Kullanım alanı: Kurumsal sertifikaları zorunlu kılma

Bu özellik için desteklenen sürümler: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus ve Chrome Enterprise Premium

Kurumsal sertifikalar, kullanıcı cihazlarının kuruluşunuzdaki hizmetlere ve verilere erişmesi için güvenilir olmasını sağlar. Bu örnekte, kullanıcı cihazlarının uygulamalara erişebilmesi için şirket tarafından verilen kurumsal sertifikaya sahip olmasını zorunlu kılan bir bağlama duyarlı erişim düzeyi oluşturursunuz.

Uç Nokta Doğrulaması uzantısı, Google Yönetici Konsolu'na yalnızca bir kuruluş sertifikası bildirir.

Başlamadan önce

• Kullanıcı cihazlarının Chrome Enterprise Core veya diğer cihaz yönetimi çözümleri tarafından yönetildiğinden emin olun.
• Kullanıcı cihazlarında Uç Nokta Doğrulaması uzantısı yüklü olmalıdır. Uç Nokta Doğrulaması uzantısını nasıl yükleyeceğinizi öğrenin.
• (Windows kullanıcıları için) Chrome verilerinin güvenliğini artırmak amacıyla, uygulamaya bağlı şifreleme için Google Chrome Elevation Service'in etkin kalmasını sağlayın.

Sertifikalar hakkında

• Şirketinizin CA sertifikası ve ilgili istemci sertifikaları yoksa bunları Google Cloud Certificate Authority Service üzerinden oluşturabilirsiniz.
• İstemci sertifikaları, istemci kimlik doğrulamasını (1.3.6.1.5.5.7.3.2) desteklemelidir.
• Windows'da istemci sertifikaları, Geçerli Kullanıcı sertifika deposunda bulunmalıdır. Yerel makine sertifika deposundaki sertifikaların kimliği doğrulanamıyor.

Sertifika güvenini yapılandırma

Cihaz kurumsal sertifikasını alıp doğrulamak için cihaz sertifikasını vermek üzere kullanılan güven ankrajlarını yüklemeniz gerekir. Güven çapaları, kök CA (Sertifika Yetkilisi) sertifikası ve ilgili ara ve alt sertifikalar. Şu adımları uygulayın:

1. Google Yönetici Konsolu'nda Menü CihazlarAğlar'a gidin. 

   Ağlar'a git

   Paylaşılan cihaz ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

2. Uygun kuruluş birimini seçin.
3. Aşağıdakilerden birini yapın:
   • Sertifikalar bölümünde sertifika yoksa Sertifika yükle'yi tıklayın.
   • Sertifika varsa Sertifikalar bölümünü, ardından Sertifika ekle'yi tıklayın.
4. Sertifika adını girin ve sertifikayı yükleyin.
5. Uç Nokta Doğrulaması için Etkin onay kutusunu işaretleyin.
6. Ekle'yi tıklayın.

Chrome politikasını yapılandırma

Uç Nokta Doğrulaması'nın cihaz sertifikasını araması ve Chrome üzerinden toplaması için AutoSelectCertificateForURLs Chrome politikasını yapılandırmanız gerekir.

1. Yönetici Konsolu'nda CihazlarChromeAyarlarKullanıcı ve Tarayıcı Ayarlarıİstemci sertifikaları'na gidin.
2. Uygun kuruluş birimini veya grubu seçin.

3. Aşağıdaki söz dizimini kullanarak AutoSelectCertificateForUrls politikasını ekleyin: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   CERTIFICATE_ISSUER_NAME değerini, sertifika yetkilisinin ortak adıyla değiştirin. pattern değerini değiştirmeyin.

   Sertifika toplama ve doğrulama işlemi sırasında istemci sertifikası, yukarıdaki clients6.google.com ana makinelerine gerçek mTLS bağlantısını etkinleştirir.

