Cas d'utilisation : exiger des certificats d'entreprise

Éditions compatibles avec cette fonctionnalité : Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus et Chrome Enterprise Premium

Les certificats d'entreprise permettent de s'assurer que les appareils des utilisateurs sont autorisés à accéder aux services et aux données de votre organisation. Dans cet exemple, vous créez un niveau d'accès contextuel qui exige que les appareils des utilisateurs disposent d'un certificat d'entreprise émis par l'entreprise pour accéder aux applications.

L'extension Endpoint Verification ne signale qu'un seul certificat d'entreprise à la console d'administration Google.

Avant de commencer

• Assurez-vous que les appareils des utilisateurs sont gérés par Chrome Enterprise Core ou d'autres solutions de gestion des appareils.
• L'extension Endpoint Verification doit être installée sur les appareils des utilisateurs. Découvrez comment installer Endpoint Verification.
• (Pour les utilisateurs Windows) Pour améliorer la sécurité des données Chrome, assurez-vous que le service d'élévation Google Chrome reste activé pour le chiffrement lié à l'application.

À propos des certificats

• Si votre entreprise ne dispose pas de certificat CA ni des certificats client correspondants, vous pouvez les créer via Google Cloud Certificate Authority Service.
• Les certificats client doivent être compatibles avec l'authentification client (1.3.6.1.5.5.7.3.2).
• Sous Windows, les certificats client doivent figurer dans le magasin de certificats de l'utilisateur actuel. Les certificats qui se trouvent dans le magasin de l'ordinateur local ne peuvent pas être authentifiés.

Configurer des certificats de confiance

Pour collecter et valider le certificat d'entreprise de l'appareil, vous devez importer les ancres de confiance qui ont été utilisées pour l'émettre. Les ancres de confiance correspondent au certificat CA (autorité de certification) racine et aux certificats intermédiaires et subordonnés pertinents. Procédez comme suit :

1. Dans la console d'administration Google, accédez à Menu  AppareilsRéseaux. 

   Accéder aux réseaux

   Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

2. Sélectionnez l'unité organisationnelle appropriée.
3. Effectuez l'une des opérations suivantes :
   • Si aucun certificat ne figure dans la section Certificats, cliquez sur Importer un certificat.
   • Si des certificats sont présents, cliquez sur la section Certificats, puis sur Ajouter un certificat.
4. Saisissez le nom du certificat, puis importez-le.
5. Cochez la case Activé pour la validation des points de terminaison.
6. Cliquez sur Ajouter.

Configurer une règle Chrome

Pour qu'Endpoint Verification recherche le certificat de l'appareil et le collecte via Chrome, vous devez configurer la règle Chrome AutoSelectCertificateForURLs.

1. Dans la console d'administration, accédez à AppareilsChromeParamètresParamètres des utilisateurs et du navigateurCertificats client.
2. Sélectionnez l'unité organisationnelle ou le groupe approprié.

3. Ajoutez la règle AutoSelectCertificateForUrls en utilisant la syntaxe suivante : {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Remplacez CERTIFICATE_ISSUER_NAME par le nom commun de l'autorité de certification émettrice. Ne modifiez pas la valeur de pattern.

   Lors du processus de collecte et de validation du certificat, le certificat client permet d'établir une connexion mTLS réelle aux hôtes clients6.google.com ci-dessus.

Vérifier la configuration des règles Chrome

1. Accédez à chrome://policy dans le navigateur.
2. Vérifiez que la valeur configurée pour AutoSelectCertificateForUrls correspond à celle définie à l'étape 3 de la section Configurer la règle Chrome ci-dessus.
3. Assurez-vous que la valeur S'applique à de la règle est définie sur Machine. Sur le système d'exploitation Chrome, la valeur est appliquée à Utilisateur actuel*.

4. Vérifiez que l'état de la règle n'indique pas Conflit.

   Pour en savoir plus sur la priorité des règles et la résolution des conflits de règles, consultez Fonctionnement de la gestion des règles Chrome.

Vérifier la collecte du certificat client sur l'appareil

1. (Sur le point de terminaison) Connectez-vous et lancez une synchronisation à l'aide de l'extension Google Endpoint Verification.

   Au cours de cette étape, le certificat client est validé côté serveur par rapport aux ancres de confiance importées dans la section Configurer des certificats de confiance ci-dessus.

2. (Console d'administration) Accédez à AppareilsMobiles et points de terminaison, puis recherchez l'appareil.

3. Vérifiez que le certificat s'affiche dans les paramètres Endpoint Verification.

4. Notez les champs du certificat tels que l'empreinte de l'autorité de certification racine et la chaîne de l'émetteur figurant sur cette page, et utilisez ces valeurs pour créer un niveau d'accès dans la section Configurer le niveau d'accès contextuel ci-dessous.

5. Vous pouvez utiliser les journaux Endpoint Verification pour résoudre les problèmes que vous rencontrez. Pour télécharger les journaux, procédez comme suit :

   1. Effectuez un clic droit sur l'extension Endpoint Verification, puis accédez à Options.
   2. Sélectionnez Niveau de journalisationTousTélécharger les journaux.
   3. Envoyez une demande à l'assistance Google Workspace et partagez les journaux pour un débogage plus approfondi.

Configurer un niveau d'accès contextuel

1. Dans la console d'administration Google, accédez à Menu  SécuritéAccès et contrôle des donnéesAccès contextuel.

   Accéder à la page "Accès contextuel"

   Nécessite le niveau d'accès "Sécurité des données" et les droits "Gestion des règles", ainsi que les droits de lecture de l'API Admin pour les groupes et les utilisateurs.

2. Sélectionnez Niveaux d'accès.
3. Cliquez sur Créer un niveau d'accès.
4. Spécifiez le nom du niveau d'accès (par exemple, "Exiger un certificat d'entreprise") et ajoutez éventuellement une description.
5. Cliquez sur l'onglet Advanced (Avancé). Dans cet onglet, vous créez votre niveau d'accès personnalisé dans une fenêtre d'édition à l'aide du langage CEL (Common Expression Language). Pour en savoir plus, consultez Créer des niveaux d'accès contextuel, Définir les niveaux d'accès : mode avancé.

6. Ajoutez l'expression CEL pour le niveau d'accès.

   Le niveau d'accès peut tester différents attributs du certificat. Il peut par exemple vérifier l'empreinte du certificat CA racine (exemple 1) ou vérifier s'il s'agit d'un certificat valide délivré par un émetteur spécifique (exemple 2). Pour obtenir la liste complète des attributs de certificat pouvant être interrogés, consultez le tableau des attributs.

   1) Certificat valide, validé par des ancres de confiance et signé par le certificat racine de l'entreprise : device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Remplacez la chaîne de l'empreinte racine par celle que vous avez copiée à l'étape Valider le certificat ci-dessus.

   2) Certificat valide, validé par des ancres de confiance et délivré par un émetteur spécifique : device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Cliquez sur Créer. Vous pouvez désormais attribuer ce niveau d'accès aux applications.