ユースケース: エンタープライズ証明書を必須にする

この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Chrome Enterprise Premium

エンタープライズ証明書を使用すると、ユーザーのデバイスで組織内のサービスとデータにアクセスする際に、そのデバイスが信頼できるものであることを確認できます。この例では、アプリにアクセスするために会社発行のエンタープライズ証明書がユーザーのデバイスに必須となるコンテキストアウェア アクセスレベルを作成します。

Endpoint Verification 拡張機能では、Google 管理コンソールに 1 つのエンタープライズ証明書しか報告されません。

始める前に

証明書について

  • CA 証明書と対応するクライアント証明書が会社にない場合は、Google Cloud Certificate Authority Service で作成できます。
  • クライアント証明書は、クライアント認証(1.3.6.1.5.5.7.3.2)をサポートしている必要があります。
  • Windows では、クライアント証明書が現在のユーザーの証明書ストアに存在する必要があります。ローカル コンピュータの証明書ストアにある証明書は認証できません。

証明書の信頼を構成する

デバイスのエンタープライズ証明書を収集して検証するには、デバイス証明書の発行に使用されたトラスト アンカーをアップロードする必要があります。トラスト アンカーとは、ルート CA(認証局)証明書と、それに関連する中間証明書や下位証明書のことを指します。手順は次のとおりです。

  1. Google 管理コンソールで、メニュー アイコン 次に [**デバイス**]次に[**ネットワーク**] の順に移動します。

    アクセスするには、共有デバイスの設定の管理者権限が必要です。

  2. 適切な組織部門を選択します。
  3. 次のいずれかを行います。
    • [**証明書**] セクションに証明書がない場合は、[**証明書をアップロード**] をクリックします。
    • 証明書がある場合は、[証明書] セクションをクリックし、[証明書を追加] をクリックします。
  4. 証明書の名前を入力し、証明書をアップロードします。
  5. [エンドポイントの確認] でチェックボックスをオンにして有効にます。
  6. [Add] をクリックします。

Chrome ポリシーを構成する

Endpoint Verification 拡張機能が Chrome でデバイス証明書を検索して収集するには、AutoSelectCertificateForURLs Chrome ポリシーを設定する必要があります。

  1. 管理コンソールで、[デバイス]次に[Chrome]次に[設定]次に[ユーザーとブラウザの設定]次に[クライアント証明書] の順に選択します。
  2. 対象の組織部門またはグループを選択します。

  3. 次の構文を使用して、AutoSelectCertificateForUrls ポリシーを追加します。{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

    CERTIFICATE_ISSUER_NAME は、発行者 CA のコモンネームに置き換えます。pattern の値は変更しないでください。

    証明書の収集と検証のプロセスでは、クライアント証明書によって、上記の clients6.google.com のホストに実際に mTLS で接続できるようになります。

Chrome ポリシー構成を確認する

  1. ブラウザで chrome://policy を開きます。
  2. AutoSelectCertificateForUrls に設定された値が、上記の Chrome ポリシーを構成するの手順 3 で設定した値であることを確認します。
  3. ポリシー [**対象**] の値が [**マシン**] に設定されていることを確認します。Chrome オペレーティング システムの場合、対象の値は [現在のユーザー]* に適用されます。

  4. ポリシーのステータス競合 がないことを確認します。

    ポリシーの優先度とポリシーの競合を解決する方法について詳しくは、Chrome ポリシー管理の概要をご覧ください。

デバイスでのクライアント証明書の収集を確認する

  1. (エンドポイントで)ログインし、同期を開始するには、Google の Endpoint Verification 拡張機能を使用します。

    このステップでは、クライアント証明書は、上記の証明書の信頼を構成するでアップロードされたトラスト アンカーに照らしてサーバーサイドで検証されます。

  2. (管理コンソール)[デバイス]次に[モバイルとエンドポイント] に移動し、デバイスを見つけます。

  3. 証明書が Endpoint Verification の設定に表示されていることを確認します。

  4. このページにある、ルート CA 証明書のフィンガープリント、発行元文字列などの証明書のフィールドをメモし、これらの値を使用して、以下のコンテキストアウェア アクセスレベルを構成するでアクセスレベルを作成します。

  5. Endpoint Verification ログは、問題のトラブルシューティングに役立ちます。ログをダウンロードする手順は次のとおりです。

    1. Endpoint Verification 拡張機能を右クリックし、[オプション] に移動します。
    2. [Log level]次に[All]次に[Download Logs] を選択します。
    3. Google Workspace サポートにケースを登録し、さらなるデバッグのためにログを共有します。

コンテキストアウェア アクセスのレベルを構成する

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**アクセスとデータ管理**]次に[**コンテキストアウェア アクセス**] にアクセスします。

    データ セキュリティのアクセスレベルの管理権限とルールの管理権限管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。

  2. [**アクセスレベル**] を選択します。
  3. [アクセスレベルを作成] をクリックします。
  4. アクセスレベルの名前(「エンタープライズ証明書を必須にする」など)と説明(省略可)を追加します。
  5. [**Advanced**] タブをクリックします。このタブでは、Common Expressions Language(CEL)を使用して、編集ウィンドウでカスタム アクセスレベルを作成します。詳しくは、[コンテキストアウェア アクセスレベルを作成する]の [アクセスレベルを定義する] - [詳細モード] をご覧ください。

  6. アクセスレベルの CEL 式を追加します。

    アクセスレベルでは、ルート CA 証明書のフィンガープリントの検証(例 1)や、特定の発行元によって発行された有効な証明書であるかどうかの確認(例 2)など、証明書のさまざまな属性をテストできます。クエリできる証明書属性の完全なリストについては、こちらの属性表をご覧ください。

    1)トラスト アンカーと照合され、会社のルート証明書で署名された有効な証明書: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg")

    ルート証明書のフィンガープリントの文字列は、上記の証明書の確認の手順でコピーした文字列に置き換えます。

    2)トラスト アンカーと照合され、特定の発行元によって発行された有効な証明書: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US")

  7. [Create] をクリックします。以上で、このアクセスレベルをアプリに割り当てられるようになります。