目次

Admina用ブラウザ拡張機能を配布してシャドーITを検知・SaaSアクティビティを取得する

Yasuhiro Miyoshi 更新 by Yasuhiro Miyoshi

設定にはGoogleの管理者権限が必要になります。

マネーフォワード Adminaのブラウザ拡張機能でできること

マネーフォワード Adminaのブラウザ拡張機能をインストールすることで、APIから直接最終利用日を取得できないSaaSの最終利用日が取得可能になります。これにより、非稼働アカウントの検出を今まで以上に幅広く行うことが可能になります。

また、従来のGoogleログインによる検出に加えて、拡張機能で検出したSaaSをインテグレーションメニューのDiscoveryのおすすめに表示します。

  

対象ブラウザ

 

前提条件(Chrome版)
  • Google Workspace(法人向けのみ。個人向けは非対応)をご契約いただいていること。

  参考: Google Workspace料金

  • Google WorkspaceでChrome ブラウザの管理が有効になっていること。

  参考:Chrome ブラウザ管理を有効にする(ユーザーポリシーのみ)

  • ブラウザのGoogle Chromeでログインし、同期がONになっていること。
    アプリ > Google Workspace > その他のサービス > Google Chrome同期 オン

  参考:ユーザーに Chrome ブラウザへのログインを強制する(ユーザー ポリシーのみ)

Skysea Client ViewやLanscope Cat、その他セキュリティソフトウェアからブラウザ用拡張機能が強制的にインストールされている場合、Chormeポリシーが競合することによりAdminコンソールから拡張機能をインストールできないことを確認しています。この場合、WindowsグループポリシーなどAdminコンソールを利用しない方法で配布が可能です。詳細はグループポリシーを用いたChrome拡張機能の配布をご覧ください。

 

端末への配布方法

Google 管理コンソールでの設定・インストール
  1. Google Admin にログインします。
  2. デバイス > Chrome > アプリと拡張機能 > ユーザとブラウザを表示します。
  3. 拡張機能を配布したいグループ、または組織を選択します。
特定の部門などにのみ配布したい場合は、特定のグループもしくは、下位の組織を選択ください。

・例)組織への指定

  1. 右下のボタンをクリックし、[Chrome アプリや拡張機能をIDで追加] をクリックします。
  1. .Chrome ウェブストアから追加を選択します。
  1. Adminaにログインし、[設定] > [組織] に移動します。

 

  1. 拡張機能IDをコピーGoogle Chrome側の拡張機能IDに入力し保存します。

  1. マネーフォワード Adminaにログインし、[設定] > [組織] に移動します。拡張機能のポリシーで [新しいポリシーを生成する]をクリックします。
  1. OKをクリックします。
  1. 作成された拡張機能のポリシーで[コピー]をクリックします。
  1. Google Admin側で作成した拡張機能に、コピーしたポリシーの値を[拡張機能のポリシー]にペーストします。

 

  1. インストールポリシーを、[自動インストールする]、もしくは[自動インストールして固定する]を選択します。

自動インストールする: 拡張機能 を自動的にインストールし、ユーザーが削除できないようにします。
自動インストールして固定する: 「自動インストールする」と同じです。 さらに、拡張機能のアイコンをタスクバーに固定(ピン留め)します。

13.すべての設定が完了後、画面右上にある保存ボタンをクリックします

以上で配布に必要な設定は完了です。

    

端末(ブラウザ)での確認

インストールは自動で行われます。固定でインストールされた場合、下記のようなアイコンが表示されます。

詳細については、Chromeの拡張機能一覧Admina by Money Forward Chrome Extensionで確認が可能です。

 

インストールされない場合
  1. 端末側のChromeにてGoogle にサインインがされていること、および、同期(Sync)がOnになっているかどうかご確認ください。

 

  1. 同期設定が有効にも関わらず端末にインストールされない場合、次の設定も併せて確認ください。
Details
<Chrome ブラウザ管理の有効>
1. 管理コンソールを開きます。
2. [デバイス] > [Chrome] > [設定] > [ユーザーとブラウザ] にアクセスします。
3. 左側で、事象が発生している組織部門を選択します。
4. 1番下の [ログイン ユーザーに対する Chrome 管理] までスクロールダウンします。
[Chrome にログインする際にすべてのユーザー ポリシーを適用し、管理対象の Chrome を利用できるようにする] に設定されているか確認し、もし設定されていない場合は [編集] をクリック後に変更し、[保存] をクリックします。

 *本設定後、ポリシーの適用には再ログインが必要です。

Chrome ブラウザ管理を有効にする(ユーザーポリシーのみ) - Chrome Enterprise and Education ヘルプ
https://support.google.com/chrome/a/answer/6304822

 

  1. 既存ポリシーの確認

マネーフォワード AdminaのChrome拡張機能の配布に必要な設定が、別のポリシーで上書きされている可能性があります。

Chrome://policy にアクセスし、マネーフォワード Adminaのポリシーが上書きされていないかどうか確認ください。

https://support.google.com/chrome/a/answer/7532015

マネーフォワード Adminaでのアクティビティの確認

データは約30分毎に収集し、マネーフォワード Adminaに表示を行います。

  1. イベントログの確認

インテグレーション > イベントログからChrome Extentionの履歴が表示されるかご確認ください。

「マッチしなかったデータも表示」にChrome(Edge) Extentionの履歴は表示されません
  1. SaaSの最終利用日の確認

サービス > アカウント画面にて各SaaSの最終利用日に日付が入力されていることを確認ください。また、カスタムアプリ(手動登録のサービス)も最終利用日を取得することが可能です。

カスタムアプリの最終利用日の記録条件は次のとおりです。

  • Adminaの拡張機能が正しくインストールされ、インテグレーション > イベントログにアクセスログが記録されていること。
  • アクセスしたサービスのURLと、Adminaのサービスのドメインがマッチしていること。これにより、イベントログにカスタムアプリのサービス名が記録されます。
  • カスタムアプリをサービス一覧から検索して表示されるサービス名を選択して登録していること。(任意の名前で登録したカスタムアプリは最終利用日が記録されません)

サンプル:

カスタムアプリで登録したChatGPTは、そのままでは最終利用日は登録されませんが、上記の条件にマッチすると、画像のように最終利用日が記録されるようになります。

また、最終利用日を記録できない連携可能なSaaSについても同様に記録が可能です。どのSaaSが連携時に「最終利用日」が取得できるかについては、連携可能SaaS一覧の取得可能データの、「Last Activity」が含まれているかどうかをご確認ください。

連携可能SaaS一覧

  

アンインストール手順

  1. Google 管理から、追加したアプリケーションを削除します。ゴミ箱ボタンをクリックします。

  1. 確認メッセージが表示されますので、「削除」をクリックします。

 

  1. Chromeの拡張機能一覧から削除されていることを確認ください。

 

質問集

Q.どのようなデータを取得していますか?

A.ChromeでアクセスしたページのURLおよびドメインを精査しています。インストール時点のChromeの履歴を含みます。

  

Q. アプリケーションの利用履歴は確認できますか?

A. 取得対象外となります。ブラウザでのアクセスのみ取得します。

 

Q.APIから取得した最終利用日を更新するのでしょうか?

A.APIから直接取得するSaaSの最終利用日は更新いたしません。

 

Q.イベントログはどの程度の期間保存されますか?

A.保存期間は1年、閲覧可能な期間は3ヶ月です。

この記事はお役に立ちましたでしょうか?

Windowsレジストリを用いたChrome拡張機能の配布

お問い合わせ