Google アカウントと既存の Windows プロファイルを関連付ける

Windows 用 Google 認証情報プロバイダ(GCPW)を管理者が設定すると、ユーザーが初めてログインするときの利便性を高めることができます。GCPW でユーザーの既存の Windows プロファイルと Google アカウントを関連付けることが可能です。この方法を使用すると、ユーザーはすでに仕事で使用している Windows プロファイルに Google アカウントでログインできます。また、GCPW によってユーザーの Google パスワードと Windows パスワードも同期されます。

アカウントの関連付けの仕組み

GCPW では Google ディレクトリに追加したカスタム属性に基づいて、ユーザーの Google アカウントが既存のローカル プロファイルまたは Active Directory(AD)Windows プロファイルに関連付けられます。カスタム属性には、ローカル プロファイルまたは AD Windows プロファイルのユーザー名を指定します。

GCPW のインストール後にユーザーが初めてデバイスにログインすると、GCPW がディレクトリ内のユーザー情報で Windows ユーザー名を確認します。GCPW はユーザーの Windows ユーザー名をディレクトリから取得し、デバイス上で一致するプロファイルまたは AD ユーザー名を探します。注: AD 上のデバイスに AD でバックアップ済みの Windows プロファイルがない場合(この場合はログイン時に [他のユーザー] をクリックする必要があります)、初回ログインのために AD に接続する必要があります。

  • Windows プロファイルまたは AD ユーザー名が見つかった場合は、Google アカウントを Windows プロファイルに関連付けてパスワードを同期します。
  • ディレクトリにユーザーの Windows ユーザー名が含まれていない場合や、一致するものが見つからない場合は、デバイスに新しい Windows プロファイルが作成されて Google アカウントに関連付けられます。
  • AD ドメイン参加済みデバイスの場合、無効な AD ユーザー名が原因でエラーが返されることがあります。Google アカウントにカスタム属性が設定されていない場合、ユーザーがログインするためにクリックしたアカウントのタイプに応じて、Windows プロファイルが作成されるか、エラーが返されます。

ユーザーのログイン方法について詳しくは、GCPW のインストール後に Windows にログインするをご覧ください。

AD ドメインに参加しているデバイスでの登録フロー

ユーザーがローカルの Windows プロファイルを持っている場合の登録フロー

始める前に

GCPW のインストールを準備する方法を確認してください。

手順 1: ユーザー アカウントにカスタム属性を追加する

カスタム属性は、管理コンソール、デベロッパー向けドキュメントのウィジェット、Directory API、または Google Cloud Directory Sync(GCDS)を使用して追加できます。

管理コンソールで追加する

  1. Google 管理コンソールで、メニュー アイコン 次に [ディレクトリ 次にユーザー] に移動します。

    アクセスするには、適切なユーザー管理権限が必要です。適切な権限がない場合は、これらの手順を完了するのに必要な設定が一部表示されません。

  2. [ユーザー] リストの上部にある、[その他] 次に [カスタム属性を管理します] をクリックします。
  3. [標準の属性] の下にあるユーザーのプロフィール内の標準属性を確認します。
  4. 右上の [カスタム属性を追加] をクリックします。
  5. [カテゴリ] に「Enhanced desktop security」と入力します。カテゴリ名では大文字と小文字が区別されます。
  6. [カスタム フィールド] で次の値を指定します。
    1. 名前: ユーザーの Windows プロファイルの種類に応じて、Local Windows accounts または AD accounts のいずれかまたは両方を個別の項目として入力します。名前では大文字と小文字が区別されます。
    2. 情報の種類: [テキスト] を選択します。
    3. 公開設定: [ユーザーと管理者が閲覧可能] を選択します。
    4. 値の数 - [複数の値] を選択します。
  7. [追加] をクリックします。[ユーザー属性を管理] ページに属性が追加されました。

注: [カテゴリ] または [名前] の値を誤って入力した場合、カスタム属性を編集して修正することはできません。属性を削除して最初からやり直してください。

Directory API ドキュメントの [Try this API] パネルで追加する

API ドキュメントには、コーディングしなくてもリクエストを送信して特権管理者の Google アカウントで認証できるテスト ウィジェットが用意されています。

API テスト ウィジェットでカスタム属性を追加するには:

