- Chrome Enterprise Enrollment Tokenとは何か・何ができるか
- Jamfなし環境でTokenを配布できないか検証した過程
- Apple BusinessのmacOSパッケージ機能でpkg配布を試みた実録
- 署名なしpkgという壁に当たって詰まったところまでの正直な記録
「Jamf ProやIruがない環境でChrome Enterprise Tokenを70〜100台のMacに配布したい」——そんな要件が出てきた。
Chrome Enterprise(CBCM)にブラウザを登録するには、各Macの所定のパスにEnrollment Tokenを置く必要がある。JamfがあればConfiguration Profileで一発配布できるのだが、Jamfなし環境では話が変わる。
ちょうど2026年4月14日にApple Businessという新しいサービスがリリースされ、MDM相当の機能(macOSパッケージ配布など)が無料で使えるようになった。これを使えばいけるんじゃないか——というのが今回の検証の出発点だ。
結論から言うと、pkgの署名という壁に当たって完全な自動配布には至らなかった。ただ、途中まではかなりいいところまで来た。同じことを試みようとしている人の参考になれば、と思って実録をそのまま書く。
▼そもそもChrome Enterprise Tokenで何ができるか
Enrollment Tokenを各Macに配布してCBCM(Chrome Browser Cloud Management)に登録すると、Google AdminからChromeブラウザを一元管理できるようになる。セキュリティ強化目的で言うと、主にこんなことができる。
| カテゴリ | できること |
|---|---|
| アカウント制限 | 社内ドメイン以外のGoogleアカウントでのChromeログインを禁止 |
| 拡張機能管理 | 危険な拡張機能のブロック・強制インストール・ホワイトリスト運用 |
| シークレットモード禁止 | ポリシーをバイパスされるのを防ぐため必須 |
| 可視化 | 全端末のChromeバージョン・インストール済み拡張機能の棚卸し |
| SafeBrowsing強制 | フィッシングサイトへのアクセスをブロック |
CBCMはあくまで「Chromeブラウザ」への管理で、OSやデバイス全体は管理しない。逆にBYOD(個人PC)にChromeだけ入れてポリシーをかける、という使い方が得意。
▼Tokenの配布方法を検討する
Macに対してTokenを配布するには、このパスにファイルを置く必要がある。
ファイルの中身はTokenの文字列(UUIDの形式)だけでいい。
Jamfがあれば Configuration Profile か スクリプト配布で一発だが、今回の前提はJamfなし。70〜100台に手動実行させるのは現実的じゃない。ここで出てきたのが「Apple Businessのmacosパッケージ機能が使えるんじゃないか」というアイデアだ。
▼Apple Businessのmacosパッケージ機能とは
2026年4月14日にリリースされたApple Businessは、これまでのApple Business Manager(ABM)にMDM相当の機能が統合された無料サービスだ。目玉機能のひとつがmacOSパッケージ(pkg)の配布で、URL+SHA-256を指定するだけで管理対象のMacにpkgを配布できる。
pkgにはpostinstallスクリプトを仕込めるので、「Tokenを所定のパスに書き込む」という処理をpkgに乗せて配布できるはず——というのが検証の仮説だ。
▼検証の流れ
テスト用pkgを作る
まずファイルを作るだけのシンプルなpostinstallスクリプトでpkgを作り、「Apple Business経由でpkgが実行されるか」だけを確認することにした。
pkgをGitHub Releasesに公開する
Apple BusinessはURL指定でpkgを登録する仕組みのため、pkgを公開URLに置く必要がある。今回はGitHub Releasesを使った。
リポジトリを作成してReleaseとしてpkgをアップロードすると、こんな形式のURLが取れる。
URLが正しく機能しているかはcurlで確認できる。302(リダイレクト)が返れば問題なし。
SHA-256を取得してApple Businessに登録する
Apple Business → macOSパッケージ → + で以下を入力して登録する。
| 項目 | 値 |
|---|---|
| URL | GitHub ReleasesのURL |
| SHA-256 | shasum で取得した値 |
| バンドルID | com.example.abmtest |
| バージョン | 1.0 |
ブループリントに紐付けて対象Macに配布する
登録したpkgをブループリントに紐付け、対象ユーザー・デバイスに割り当てる。Apple Businessの管理画面でブループリントの「アプリ」タブにpkgを追加し、「ユーザ」タブとデバイスタブで対象を指定する。
▼一瞬「インストール中」になったが……
配布設定が完了して待っていると、Apple Businessの管理画面で「インストールを保留中:1」という表示が出た。端末側で処理が走っている。
しかし対象Macのターミナルで確認すると、ファイルが作られていない。
「一瞬インストール中になったのに動いていない」——ここで詰まった。
▼原因の切り分け:署名なしpkgが壁だった
pkgの署名状態を確認してみると、こう出た。
Apple Developer Program(年99ドル)で発行したDeveloper ID Installer証明書で署名されていないpkgは、MDM経由の配布でもブロックされる場合がある。「インストールを保留中」のまま進まなかった原因はここにある可能性が高い。
念のため、手動でスクリプトを実行すると正常に動くことは確認できた。
ChromeをCommand+Qで完全終了してから再起動し、アドレスバーで chrome://policy を確認すると、CloudManagementEnrollmentTokenが反映されていることも確認できた。Google AdminのManaged browsersにも端末が出てきて、手動での登録自体は完全に成功した。
スクリプトの内容は正しく、Tokenもパスに書き込まれ、CBCMへの登録も完了した。Apple Business経由の自動配布だけが、署名の問題で止まっている状態。
▼現時点での結論
| 方法 | 結果 |
|---|---|
| 手動でスクリプト実行 | ✅ 動く |
| Apple Business経由でpkg配布(署名なし) | ❌ 保留中のまま進まない |
| Apple Business経由でpkg配布(署名あり) | ❓ 未検証(Apple Developer Program登録が必要) |
| Jamfでスクリプト配布 | ✅ 確実に動く(Jamfがある場合の王道) |
▼次の検証ポイント
完全な自動配布を実現するには、以下のどれかを試す必要がある。
- ▶ Apple Developer Programに登録して署名ありpkgを作る(年99ドル・Developer ID Installer証明書を使用)
- ▶ 対象台数が少ない場合は、Slackでコマンドを案内して手動実行してもらう(1回きりの作業なので意外と現実的)
- ▶ 70〜100台規模ならJamfを導入してスクリプト配布する(署名周りをJamfが吸収してくれる)
▼まとめ
- ▶ Chrome Enterprise Tokenの配布自体はシェルスクリプト1本で完結する
- ▶ Apple BusinessのmacOSパッケージ機能は「URL+SHA-256でpkgを登録→ブループリントで配布」という流れ自体は動く
- ▶ ただし署名なしpkgはMDM経由での実行がブロックされる可能性が高く、自動配布は現時点では詰まっている
- ▶ 同じことを試みる場合はApple Developer Programへの登録(pkgの署名)が必要になりそう
「Jamfなし環境でApple BusinessからChrome Enterprise Tokenを配布できるか」——結論はまだ出ていない。署名ありpkgで再挑戦したときにまた続きを書く。
📅 30分無料相談、受け付けています
「MDMなし環境でセキュリティを強化したい」「Chrome Enterpriseの導入を検討している」——そういった段階からお気軽にどうぞ。
📅 30分無料相談を予約する →