管理対象の Chrome ブラウザと ChromeOS デバイスが対象です。
管理者は、Chrome Enterprise デバイス トラスト コネクタを構成し、管理対象の Chrome ブラウザ、管理対象の Chrome プロファイル、ChromeOS デバイスのコンテキストアウェア シグナルをサードパーティの ID プロバイダ(IdP)と共有できます。この統合により、認証と認可のポリシーでデバイス トラスト シグナルが入力として利用可能になります。このソリューションにより、セキュリティが強化され、信頼性の要素としてネットワークへの依存度が下がります。
デバイス シグナルには、デバイス ID、シリアル番号、セキュアモードの状態、OS バージョン、ファイアウォール ステータスなどが含まれます。詳細については、Chrome から IdP に送信されるデータをご覧ください。
対応するすべてのプラットフォームで、セッション中のブラウザからのシグナルが共有されます。ChromeOS の場合は、セッション中のブラウザと、ユーザー認証の一部としてのログインページからのシグナルが共有されます。
注: Chrome Enterprise デバイス トラスト コネクタは ChromeOS Flex ではサポートされていません。
始める前に
デバイス トラスト コネクタは、管理対象デバイス(Chrome ブラウザと ChromeOS)と、Chrome ブラウザ上の管理対象の Chrome プロファイルに対して使用できます。
Chrome ブラウザ
- Chrome Enterprise Core に申し込み、デバイス トラスト コネクタを構成する組織部門にデバイスを登録します。Chrome Enterprise Core を使い始めるための情報については、Chrome Enterprise Core の設定についての記事をご覧ください。
- 管理対象外デバイスの場合は、所属する組織部門に基づいた管理対象の Chrome プロファイルを持つユーザーに対してデバイス トラスト コネクタを構成できます。組織が管理していないデバイス上では、ユーザーの同意が必要です。詳しくは、ユーザーの同意をご覧ください。
ChromeOS
- Chrome Enterprise Upgrade に申し込み、デバイス トラスト コネクタを設定する組織部門に ChromeOS デバイスを登録します。Chrome Enterprise Upgrade を開始するための情報については、ChromeOS デバイス管理の概要をご覧ください。
-
ログインページのみのシグナル共有を有効にするには、デバイス トラスト コネクタを設定する組織部門にデバイスを追加します。
-
ログインページとセッション中のブラウザのシグナル共有を有効にするには、次のいずれかを行う必要があります。
- デバイス トラスト コネクタを設定する組織部門にデバイスとユーザーを追加します。
-
デバイスとユーザーが同じ組織部門にない場合は、該当するすべての組織部門に対して同一の IdP 設定を適用します。次の新しい IdP 設定を追加するを参照してください。
ステップ 1: 新しい IdP 設定を追加する
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- 画面上部の [+ 新しいプロバイダの設定] をクリックします。
- 画面右側に表示されるパネルで、目的の IdP を見つけます。
- [設定] をクリックします。
- 設定の詳細を入力します。詳しくは、下記のプロバイダの設定の詳細をご覧ください。
- (省略可)設定の適用方法を、管理対象ブラウザのみ、管理対象プロファイルのみ、または管理対象ブラウザと管理対象プロファイルから選択します。
注: これは Chrome ブラウザにのみ適用され、常に ChromeOS で適用されます。 - [設定を追加] をクリックします。
設定は組織全体に対して追加され、必要に応じてどの組織部門でも使用できるようになります。
ステップ 2: 組織部門に設定を適用する
新しい ID プロバイダ(IdP)設定を追加すると、[コネクタ] ページにその設定が表示されます。プロバイダごとに、管理者が追加した設定と、それを使用している組織部門の数を確認できます。
使用する設定を選択するには:
-
- 子組織部門を選択します。
- [デバイス トラスト コネクタ] で、使用する設定を選択します。
- [保存] をクリックします。
プロバイダの設定の詳細
Cisco Duo
| 項目 | 説明 |
|---|---|
|
設定名 |
[コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前 |
|
許可する URL パターン(各行に 1 つずつ入力) |
提供元は Cisco Duo です。Cisco Duo コンソールの指示を参照してください。 |
|
サービス アカウント(各行に 1 つずつ) |
提供元は Cisco Duo です。Cisco Duo コンソールの指示を参照してください。 |
Chrome デバイス トラスト コネクタと Cisco Duo ユーザー間の統合の設定に関する詳細については、下のガイドを参照してください。
Cisco Secure Access
| フィールド | 説明 |
|---|---|
|
設定名 |
[コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前 |
|
許可する URL パターン(各行に 1 つずつ入力) |
Cisco Secure Access で提供 — Cisco Secure Access コンソールの指示に沿って対応してください。 |
|
サービス アカウント(各行に 1 つずつ) |
Cisco Secure Access で提供 — Cisco Secure Access コンソールの指示に沿って対応してください。 |
