通知

在宅勤務からオフィス勤務に戻すことをご検討中のお客様は、Chrome OS の活用方法をご覧ください。

Chrome Enterprise デバイス トラスト コネクタを管理する

管理対象の Chrome ブラウザと ChromeOS デバイスが対象です。

管理者は、Chrome Enterprise デバイス トラスト コネクタを設定し、管理対象の Chrome ブラウザと ChromeOS デバイスのコンテキストアウェア シグナルをサードパーティの ID プロバイダ(IdP)と共有することができます。この統合により、認証と認可のポリシーでデバイス トラスト シグナルが入力として利用可能にます。このソリューションにより、セキュリティが強化され、信頼性の要素としてネットワークへの依存度が下がります。

デバイス シグナルには、デバイス ID、シリアル番号、セキュアモードの状態、OS バージョン、ファイアウォール ステータスなどが含まれます。詳細については、Chrome から IdP に送信されるデータをご覧ください。

対応するすべてのプラットフォームで、セッション中のブラウザからのシグナルが共有されます。ChromeOS の場合は、セッション中のブラウザと、ユーザー認証の一部としてのログインページからのシグナルが共有されます。

注: Chrome Enterprise デバイス トラスト コネクタは ChromeOS Flex ではサポートされていません。

始める前に

デバイス トラスト コネクタを使用できるのは、管理対象デバイス(Chrome ブラウザと ChromeOS)のみであり、管理対象プロファイルまたは管理対象ユーザーには使用できません。

Chrome ブラウザ

  • Chrome ブラウザ クラウド管理に申し込み、デバイス トラスト コネクタを設定する組織部門にデバイスを登録します。Chrome ブラウザ クラウド管理を開始するための情報については、Chrome ブラウザ クラウド管理を設定するをご覧ください。

ChromeOS

  • Chrome Enterprise Upgrade に申し込み、デバイス トラスト コネクタを設定する組織部門に ChromeOS デバイスを登録します。Chrome Enterprise Upgrade を開始するための情報については、ChromeOS デバイス管理の概要をご覧ください。

  • ログインページのみのシグナル共有を有効にするには、デバイス トラスト コネクタを設定する組織部門にデバイスを追加します。

  • ログインページとセッション中のブラウザのシグナル共有を有効にするには、次のいずれかを行う必要があります。

    • デバイス トラスト コネクタを設定する組織部門にデバイスとユーザーを追加します。

    • デバイスとユーザーが同じ組織部門にない場合は、該当するすべての組織部門に対して同一の IdP 設定を適用します。次の新しい IdP 設定を追加するを参照してください。

ステップ 1: 新しい IdP 設定を追加する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に  [デバイス] 次に [Chrome] 次に [コネクタ] の順に移動します。
  3. 画面上部の [+ 新しいプロバイダの設定] をクリックします。
  4. 画面右側に表示されるパネルで、目的の IdP を見つけます。
  5. [設定] をクリックします。
  6. 設定の詳細を入力します。詳しくは、下記のプロバイダの設定の詳細をご覧ください。
  7. [設定を追加] をクリックします。

設定は組織全体に対して追加され、必要に応じてどの組織部門でも使用できるようになります。

ステップ 2: 組織部門に設定を適用する

新しい ID プロバイダ(IdP)設定を追加すると、[コネクタ] ページにその設定が表示されます。プロバイダごとに、管理者が追加した設定と、それを使用している組織部門の数を確認できます。

使用する設定を選択するには、以下の操作を行います。

  1. 管理コンソールのホームページで、[デバイス] 次へ [Chrome] 次へ [コネクタ] を選択します。
  2. 組織部門を選択します。
  3. [デバイス トラスト コネクタ] で、使用する設定を選択します。
  4. [保存] をクリックします。

プロバイダの設定の詳細

PingOne DaVinci

項目 説明

設定名

 [コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前

許可する URL パターン(各行に 1 つずつ入力)

 https://auth.pingone.com

サービス アカウント(各行に 1 つずつ)

サービス アカウントは、Google Cloud Platform(GCP)を使って生成されます。

GCP プロジェクトとサービス アカウントを設定するのに必要な手順については、下の Ping Identity と Chrome Enterprise の統合に関するガイドに詳細が記載されています。

Chrome デバイス トラスト コネクタと DaVinci ユーザー向け Ping Identity の統合の設定に関する詳細については、下のガイドを参照してください。

ガイドをダウンロード(PDF)

PingFederate

項目 説明

設定名

 [コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前

許可する URL パターン(各行に 1 つずつ入力)

 Ping Federate コンソールで、[System] 次へ [Protocol Settings] 次へ [Federation] の順に選択し、URL を決定します。

サービス アカウント(各行に 1 つずつ)

サービス アカウントは GCP を使用して生成されます。

GCP プロジェクトとサービス アカウントを設定するのに必要な手順については、下の Ping Identity と Chrome Enterprise の統合に関するガイドに詳細が記載されています。

