」が抱えるセキュリティリスク

共有デバイスを運用する際、最も手軽な方法として「共通アカウント」を使用することが挙げられます。例えば、「会議室アカウント」や「受付アカウント」といった専用のGoogle Workspaceアカウントを作成し、複数の共有デバイスでログインするケースです。この運用には以下のようなセキュリティリスクが伴います。

  • 退職者アカウントの残存リスク: 共通アカウントのパスワードを知る従業員が退職した場合、そのアカウント情報を悪用される可能性があります。パスワードを定期的に変更しても、変更漏れや周知不足のリスクが残ります。
  • 権限の過剰付与: 共通アカウントに、デバイスの運用に必要な最小限以上の権限が付与されている場合、不正アクセスや情報漏洩のリスクが高まります。
  • 操作ログの特定困難: 誰がいつ、どのデバイスでどのような操作を行ったかの特定が難しくなります。セキュリティインシデント発生時の原因究明や監査が困難になる要因です。
  • デバイスの紛失・盗難リスク: 共有デバイスが紛失または盗難された際、共通アカウントでログインされたままになっていると、内部情報にアクセスされる危険性があります。

これらのリスクを低減し、よりセキュアで効率的な運用を実現するために、Google Workspace MDMによる共有デバイス管理が有効です。

Google Workspace MDMが提供する共有デバイス管理機能

Google Workspace MDMは、共有デバイス向けに以下のような機能を提供します。

  • キオスクモード(専用デバイスモード): デバイスの用途を特定のアプリケーションに限定し、他の操作をロックダウンする機能です。会議室予約アプリや受付システム専用端末として利用する際に適しています。
  • 一時ユーザーセッション(管理対象ゲストセッション): ユーザーがサインアウトすると、そのセッションのデータがすべて消去される設定です。これにより、個人情報や閲覧履歴がデバイスに残ることを防ぎます。
  • アプリケーションの許可と制限: 共有デバイスで使用できるアプリケーションを限定し、不要なアプリのインストールや実行を禁止します。
  • 組織部門(OU)によるポリシー分離: 共有デバイスを専用の組織部門に配置することで、個人利用デバイスとは異なるポリシーを適用し、管理を簡素化します。
  • リモートでのデバイスワイプ・ロック: デバイスの紛失や盗難時に、遠隔からデータを消去したり、デバイスをロックしたりして情報漏洩を防ぎます。

これらの機能を活用することで、共有デバイスのセキュリティを強化し、運用負荷を軽減できます。

共有デバイス向けOU設計の基本

Google Workspaceの管理において、組織部門(OU: Organizational Unit)は非常に重要な概念です。共有デバイスを管理する際も、OUを適切に設計することで、ポリシー適用や管理の柔軟性が向上します。

組織部門(OU)でデバイスを分離する理由

共有デバイスを専用のOUに配置することには、以下のメリットがあります。

  • ポリシーの分離: 共有デバイスにのみ適用したいキオスクモードやアプリ制限などのポリシーを、個人利用デバイスとは独立して設定できます。これにより、意図しないポリシーの適用を防ぎ、管理の複雑さを軽減します。
  • 管理の簡素化: 共有デバイスの数が増えても、専用OUにまとめて管理できるため、デバイスの追加や削除、設定変更が容易になります。
  • セキュリティの強化: 共有デバイスに特化したセキュリティポリシーを厳格に適用することで、潜在的なリスクを最小限に抑えられます。

共有デバイス専用OUの設計例

一般的なOU設計では、ユーザーOUとデバイスOUを分けて管理することが推奨されます。共有デバイスの場合は、デバイスOUの下に専用のOUを作成するのが基本です。

example.com (ルートOU)
├── Users
│   ├── Sales
│   ├── Marketing
│   └── IT
└── Devices
    ├── Company-Owned (個人利用PCなど)
    └── Shared
        ├── ChromeOS-Kiosk (会議室タブレット、受付キオスクなど)
        └── Android-Dedicated (デジタルサイネージ、工場内端末など)