  1. Schemas: insert リファレンスを開きます。
  2. 右側の [Try this API] パネルで次の値を入力します。
    1. customerId: my_customer と入力します。
    2. リクエストの本文 - プレースホルダ コンテンツを削除し、次のテキストをコピーしてフィールドに貼り付けます。
      
{
  "displayName": "Enhanced Desktop Security",
  "fields": [
    {
      "displayName": "AD accounts",
      "fieldName": "AD_accounts",
      "fieldType": "STRING",
      "multiValued": true,
      "readAccessType": "ADMINS_AND_SELF"
    },
    {
      "displayName": "Local Windows accounts",
      "fieldName": "Local_Windows_accounts",
      "fieldType": "STRING",
      "multiValued": true,
      "readAccessType": "ADMINS_AND_SELF"
    }
  ],
  "schemaName": "Enhanced_desktop_security"
}
  3. [実行] をクリックします。
  4. プロンプトが表示されたら、特権管理者アカウントの認証情報を入力します。

リクエストが成功すると、パネルの下部に 200 レスポンスが返されます。カスタム属性が作成されたことを確認するには、管理コンソールを開いて [ユーザー] 次に [その他] 次に [カスタム属性を管理します] に移動します。

Directory API を使用して追加する

Directory API を使用してカスタム属性を追加します。

GCDS と同期する

Active Directory に値を追加し、Google Cloud Directory Sync(GDCS)を使用して値を管理コンソールに同期します。

手順 2: 各ユーザーのアカウントでカスタム属性を設定する

GCPW で Google アカウントを既存の Windows プロファイルと関連付けるユーザーごとに、次の操作を行います。属性の編集について詳しくは、ユーザー プロフィールのカスタム属性を作成するをご覧ください。

ユーザーごとにカスタム属性の値を設定するには:

  1. Google 管理コンソールで、メニュー アイコン 次に [ディレクトリ 次にユーザー] に移動します。

    アクセスするには、適切なユーザー管理権限が必要です。適切な権限がない場合は、これらの手順を完了するのに必要な設定が一部表示されません。

  2. [ユーザー] リストで、目的のユーザーを見つけて名前をクリックします。詳しくは、ユーザー アカウントの検索をご覧ください。
  3. [ユーザー情報] をクリックし、[Enhanced desktop security] に移動します。

  4. ユーザーが Active Directory アカウントを持っている場合は、テキスト欄に [ドメイン]\[ユーザー名]の形式で sAMAccountName を入力します。

    たとえば、ドメインが example.com で、Windows にログインするユーザーの名前が jsmith の場合は、sAMAccountName「example.comjsmith」を入力します。

    注:

    • 1 人のユーザーに対して入力できる Active Directory アカウントは 1 つのみです。複数のアカウントを入力した場合、GCPW では最初のエントリのみが使用されます。
    • ローカル アカウントのエントリも追加した場合(次のステップ)、GCPW は最初に Active Directory アカウントを検索します。

  5. ユーザーがローカルの Windows プロファイルを持っている場合は、テキスト欄に un:_Windows_username_ の形式でアカウント情報を入力します。Windows ユーザー名にはスペースを含めることができます。ユーザーが複数のローカル Windows アカウントを持っている場合は、新しい [Local Windows accounts] 欄にアカウントを入力します(各アカウントの入力を開始すると、新しい欄が追加されます)。

    ユーザーのアクセスを特定のデバイスに制限する場合は、un:_Windows_username_,sn:_device_serial_number_ と入力します。カンマの後にスペースは挿入せず、デバイスのシリアル番号は 1 つだけ入力してください。

    たとえば、Windows にログインするユーザーの名前が jsmith の場合は「un:jsmith」と入力します。ユーザーがシリアル番号 123456 の特定のデバイスにログインするように制限するには、「un:jsmith,sn:123456」と入力します。

  6. [保存] をクリックします。

複数のユーザーをまとめて更新するには、次のいずれかの方法を使用して属性値を追加できます。

次のステップ: GCPW をインストールする

Windows 用 Google 認証情報プロバイダをインストールするの手順に沿って操作します。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。