Chrome デバイス トラスト コネクタと PingFederate ユーザー間の統合の設定に関する詳細については、下のガイドを参照してください。

ガイドをダウンロード(PDF)

Okta(Okta Identity Engine Users)

項目 説明

設定名

 [コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前

許可する URL パターン(各行に 1 つずつ入力)

 Okta により提供されます。Okta コンソールの指示に従ってください。

サービス アカウント(各行に 1 つずつ)

 Okta により提供されます。Okta コンソールの指示に従ってください。

Chrome デバイス トラスト コネクタと Okta Identity Engine ユーザー間の統合の設定に関する詳細については、下のガイドを参照してください。

ガイドをダウンロード(PDF)

デバイス トラスト コネクタの設定を確認する

最初に、Google 管理コンソールで、コネクタを設定した組織部門に管理対象デバイスが登録され、表示されていることを確認してください。

ポリシーが適用されていることを確認する

管理対象デバイスで次の操作を行います。

  1. chrome://policy を開きます。
  2. [ポリシーを再読み込み] をクリックします。
  3. Windows と macOS の場合:
    1. BrowserContextAwareAccessSignalsAllowlist で、[ステータス] が [OK] に設定されていることを確認します。
    2. BrowserContextAwareAccessSignalsAllowlist で [値を表示] をクリックし、値が [許可する URL パターン(各行に 1 つずつ入力)] で設定した値と同じであることを確認します。
  4. ChromeOS の場合:
    1. DeviceLoginScreenContextAwareAccessSignalsAllowlist で [ステータス] が [OK] に設定されていることを確認します。
    2. DeviceLoginScreenContextAareAccessSignalsAllowlist で [値を表示] をクリックし、値が [許可する URL パターン(各行に 1 つずつ入力)] で設定した値と同じであることを確認します。

デバイス トラスト コネクタの状態を確認する

管理対象ブラウザまたはデバイスで次の操作を行います。

  1. chrome://connectors-internals を開きます。
  2. 次の必須の値を確認します。
    1. Is Enabled: true
    2. Key Manager Initialized: true
    3. Key Sync: Success (200)

鍵の同期が成功した場合にのみ、コネクタからデバイス ID 証明書が提供されます。

Key Manager Initialized の横に値がない場合は、値が表示されるまでページを更新してください。Is Enabled: true であれば、1 分以内に表示されるはずです。

注: ChromeOS デバイスは TPM に基づく OS ネイティブの証明書を使用しているため、ChromeOS デバイスに鍵マネージャーはありません。

chrome://connectors-internals での値の定義

登録済みデバイスで chrome://connectors-internals にアクセスすることによっても、統合がアクティブで鍵が作成されていることを確認できます。
  • Is enabled: デバイスでポリシーが有効になっているかどうか。
  • Key Manager Initialized: Chrome が鍵をロードした、または鍵が作成されていない場合に鍵を作成した。
  • Key Type: RSA または EC(楕円曲線)。
  • Trust Level: HW または SW。
    • HW(ハードウェア)は、鍵がデバイスのハードウェアに保存されていることを意味します。たとえば、Secure Enclave が搭載されている Mac や、TPM が搭載されている Windows などです。
    • SW(ソフトウェア)は、鍵が OS レベルで保存されていることを意味します。たとえば、Linux などでファイルとして保存される場合です。
  • SPKI Hash: 秘密鍵のハッシュ。
  • Key Sync: 前回試行した鍵のアップロードのレスポンスのステータスとコード。Chrome は起動されるたびに鍵の再アップロードを試みます。
  • Signals: デバイスから送信できるシグナルの概要。

コンテキストアウェア アクセス鍵を消去する

Windows と Mac のみ

管理コンソールにアクセスできる管理者は、特定のブラウザの信頼されている公開鍵を消去できます。この機能は、管理対象ブラウザで信頼されている鍵ペアにアクセスできなくなったなど、ユーザーにアクセスの問題が発生した場合のトラブルシューティングに役立ちます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [Chrome] 次に [管理対象ブラウザ] に移動します。

    Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン 次に [Chrome ブラウザ] 次に [管理対象ブラウザ] に移動します。

  3. ブラウザが登録されている組織部門を選択します。
  4. 鍵を消去するブラウザを選択します。
  5. 画面左側の [管理対象ブラウザの詳細] ボックスの下の [鍵を設定する] をクリックします。
  6. [鍵を消去する] を選択します。

管理コンソールから鍵が消去されると、管理対象ブラウザは再起動時に鍵の同期を行い、信頼関係の確立を再度行います。


注: [鍵を設定する] をクリックできない場合は、鍵がサーバー上に存在していない可能性があります。

Chrome から IdP に送信されるデータ

Chrome ブラウザと ChromeOS デバイスから IdP に送信されるデータは、こちらで定義されています。管理者は、コンテキストアウェア アクセスのルールの中でどのシグナルを使用するかを決めることができます。

Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
true
検索
検索をクリア
検索を終了
メインメニュー
5305764853363682671
true
ヘルプセンターを検索
true
true
true
true
true
410864
false
false