Przypadek użycia: wymaganie certyfikatów przedsiębiorstwa

Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus i Chrome Enterprise Premium.

Certyfikaty przedsiębiorstwa pomagają zapewnić, że urządzenia użytkowników są zaufane i mogą uzyskiwać dostęp do usług i danych w organizacji. W tym przykładzie tworzysz poziom dostępu zależnego od kontekstu, który wymaga, aby urządzenia użytkowników miały certyfikat przedsiębiorstwa wydany przez firmę, który jest potrzebny do uzyskania dostępu do aplikacji.

Rozszerzenie Weryfikacja punktów końcowych zgłasza do konsoli administracyjnej Google tylko jeden certyfikat przedsiębiorstwa.

Zanim zaczniesz

• Sprawdź, czy urządzenia użytkowników są zarządzane przez Chrome Enterprise Core lub inne rozwiązania do zarządzania urządzeniami.
• Na urządzeniach użytkowników musi być zainstalowane rozszerzenie Weryfikacja punktów końcowych. Dowiedz się, jak zainstalować rozszerzenie Weryfikacja punktów końcowych
• (W przypadku użytkowników systemu Windows) Aby zwiększyć bezpieczeństwo danych Chrome, upewnij się, że usługa Google Chrome Elevation Service jest włączona w przypadku App-Bound Encryption (szyfrowania powiązanego z aplikacją).

Informacje o certyfikatach

• Jeśli Twoja firma nie ma certyfikatu CA ani odpowiednich certyfikatów klienta, możesz je utworzyć za pomocą usługi Certificate Authority Service w Google Cloud.
• Certyfikaty klienta muszą obsługiwać uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).
• W systemie Windows certyfikaty klienta muszą znajdować się w magazynie certyfikatów bieżącego użytkownika. Certyfikatów w lokalnym magazynie certyfikatów komputera nie można uwierzytelnić.

Konfigurowanie zaufania do certyfikatów

Aby zebrać i zweryfikować certyfikat przedsiębiorstwa na urządzeniu, musisz przesłać kotwice zaufania użyte do wydania certyfikatu urządzenia. Kotwice zaufania są oparte na certyfikacie głównego urzędu certyfikacji (CA) oraz odpowiednich pośrednich i podrzędnych certyfikatach. Wykonaj te czynności:

1. W konsoli administracyjnej Google otwórz Menu  UrządzeniaSieci. 

   Otwórz stronę Sieci

   Wymaga uprawnień administratora Ustawienia urządzeń udostępnionych.

2. Wybierz odpowiednią jednostkę organizacyjną.
3. Wykonaj jedną z tych czynności:
   • Jeśli w sekcji Certyfikaty nie ma certyfikatów, kliknij Prześlij certyfikat.
   • Jeśli są dostępne certyfikaty, kliknij sekcję Certyfikaty, a następnie Dodaj certyfikat.
4. Wpisz nazwę certyfikatu i prześlij go.
5. Zaznacz pole wyboru Włączone dla rozszerzenia Endpoint Verification.
6. Kliknij Dodaj.

Konfigurowanie zasad Chrome

Aby za pomocą rozszerzenia Endpoint Verification przeszukać certyfikat urządzenia i zebrać go przez Chrome, musisz skonfigurować zasadę AutoSelectCertificateForURLs w Chrome.

1. W konsoli administracyjnej kliknij UrządzeniaChromeUstawieniaUstawienia użytkownika i przeglądarkiCertyfikaty klienta.
2. Wybierz odpowiednią jednostkę organizacyjną lub grupę.

3. Dodaj zasadę AutoSelectCertificateForUrls, używając tej składni: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Zastąp CERTIFICATE_ISSUER_NAME nazwą pospolitą urzędu certyfikacji wystawiającego certyfikat. Nie modyfikuj wartości pattern.

   Podczas procesu zbierania i weryfikacji certyfikatów certyfikat klienta umożliwia nawiązanie połączenia mTLS z powyższymi hostami clients6.google.com.