Chrome politika yapılandırmasını doğrulama

1. Tarayıcıda chrome://policy adresine gidin.
2. AutoSelectCertificateForUrls için yapılandırılmış değerin, yukarıdaki Chrome politikasını yapılandırma bölümündeki 3. adımda ayarlanan değer olduğunu doğrulayın.
3. Politikanın Şunun için geçerlidir değerinin Makine olarak ayarlandığından emin olun. Chrome işletim sisteminde bu değer Mevcut Kullanıcı* için uygulanır.

4. Politikanın Durum bölümünde Çakışıklık olmadığından emin olun.

   Politika önceliği ve politika çakışmalarını çözme hakkında daha fazla bilgi için Chrome politika yönetimini anlama başlıklı makaleyi inceleyin.

Cihazdaki istemci sertifikası toplama işlemini doğrulama

1. (Uç noktada) Oturum açın ve Google Uç Nokta Doğrulaması uzantısını kullanarak senkronizasyon başlatın.

   Bu adımda istemci sertifikası, sunucu tarafında yukarıdaki Sertifika güvenini yapılandırma bölümünde yüklenen güven ankrajlarına göre doğrulanır.

2. (Yönetici Konsolu) CihazlarMobil cihazlar ve uç noktalar'a gidin ve cihazı bulun.

3. Sertifikanın, uç nokta doğrulaması ayarlarında gösterildiğini doğrulayın.

4. Kök CA parmak izi, Düzenleyen dizesi gibi sertifika alanlarını bu sayfada not edin ve aşağıdaki Bağlama duyarlı erişim düzeyini yapılandır bölümünde bir erişim düzeyi oluşturmak için bu değerleri kullanın.

5. Sorunları gidermenize yardımcı olması için Uç Nokta Doğrulaması günlüklerini kullanabilirsiniz. Günlükleri indirmek için:

   1. Endpoint Verification uzantısını sağ tıklayın ve Seçenekler'e gidin.
   2. Günlük düzeyiTümüGünlükleri İndir'i seçin.
   3. Daha fazla hata ayıklama için Google Workspace Destek Ekibi ile destek kaydı açın ve günlükleri paylaşın.

Bağlama Duyarlı Erişim düzeyini yapılandırma

1. Google Yönetici Konsolu'nda Menü GüvenlikErişim ve veri denetimiBağlama Duyarlı Erişim'e gidin.

   Bağlama duyarlı erişime gitme

   Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi ayrıcalıkları ile Admin API grupları ve kullanıcıları okuma ayrıcalıklarını gerektirir.

2. Erişim düzeyleri'ni seçin.
3. Erişim düzeyi oluştur'u tıklayın.
4. Erişim düzeyi adı (örneğin, "Enterprise sertifikası zorunluluğu") ve isteğe bağlı bir açıklama ekleyin.
5. Gelişmiş sekmesini tıklayın. Bu sekmede, Common Expressions Language (CEL) kullanarak bir düzenleme penceresinde özel erişim düzeyinizi oluşturursunuz. Ayrıntılar için Bağlama duyarlı erişim düzeyleri oluşturma, Erişim düzeylerini tanımlama - Gelişmiş Mod'a gidin.

6. Erişim düzeyi için CEL ifadesini ekleyin.

   Erişim düzeyi, sertifikanın farklı özelliklerini test edebilir. Örneğin, kök CA sertifikasının parmak izini doğrulayabilir (1. örnek) veya belirli bir yayıncı tarafından verilen geçerli bir sertifika olup olmadığını kontrol edebilir (2. örnek). Sorgulanabilen sertifika özelliklerinin tam listesi için buradaki özellik tablosuna bakın.

   1) Güven bağlantılarına göre doğrulanmış ve şirket kök sertifikası tarafından imzalanmış geçerli sertifika: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Kök parmak izi dizesini, yukarıdaki sertifika doğrulama adımında kopyaladığınız diziyle değiştirin.

   2) Güven çapalarına göre doğrulanmış ve belirli bir yayıncı tarafından verilen geçerli sertifika: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Oluştur'u tıklayın. Artık bu erişim düzeyini uygulamalara atayabilirsiniz.