Avisering

Planerar du en strategi för återgång till kontorsarbete? Se hur Chrome OS kan vara till hjälp.

Hantera anslutare för Chrome Enterprise-enhetsförtroende

Gäller för hanterade Chrome-webbläsare och Chrome OS-enheter.

Som administratör kan du konfigurera anslutare för Chrome Enterprise-enhetsförtroende för att dela kontextkänsliga signaler från hanterade Chrome-webbläsare och ChromeOS-enheter med externa identitetsleverantörer (IdP). Denna integrering tillåter signaler för enhetsförtroende som indata i autentiserings- och auktoriseringspolicyer. Denna lösning ger ökad säkerhet och mindre beroende av nätverket som förtroendefaktor.

Enhetssignalerna omfattar enhets-id, serienummer, status för säkert läge, operativsystemversion, brandväggsstatus med mera. Mer information finns i Data som skickas från Chrome till IdP.

På alla plattformar som stöds delas signaler från webbläsaren under sessionen. För ChromeOS delas signaler från både webbläsaren under sessionen och inloggningssidan som en del av användarautentiseringen.

Obs! Anslutare för Chrome Enterprise-enhetsförtroende stöds inte i ChromeOS Flex.

Innan du börjar

Du kan bara använda anslutare för enhetsförtroende för hanterade enheter – Chrome-webbläsaren och ChromeOS – och inte för hanterade profiler eller användare.

Webbläsaren Chrome

  • Registrera dig för Chrome Browser Cloud Management och registrera enheter i den organisationsenhet där du vill konfigurera anslutaren för enhetsförtroende. Mer information om hur du kommer igång med Chrome Browser Cloud Management finns i Konfigurera Chrome Browser Cloud Management.

ChromeOS

  • Registrera dig för Chrome Enterprise Upgrade och registrera ChromeOS-enheter i den organisationsenhet där du vill konfigurera anslutaren för enhetsförtroende. Mer information om hur du kommer igång med Chrome Enterprise Upgrade finns i Om ChromeOS-enhetshantering.

  • Om du vill aktivera signaldelning enbart för inloggningssidan lägger du till enheterna i en organisationsenhet där du vill konfigurera anslutaren för enhetsförtroende.

  • Du måste göra något av följande för att aktivera signaldelning för inloggningssidan och webbläsaren under sessionen:

    • Lägg till enheterna och användarna i samma organisationsenhet där du vill konfigurera anslutaren för enhetsförtroende.

    • Om enheter och användare inte finns i samma organisationsenhet tillämpar du samma IdP-konfiguration på alla tillämpliga organisationsenheter. Mer information finns i Lägga till nya IdP-konfigurationer nedan.

Steg 1: Lägg till nya IdP-konfigurationer

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Från administratörskonsolen går du till menyn följt av Enheterföljt avChromeföljt avEnheter.
  3. Klicka på + Ny leverantörskonfiguration högst upp.
  4. Hitta önskad IdP i panelen som visas till höger.
  5. Klicka på Konfigurera.
  6. Ange konfigurationsuppgifterna. Mer information finns i Uppgifter om leverantörskonfiguration nedan.
  7. Klicka på Lägg till konfiguration.

Konfigurationer läggs till för hela organisationen. Sedan kan du använda dem i alla organisationsenheter efter behov.

Steg 2: Tillämpa inställningar på organisationsenheten

När du har lagt till en ny konfiguration för identitetsleverantör (IdP) visas den på sidan Anslutare. Du kan se vilka konfigurationer du har lagt till för varje leverantör och antalet organisationsenheter där den är ansluten.

Så här väljer du vilken konfiguration du vill använda:

  1. Du kan även öppna Enheterföljt avChromeföljt avAnslutare på administratörskonsolens startsida.
  2. Välj en underordnad organisationsenhet.
  3. För anslutare för enhetsförtroende väljer du den konfiguration du vill använda.
  4. Klicka på Spara.

Information om leverantörskonfiguration

PingOne DaVinci

Fält Beskrivning

Konfigurationsnamn

 Namnet som visas på sidan Anslutare under Anslutare för enhetsförtroende.

Webbadressmönster som ska tillåtas, en per rad

 https://auth.pingone.com

Tjänstkonton, ett per rad

Tjänstkontot genereras med Google Cloud Platform (GCP).

Stegen som krävs för att konfigurera ett GCP-projekt och ett tjänstkonto beskrivs i guiden Integrera Ping Identity med Chrome Enterprise nedan.

I guiden nedan finns information om hur du konfigurerar integrationen mellan Chrome Device Trust Connector och Ping Identity för DaVinci-användare.

LADDA NED GUIDEN (PDF)

PingFederate

Fält Beskrivning

Konfigurationsnamn

 Namnet som visas på sidan Anslutare under Anslutare för enhetsförtroende.

Webbadressmönster som ska tillåtas, en per rad

 I Ping Federate Console navigerar du till Systemföljt avProtocol Settingsföljt av Federation för att fastställa webbadressen.

Tjänstkonton, ett per rad

Tjänstkontot genereras med GCP.

Stegen som krävs för att konfigurera ett GCP-projekt och ett tjänstkonto beskrivs i guiden Integrera Ping Identity med Chrome Enterprise nedan.

