管理 Chrome Enterprise 裝置信任連接器

適用於受管理的 Chrome 瀏覽器和 ChromeOS 裝置。

管理員可以設定 Chrome Enterprise 裝置信任連接器，從受管理的 Chrome 瀏覽器和 ChromeOS 裝置與第三方識別資訊提供者 (IdP) 共用情境感知信號。啟用這項整合功能後，系統會將裝置信任信號視為驗證與授權政策的輸入內容。這項解決方案可提升安全性，並減少依賴網路做為信任因素的情況。

裝置信號包括裝置 ID、序號、安全模式狀態、作業系統版本、防火牆狀態等。詳情請參閱「從 Chrome 傳送至 IdP 的資料」一節。

在所有支援的平台上，信號會透過工作階段中的瀏覽器共用。如為 ChromeOS，系統會從工作階段中的瀏覽器以及登入頁面共用信號，做為使用者驗證程序的一部分。

注意：ChromeOS Flex 不支援Chrome Enterprise 裝置信任連接器。

事前準備

您只能在受管理的裝置 (Chrome 瀏覽器和 ChromeOS) 中使用裝置信任連接器；裝置信任連接器不適用於受管理的設定檔或使用者。

Chrome 瀏覽器

• 申請使用 Chrome 瀏覽器雲端管理，並在要設定裝置信任連接器的機構單位中註冊裝置。如要瞭解如何開始使用 Chrome 瀏覽器雲端管理，請參閱「設定 Chrome 瀏覽器雲端管理」。

ChromeOS

• 申請 Chrome Enterprise 升級版，並在您要設定裝置信任連接器的機構單位中，註冊 ChromeOS 裝置。如要瞭解如何開始使用 Chrome Enterprise 升級版，請參閱「關於 ChromeOS 裝置管理服務」。

• 如果只要為登入網頁啟用信號共用功能，請將裝置加入您要設定裝置信任連接器的機構單位。

• 如要為登入頁面和工作階段中的瀏覽器啟用信號共用功能，您必須執行下列其中一項操作：

  • 將裝置和使用者加入您要設定裝置信任連接器的相同機構單位。

  • 如果裝置和使用者不屬於同一個機構單位，請將相同的 IdP 設定套用到所有適用的機構單位。請參閱下方的「新增 IdP 設定」一節。

步驟 1：新增 IdP 設定

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「裝置」「Chrome」「連接器」。
3. 按一下頂端的「+ 新增供應商設定」。
4. 在右邊顯示的面板中找出所需的 IdP。
5. 按一下「設定」。
6. 輸入設定詳細資料。詳情請參閱下方「供應商設定詳細資料」一節的說明。
7. 按一下「新增設定」。

您即可為整個機構新增設定，並視需要在任何機構單位中使用些設定。

步驟 2：將設定套用至機構單位

新增 (IdP) 識別資訊提供者設定後，這個設定就會顯示在「連接器」頁面中。您可以查看您為各供應商新增的設定，以及連接的機構單位數量。

如要選擇想套用的設定，請按照下列步驟操作：

1. 在管理控制台首頁中，依序前往「裝置」「Chrome」「連接器」。
2. 選取子機構單位。
3. 在「裝置信任連接器」中，選取要使用的設定。
4. 按一下「儲存」。

供應商設定詳細資料

PingOne DaVinci

欄位	說明
設定名稱	「裝置信任連接器」底下的「連接器」頁面中所顯示的名稱。
允許的網址模式 (每行只能輸入一個網址)	https://auth.pingone.com
服務帳戶 (每行只能輸入一個帳戶)	服務帳戶是使用 Google Cloud Platform (GCP) 產生。 如需設定 GCP 專案和服務帳戶的必要步驟，請參閱下方的「整合 Ping Identity 與 Chrome Enterprise」指南。

請參閱以下指南，進一步瞭解如何為 DaVinci 使用者設定 Chrome 裝置信任連接器與 Ping Identity 的整合作業。

下載指南 (PDF)

PingFederate

欄位	說明
設定名稱	「裝置信任連接器」底下的「連接器」頁面中所顯示的名稱。
允許的網址模式 (每行只能輸入一個網址)	在 Ping Federate Console 中，依序前往「System」「Protocol Settings」「Federation」來判斷網址。
服務帳戶 (每行只能輸入一個帳戶)	服務帳戶是使用 GCP 產生。 如需設定 GCP 專案和服務帳戶的必要步驟，請參閱下方的「整合 Ping Identity 與 Chrome Enterprise」指南。

