Caso de uso: exigir certificados empresariais

Edições compatíveis com este recurso: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus e Chrome Enterprise Premium

Os certificados corporativos ajudam a garantir que os dispositivos do usuário sejam confiáveis para acessar serviços e dados na sua organização. Neste exemplo, você cria um nível de acesso baseado no contexto que exige que os dispositivos dos usuários tenham um certificado corporativo emitido pela empresa para acessar apps.

A extensão Verificação de endpoints informa apenas um certificado empresarial ao Google Admin Console.

Antes de começar

• Verifique se os dispositivos dos usuários são gerenciados pelo Chrome Enterprise Core ou por outras soluções de gerenciamento de dispositivos.
• Os dispositivos dos usuários precisam ter a extensão Verificação de endpoints instalada. Saiba como instalar a Verificação de endpoints.
• (Para usuários do Windows) Para melhorar a segurança dos dados do Chrome, verifique se o serviço de elevação do Google Chrome permanece ativado para a criptografia vinculada ao app.

Sobre certificados

• Se a empresa não tiver um certificado de AC e os certificados de cliente correspondentes, eles poderão ser criados pelo serviço de autoridade certificadora do Google Cloud.
• Os certificados do cliente precisam oferecer suporte à autenticação do cliente (1.3.6.1.5.5.7.3.2).
• No Windows, os certificados do cliente precisam estar presentes no armazenamento de certificados do usuário atual . Os certificados no armazenamento de certificados da máquina local não podem ser autenticados.

Configurar a confiança de certificados

Para coletar e validar o certificado empresarial do dispositivo, faça upload das âncoras de confiança usadas para emitir o certificado. As âncoras de confiança são o certificado de AC (autoridade certificadora) raiz e os certificados intermediários e subordinados relevantes. Siga estas etapas:

1. No Google Admin Console, acesse Menu DispositivosRedes. 

   Acessar redes

   Exige o privilégio de administrador "Configurações de dispositivos compartilhados".

2. Selecione a unidade organizacional adequada.
3. Realize uma das seguintes ações:
   • Se não houver certificados na seção Certificados, clique em Fazer upload do certificado.
   • Se houver certificados, clique na seção Certificados e em Adicionar certificado.
4. Insira o nome do certificado e faça upload dele.
5. Clique na caixa de seleção Ativado para a Verificação de endpoints.
6. Clique em Adicionar.

Configurar a política do Chrome

Para que a Verificação de endpoints procure e colete o certificado do dispositivo pelo Chrome, você precisa configurar a política AutoSelectCertificateForURLs do Chrome.

1. No Admin Console, acesse DispositivosChromeConfiguraçõesConfigurações do navegador e usuárioCertificados do cliente.
2. Selecione a unidade organizacional ou o grupo adequado.

3. Adicione a política AutoSelectCertificateForUrls usando esta sintaxe: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Substitua CERTIFICATE_ISSUER_NAME pelo nome comum da AC emissora. Não modifique o valor de pattern.

   Durante o processo de coleta e validação de certificados, o certificado do cliente permite a conexão mTLS real aos hosts clients6.google.com acima.

Verificar a configuração da política do Chrome

1. Acesse chrome://policy no navegador.
2. Verifique se o valor configurado para AutoSelectCertificateForUrls é o valor definido na etapa 3 em Configurar a política do Chrome, acima.
3. Verifique se o valor Aplica-se a da política está definido como Máquina. No sistema operacional Chrome, o valor é aplicado ao Usuário atual*.

4. Verifique se o Status da política não tem um Conflito.

   Para mais informações sobre a precedência de políticas e a resolução de conflitos, consulte Entender o gerenciamento de políticas do Chrome.

Verificar a coleta de certificados do cliente no dispositivo

1. No endpoint, faça login e inicie uma sincronização usando a extensão Verificação de endpoints do Google.

   Durante essa etapa, o certificado do cliente é validado no servidor em relação às âncoras de confiança enviadas em Configurar a confiança do certificado acima.

2. (Admin Console) Acesse DispositivosDispositivos móveis e endpoints e localize o dispositivo.

3. Verifique se o certificado está aparecendo nas configurações da Verificação de endpoints.

4. Anote os campos do certificado, como impressão digital da AC raiz, string do emissor ou outros nesta página e use esses valores para criar um nível de acesso em Configurar nível de acesso com base no contexto abaixo.

5. Use os registros da Verificação de endpoints para resolver problemas. Para fazer o download dos registros, siga estas etapas:

   1. Clique com o botão direito do mouse na extensão Verificação de endpoints e acesse Opções.
   2. Selecione Nível de registroTodosFazer o download de registros.
   3. Abra um caso com o suporte do Google Workspace e compartilhe os registros para mais depuração.

Configurar um nível de Acesso Baseado no Contexto

1. No Google Admin Console, acesse Menu SegurançaAcesso e controle de dadosAcesso baseado no contexto.

   Acessar Acesso baseado no contexto

   Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.

2. Selecione Níveis de acesso.
3. Clique em Criar nível de acesso.
4. Adicione um nome para o nível de acesso (por exemplo, "Exigir certificado corporativo") e uma descrição opcional.
5. Clique na guia Avançado. Nessa guia, você cria seu nível de acesso personalizado em uma janela de edição usando a Common Expressions Language (CEL). Confira mais detalhes em Criar níveis de acesso baseado no contexto e em Definir níveis de acesso : modo avançado.

6. Adicione a expressão CEL para o nível de acesso.

   O nível de acesso pode testar diferentes atributos do certificado, como verificar a impressão digital do certificado de AC raiz (exemplo 1) ou verificar se ele é um certificado válido emitido por um emissor específico (exemplo 2). Para conferir uma lista completa de atributos de certificado que podem ser consultados, consulte a tabela de atributos aqui.

   1) Certificado válido, verificado em pontos de confiança e assinado pelo certificado raiz da empresa: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Substitua a string de impressão digital raiz pela string que você copiou na etapa verificar certificado acima.

   2) Certificado válido, verificado em pontos de confiança e emitido por um emissor específico: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Clique em Criar. Agora você pode atribuir esse nível de acesso a apps.