תרחיש שימוש: דרישה לאישורים ארגוניים

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard,‏ Frontline Plus,‏ Enterprise Standard,‏ Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Chrome Enterprise Premium

אישורים ארגוניים עוזרים לוודא שהמכשירים של המשתמשים הם מהימנים לצורך גישה לשירותים ולנתונים בארגון. בדוגמה הזו, יוצרים רמת גישה מבוססת-הקשר שדורשת שלמשתמשים יהיו במכשירים אישורים ארגוניים שהונפקו על ידי החברה כדי לגשת לאפליקציות.

התוסף Endpoint Verification (אימות של נקודת קצה) מדווח רק על אישור אחד של Enterprise אל מסוף Google Admin.

לפני שמתחילים

• מוודאים שהמכשירים של המשתמשים מנוהלים על ידי Chrome Enterprise Core או פתרונות אחרים לניהול מכשירים.
• במכשירים של המשתמשים צריך להיות מותקן התוסף Endpoint Verification. איך מתקינים את Endpoint Verification
• (למשתמשים ב-Windows) כדי לשפר את האבטחה של נתוני Chrome, חשוב לוודא ששירות ההרשאות של Google Chrome Elevation Service מופעל עבור הצפנה שקשורה לאפליקציה.

מידע על אישורים

• אם לחברה שלכם אין אישור CA ואישורי לקוח תואמים, אתם יכולים ליצור אותם באמצעות שירות רשות האישורים של Google Cloud.
• אישורי הלקוח חייבים לתמוך באימות לקוח (1.3.6.1.5.5.7.3.2).
• ב-Windows, אישורי הלקוח צריכים להיות במאגר האישורים של המשתמש הנוכחי. לא ניתן לאמת אישורים במאגר האישורים של המכונה המקומית.

הגדרת אמון באישור

כדי לאסוף ולאמת את האישור הארגוני של המכשיר, צריך להעלות את נקודות העוגן של האמון ששימשו להנפקת אישור המכשיר. עוגני האמון הם אישור ה-CA (רשות האישורים) הבסיסי והאישורים הרלוונטיים ברמת הביניים וברמת המשנה. כדי להוריד את התוכן:

1. במסוף Google Admin, נכנסים לתפריט מכשירים רשתות. 

   מעבר ל"רשתות"

   נדרשת הרשאת אדמין להגדרות של מכשיר משותף.

2. בוחרים את היחידה הארגונית המתאימה.
3. מבצעים אחת מהפעולות הבאות:
   • אם לא מופיעים אישורים בקטע אישורים, לוחצים על העלאת אישור.
   • אם יש אישורים, לוחצים על הקטע אישורים ואז על הוספת אישור.
4. מזינים את שם האישור ומעלים אותו.
5. מסמנים את תיבת הסימון מופעל לאימות של נקודות קצה.
6. לוחצים על הוספה.

הגדרת מדיניות ל-Chrome

כדי שהתוסף Endpoint Verification יחפש את אישור המכשיר ויאסוף אותו דרך Chrome, צריך להגדיר את מדיניות Chrome‏ AutoSelectCertificateForURLs.

1. במסוף Admin, עוברים אל מכשירים Chrome הגדרות הגדרות משתמש ודפדפן אישורי לקוח.
2. בוחרים את היחידה הארגונית או הקבוצה המתאימה.

3. מוסיפים את המדיניות AutoSelectCertificateForUrls באמצעות התחביר הבא: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   מחליפים את CERTIFICATE_ISSUER_NAME בשם המוכר של רשות האישורים המנפיקה. אל תשנו את הערך של pattern.

   במהלך תהליך איסוף האישורים והאימות שלהם, אישור הלקוח מאפשר את חיבור ה-mTLS בפועל למארחים של clients6.google.com שצוינו למעלה.