I guiden nedan finns information om hur du konfigurerar integrationen mellan Chrome Device Trust Connector och PingFederate-användare.

LADDA NED GUIDEN (PDF)

Okta (användare av Okta Identity Engine)

Fält Beskrivning

Konfigurationsnamn

 Namnet som visas på sidan Anslutare under Anslutare för enhetsförtroende.

Webbadressmönster som ska tillåtas, en per rad

 Från Okta – följ anvisningarna i Okta-konsolen.

Tjänstkonton, ett per rad

 Från Okta – följ anvisningarna i Okta-konsolen.

I guiden nedan finns information om hur du konfigurerar integrationen mellan användare av Chrome Device Trust Connector och Okta Identity Engine.

LADDA NED GUIDEN (PDF)

Verifiera konfiguration av anslutare för enhetsförtroende

Kontrollera först att den hanterade enheten är registrerad och listad i Googles administratörskonsol i en organisationsenhet där du har konfigurerat anslutaren.

Verifiera att policyerna tillämpas

På en hanterad enhet:

  1. Navigera till chrome://policy.
  2. Klicka på Läs in policy på nytt.
  3. Endast Windows och macOS:
    1. Kontrollera att Status är inställd på OK för BrowserContextAwareAccessSignalsAllowlist.
    2. För BrowserContextAwareSignalsAllowlist klickar du på Visa värde och ser till att värdefältet är detsamma som det du angett för Webbadressmönster som ska tillåtas, ett per rad.
  4. Endast ChromeOS:
    1. För DeviceLoginScreenContextAwareSignalsAllowlist kontrollerar du att Status är inställd på OK.
    2. För DeviceLoginScreenContextAwareAccessSignalsAllowlist klickar du på Visa värde och ser till att värdefältet är detsamma som det du angett för Webbadressmönster som ska tillåtas, ett per rad.

Kontrollera statusen för anslutaren för enhetsförtroende

I en hanterad webbläsare eller enhet:

  1. Navigera till chrome://connectors-internals.
  2. Kontrollera att de här värdena är obligatoriska:
    1. Is Enabled: true
    2. Key Manager Initialized: true
    3. Key Sync: Success (200)

Anslutaren kan bara tillhandahålla attestering av enhetsidentitet om nyckelsynkroniseringen lyckades.

Om det inte finns något värde bredvid Nyckelhanteraren har initierats uppdaterar du sidan tills ett värde visas. Om Is Enabled: true tar det inte mer än en minut.

Obs! ChromeOS-enheter har ingen nyckelhanterare eftersom de använder TPM-stödda certifikat som är integrerade i operativsystemet.

Definition av värden på chrome://connectors-internals

Du kan även verifiera att integreringen är aktiv och att nyckeln har skapats genom att öppna chrome://connectors-internals på den registrerade enheten.
  • Is enabled: Verifierar att policyn är aktiverad på enheten.
  • Key Manager Initialized: Chrome har läst in nyckeln eller skapat en nyckel om ingen nyckel redan har skapats.
  • Nyckeltyp: RSA eller EC (Elliptic Curve).
  • Förtroendenivå: HW eller SW.
    • HW (maskinvara) innebär att nyckeln lagras i enhetens maskinvara. Till exempel på Mac med Secure Enclave eller Windows med TPM.
    • SW (programvara) innebär att nyckeln lagras på operativsystemnivå. Till exempel i en fil, som i Linux.
  • SPKI-hash: En hash för den privata nyckeln.
  • Nyckelsynkronisering: Svarsstatusen + koden från det senaste försöket att ladda upp en nyckel. Chrome försöker ladda upp nyckeln på nytt varje gång den startas.
  • Signaler: En översikt över signalerna som kan skickas från enheten.

Rensa en kontextkänslig åtkomstnyckel

Endast Windows och Mac

Administratörer med åtkomst till administratörskonsolen kan rensa en betrodd offentlig nyckel för en viss webbläsare. Detta kan hjälpa till vid felsökning om en användare har åtkomstproblem, exempelvis en hanterad webbläsare som inte längre har åtkomst till det betrodda nyckelparet.

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. I administratörskonsolen öppnar du menyn följt av Enheterföljt avChromeföljt avHanterade webbläsare.

    Om du har registrerat dig för Chrome Browser Cloud Management öppnar du menyn följt av Webbläsaren Chromeföljt avHanterade webbläsare.

  3. Välj den organisationsenhet där webbläsaren finns.
  4. Välj den webbläsare som du vill rensa med nyckeln.
  5. Under rutan Hanterad webbläsare till vänster klickar du på Konfigurera nyckel.
  6. Välj Rensa nyckel.

När nyckeln rensas från administratörskonsolen synkroniserar den hanterade webbläsaren nyckeln vid omstart och återfår förtroendet.


Obs! Om det inte går att klicka på Konfigurera nyckel kanske nyckeln inte finns på servern.

Data som skickas från Chrome till IdP

Data som skickas från Chrome-webbläsare och ChromeOS-enheter till IdP definieras här. Som administratör kan du bestämma vilka av dessa signaler du vill använda i de kontextkänsliga åtkomstreglerna.

Google och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.

Var det här till hjälp?

Hur kan vi förbättra den?
true
Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
76758200730779644
true
Sök i hjälpcentret
true
true
true
true
true
410864
false
false