適用於受管理的 Chrome 瀏覽器和 ChromeOS 裝置。
管理員可以設定 Chrome Enterprise 裝置信任連接器,從受管理的 Chrome 瀏覽器和 ChromeOS 裝置與第三方識別資訊提供者 (IdP) 共用情境感知信號。啟用這項整合功能後,系統會將裝置信任信號視為驗證與授權政策的輸入內容。這項解決方案可提升安全性,並減少依賴網路做為信任因素的情況。
裝置信號包括裝置 ID、序號、安全模式狀態、作業系統版本、防火牆狀態等。詳情請參閱「從 Chrome 傳送至 IdP 的資料」一節。
在所有支援的平台上,信號會透過工作階段中的瀏覽器共用。如為 ChromeOS,系統會從工作階段中的瀏覽器以及登入頁面共用信號,做為使用者驗證程序的一部分。
注意:ChromeOS Flex 不支援Chrome Enterprise 裝置信任連接器。
事前準備
您只能在受管理的裝置 (Chrome 瀏覽器和 ChromeOS) 中使用裝置信任連接器;裝置信任連接器不適用於受管理的設定檔或使用者。
Chrome 瀏覽器
- 申請使用 Chrome 瀏覽器雲端管理,並在要設定裝置信任連接器的機構單位中註冊裝置。如要瞭解如何開始使用 Chrome 瀏覽器雲端管理,請參閱「設定 Chrome 瀏覽器雲端管理」。
ChromeOS
- 申請 Chrome Enterprise 升級版,並在您要設定裝置信任連接器的機構單位中,註冊 ChromeOS 裝置。如要瞭解如何開始使用 Chrome Enterprise 升級版,請參閱「關於 ChromeOS 裝置管理服務」。
-
如果只要為登入網頁啟用信號共用功能,請將裝置加入您要設定裝置信任連接器的機構單位。
-
如要為登入頁面和工作階段中的瀏覽器啟用信號共用功能,您必須執行下列其中一項操作:
- 將裝置和使用者加入您要設定裝置信任連接器的相同機構單位。
-
如果裝置和使用者不屬於同一個機構單位,請將相同的 IdP 設定套用到所有適用的機構單位。請參閱下方的「新增 IdP 設定」一節。
步驟 1:新增 IdP 設定
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「連接器」。
- 按一下頂端的「+ 新增供應商設定」。
- 在右邊顯示的面板中找出所需的 IdP。
- 按一下「設定」。
- 輸入設定詳細資料。詳情請參閱下方「供應商設定詳細資料」一節的說明。
- 按一下「新增設定」。
您即可為整個機構新增設定,並視需要在任何機構單位中使用些設定。
步驟 2:將設定套用至機構單位
新增 (IdP) 識別資訊提供者設定後,這個設定就會顯示在「連接器」頁面中。您可以查看您為各供應商新增的設定,以及連接的機構單位數量。
如要選擇想套用的設定,請按照下列步驟操作:
- 在管理控制台首頁中,依序前往「裝置」「Chrome」「連接器」。
- 選取子機構單位。
- 在「裝置信任連接器」中,選取要使用的設定。
- 按一下「儲存」。
供應商設定詳細資料
PingOne DaVinci
欄位 | 說明 |
---|---|
設定名稱 |
「裝置信任連接器」底下的「連接器」頁面中所顯示的名稱。 |
允許的網址模式 (每行只能輸入一個網址) |
https://auth.pingone.com |
服務帳戶 (每行只能輸入一個帳戶) |
服務帳戶是使用 Google Cloud Platform (GCP) 產生。 如需設定 GCP 專案和服務帳戶的必要步驟,請參閱下方的「整合 Ping Identity 與 Chrome Enterprise」指南。 |
請參閱以下指南,進一步瞭解如何為 DaVinci 使用者設定 Chrome 裝置信任連接器與 Ping Identity 的整合作業。
PingFederate
欄位 | 說明 |
---|---|
設定名稱 |
「裝置信任連接器」底下的「連接器」頁面中所顯示的名稱。 |
允許的網址模式 (每行只能輸入一個網址) |
在 Ping Federate Console 中,依序前往「System」「Protocol Settings」「Federation」來判斷網址。 |
服務帳戶 (每行只能輸入一個帳戶) |
服務帳戶是使用 GCP 產生。 如需設定 GCP 專案和服務帳戶的必要步驟,請參閱下方的「整合 Ping Identity 與 Chrome Enterprise」指南。 |
請參閱以下指南,進一步瞭解如何設定 Chrome 裝置信任連接器和 PingFederate 使用者之間的整合作業。
Okta (Okta Identity Engine 使用者)
欄位 | 說明 |
---|---|
設定名稱 |
「裝置信任連接器」底下的「連接器」頁面中所顯示的名稱。 |
允許的網址模式 (每行只能輸入一個網址) |
由 Okta 提供:請按照 Okta 控制台中的指示操作。 |
服務帳戶 (每行只能輸入一個帳戶) |
