この機能に対応しているエディション: Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Chrome Enterprise Premium。
エンタープライズ証明書を使用すると、ユーザーのデバイスで組織内のサービスとデータにアクセスする際に、そのデバイスが信頼できるものであることを確認できます。この例では、アプリにアクセスするために会社発行のエンタープライズ証明書がユーザーのデバイスに必須となるコンテキストアウェア アクセスレベルを作成します。
始める前に
- ユーザーのデバイスが Chrome Enterprise Core またはその他のデバイス管理ソリューションによって管理されていることを確認します。
- ユーザーのデバイスに Endpoint Verification 拡張機能がインストールされている必要があります。詳しくは、デバイスに Endpoint Verification をインストールする方法をご覧ください。
証明書について
- CA 証明書と対応するクライアント証明書が会社にない場合は、Google Cloud Certificate Authority Service で作成できます。
- クライアント証明書は、クライアント認証(1.3.6.1.5.5.7.3.2)をサポートしている必要があります。
- Windows では、クライアント証明書が現在のユーザーの証明書ストアに存在している必要があります。ローカル コンピュータの証明書ストアにある証明書は認証できません。
証明書の信頼を構成する
デバイスのエンタープライズ証明書を収集して検証するには、デバイス証明書の発行に使用するトラスト アンカーをアップロードする必要があります。トラスト アンカーとは、ルート CA(認証局)証明書と、それに関連する中間証明書や下位証明書のことを指します。手順は次のとおりです。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
[デバイス] > [ネットワーク] にアクセスします。
共有デバイス設定の管理者権限が必要です。
- 適切な組織部門を選択します。
- 次のいずれかを行います。
- [証明書] セクションに証明書がない場合は、[証明書をアップロード] をクリックします。
- 証明書がある場合は、[証明書] セクションをクリックし、[証明書を追加] をクリックします。
- 証明書名を入力して証明書をアップロードします。
- [エンドポイントの確認] でチェックボックスをオンにして有効にます。
- [追加] をクリックします。
Chrome ポリシーを構成する
Endpoint Verification が Chrome でデバイス証明書を検索して収集するには、AutoSelectCertificateForURLs Chrome ポリシーを構成する必要があります。
- 管理コンソールで、[デバイス]
[Chrome]
- 対象の組織部門またはグループを選択します。
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}という構文を使用して、AutoSelectCertificateForUrlsポリシーを追加します。CERTIFICATE_ISSUER_NAME は、発行元 CA の共通名に置き換えます。
patternの値は変更しないでください。証明書の収集と検証プロセスで、クライアント証明書により、上記の clients6.google.com ホストへの実際の mTLS 接続が有効になります。
[Chrome] Chrome ポリシーの構成を確認する
- ブラウザで chrome://policy に移動します。
- AutoSelectCertificateForUrls に構成されている値が、上記のChrome ポリシーを構成するのステップ 3 で設定した値であることを確認します。
- ポリシーの [適用先] の値が [マシン] に設定されていることを確認します。Chrome オペレーティング システムの場合、対象の値は [現在のユーザー]* に適用されます。
- ポリシーのステータスに競合がないことを確認します。
ポリシーの優先度とポリシーの競合を解決する方法について詳しくは、Chrome ポリシー管理の概要をご覧ください。
デバイスでクライアント証明書の収集を確認する
- (エンドポイントで)ログインし、Google の Endpoint Verification 拡張機能を使用して同期を開始します。
このステップでは、上記の証明書の信頼を構成するでアップロードされたトラスト アンカーと照合して、クライアント証明書がサーバーサイドで検証されます。
- (管理コンソール)[デバイス]
- 証明書が [Endpoint Verification] の設定に表示されていることを確認します。
- このページにある、ルート CA 証明書のフィンガープリント、発行元文字列などの証明書のフィールドをメモし、これらの値を使用して、以下のコンテキストアウェア アクセスレベルを構成するでアクセスレベルを作成します。
- Endpoint Verification のログは、問題のトラブルシューティングに役立ちます。ログをダウンロードするには:
- Endpoint Verification 拡張機能を右クリックし、[Options] に移動します。
- [Log Level]
- Google Workspace サポートにケースを登録し、ログを共有してデバッグを進めます。
コンテキストアウェア アクセスレベルを構成する
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
メニュー アイコン
[セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェア アクセス] にアクセスします。
データ セキュリティのアクセスレベルの管理権限とルールの管理権限、管理 API グループの読み取り権限とユーザーの読み取り権限が必要です。
- [アクセスレベル] を選択します。
- [アクセスレベルを作成] をクリックします。
- アクセスレベルの名前(「エンタープライズ証明書を必須にする」など)と説明(省略可)を追加します。
- [コンテキストの条件] で [詳細設定] をクリックします。
詳細モードでは、Common Expressions Language(CEL)を使用して、編集ウィンドウでカスタム アクセスレベルを作成します。詳しくは、コンテキストアウェア アクセスレベルを作成するのアクセスレベルを定義する - 詳細モードをご覧ください。
- アクセスレベルの CEL 式を追加します。
アクセスレベルでは、ルート CA 証明書のフィンガープリントの検証(例 1)や、特定の発行元によって発行された有効な証明書であるかどうかの確認(例 2)など、証明書のさまざまな属性をテストできます。クエリ可能な証明書属性の一覧については、こちらの属性表をご覧ください。
1)トラスト アンカーと照合され、会社のルート証明書で署名された有効な証明書:
device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg")。ルート証明書のフィンガープリントの文字列は、上記の証明書の確認の手順でコピーした文字列に置き換えます。
2)トラスト アンカーと照合され、特定の発行元によって発行された有効な証明書:
device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US")。 - [保存] をクリックします。以上で、このアクセスレベルをアプリに割り当てられるようになります。
