用途：要求使用企業憑證

支援這項功能的版本：Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus 和 Chrome Enterprise 進階版

企業憑證有助於確保只讓可信任的使用者裝置存取貴機構的服務和資料。在本示例中，您會建立情境感知存取權層級，要求使用者裝置必須具備公司核發的企業憑證，才能存取應用程式。

端點驗證擴充功能只會向 Google 管理控制台回報一個企業憑證。

事前準備

• 確認使用者裝置是由 Chrome Enterprise 基本版或其他裝置管理解決方案管理。
• 使用者裝置必須安裝 Endpoint Verification 擴充功能。瞭解如何安裝端點驗證。
• (適用於 Windows 使用者) 為提升 Chrome 資料安全性，請確保 Google Chrome Elevation Service 保持啟用，應用程式綁定加密才能生效。

關於憑證

• 如果貴公司沒有 CA 憑證和相應的用戶端憑證，可以透過 Google Cloud 憑證授權單位服務建立。
• 用戶端憑證必須支援用戶端驗證 (1.3.6.1.5.5.7.3.2)。
• 在 Windows 上，用戶端憑證必須位於「目前使用者」憑證存放區中。系統無法驗證本機憑證存放區中的憑證。

調整憑證信任設定

您必須上傳信任錨點，用於核發裝置憑證，才能收集及驗證裝置企業憑證。信任錨點是根 CA (憑證授權單位) 憑證，以及相關的中繼和從屬憑證。請按照下列步驟操作：

1. 在 Google 管理控制台中，依序點選「選單」圖示 「裝置」「網路」。

   前往「網路」頁面

   必須具備共用裝置設定管理員權限。

2. 選取適當的機構單位。
3. 執行下列其中一項操作：
   • 如果「憑證」部分沒有任何憑證，請按一下「上傳憑證」。
   • 如有憑證，請按一下「憑證」部分，然後按一下「新增憑證」。
4. 輸入憑證名稱並上傳憑證。
5. 按一下「啟用端點驗證」核取方塊。
6. 按一下 [新增]。

設定 Chrome 政策

如要讓「端點驗證」功能透過 Chrome 搜尋並收集裝置憑證，您必須設定「AutoSelectCertificateForURLs」Chrome 政策。

1. 在管理控制台中，依序前往「裝置」「Chrome」「設定」「使用者與瀏覽器設定」「用戶端憑證」。
2. 選取適當的機構單位或群組。

3. 使用下列語法新增 AutoSelectCertificateForUrls 政策：{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   請將 CERTIFICATE_ISSUER_NAME 替換為憑證授權單位的常用名稱。請勿修改 pattern 的值。

   在憑證收集和驗證程序期間，用戶端憑證會啟用實際的 mTLS 連線，連線至上文所述的 clients6.google.com 主機。

驗證 Chrome 政策設定

1. 在瀏覽器中前往 chrome://policy。
2. 確認 AutoSelectCertificateForUrls 的設定值，是否為上文「設定 Chrome 政策」步驟 3 中設定的值。
3. 確認政策的「套用對象」值已設為「裝置」。在 Chrome 作業系統上，這個值會套用至「目前使用者」*。

4. 確認政策的「狀態」未顯示「衝突」。

   如要進一步瞭解政策優先順序和如何解決政策衝突，請參閱「瞭解 Chrome 政策管理」。

在裝置上驗證用戶端憑證收集作業

1. (在端點上) 使用 Google Endpoint Verification 擴充功能登入並啟動同步處理。

   在此步驟中，系統會在伺服器端驗證用戶端憑證，並與上文「調整憑證信任設定」一節中上傳的信任錨點進行比對。

2. (管理控制台) 依序前往「裝置」「行動裝置與端點」，然後找出裝置。

3. 確認憑證是否顯示在「端點驗證」設定中。

4. 請記下此頁面的憑證欄位內容 (例如「根 CA 指紋」、「核發單位字串」等)，並按照下文「設定內容感知存取權層級」一節的說明，使用這些值建構存取層級。

5. 您可以使用「端點驗證」記錄來排解任何問題。如要下載記錄，請按照下列步驟操作：

   1. 在 Endpoint Verification 擴充功能上按一下滑鼠右鍵，然後前往「選項」。
   2. 依序選取「記錄層級」「全部」「下載記錄」。
   3. 向 Google Workspace 支援團隊提出案件，並提供記錄檔以便進一步偵錯。

設定情境感知存取權層級

1. 在 Google 管理控制台中，依序點選「選單」圖示 「安全性」「存取權與資料控管」「情境感知存取權」。

   前往情境感知存取權

   須具備資料安全性存取層級和規則管理權限，以及 Admin API 的群組和使用者「讀取」權限。

2. 選取「存取層級」。
3. 按一下「建立存取層級」。
4. 新增存取層級名稱 (例如「要求使用企業憑證」)，並視需要輸入說明。
5. 按一下「進階」分頁標籤。在這個分頁中，您必須使用一般運算語言 (CEL)，在編輯視窗中建立自訂存取層級。詳情請參閱「建立情境感知存取權層級」中的「定義存取層級：進階模式」一節。

6. 新增存取層級的 CEL 運算式。

   存取層級可測試憑證的不同屬性，例如驗證根 CA 憑證的指紋 (例 1)，或檢查憑證是否為特定核發單位的有效憑證 (例 2)。如需可查詢的完整憑證屬性清單，請參閱此頁面的屬性表格。

   1) 有效憑證 (已透過信任錨點驗證，並由公司根憑證簽署)： device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg")。

   將根指紋字串替換成您在上方「驗證憑證」步驟中複製的字串。

   2) 有效憑證 (已透過信任錨點驗證，並由特定核發單位核發)： device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US")。

7. 按一下「建立」，現在您即可將這個存取層級指派給應用程式。