由 Okta 提供:請按照 Okta 控制台中的指示操作。 |
請參閱以下指南,瞭解如何設定 Chrome 裝置信任連接器與 Okta Identity Engine 使用者之間的整合作業。
Cisco Duo
欄位 | 說明 |
---|---|
設定名稱 |
「裝置信任連接器」底下的「連接器」頁面中所顯示的名稱。 |
允許的網址模式 (每行只能輸入一個網址) |
由 Cisco Duo 提供 - 請按照 Cisco Duo 控制台中的指示操作。 |
服務帳戶 (每行只能輸入一個帳戶) |
由 Cisco Duo 提供 - 請按照 Cisco Duo 控制台中的指示操作。 |
請參閱以下指南,進一步瞭解如何設定 Chrome 裝置信任連接器和 Cisco Duo 使用者之間的整合作業。
驗證裝置信任連接器設定
首先,在 Google 管理控制台,於您已設定連接器的機構單位中,請確認已註冊並列出該受管理的裝置。
確認政策正確套用
請在受管理的裝置上執行下列操作:
- 前往 chrome://policy。
- 按一下「重新載入政策」。
- 僅適用於 Windows 和 macOS:
- 確認 BrowserContextAwareAccessSignalsAllowlist 的「狀態」已設為「確定」。
- 在 BrowserContextAwareAccessSignalsAllowlist 中按一下「顯示政策值」,確認值欄位與您為「允許的網址模式 (每行只能輸入一個網址)」設定的值相同。
- 僅適用於 ChromeOS:
- 確認 DeviceLoginScreenContextAwareAccessSignalsAllowlist 的「狀態」已設為「確定」。
- 在 DeviceLoginScreenContextAwareAccessSignalsAllowlist 中按一下「顯示政策值」,確認值欄位與您為「允許的網址模式 (每行只能輸入一個網址)」設定的值相同。
檢查裝置信任連接器的狀態
請在受管理的瀏覽器或裝置上執行下列操作:
- 前往 chrome://connectors-internals。
- 檢查是否有下列必要值:
Is Enabled: true
Key Manager Initialized: true
Key Sync: Success (200)
只有在金鑰同步成功的情況下,連接器才會提供裝置 ID 認證。
如果 Key Manager Initialized
旁邊沒有值,請重新整理頁面,直到畫面上顯示值。當畫面上顯示 Is Enabled: true
時,應該不會超過一分鐘。
注意:ChromeOS 裝置使用 OS 原生的 TPM 安全憑證,因此沒有金鑰管理員。
chrome://connectors-internals 上值的定義
Is enabled:
確認裝置已啟用政策。Key Manager Initialized:
如果尚未建立金鑰,則 Chrome 已載入金鑰或建立金鑰。Key Type:
RSA 或 EC (橢圓曲線)。Trust Level:
HW 或 SW。- HW (硬體) 是指金鑰儲存在裝置的硬體中。例如,在具備 Secure Enclave 的 Mac 上,或是具有 TPM 的 Windows 上。
- SW (軟體) 是指金鑰儲存在作業系統層級,例如在檔案裡 (例如 Linux)。
SPKI Hash:
私密金鑰的雜湊。Key Sync:
回應狀態加上最近一次嘗試上傳的金鑰中的代碼。Chrome 會在每次啟動時嘗試重新上傳金鑰。Signals:
裝置可傳送的信號總覽。
清除情境感知存取金鑰
僅適用於 Windows 和 Mac
擁有管理控制台存取權的管理員,可以清除特定瀏覽器可信任的公開金鑰。以下內容有助於排解使用者遇到存取權問題的情況。例如受管理的瀏覽器無法再存取信任的金鑰組。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「受管理的瀏覽器」。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示 「Chrome 瀏覽器」「受管理的瀏覽器」。
- 選取瀏覽器所屬的機構單位。
- 選取具有要清除金鑰的瀏覽器。
- 在左側的「受管理的瀏覽器詳細資料」方塊下方,按一下「設定金鑰」。
- 選取「清除金鑰」。
從管理控制台清除金鑰後,受管理的瀏覽器會在重新啟動時同步處理金鑰,並重新建立信任關係。
注意:如果您無法點選「設定金鑰」,表示伺服器上可能沒有該金鑰。
從 Chrome 傳送至 IdP 的資料
如要瞭解從 Chrome 瀏覽器和 ChromeOS 裝置傳送至 IdP 的資料,請參閱這裡的說明。管理員可自行決定要在情境感知存取權規則中使用哪些信號。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。