กรณีการใช้งาน: กำหนดให้ต้องมีใบรับรองขององค์กร

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus และ Chrome Enterprise Premium

ใบรับรองขององค์กรช่วยให้มั่นใจได้ว่าอุปกรณ์ของผู้ใช้จะได้รับความน่าเชื่อถือในการเข้าถึง บริการและข้อมูลในองค์กร ในตัวอย่างนี้ คุณจะสร้างระดับการเข้าถึงแบบ Context-Aware ที่กำหนดให้อุปกรณ์ของผู้ใช้ต้องมีใบรับรองขององค์กรที่บริษัทออกให้จึงจะเข้าถึงแอปได้

ส่วนขยายการยืนยันอุปกรณ์ปลายทางจะรายงานใบรับรองขององค์กรเพียงรายการเดียวไปยัง คอนโซลผู้ดูแลระบบของ Google

ก่อนเริ่มต้น

• ตรวจสอบว่าอุปกรณ์ของผู้ใช้ได้รับการจัดการโดย Chrome Enterprise Core หรือโซลูชันการจัดการอุปกรณ์อื่นๆ
• อุปกรณ์ของผู้ใช้ต้องติดตั้งส่วนขยายการยืนยันอุปกรณ์ปลายทาง ดูวิธีติดตั้งการยืนยันอุปกรณ์ปลายทาง
• (สำหรับผู้ใช้ใน Windows) โปรดตรวจสอบว่าบริการการยกระดับของ Google Chrome ยังคงเปิดอยู่สำหรับการเข้ารหัสที่เชื่อมโยงกับแอป เพื่อปรับปรุงความปลอดภัยของข้อมูล Chrome

เกี่ยวกับใบรับรอง

• หากบริษัทไม่มีใบรับรอง CA และใบรับรองไคลเอ็นต์ที่เกี่ยวข้อง คุณสามารถสร้างใบรับรองผ่าน Certificate Authority Service ของ Google Cloud
• ใบรับรองไคลเอ็นต์ต้องรองรับการตรวจสอบสิทธิ์ไคลเอ็นต์ (1.3.6.1.5.5.7.3.2)
• ใน Windows ใบรับรองไคลเอ็นต์ต้องอยู่ในที่เก็บใบรับรองของ Current User โดยระบบไม่สามารถตรวจสอบสิทธิ์ใบรับรองในที่เก็บใบรับรองในเครื่อง

กำหนดค่าความน่าเชื่อถือของใบรับรอง

หากต้องการรวบรวมและตรวจสอบใบรับรองขององค์กรในอุปกรณ์ คุณต้องอัปโหลด Trust Anchor ที่ใช้เพื่อออกใบรับรองของอุปกรณ์ โดย Trust Anchor คือใบรับรอง CA (ผู้ออกใบรับรอง) ระดับรูท รวมถึงใบรับรองระดับกลางและ ระดับย่อยที่เกี่ยวข้อง โปรดทำตามขั้นตอนต่อไปนี้

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ เครือข่าย 

   ไปที่เครือข่าย

   ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์

2. เลือกหน่วยขององค์กรที่เหมาะสม
3. ทำตามข้อใดข้อหนึ่งต่อไปนี้
   • หากไม่มีใบรับรองในส่วนใบรับรอง ให้คลิกอัปโหลดใบรับรอง
   • หากมีใบรับรอง ให้คลิกส่วนใบรับรอง แล้วคลิกเพิ่มใบรับรอง
4. ป้อนชื่อใบรับรองและอัปโหลดใบรับรองดังกล่าว
5. คลิกช่องทำเครื่องหมายเปิดใช้สำหรับการยืนยันปลายทาง
6. คลิกเพิ่ม

กำหนดค่านโยบาย Chrome

คุณต้องกำหนดค่านโยบาย AutoSelectCertificateForURLs ของ Chrome เพื่อให้การยืนยันอุปกรณ์ปลายทางค้นหาใบรับรองของอุปกรณ์และรวบรวมผ่าน Chrome ได้

1. ในคอนโซลผู้ดูแลระบบ ให้ไปที่อุปกรณ์ Chrome การตั้งค่า การตั้งค่าผู้ใช้และเบราว์เซอร์ ใบรับรองไคลเอ็นต์
2. เลือกหน่วยขององค์กรหรือกลุ่มที่เหมาะสม

3. เพิ่มนโยบาย AutoSelectCertificateForUrls โดยใช้ไวยากรณ์ต่อไปนี้ {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   แทนที่ CERTIFICATE_ISSUER_NAME ด้วยชื่อจริงของผู้ออก CA และอย่าแก้ไขค่าของ pattern

   ในระหว่างกระบวนการรวบรวมและตรวจสอบใบรับรอง ใบรับรองไคลเอ็นต์ จะเปิดใช้การเชื่อมต่อ mTLS จริงกับโฮสต์ clients6.google.com ข้างต้น

ตรวจสอบการกำหนดค่านโยบาย Chrome

1. ไปที่ chrome://policy ในเบราว์เซอร์
2. ตรวจสอบว่าค่าที่กําหนดไว้สําหรับ AutoSelectCertificateForUrls เป็นค่าที่ตั้งไว้ในขั้นตอนที่ 3 ในส่วนกําหนดค่านโยบาย Chrome ด้านบน
3. ตรวจสอบว่าได้ตั้งค่ามีผลกับของนโยบายให้เป็นเครื่อง ในระบบปฏิบัติการ Chrome ค่านี้จะใช้กับผู้ใช้ปัจจุบัน*