Chrome デバイス トラスト コネクタと Cisco Secure Access ユーザー間の統合の設定に関する詳細については、下のガイドを参照してください。
Okta(Okta Identity Engine Users)
| フィールド | 説明 |
|---|---|
|
設定名 |
[コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前 |
|
許可する URL パターン(各行に 1 つずつ入力) |
Okta により提供されます。Okta コンソールの指示に従ってください。 |
|
サービス アカウント(各行に 1 つずつ) |
Okta により提供されます。Okta コンソールの指示に従ってください。 |
Chrome デバイス トラスト コネクタと Okta Identity Engine ユーザー間の統合の設定に関する詳細については、下のガイドを参照してください。
Omnissa
| フィールド | 説明 |
|---|---|
|
設定名 |
[コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前 |
|
許可する URL パターン(各行に 1 つずつ入力) |
Omnissa により提供されます。Omnissa コンソールの指示に従ってください。 |
|
サービス アカウント(各行に 1 つずつ) |
Omnissa により提供されます。Omnissa コンソールの指示に従ってください。 |
Chrome デバイス トラスト コネクタと Omunissa ユーザー間の統合の設定に関する詳細については、下のガイドを参照してください。
PingFederate
| 項目 | 説明 |
|---|---|
|
設定名 |
[コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前 |
|
許可する URL パターン(各行に 1 つずつ入力) |
Ping Federate コンソールで、[System]  [Protocol Settings] [Federation] の順に選択し、URL を決定します。 |
|
サービス アカウント(各行に 1 つずつ) |
サービス アカウントは GCP を使用して生成されます。 GCP プロジェクトとサービス アカウントを設定するのに必要な手順については、下の Ping Identity と Chrome Enterprise の統合に関するガイドに詳細が記載されています。 |
Chrome デバイス トラスト コネクタと PingFederate ユーザー間の統合の設定に関する詳細については、下のガイドを参照してください。
PingOne DaVinci
| 項目 | 説明 |
|---|---|
|
設定名 |
[コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前 |
|
許可する URL パターン(各行に 1 つずつ入力) |
https://auth.pingone.com |
|
サービス アカウント(各行に 1 つずつ) |
サービス アカウントは、Google Cloud Platform(GCP)を使って生成されます。 GCP プロジェクトとサービス アカウントを設定するのに必要な手順については、下の Ping Identity と Chrome Enterprise の統合に関するガイドに詳細が記載されています。 |
Chrome デバイス トラスト コネクタと DaVinci ユーザー向け Ping Identity の統合の設定に関する詳細については、下のガイドを参照してください。
Zscaler
| フィールド | 説明 |
|---|---|
|
設定名 |
[コネクタ] ページの [デバイス トラスト コネクタ] に表示される名前 |
|
許可する URL パターン(各行に 1 つずつ入力) |
Zscaler で提供 - Zscaler コンソールの指示に沿って対応してください。 |
|
サービス アカウント(各行に 1 つずつ) |
Zscaler で提供 - Zscaler コンソールの指示に沿って対応してください。 |
Chrome デバイス トラスト コネクタと Zscaler ユーザー間の統合の設定に関する詳細については、下のガイドを参照してください。
デバイス トラスト コネクタの設定を確認する
最初に、Google 管理コンソールで、コネクタを設定した組織部門に管理対象デバイスが登録され、表示されていることを確認してください。
ポリシーが適用されていることを確認する
管理対象デバイスで次の操作を行います。
- chrome://policy を開きます。
- [ポリシーを再読み込み] をクリックします。
- Windows と macOS の場合:
- BrowserContextAwareAccessSignalsAllowlist で、[ステータス] が [OK] に設定されていることを確認します。
- BrowserContextAwareAccessSignalsAllowlist で [値を表示] をクリックし、値が [許可する URL パターン(各行に 1 つずつ入力)] で設定した値と同じであることを確認します。
- ChromeOS の場合:
- DeviceLoginScreenContextAwareAccessSignalsAllowlist で [ステータス] が [OK] に設定されていることを確認します。
- DeviceLoginScreenContextAareAccessSignalsAllowlist で [値を表示] をクリックし、値が [許可する URL パターン(各行に 1 つずつ入力)] で設定した値と同じであることを確認します。