この例では、Devices/Shared OUの下に、さらにデバイスの種類に応じたOUを作成しています。これにより、ChromeOSデバイスとAndroidデバイスで異なるMDMポリシーを適用できるようになります。

ChromeOSデバイスをキオスクモードで運用する

ChromeOSデバイスは、ChromebookやChromebox、Chromebaseなど、幅広い形態で提供されており、キオスクモードでの運用に非常に適しています。会議室の予約端末や受付の案内板などに活用できます。

ChromeOSキオスクモードの概要

ChromeOSのキオスクモードは、デバイスの起動時に自動的に特定のWebアプリやAndroidアプリをフルスクリーンで実行し、他の操作を制限する機能です。ユーザーがデバイスの他の機能にアクセスできないようにロックダウンし、単一目的の専用端末として運用できます。

管理コンソールでの設定手順

ChromeOSデバイスをキオスクモードで運用するには、以下の手順でGoogle Workspace管理コンソールから設定します。

  1. 管理コンソールにログイン: admin.google.com にアクセスし、管理者アカウントでログインします。
  2. デバイスの登録: 新しいChromeOSデバイスを組織に登録します。
  3. OUへの移動: 対象のChromeOSデバイスを、共有デバイス専用に作成したOU(例: Devices/Shared/ChromeOS-Kiosk)に移動します。
  4. キオスク設定の適用:
    • 管理コンソールで「デバイス」>「Chrome」>「設定」>「デバイス設定」に移動します。
    • 共有デバイス専用OUを選択し、キオスクモードの項目を探します。
    • キオスクアプリ管理」で、自動起動させたいWebアプリやAndroidアプリを追加します。
    • 自動起動キオスクアプリ」で、追加したアプリの中から起動時に自動で実行するアプリを選択します。
    • アプリの自動更新」を有効にして、アプリを常に最新の状態に保ちます。
    • 公開セッション」の設定を調整し、一時ユーザーセッションの挙動を定義します。
    • 設定を保存します。

デバイスが再起動すると、指定したアプリが自動的に起動し、キオスクモードで運用されます。

一時ユーザーセッション(管理対象ゲストセッション)の活用

ChromeOSデバイスでは、キオスクモードに加えて「一時ユーザーセッション(Managed Guest Session)」を設定することも可能です。これは、ユーザーがサインアウトするとセッションデータがすべて消去されるゲストモードで、公共のPCや図書館の端末のように利用履歴を残したくない場合に有効です。

一時ユーザーセッションは、管理コンソールの「デバイス」>「Chrome」>「設定」>「デバイス設定」の「公開セッション」項目で設定できます。ユーザーがサインインせずに一時的にデバイスを利用できる環境を提供し、プライバシー保護とデータ消去を自動化します。

Androidデバイスを専用デバイス(キオスクモード)として運用する

Androidタブレットやスマートフォンも、Google Workspace MDMを通じて専用デバイス(Dedicated Device)として運用できます。受付キオスク、デジタルサイネージ、工場や倉庫での業務専用端末などに活用できます。

Android専用デバイス(Kioskモード)の概要

Android Enterpriseの「専用デバイス」は、デバイスの用途を特定のアプリに限定し、ホーム画面、通知、設定などへのアクセスを制限するモードです。デバイスが単一目的の端末として機能するようにロックダウンします。これにより、従業員が業務に関係のないアプリを使用したり、デバイスの設定を意図せず変更したりすることを防ぎます。

管理コンソールでの設定手順

Androidデバイスを専用デバイスとして運用するには、以下の手順でGoogle Workspace管理コンソールから設定します。

  1. 管理コンソールにログイン: admin.google.com にアクセスし、管理者アカウントでログインします。
  2. Androidデバイスの登録: AndroidデバイスをGoogle Workspaceに登録します。初期設定時にQRコードやゼロタッチ登録などを使用して、専用デバイスとしてプロビジョニングします。
  3. OUへの移動: 対象のAndroidデバイスを、共有デバイス専用に作成したOU(例: Devices/Shared/Android-Dedicated)に移動します。
  4. Android設定の適用:
    • 管理コンソールで「デバイス」>「モバイルとエンドポイント」>「設定」>「Android設定」に移動します。
    • 共有デバイス専用OUを選択し、「専用デバイス(旧キオスクモード)」の項目を探します。
    • デバイスモード」を「専用デバイス」に設定します。
    • 許可されているアプリケーション」で、専用デバイスとして利用を許可するアプリ(会議室予約アプリ、受付システムアプリなど)を追加します。
    • システム設定の制限」で、Wi-Fi設定やBluetooth、カメラなどの使用を制限できます。
    • シングルアプリモード」を有効にして、特定のアプリのみを常に前面に表示させることも可能です。
    • 設定を保存します。