請參閱以下指南，進一步瞭解如何設定 Chrome 裝置信任連接器和 PingFederate 使用者之間的整合作業。

下載指南 (PDF)

Okta (Okta Identity Engine 使用者)

欄位	說明
設定名稱	「裝置信任連接器」底下的「連接器」頁面中所顯示的名稱。
允許的網址模式 (每行只能輸入一個網址)	由 Okta 提供：請按照 Okta 控制台中的指示操作。
服務帳戶 (每行只能輸入一個帳戶)	由 Okta 提供：請按照 Okta 控制台中的指示操作。

請參閱以下指南，瞭解如何設定 Chrome 裝置信任連接器與 Okta Identity Engine 使用者之間的整合作業。

下載指南 (PDF)

Cisco Duo

欄位	說明
設定名稱	「裝置信任連接器」底下的「連接器」頁面中所顯示的名稱。
允許的網址模式 (每行只能輸入一個網址)	由 Cisco Duo 提供 - 請按照 Cisco Duo 控制台中的指示操作。
服務帳戶 (每行只能輸入一個帳戶)	由 Cisco Duo 提供 - 請按照 Cisco Duo 控制台中的指示操作。

請參閱以下指南，進一步瞭解如何設定 Chrome 裝置信任連接器和 Cisco Duo 使用者之間的整合作業。

下載指南 (PDF)

驗證裝置信任連接器設定

首先，在 Google 管理控制台，於您已設定連接器的機構單位中，請確認已註冊並列出該受管理的裝置。

確認政策正確套用

請在受管理的裝置上執行下列操作：

1. 前往 chrome://policy。
2. 按一下「重新載入政策」。
3. 僅適用於 Windows 和 macOS：
   1. 確認 BrowserContextAwareAccessSignalsAllowlist 的「狀態」已設為「確定」。
   2. 在 BrowserContextAwareAccessSignalsAllowlist 中按一下「顯示政策值」，確認值欄位與您為「允許的網址模式 (每行只能輸入一個網址)」設定的值相同。
4. 僅適用於 ChromeOS：
   1. 確認 DeviceLoginScreenContextAwareAccessSignalsAllowlist 的「狀態」已設為「確定」。
   2. 在 DeviceLoginScreenContextAwareAccessSignalsAllowlist 中按一下「顯示政策值」，確認值欄位與您為「允許的網址模式 (每行只能輸入一個網址)」設定的值相同。

檢查裝置信任連接器的狀態

請在受管理的瀏覽器或裝置上執行下列操作：

1. 前往 chrome://connectors-internals。
2. 檢查是否有下列必要值：
   1. Is Enabled: true
   2. Key Manager Initialized: true
   3. Key Sync: Success (200)

只有在金鑰同步成功的情況下，連接器才會提供裝置 ID 認證。

如果 Key Manager Initialized 旁邊沒有值，請重新整理頁面，直到畫面上顯示值。當畫面上顯示 Is Enabled: true 時，應該不會超過一分鐘。

注意：ChromeOS 裝置使用 OS 原生的 TPM 安全憑證，因此沒有金鑰管理員。

清除情境感知存取金鑰

僅適用於 Windows 和 Mac

擁有管理控制台存取權的管理員，可以清除特定瀏覽器可信任的公開金鑰。以下內容有助於排解使用者遇到存取權問題的情況。例如受管理的瀏覽器無法再存取信任的金鑰組。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「裝置」「Chrome」「受管理的瀏覽器」。

   如果您已註冊 Chrome 瀏覽器雲端管理服務，請依序點選「選單」圖示  「Chrome 瀏覽器」「受管理的瀏覽器」。

3. 選取瀏覽器所屬的機構單位。
4. 選取具有要清除金鑰的瀏覽器。
5. 在左側的「受管理的瀏覽器詳細資料」方塊下方，按一下「設定金鑰」。
6. 選取「清除金鑰」。

從管理控制台清除金鑰後，受管理的瀏覽器會在重新啟動時同步處理金鑰，並重新建立信任關係。

注意：如果您無法點選「設定金鑰」，表示伺服器上可能沒有該金鑰。

從 Chrome 傳送至 IdP 的資料

如要瞭解從 Chrome 瀏覽器和 ChromeOS 裝置傳送至 IdP 的資料，請參閱這裡的說明。管理員可自行決定要在情境感知存取權規則中使用哪些信號。

Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。