אימות ההגדרות של כללי המדיניות של Chrome

1. בדפדפן, עוברים אל chrome://policy.
2. מוודאים שהערך שהוגדר עבור AutoSelectCertificateForUrls הוא הערך שהוגדר בשלב 3 בקטע הגדרת מדיניות Chrome שלמעלה.
3. מוודאים שהערך של המדיניות Applies to מוגדר ל-Machine. במערכת ההפעלה Chrome, הערך חל על המשתמש הנוכחי*.

4. מוודאים שהסטטוס של המדיניות לא מסומן כקונפליקט.

   מידע נוסף על סדר העדיפות של המדיניות ועל פתרון של סתירות במדיניות זמין במאמר הסבר על ניהול המדיניות של Chrome.

אימות איסוף אישורי הלקוח במכשיר

1. (בנקודת הקצה) נכנסים לחשבון ומתחילים סנכרון באמצעות התוסף Google Endpoint Verification.

   במהלך השלב הזה, אישור הלקוח מאומת בצד השרת מול נקודות העוגן של האמון שהועלו בשלב הגדרת אמון באישור שלמעלה.

2. (מסוף Admin) עוברים אל מכשירים ניידים ונקודות קצה ומאתרים את המכשיר.

3. מוודאים שהאישור מוצג בהגדרות של אימות נקודות קצה.

4. כדאי לרשום את שדות האישור כמו טביעת האצבע של רשות אישורים (CA) הבסיסית, מחרוזת המנפיק או שדות אחרים בדף הזה, ולהשתמש בערכים האלה כדי ליצור רמת גישה בקטע הגדרת רמת גישה מבוססת-הקשר שבהמשך.

5. אפשר להשתמש ביומני האימות בנקודת קצה כדי לפתור בעיות. כדי להוריד את היומנים:

   1. לוחצים לחיצה ימנית על התוסף Endpoint Verification (אימות נקודות קצה) ואז על Options (אפשרויות).
   2. בוחרים באפשרות רמת יומן הכול הורדת יומנים.
   3. פותחים פנייה לתמיכה של Google Workspace ומשתפים את היומנים כדי לבצע ניפוי באגים נוסף.

הגדרת רמת גישה מבוססת-הקשר

1. במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים בקרת גישה מבוססת-הקשר.

   אל בקרת גישה מבוססת-הקשר

   נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

2. בוחרים באפשרות רמות גישה.
3. לוחצים על יצירה של רמת גישה.
4. מוסיפים שם לרמת הגישה (למשל, 'נדרש אישור ארגוני') ותיאור אופציונלי.
5. לוחצים על הכרטיסייהמתקדם. בכרטיסייה הזו, יוצרים את רמת הגישה המותאמת אישית בחלון עריכה באמצעות Common Expressions Language ‏(CEL). פרטים נוספים זמינים במאמרים בנושא יצירת בקרות גישה מבוססות-הקשר והגדרת בקרות גישה – מצב מתקדם.

6. מוסיפים את ביטוי ה-CEL לרמת הגישה.

   רמת הגישה יכולה לבדוק מאפיינים שונים של האישור, כמו אימות טביעת האצבע של אישור CA בסיסי (דוגמה 1), או בדיקה אם מדובר באישור תקף שהונפק על ידי מנפיק ספציפי (דוגמה 2). רשימה מלאה של מאפייני האישורים שאפשר לשלוח לגביהם שאילתות מופיעה בטבלת המאפיינים כאן.

   ‫1) אישור תקף, שאומת מול נקודות מהימנות ונחתם על ידי אישור הבסיס של החברה: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   מחליפים את מחרוזת טביעת האצבע של הבסיס במחרוזת שהעתקתם בשלב אימות האישור שלמעלה.

   ‫2) אישור תקף, שאומת מול עוגני אמון והונפק על ידי רשות מנפיקה ספציפית: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. לוחצים על יצירה. עכשיו אפשר להקצות את רמת הגישה הזו לאפליקציות.