什麼是「已驗證存取權」?
「已驗證存取權」可確保連線至您網路的裝置未經修改,且符合政策規定。「已驗證存取權」可做為網路服務 (例如 VPN 閘道、機密伺服器、企業憑證授權單位 (CA) 或企業 Wi-Fi 存取點) 的存取點,為嘗試存取該存取點的裝置和使用者身分取得硬體支援的加密編譯保證。進一步瞭解「已驗證存取權」的運作方式。
運作方式
「已驗證存取權」會使用所有 ChromeOS 裝置都有的信任平台模組 (TPM),可讓企業網路服務透過 Google 伺服器端應用程式設計介面 (API),以加密方式確認安全模式和企業政策的身分和狀態。
您必須在 Google 管理控制台中啟用「已驗證存取權」功能,並在使用者的裝置上強制安裝 Chrome 擴充功能。完成後,您的網路服務就會與 Verified Access API 通訊,以確認政策遵循情形,並視需要與 Google 通訊,以便判斷用戶端裝置的身分。如要進一步瞭解網路服務端點,請參閱下方的步驟 3。
為公司設定「已驗證存取權」
步驟 1:註冊 ChromeOS 裝置
「已驗證存取權」僅適用於在您管理的網域中,使用已註冊裝置的受管理企業版使用者。瞭解如何註冊 ChromeOS 裝置。
步驟 2:安裝「已驗證存取權」擴充功能
如要在貴機構中使用「已驗證存取權」,您必須備妥 Chrome 擴充功能,並在用戶端裝置上呼叫 Verified Access API。您可以從 Cloudpath 等獨立軟體供應商 (ISV) 取得擴充功能,或是參閱《Google Verified Access API 開發人員指南》自行建立擴充功能。
確認這項擴充功能已部署至 Chrome 線上應用程式商店或貴機構專屬的企業 Chrome 線上應用程式商店。
注意:chrome.enterprise.platformKeys 命名空間中有兩個 API:challengeUserKey 和 challengeMachineKey。在步驟 4 中,如要進行裝置驗證,必須呼叫「challengeMachineKey」;如要進行使用者驗證,則必須呼叫「challengeUserKey」。如果您有任何疑問,請諮詢您的 ISV。
步驟 3:設定網路服務端點
您的網路服務必須能理解「已驗證存取權」通訊協定,並根據 Google Verified Access API 呼叫的結果做出授權決策。舉例來說,支援「已驗證存取權」的 VPN 設備,或是可讓您為符合規定裝置核發用戶端裝置憑證的憑證服務擴充功能。與上述 Chrome 擴充功能類似,您可以從 ISV 取得這些擴充功能,也可以按照《Google Verified Access API 開發人員指南》中的操作說明,自行建立擴充功能。
您需要進行下列操作:
- 知道這個端點與 Google API 通訊時,所使用的 Google 服務帳戶 (請詢問您的供應商)。
- 在後續步驟中,透過貴機構的管理控制台將存取權授予這個帳戶。
步驟 4:設定管理控制台政策
您可以選擇設定裝置或使用者驗證。注重安全性的企業通常會採用使用者驗證,因為這會同時驗證使用者和裝置;反之,如果只執行裝置驗證,則該裝置的所有使用者都能存取受保護的網路。
設定裝置政策
- 允許接收裝置 ID 的服務帳戶
- 可驗證裝置但不會收到裝置 ID 的服務帳戶
設定使用者政策
- 允許接收使用者資料的服務帳戶
- 可驗證使用者但不會收到使用者資料的服務帳戶
啟用應用程式政策 (強制)
- 啟用強制安裝。
- 啟用允許存取驗證企業金鑰。
注意:chrome.enterprise.platformKeys API 僅適用於依政策強制安裝的擴充功能。
大功告成!您已設定「已驗證存取權」。如有任何疑問,請參閱《Verified Access API 開發人員指南》。