ChromeOS デバイスで確認済みアクセスを有効にする

確認済みアクセスとは

確認済みアクセスとは、ネットワークに接続しているデバイスに改変がなく、ポリシーに準拠していることを保証するものです。確認済みアクセスはネットワーク サービスのアクセス ポイント(VPN ゲートウェイ、機密サーバー、企業の認証局(CA)、企業の Wi-Fi アクセス ポイントなど)として機能し、アクセスしようとしているデバイスとユーザーの ID についてハードウェア ベースの暗号化された証明書を取得します。詳しくは、確認済みアクセスの仕組みをご覧ください。

仕組み

確認済みアクセスは、すべての ChromeOS デバイスに搭載されているトラステッド プラットフォーム モジュール(TPM)を使用します。これにより、Google サーバーサイドのアプリケーション プログラミング インターフェース(API)を使用して、企業のネットワーク サービスがセキュアモードの ID およびステータスと、企業ポリシーを暗号化して確認できるようにします。

管理者が Google 管理コンソールで確認済みアクセス機能を有効にし、Chrome 拡張機能をユーザーのデバイスに自動インストールする必要があります。これが完了すると、ネットワーク サービスは Verified Access API と通信して、ポリシーへの準拠について判断します。また、必要に応じて、Google と通信してクライアント デバイスの ID の特定も行います。ネットワーク サービスのエンドポイントの詳細については、以下のステップ 3 をご覧ください。

会社の確認済みアクセスを設定する

ステップ 1: ChromeOS デバイスを登録する

確認済みアクセスは、管理するドメインに登録されているデバイス上の管理対象企業ユーザーのみが利用できます。詳しくは、ChromeOS デバイスを登録する方法をご覧ください。

ステップ 2: 確認済みアクセスの拡張機能をインストールする

確認済みアクセスを組織で使用するには、Verified Access API を呼び出す Chrome 拡張機能がクライアント デバイスに必要です。Cloudpath などの独立系ソフトウェア ベンダー(ISV)から拡張機能を入手するか、Google Verified Access API デベロッパー ガイドを利用して独自の拡張機能を実装してください。

この拡張機能が、Chrome ウェブストアまたは組織固有のエンタープライズ Chrome ウェブストアにデプロイされていることを確認します。

注: chrome.enterprise.platformKeys namespace には 2 つの API(challengeUserKey と challengeMachineKey)があります。ステップ 4 で、デバイスの確認を行う場合は、「challengeMachineKey」を呼び出す必要があります。ユーザーの確認を行う場合は、「challengeUserKey」を呼び出す必要があります。ご不明な点がある場合は、ご利用の ISV にお問い合わせください。

ステップ 3: ネットワーク サービスのエンドポイントを構成する

確認済みアクセス プロトコルを認識し、Google Verified Access API 呼び出しの結果に基づいて承認の決定を行うことのできるネットワーク サービスが必要です。たとえば、確認済みアクセスをサポートしている VPN アプライアンスや、準拠しているデバイスに対してクライアント デバイス認証を発行できる Certificate Service 拡張機能などです。前述の Chrome 拡張機能と同様、これらのサービスは ISV から入手するか、Google Verified Access API デベロッパー ガイドの手順に沿って独自のサービスを実装してください。

Verified Access diagram

以下の対応が必要です。

  • このエンドポイントが Google API と通信する際に使用される Google サービス アカウントを確認する(ベンダーにお問い合わせください)。
  • 次のステップで、組織の管理コンソールでこのアカウントへのアクセス権を付与する。

ステップ 4: 管理コンソールのポリシーを構成する

デバイスの確認またはユーザーの確認のどちらを構成するかを選択できます。セキュリティを重視している企業であれば、ユーザーの確認を行うのが一般的です。この場合は、ユーザーとデバイスの両方が確認されるためです。これに対して、デバイスの確認のみを行う場合は、そのデバイスを使用しているユーザーは誰でも保護されたネットワークにアクセスできます。

デバイス ポリシーを構成する

  1. 確認済みモードで、ポリシーの値を設定して、デバイスのチェックにセキュアモードを要求する(または要求しない)ように設定します。
  2. 確認済みモードで、ネットワーク サービスのエンドポイントで使用するサービス アカウントのメールを、次のリストのいずれかに追加します。
  • デバイス ID の受信を許可するサービス アカウント
  • デバイスの確認にのみ使用され、デバイス ID を受信しないサービス アカウント

ユーザー ポリシーを構成する

  1. 確認済みモードで、ポリシーの値を設定して、デバイスのチェックにセキュアモードを要求する(または要求しない)ように設定します。
  2. 確認済みモードで、ネットワーク サービスのエンドポイントで使用するサービス アカウントのメールを、次のリストのいずれかに追加します。
  • ユーザーデータの受信を許可するサービス アカウント
  • ユーザーの確認にのみ使用され、ユーザーデータを受信しないサービス アカウント

アプリケーション ポリシーを有効にする(必須)

  1. [自動インストール] を有効にします。
  2. [エンタープライズ キーの本人確認へのアクセスを許可する] を有効にします。

注: chrome.enterprise.platformKeys API は、ポリシーによって自動インストールされた拡張機能でのみ利用できます。

これで完了です。確認済みアクセスを設定できました。ご不明な点がございましたら、Verified Access API デベロッパー ガイドをご覧ください。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
true
検索
検索をクリア
検索を終了
メインメニュー
15443342315569786702
true
ヘルプセンターを検索
false
true
true
true
true
true
410864
false
false
false
false