4. ตรวจสอบว่าสถานะของนโยบายไม่มีความขัดแย้ง

   ดูข้อมูลเพิ่มเติมเกี่ยวกับลำดับความสำคัญของนโยบายและการแก้ไขข้อขัดแย้งของนโยบายได้ที่หัวข้อทำความเข้าใจการจัดการนโยบาย Chrome

ตรวจสอบการรวบรวมใบรับรองไคลเอ็นต์ในอุปกรณ์

1. (ในอุปกรณ์ปลายทาง) ลงชื่อเข้าใช้และเริ่มการซิงค์โดยใช้ส่วนขยายการยืนยันอุปกรณ์ปลายทางของ Google

   ในระหว่างขั้นตอนนี้ ระบบจะตรวจสอบใบรับรองไคลเอ็นต์ฝั่งเซิร์ฟเวอร์เทียบกับ Trust Anchor ที่อัปโหลดไว้ในกำหนดค่าความน่าเชื่อถือของใบรับรองด้านบน

2. (คอนโซลผู้ดูแลระบบ) ไปที่อุปกรณ์ อุปกรณ์เคลื่อนที่และอุปกรณ์ปลายทาง แล้วค้นหาอุปกรณ์

3. ตรวจสอบว่าใบรับรองแสดงในการตั้งค่าการยืนยันอุปกรณ์ปลายทาง

4. จดบันทึกช่องใบรับรอง เช่น ลายนิ้วมือของ CA ระดับรูท, สตริงผู้ออกใบรับรอง หรือ ค่าอื่นๆ ในหน้านี้ และใช้ค่าดังกล่าวเพื่อสร้างระดับการเข้าถึงในส่วน กำหนดค่าระดับการเข้าถึงแบบ Context-Aware ด้านล่าง

5. คุณใช้บันทึกการยืนยันอุปกรณ์ปลายทางเพื่อช่วยแก้ปัญหาได้ วิธีดาวน์โหลดบันทึก

   1. คลิกขวาที่ส่วนขยายการยืนยันอุปกรณ์ปลายทาง แล้วไปที่ ตัวเลือก
   2. เลือกระดับบันทึก ทั้งหมด ดาวน์โหลด บันทึก
   3. เปิดเคสกับทีมสนับสนุนของ Google Workspace และแชร์บันทึก เพื่อทำการแก้ไขข้อบกพร่องเพิ่มเติม

กำหนดค่าระดับการเข้าถึงแบบ Context-Aware

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู ความปลอดภัย การเข้าถึงและการควบคุมข้อมูล การเข้าถึงแบบ Context-Aware

   ไปที่การเข้าถึงแบบ Context-Aware

   ต้องมีสิทธิ์การจัดการระดับการเข้าถึงความปลอดภัยของข้อมูลและการจัดการกฎ รวมถึงสิทธิ์อ่านของ Admin API กลุ่มและสิทธิ์อ่านของผู้ใช้

2. เลือกระดับการเข้าถึง
3. คลิกสร้างระดับการเข้าถึง
4. เพิ่มชื่อระดับการเข้าถึง (เช่น "ต้องใช้ใบรับรองขององค์กร") และคำอธิบาย (ไม่บังคับ)
5. คลิกแท็บขั้นสูง ในแท็บนี้ คุณจะสร้างระดับการเข้าถึงที่กำหนดเองได้ ในหน้าต่างการแก้ไขโดยใช้ Common Expression Language (CEL) โปรดดูรายละเอียดที่หัวข้อสร้างระดับการเข้าถึงแบบ Context-Aware, กำหนดระดับการเข้าถึง - โหมดขั้นสูง

6. เพิ่มนิพจน์ CEL สำหรับระดับการเข้าถึง

   ระดับการเข้าถึงสามารถทดสอบแอตทริบิวต์ต่างๆ ของใบรับรองได้ เช่น ยืนยันลายนิ้วมือของใบรับรอง CA ระดับรูท (ตัวอย่างที่ 1) หรือ ตรวจสอบว่าใบรับรองที่ออกโดยผู้ออกใบรับรองที่เฉพาะเจาะจงนั้นถูกต้องหรือไม่ (ตัวอย่างที่ 2) ดูรายการแอตทริบิวต์ใบรับรองทั้งหมดที่สามารถ ค้นหาได้ที่ตารางแอตทริบิวต์ ที่นี่

   1) ใบรับรองที่ถูกต้องซึ่งได้รับการยืนยันกับ Trust Anchor และลงนามโดย ใบรับรองรูทของบริษัท: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg")

   แทนที่สตริงลายนิ้วมือระดับรูทด้วยสตริงที่คุณคัดลอกไว้ในขั้นตอน ยืนยันใบรับรองด้านบน

   2) ใบรับรองที่ถูกต้องซึ่งได้รับการยืนยันกับ Trust Anchor และออกโดยผู้ออกใบรับรองที่เฉพาะเจาะจง: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US")

7. คลิกสร้าง ตอนนี้คุณสามารถกำหนดระดับการเข้าถึงนี้ให้กับแอปได้แล้ว