デバイスがGoogle Workspaceと同期されると、設定したポリシーが適用され、専用デバイスとして機能します。

アプリケーションの許可と制限

Android専用デバイスでは、利用できるアプリケーションを厳密に制御することが重要です。管理コンソールの「Android設定」内で、許可するアプリのリストを指定できます。

  • 許可するアプリ: Google Playストアからインストールできるアプリや、社内開発のプライベートアプリを指定します。
  • プライベートアプリの公開: 社内開発アプリは、Google Play Consoleを通じてGoogle Workspace組織に限定公開することで、管理コンソールから配布・管理できます。

これにより、共有デバイスが不要なアプリで乱雑になるのを防ぎ、セキュリティリスクを低減できます。

共有デバイス管理の注意点と制約

Google Workspace MDMによる共有デバイス管理は非常に強力ですが、導入前にいくつかの注意点と制約を理解しておく必要があります。

エディション要件と対応デバイス

  • Google Workspaceエディション: Android Enterpriseの専用デバイス機能は、Google Workspace Business Standard以上のエディションで利用できます。ChromeOSのデバイス管理機能は基本的なものであれば多くのエディションで利用可能ですが、高度なキオスク機能や管理対象ゲストセッションのフル活用には、Chrome Enterprise Upgradeや特定のGoogle Workspace Enterpriseエディションが必要な場合があります。導入前に、現在のエディションで必要な機能が利用可能かを確認することが重要です。
  • 対応デバイス: Android専用デバイスとして運用するには、Android 5.0 Lollipop以降を搭載したAndroid Enterprise対応デバイスが必要です。ChromeOSデバイスは基本的にすべてMDM管理の対象ですが、古いモデルでは一部機能に制約がある可能性があります。

導入前の計画とテストの重要性

共有デバイスのMDM導入は、運用中の業務に大きな影響を与える可能性があります。以下の点を考慮し、慎重な計画とテストを実施することが成功の鍵となります。

  • 要件定義: 共有デバイスの用途、必要なアプリ、セキュリティ要件を明確にします。
  • OU設計の検討: 既存のOU構造との整合性や、将来的な拡張性を考慮して専用OUを設計します。
  • テスト環境での検証: 実際のデバイスとポリシー設定を用いて、運用前に十分なテストを実施します。特に、キオスクモードでのアプリ動作や、一時ユーザーセッションでのデータ消去が期待通りに行われるかを確認します。
  • ユーザーへの説明: 共有デバイスの利用方法が変更される場合は、事前にユーザーへ周知し、必要に応じてトレーニングを実施します。

これらの準備を怠ると、導入後に予期せぬトラブルが発生したり、ユーザーからの問い合わせが増加したりする可能性があります。

まとめ:セキュリティと運用効率を高める共有デバイス管理

Google Workspace MDMを活用した共有デバイス管理は、会議室タブレットや受付キオスク、共同利用PCといったデバイスのセキュリティと運用効率を大きく向上させます。共通アカウント運用によるリスクを排除し、キオスクモードや一時ユーザーセッション、アプリケーション制限といった専用ポリシーを適用することで、デバイスを安全かつ効果的に活用できます。

適切なOU設計に基づき、ChromeOSデバイスやAndroidデバイスに特化した設定を行うことで、情シス担当者の管理負担も軽減されます。導入にあたっては、エディション要件や対応デバイスを確認し、十分な計画とテストを行うことが重要です。共有デバイスの管理を見直すことで、企業のITガバナンス強化と業務プロセスの最適化に繋がります。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。