管理対象プロファイルで次の操作を行います。
- chrome://policy を開きます。
- [ポリシーを再読み込み] をクリックします。
- Windows と macOS の場合:
- UserContextAwareAccessSignalsAllowlist で、[ステータス] が [OK] に設定されていることを確認します。
- UserContextAwareAccessSignalsAllowlist で [値を表示] をクリックし、値が [許可する URL パターン(各行に 1 つずつ入力)] で設定した値と同じであることを確認します。
デバイス トラスト コネクタの状態を確認する
管理対象ブラウザまたはデバイスで次の操作を行います。
- chrome://connectors-internals を開きます。
- 次の必須の値を確認します。
Is Enabled: trueDTC Enabled Levels: BrowserKey Manager Initialized: trueKey Sync: Success (200)Can Collect Signals: true
管理対象プロファイルで次の操作を行います。
- chrome://connectors-internals を開きます。
- 次の必須の値を確認します。
Is Enabled: trueDTC Enabled Levels: UserKey Manager Initialized: falseConsent Was Received: trueCan Collect Signals: true
鍵の同期が成功した場合にのみ、コネクタからデバイス ID 証明書が提供されます。
Key Manager Initialized の横に値がない場合は、値が表示されるまでページを更新してください。Is Enabled: true であれば、1 分以内に表示されるはずです。
注: ChromeOS デバイスは TPM に基づく OS ネイティブの証明書を使用しているため、ChromeOS デバイスに鍵マネージャーはありません。
chrome://connectors-internals での値の定義
Is Enabled:デバイスでポリシーが有効になっているかどうか。DTC Enabled Levels:ポリシーが有効になったレベルがユーザーかブラウザか。Key Manager Initialized:Chrome が鍵をロードした、または鍵が作成されていない場合に鍵を作成した。Key Type:RSA または EC(楕円曲線)。Trust Level:HW または SW。- HW(ハードウェア)は、鍵がデバイスのハードウェアに保存されていることを意味します。たとえば、Secure Enclave が搭載されている Mac や、TPM が搭載されている Windows などです。
- SW(ソフトウェア)は、鍵が OS レベルで保存されていることを意味します。たとえば、Linux などでファイルとして保存される場合です。
SPKI Hash:秘密鍵のハッシュ。Key Sync:前回試行した鍵のアップロードのレスポンスのステータスとコード。Chrome は起動されるたびに鍵の再アップロードを試みます。Consent Was Received:エンドユーザーがシグナルの収集に同意したかどうか。Signals:デバイスから送信できるシグナルの概要。Can Collect Signals:Chrome がデバイス シグナルを収集できるかどうか。ブラウザが管理対象の場合は、デバイス シグナルを収集するためにエンドユーザーの同意を得る必要はありません。ただし、ブラウザが管理対象でない場合の管理対象プロファイルについては、デバイス シグナルの収集に対するエンドユーザーの同意が必要となります。
コンテキストアウェア アクセス鍵を消去する
Windows と Mac のみ
管理コンソールにアクセスできる管理者は、特定のブラウザの信頼されている公開鍵を消去できます。この機能は、管理対象ブラウザで信頼されている鍵ペアにアクセスできなくなったなど、ユーザーにアクセスの問題が発生した場合のトラブルシューティングに役立ちます。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
メニュー アイコン
[デバイス] > [Chrome] > [管理対象ブラウザ] に移動します。
この操作にはモバイル デバイス管理の管理者権限が必要です。
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン
[Chrome ブラウザ] > [管理対象ブラウザ] に移動します。
- ブラウザが登録されている組織部門を選択します。
- 鍵を消去するブラウザを選択します。
- 画面左側の [管理対象ブラウザの詳細] ボックスの下の [鍵を設定する] をクリックします。
- [鍵を消去する] を選択します。
管理コンソールから鍵が消去されると、管理対象ブラウザは再起動時に鍵の同期を行い、信頼関係の確立を再度行います。
注: [鍵を設定する] をクリックできない場合は、鍵がサーバー上に存在していない可能性があります。
Chrome から IdP に送信されるデータ
Chrome ブラウザと ChromeOS デバイスから IdP に送信されるデータは、こちらで定義されています。管理者は、コンテキストアウェア アクセスのルールの中でどのシグナルを使用するかを決めることができます。
ユーザーの同意
組織が管理していないデバイス上では、ユーザーの同意が必要です。管理対象外のデバイス上で、デバイスの状態が組織と共有されることに同意するようユーザーに求めるメッセージがブラウザに表示されます。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。