Caso d'uso: richiedere certificati aziendali

Versioni supportate per questa funzionalità: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus e Chrome Enterprise Premium

I certificati aziendali contribuiscono a garantire che i dispositivi degli utenti siano attendibili per accedere ai servizi e ai dati della tua organizzazione. In questo esempio crei un livello di accesso sensibile al contesto che richiede ai dispositivi degli utenti di disporre di un certificato aziendale emesso dall'azienda per accedere alle app.

L'estensione Verifica degli endpoint segnala solo un certificato aziendale alla Console di amministrazione Google.

Prima di iniziare

• Assicurati che i dispositivi degli utenti siano gestiti da Chrome Enterprise Core o da altre soluzioni per la gestione di dispositivi.
• Sui dispositivi degli utenti deve essere installata l'estensione Verifica degli endpoint. Scopri come installare verifica degli endpoint.
• (Per gli utenti Windows) Per migliorare la sicurezza dei dati di Chrome, assicurati che il servizio di elevazione di Google Chrome rimanga attivo per la crittografia vincolata all'app.

Informazioni sui certificati

• Se la tua azienda non dispone di un certificato CA e dei certificati client corrispondenti, puoi crearli tramite Google Cloud Certificate Authority Service.
• I certificati client devono supportare l'autenticazione client (1.3.6.1.5.5.7.3.2).
• Su Windows, i certificati client devono essere presenti nell'archivio certificati dell'utente corrente. Non è possibile autenticare i certificati nell'archivio certificati della macchina locale.

Configurare l'attendibilità dei certificati

Per raccogliere e convalidare il certificato aziendale del dispositivo, devi caricare i trust anchor utilizzati per emettere il certificato del dispositivo. I trust anchor sono il certificato dell'autorità di certificazione (CA) radice e i certificati intermedi e subordinati pertinenti. Procedi nel seguente modo:

1. Nella Console di amministrazione Google, vai a Menu Dispositivi Reti. 

   Vai a Reti

   È necessario disporre del privilegio di amministratore Impostazioni dispositivi condivisi.

2. Seleziona l'unità organizzativa appropriata.
3. Esegui una delle seguenti operazioni:
   • Se non sono presenti certificati nella sezione Certificati, fai clic su Carica certificato.
   • Se sono presenti certificati, fai clic sulla sezione Certificati, quindi su Aggiungi certificato.
4. Inserisci il nome del certificato e caricalo.
5. Fai clic sulla casella di controllo Abilitato per la verifica degli endpoint.
6. Fai clic su Aggiungi.

Configurare la policy di Chrome

Affinché Verifica degli endpoint possa cercare il certificato del dispositivo e raccoglierlo tramite Chrome, devi configurare la policy AutoSelectCertificateForURLs di Chrome.

1. Nella Console di amministrazione, vai a Dispositivi Chrome Impostazioni Impostazioni browser e utente Certificati client.
2. Seleziona l'unità organizzativa o il gruppo appropriato.

3. Aggiungi la policy AutoSelectCertificateForUrls utilizzando questa sintassi: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Sostituisci CERTIFICATE_ISSUER_NAME con il nome comune della CA dell'emittente. Non modificare il valore di pattern.

   Durante la procedura di raccolta e convalida dei certificati, il certificato client abilita la connessione mTLS effettiva agli host clients6.google.com sopra indicati.

Verificare la configurazione della policy di Chrome

1. Vai a chrome://policy nel browser.
2. Verifica che il valore configurato per AutoSelectCertificateForUrls sia quello impostato nel passaggio 3 della sezione Configurare la policy di Chrome sopra.
3. Assicurati che il valore della policy Si applica a sia impostato su Computer. Sul sistema operativo Chrome, il valore viene applicato a Utente corrente*.

4. Assicurati che lo Stato della policy non sia Conflitto.

   Per ulteriori informazioni sulla precedenza delle policy e sulla risoluzione dei relativi conflitti, vedi Comprendere la gestione dei criteri di Chrome.

Verifica la raccolta dei certificati client sul dispositivo

1. (Sull'endpoint) Accedi e avvia una sincronizzazione utilizzando l'estensione Verifica degli endpoint di Google.

   Durante questo passaggio, il certificato client viene convalidato sul lato server in base ai trust anchor caricati in Configurare l'attendibilità dei certificati sopra.

2. (Console di amministrazione) Vai a Dispositivi Dispositivi mobili ed endpoint e individua il dispositivo.

3. Verifica che il certificato venga visualizzato nelle impostazioni di Verifica degli endpoint.

4. Prendi nota dei campi del certificato, come Impronta CA radice, Stringa emittente o altri in questa pagina e utilizza questi valori per creare un livello di accesso in Configurare il livello di accesso sensibile al contesto di seguito.

5. Puoi utilizzare i log di verifica endpoint per risolvere eventuali problemi. Per scaricare i log:

   1. Fai clic con il tasto destro del mouse sull'estensione Endpoint Verification e vai a Opzioni.
   2. Seleziona Livello di log Tutti Scarica log.
   3. Apri una richiesta con l'assistenza Google Workspace e condividi i log per ulteriore debug.

Configurare un livello di accesso sensibile al contesto

1. Nella Console di amministrazione Google, vai a Menu Sicurezza Accesso e controllo dei dati Accesso sensibile al contesto.

   Vai all'accesso sensibile al contesto

   È necessario disporre del livello di accesso Sicurezza dei dati e dei privilegi Gestione regole nonché dei privilegi di lettura Utenti e Gruppi delle API amministrative.

2. Seleziona Livelli di accesso.
3. Fai clic su Crea livello di accesso.
4. Aggiungi un nome per il livello di accesso (ad esempio "Richiedi certificato aziendale") e una descrizione facoltativa.
5. Fai clic sulla scheda Avanzate. In questa scheda, puoi creare il tuo livello di accesso personalizzato in una finestra di modifica utilizzando il Common Expression Language (CEL). Per informazioni dettagliate, vai a Creare livelli di accesso sensibile al contesto, Definire i livelli di accesso - Modalità avanzata.

6. Aggiungi l'espressione CEL per il livello di accesso.

   Il livello di accesso può testare diversi attributi del certificato, ad esempio verificare l'impronta del certificato CA radice (esempio 1) o controllare se si tratta di un certificato valido emesso da un emittente specifico (esempio 2). Per un elenco completo degli attributi dei certificati su cui è possibile eseguire query, consulta la tabella degli attributi qui.

   1) Certificato valido, verificato rispetto a trust anchor e firmato dal certificato radice dell'azienda: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Sostituisci la stringa dell'impronta radice con quella che hai copiato nel passaggio di verifica del certificato sopra.

   2) Certificato valido, verificato rispetto a trust anchor ed emesso da un emittente specifico: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Fai clic su Crea. Ora puoi assegnare questo livello di accesso alle app.