Пример использования: Требование наличия корпоративных сертификатов.

Поддерживаемые версии для этой функции: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus и Chrome Enterprise Premium.

Корпоративные сертификаты помогают гарантировать, что устройства пользователей заслуживают доверия при доступе к сервисам и данным в вашей организации. В этом примере вы создаете уровень доступа с учетом контекста, который требует, чтобы устройства пользователей имели выданный компанией корпоративный сертификат для доступа к приложениям.

Расширение Endpoint Verification отправляет в консоль администратора Google только один корпоративный сертификат.

Прежде чем начать

• Убедитесь, что управление пользовательскими устройствами осуществляется с помощью Chrome Enterprise Core или других решений для управления устройствами.
• На устройствах пользователей должно быть установлено расширение Endpoint Verification. Узнайте, как установить Endpoint Verification .
• (Для пользователей Windows) Чтобы повысить безопасность данных Chrome, убедитесь, что служба повышения привилегий Google Chrome остается включенной для шифрования данных, привязанного к приложению .

О сертификатах

• Если у вашей компании нет сертификата центра сертификации (CA) и соответствующих клиентских сертификатов, вы можете создать их с помощью службы центров сертификации Google Cloud .
• Клиентские сертификаты должны поддерживать аутентификацию клиента (1.3.6.1.5.5.7.3.2).
• В операционной системе Windows клиентские сертификаты должны присутствовать в хранилище сертификатов текущего пользователя. Сертификаты из хранилища сертификатов локального компьютера не могут быть аутентифицированы.

Настройка доверия к сертификатам

Для сбора и проверки корпоративного сертификата устройства необходимо загрузить доверенные якоря, использованные для выдачи сертификата устройства. Доверенными якорями являются корневой сертификат центра сертификации (ЦС) и соответствующие промежуточные и подчиненные сертификаты. Выполните следующие шаги:

1. В консоли администратора Google перейдите в меню. Устройства Сети .

   Перейдите в раздел «Сети».

   Для этого требуются права администратора настроек общего доступа к устройству .

2. Выберите соответствующее организационное подразделение.
3. Выполните одно из следующих действий:
   • Если в разделе «Сертификаты» отсутствуют сертификаты, нажмите «Загрузить сертификат» .
   • Если сертификаты уже есть, перейдите в раздел «Сертификаты» , затем нажмите «Добавить сертификат» .
4. Введите имя сертификата и загрузите сертификат.
5. Установите флажок «Включено для проверки конечных точек» .
6. Нажмите «Добавить» .

Настройка политики Chrome

Для того чтобы функция проверки конечных точек могла искать сертификат устройства и собирать его через Chrome, необходимо настроить политику Chrome AutoSelectCertificateForURLs.

1. В консоли администратора перейдите в раздел «Устройства» . Хром Настройки Настройки пользователя и браузера Клиентские сертификаты .
2. Выберите соответствующее организационное подразделение или группу.

3. Добавьте политику AutoSelectCertificateForUrls , используя следующий синтаксис: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Замените CERTIFICATE_ISSUER_NAME на общее имя центра сертификации. Не изменяйте значение pattern .

   В процессе сбора и проверки сертификата клиентский сертификат обеспечивает фактическое mTLS-соединение с указанными выше хостами clients6.google.com.

Проверьте конфигурацию политики Chrome.

1. Перейдите в браузере по адресу chrome://policy.
2. Убедитесь, что заданное значение параметра AutoSelectCertificateForUrls совпадает со значением, установленным на шаге 3 в разделе «Настройка политики Chrome» выше.
3. Убедитесь, что для параметра « Применяется к » установлено значение «Машина» . В операционной системе Chrome это значение применяется к «Текущему пользователю *».

4. Убедитесь, что статус политики не имеет конфликта .

   Для получения дополнительной информации о приоритете политик и разрешении конфликтов политик см. раздел «Понимание управления политиками Chrome» .

Проверьте наличие клиентских сертификатов на устройстве.

1. (На конечной точке) Войдите в систему и запустите синхронизацию, используя расширение Google Endpoint Verification.

   На этом этапе клиентский сертификат проверяется на стороне сервера по отношению к якорным точкам доверия, загруженным в разделе «Настройка доверия сертификата» выше.

2. (Консоль администратора) Перейдите в раздел «Устройства». Мобильные устройства и конечные точки , а также определение местоположения устройства.

3. Убедитесь, что сертификат отображается в настройках проверки конечных точек.

4. Обратите внимание на поля сертификата, такие как отпечаток корневого центра сертификации, строка издателя и другие, указанные на этой странице, и используйте эти значения для создания уровня доступа в разделе «Настройка контекстно-зависимого уровня доступа» ниже.

5. Журналы проверки конечных точек помогут вам в устранении любых проблем. Чтобы загрузить журналы:

   1. Щелкните правой кнопкой мыши по расширению Endpoint Verification и выберите «Параметры» .
   2. Выберите уровень логирования Все Скачать журналы .
   3. Откройте заявку в службу поддержки Google Workspace и предоставьте журналы для дальнейшей отладки.

Настройте уровень доступа с учетом контекста.

1. В консоли администратора Google перейдите в меню. Безопасность Контроль доступа и данных Доступ с учетом контекста .

   Перейти к контекстно-зависимому доступу

   Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

2. Выберите уровни доступа .
3. Нажмите «Создать уровень доступа» .
4. Добавьте название уровня доступа (например, "Требуется корпоративный сертификат") и, при необходимости, описание.
5. Перейдите на вкладку «Дополнительно» . На этой вкладке вы создадите свой собственный уровень доступа в окне редактирования, используя язык выражений Common Expressions Language (CEL) . Для получения подробной информации перейдите к разделу «Создание уровней доступа с учетом контекста» , затем «Определение уровней доступа — расширенный режим» .

6. Добавьте выражение CEL для уровня доступа.

   Уровень доступа позволяет проверять различные атрибуты сертификата, например, отпечаток корневого сертификата центра сертификации (пример 1) или действительность сертификата, выданного конкретным эмитентом (пример 2). Полный список атрибутов сертификата, которые можно проверить, см. в таблице атрибутов здесь .

   1) Действительный сертификат, проверенный по доверенным якорям и подписанный корневым сертификатом компании: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg") .

   Замените строку корневого отпечатка на строку, скопированную вами на этапе проверки сертификата, описанном выше.

   2) Действительный сертификат, проверенный по доверенным якорям и выданный конкретным эмитентом: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US") .

7. Нажмите «Создать» . Теперь вы можете назначать этот уровень доступа приложениям.