Bestätigten Zugriff auf Chrome-Geräten aktivieren

Was ist der bestätigte Zugriff?

Der bestätigte Zugriff sorgt dafür, dass ein Gerät, das eine Verbindung zu Ihrem Netzwerk herstellt, unverändert und richtlinienkonform ist. Der bestätigte Zugriff dient als Zugangspunkt für einen Netzwerkdienst (z. B. ein VPN-Gateway), einen sensiblen Server, eine Unternehmenszertifizierungsstelle oder einen Unternehmens-WLAN-Zugangspunkt, um eine hardwaregestützte kryptografische Garantie der Identität des Geräts und des Nutzers zu erhalten, der versucht, darauf zuzugreifen. Weitere Informationen zum bestätigten Zugriff

Funktionsweise

Beim bestätigten Zugriff wird das in jedem ChromeOS-Gerät vorhandene Trusted Platform Module (TPM) genutzt, damit Netzwerkdienste von Unternehmen die Identität und den Status des sicheren Modus und der Unternehmensrichtlinie über eine serverseitige Google-API bestätigen können.

Sie müssen die Funktion „Verifizierter Zugriff“ in der Admin-Konsole aktivieren und eine Chrome-Erweiterung auf den Geräten Ihrer Nutzer erzwingen. Anschließend kommuniziert Ihr Netzwerkdienst mit der Verified Access API, um die Richtliniencompliance zu ermitteln, und kommuniziert (optional) mit Google, um die Identität des Clientgeräts zu ermitteln. Weitere Informationen zum Dienstendpunkt des Netzwerkdienstes finden Sie in Schritt 3 unten.

Verified Access für mein Unternehmen einrichten

Schritt 1: ChromeOS-Geräte registrieren

Der bestätigte Zugriff funktioniert nur für verwaltete Unternehmensnutzer auf Geräten, die in der von Ihnen verwalteten Domain registriert sind. Weitere Informationen zur Registrierung von ChromeOS-Geräten

Schritt 2: Erweiterung für bestätigten Zugriff installieren

Wenn Sie den bestätigten Zugriff in Ihrer Organisation verwenden möchten, benötigen Sie eine Chrome-Erweiterung, die die Verified Access API auf den Clientgeräten aufruft. Sie können eine Erweiterung von einem Software-Hersteller wie Cloudpath anfordern oder im Entwicklerleitfaden zur Google Verified Access API eine eigene Erweiterung implementieren.

Achten Sie darauf, dass diese Erweiterung im Chrome Web Store oder in einem Chrome Web Store für Ihr Unternehmen bereitgestellt ist.

Hinweis: Im Chrome-Namespace „chrome.enterprise.platformKeys“ gibt es zwei APIs: „challengeUserKey“ und „challengeMachineKey“. In Schritt 4 müssen Sie bei der Gerätebestätigung „challengeMachineKey“ aufrufen. Bei der Nutzerbestätigung rufen Sie „challengeUserKey“ auf. Wenden Sie sich bei Fragen an Ihren Software-Hersteller.

Schritt 3: Netzwerkdienst-Endpunkt konfigurieren

Sie benötigen einen Netzwerkdienst, der das Protokoll für den bestätigten Zugriff versteht und anhand der Ergebnisse des Google Verified Access API-Aufrufs Autorisierungsentscheidungen trifft. Beispiele hierfür sind VPN-Appliances, die den bestätigten Zugriff unterstützen, oder Certificate Service-Erweiterungen, mit denen Sie Clientzertifikate für die kompatiblen Geräte ausstellen können. Ähnlich wie bei der oben beschriebenen Chrome-Erweiterung können Sie diese entweder von einem Software-Hersteller erhalten oder Sie folgen der Anleitung im Entwicklerleitfaden zur Google Verified Access API, um Ihre eigenen Erweiterungen zu implementieren.

Verified Access diagram

Dafür gelten folgende Voraussetzungen:

  • Sie müssen das Google-Dienstkonto kennen, das von diesem Endpunkt verwendet wird, wenn er mit der Google API kommuniziert. Wenden Sie sich bei Bedarf an Ihren Anbieter.
  • Gewähren Sie in den nächsten Schritten in der Admin-Konsole Ihrer Organisation Zugriff auf dieses Konto.

Schritt 4: Admin-Konsolenrichtlinien konfigurieren

Sie können die Geräte- oder Nutzerbestätigung konfigurieren. Sicherheitsbewusste Unternehmen führen in der Regel eine Nutzerbestätigung durch, da hierbei sowohl der Nutzer als auch das Gerät überprüft werden. Wenn nur das Gerät überprüft wird, kann jeder Nutzer, der dieses Gerät verwendet, auf das geschützte Netzwerk zugreifen.

Geräterichtlinien konfigurieren

  1. Legen Sie im Wert der Richtlinie Bestätigter Modus fest, ob für Ihre Geräteprüfungen ein sicherer Modus erforderlich sein soll oder nicht.
  2. Fügen Sie unter Bestätigter Modus die von Ihrem Netzwerkdienst-Endpunkt verwendete E-Mail-Adresse des Dienstkontos einer der folgenden Listen hinzu:
  • Dienstkonten, die eine Geräte-ID erhalten dürfen
  • Dienstkonten, die Geräte bestätigen können, aber keine Geräte-ID erhalten

Nutzerrichtlinien konfigurieren

  1. Legen Sie im Wert der Richtlinie Bestätigter Modus fest, ob für Ihre Geräteprüfungen ein sicherer Modus erforderlich sein soll oder nicht.
  2. Fügen Sie unter Bestätigter Modus die von Ihrem Netzwerkdienst-Endpunkt verwendete E-Mail-Adresse des Dienstkontos einer der folgenden Listen hinzu:
  • Dienstkonten, die Nutzerdaten empfangen dürfen
  • Dienstkonten, die Nutzer bestätigen können, aber keine Nutzerdaten empfangen

Anwendungsrichtlinien aktivieren (erforderlich)

  1. Aktivieren Sie Installation erzwingen.
  2. Aktivieren Sie Zugriff auf Challenge-Unternehmensschlüssel erlauben.

Hinweis: Die chrome.enterprise.platformKeys API ist nur für Erweiterungen verfügbar, deren Installation durch Richtlinien erzwungen wird.

Geschafft! Sie haben den bestätigten Zugriff eingerichtet. Haben Sie noch Fragen? Weitere Informationen finden Sie im Entwicklerleitfaden zur Verified Access API.

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
15170406054502956239
true
Suchen in der Hilfe
false
true
true
true
true
true
410864
false
false
false
false
false