Gebruiksscenario: Bedrijfscertificaten vereisen

Ondersteunde edities voor deze functie: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus en Chrome Enterprise Premium

Bedrijfscertificaten zorgen ervoor dat gebruikersapparaten betrouwbaar toegang hebben tot services en gegevens binnen uw organisatie. In dit voorbeeld maakt u een contextbewust toegangsniveau aan dat vereist dat gebruikersapparaten een door het bedrijf uitgegeven bedrijfscertificaat hebben om toegang te krijgen tot apps.

De Endpoint Verification-extensie rapporteert slechts één bedrijfscertificaat aan de Google Admin-console.

Voordat je begint

• Zorg ervoor dat gebruikersapparaten worden beheerd door Chrome Enterprise Core of andere oplossingen voor apparaatbeheer.
• Gebruikersapparaten moeten de Endpoint Verification-extensie geïnstalleerd hebben. Lees hoe u Endpoint Verification installeert .
• (Voor Windows-gebruikers) Om de beveiliging van Chrome-gegevens te verbeteren, moet u ervoor zorgen dat de Google Chrome Elevation Service is ingeschakeld voor app-gebonden versleuteling .

Over certificaten

• Als uw bedrijf geen CA-certificaat en de bijbehorende clientcertificaten heeft, kunt u deze aanmaken via de Google Cloud Certificate Authority Service .
• Clientcertificaten moeten Client Authentication ondersteunen (1.3.6.1.5.5.7.3.2).
• Op Windows moeten clientcertificaten aanwezig zijn in het certificaatarchief van de huidige gebruiker. Certificaten in het certificaatarchief van de lokale machine kunnen niet worden geverifieerd.

Configureer certificaatvertrouwen

Om het bedrijfscertificaat van het apparaat te verzamelen en te valideren, moet u de vertrouwensankers uploaden die zijn gebruikt om het apparaatcertificaat uit te geven. De vertrouwensankers zijn het root-CA-certificaat (Certification Authority) en de relevante tussenliggende en onderliggende certificaten. Volg deze stappen:

1. Ga in de Google Admin-console naar Menu. Apparaten Netwerken .

   Ga naar Netwerken

   Hiervoor is beheerdersrechten voor gedeelde apparaatinstellingen vereist.

2. Selecteer de juiste organisatie-eenheid.
3. Doe een van de volgende dingen:
   • Als er geen certificaten zijn, klik dan in het gedeelte Certificaten op Certificaat uploaden .
   • Als er certificaten zijn, klik dan op het gedeelte Certificaten en vervolgens op Certificaat toevoegen .
4. Voer de certificaatnaam in en upload het certificaat.
5. Vink het selectievakje 'Ingeschakeld voor eindpuntverificatie' aan.
6. Klik op Toevoegen .

Chrome-beleid configureren

Om ervoor te zorgen dat Endpoint Verification het apparaatcertificaat via Chrome kan zoeken en verzamelen, moet u het Chrome-beleid AutoSelectCertificateForURLs configureren.

1. Ga in de beheerdersconsole naar Apparaten . Chrome Instellingen Gebruikers- en browserinstellingen Klantcertificaten .
2. Selecteer de juiste organisatie-eenheid of -groep.

3. Voeg het beleid AutoSelectCertificateForUrls toe met de volgende syntaxis: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Vervang CERTIFICATE_ISSUER_NAME door de algemene naam van de uitgevende CA. Wijzig de waarde van pattern niet.

   Tijdens het proces van certificaatverzameling en -validatie maakt het clientcertificaat de daadwerkelijke mTLS-verbinding met de bovengenoemde clients6.google.com-hosts mogelijk.

Controleer de Chrome-beleidsconfiguratie.

1. Ga in de browser naar chrome://policy.
2. Controleer of de geconfigureerde waarde voor AutoSelectCertificateForUrls overeenkomt met de waarde die is ingesteld in stap 3 van 'Chrome-beleid configureren' hierboven.
3. Zorg ervoor dat de beleidswaarde 'Van toepassing op ' is ingesteld op 'Machine' . Op het Chrome-besturingssysteem is de waarde van toepassing op ' Huidige gebruiker' *.

4. Zorg ervoor dat de status van het beleid geen conflict bevat.

   Voor meer informatie over beleidsprioriteit en het oplossen van beleidsconflicten, zie Inzicht in Chrome-beleidsbeheer .

Controleer de clientcertificaatverzameling op het apparaat.

1. (Op het eindpunt) Meld u aan en start een synchronisatie met behulp van de Google Endpoint Verification-extensie.

   Tijdens deze stap wordt het clientcertificaat aan de serverzijde gevalideerd aan de hand van de vertrouwensankers die hierboven in 'Certificaatvertrouwen configureren' zijn geüpload.

2. (Beheerconsole) Ga naar Apparaten Mobiele apparaten en eindpunten detecteren en de locatie van het apparaat bepalen.

3. Controleer of het certificaat wordt weergegeven in de instellingen voor eindpuntverificatie.

4. Let op de certificaatvelden op deze pagina, zoals de vingerafdruk van de root-CA, de uitgeverstring en andere gegevens, en gebruik deze waarden om een ​​toegangsniveau te construeren in ' Contextbewust toegangsniveau configureren' hieronder.

5. U kunt de logboeken van de eindpuntverificatie gebruiken om eventuele problemen op te lossen. Om de logboeken te downloaden:

   1. Klik met de rechtermuisknop op de extensie Endpoint Verification en ga vervolgens naar Opties .
   2. Selecteer het logniveau Alle Logbestanden downloaden .
   3. Neem contact op met de Google Workspace-ondersteuning en deel de logbestanden voor verder onderzoek.

Configureer een contextbewust toegangsniveau.

1. Ga in de Google Admin-console naar Menu. Beveiliging Toegangs- en gegevensbeheer Contextbewuste toegang .

   Ga naar Contextbewuste toegang

   Vereist toegangsniveaus voor gegevensbeveiliging en beheerrechten voor regels , evenals leesrechten voor beheerders-API-groepen en -gebruikers .

2. Selecteer toegangsniveaus .
3. Klik op Toegangsniveau aanmaken .
4. Voeg een naam voor het toegangsniveau toe (bijvoorbeeld "Bedrijfscertificaat vereisen") en een optionele beschrijving.
5. Klik op het tabblad 'Geavanceerd' . Op dit tabblad kunt u uw aangepaste toegangsniveau samenstellen in een bewerkingsvenster met behulp van Common Expressions Language (CEL) . Ga naar 'Contextbewuste toegangsniveaus maken' , 'Toegangsniveaus definiëren - Geavanceerde modus' voor meer informatie.

6. Voeg de CEL-expressie toe voor het toegangsniveau.

   Het toegangsniveau kan verschillende kenmerken van het certificaat testen, zoals het verifiëren van de vingerafdruk van het root-CA-certificaat (voorbeeld 1) of het controleren of het een geldig certificaat is dat is uitgegeven door een specifieke uitgever (voorbeeld 2). Voor een volledige lijst van certificaatkenmerken die kunnen worden opgevraagd, zie de kenmerkentabel hier .

   1) Geldig certificaat, geverifieerd aan de hand van vertrouwensankers en ondertekend door het rootcertificaat van het bedrijf: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg") .

   Vervang de root-vingerafdrukstring door de string die u in de bovenstaande stap voor certificaatverificatie hebt gekopieerd.

   2) Geldig certificaat, geverifieerd aan de hand van vertrouwensankers en uitgegeven door een specifieke uitgever: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US") .

7. Klik op 'Maken' . Nu kunt u dit toegangsniveau aan apps toewijzen .