Sprawdzanie konfiguracji zasad Chrome

1. Otwórz w przeglądarce stronę chrome://policy.
2. Sprawdź, czy skonfigurowana wartość AutoSelectCertificateForUrls jest taka sama jak podana w kroku 3 w sekcji Konfigurowanie zasad Chrome.
3. Upewnij się, że wartość Applies to (Dotyczy) dla zasad jest ustawiona na Machine (Komputer). W systemie operacyjnym Chrome wartość jest stosowana do Bieżącego użytkownika*.

4. Upewnij się, że Status (Stan) zasady nie ma wartości Conflict (Konflikt).

   Więcej informacji o pierwszeństwie zasad i rozwiązywaniu konfliktów między nimi znajdziesz w artykule Omówienie zarządzania zasadami Chrome.

Sprawdzanie zbierania certyfikatów klienta na urządzeniu

1. (Punkt końcowy) Zaloguj się i rozpocznij synchronizację za pomocą rozszerzenia Google Endpoint Verification.

   Na tym etapie certyfikat klienta jest weryfikowany po stronie serwera na podstawie kotwic zaufania przesłanych w sekcji Konfigurowanie zaufania do certyfikatów.

2. (Konsola administracyjna) Otwórz UrządzeniaUrządzenia mobilne i punkty końcowe i znajdź urządzenie.

3. Sprawdź, czy certyfikat jest widoczny w ustawieniach rozszerzenia Endpoint Verification.

4. Zanotuj pola certyfikatu, takie jak odcisk cyfrowy głównego urzędu certyfikacji (CA), ciąg wystawcy lub inne na tej stronie, i użyj tych wartości do skonfigurowania poziomu dostępu w sekcji Konfigurowanie poziomu dostępu zależnego od kontekstu poniżej.

5. Aby rozwiązać problemy, możesz skorzystać z dzienników rozszerzenia Endpoint Verification. Aby pobrać dzienniki:

   1. Kliknij prawym przyciskiem myszy rozszerzenie Endpoint Verification, a następnie kliknij Opcje.
   2. Wybierz Poziom logówWszystkoPobierz logi.
   3. Otwórz zgłoszenie do zespołu pomocy Google Workspace i udostępnij dzienniki na potrzeby dalszego debugowania.

Konfigurowanie poziomu dostępu zależnego od kontekstu

1. W konsoli administracyjnej Google otwórz Menu  BezpieczeństwoDostęp do danych i kontrola nad nimiDostęp zależny od kontekstu.

   Przejdź do dostępu zależnego od kontekstu

   Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

2. Wybierz Poziomy dostępu.
3. Kliknij Utwórz poziom dostępu.
4. Dodaj nazwę poziomu dostępu (np. „Wymagaj certyfikatu przedsiębiorstwa”) i opcjonalnie opis.
5. Kliknij kartę Zaawansowane. Na tej karcie możesz utworzyć niestandardowy poziom dostępu w oknie edycji za pomocą języka CEL (Common Expression Language). Szczegółowe informacje znajdziesz w artykułach Tworzenie poziomów dostępu zależnego od kontekstu i Definiowanie poziomów dostępu – tryb zaawansowany.

6. Dodaj wyrażenie CEL dla poziomu dostępu.

   Poziom dostępu może testować różne atrybuty certyfikatu, np. weryfikować odcisk cyfrowy głównego certyfikatu CA (przykład 1) lub sprawdzać, czy jest to prawidłowy certyfikat wydany przez określony urząd certyfikacji (przykład 2). Pełną listę atrybutów certyfikatu, o które można wysyłać zapytania, znajdziesz w tabeli atrybutów tutaj.

   1) Ważny certyfikat, zweryfikowany pod kątem kotwic zaufania i podpisany certyfikatem głównym firmy: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Zastąp ciąg znaków odcisku cyfrowego głównego urzędu certyfikacji ciągiem znaków skopiowanym w kroku sprawdzanie certyfikatu.

   2) Ważny certyfikat, zweryfikowany pod kątem kotwic zaufania i wydany przez określony urząd certyfikacji: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Kliknij Utwórz. Teraz możesz przypisać utworzony poziom dostępu do wybranych aplikacji.