Ativar o acesso verificado nos dispositivos ChromeOS

O que é o acesso verificado?

O acesso verificado garante que um dispositivo que se conecta à sua rede não tenha sido modificado e esteja em conformidade com as políticas. O acesso verificado serve como uma ponte para um serviço de rede, como um gateway de VPN, um servidor confidencial, uma autoridade certificadora (AC) corporativa ou um ponto de acesso Wi-Fi empresarial, para ter uma garantia criptográfica protegida por hardware do identificador do dispositivo e do usuário que está tentando acessá-lo. Saiba como funciona o acesso verificado.

Como funciona?

O acesso verificado usa o módulo de plataforma confiável (TPM), presente em todos os dispositivos ChromeOS, para permitir que os serviços de rede corporativos confirmem criptograficamente a identidade e o status do modo seguro e da política corporativa usando uma Interface de programação do aplicativo (API) do lado do servidor do Google.

Você precisa ativar o recurso "Acesso verificado" no Google Admin Console e forçar a instalação de uma extensão do Chrome nos dispositivos dos usuários. Depois que fizer isso, o serviço de rede vai se comunicar com a API Verified Access para determinar a conformidade com a política e, se quiser, determinar o identificador do dispositivo cliente com o Google. Consulte a etapa 3 abaixo para saber mais sobre o endpoint do serviço de rede.

Configurar o acesso verificado para minha empresa

Etapa 2: registrar os dispositivos ChromeOS

O acesso verificado só funciona para os usuários corporativos gerenciados nos dispositivos inscritos no domínio que você gerencia. Saiba como registrar um dispositivo ChromeOS.

Etapa 2: instalar uma extensão de acesso verificado

Para usar o acesso verificado na sua organização, você precisa ter uma extensão do Chrome que chame a API Verified Access nos dispositivos clientes. É possível conseguir uma extensão de um fornecedor independente de software (ISV), como o Cloudpath, ou usar o Guia do desenvolvedor da API Verified Access do Google para implementar sua própria extensão.

Confirme se a extensão foi implantada na Chrome Web Store ou em uma Chrome Web Store empresarial específica da sua organização.

Observação: há duas APIs no namespace chrome.enterprise.platformKeys: challengeUserKey e challengeMachineKey. Na etapa 4, se você fizer a verificação do dispositivo, será preciso chamar “challengeMachineKey”. Para fazer a verificação de usuário, é preciso chamar "challengeUserKey". Em caso de dúvidas, consulte seu ISV.

Etapa 3: configurar o endpoint do serviço de rede

Você precisa ter um serviço de rede que entenda o protocolo de acesso verificado e tome decisões de autorização com base nos resultados da chamada da API Verified Access do Google. Alguns exemplos incluem os dispositivos VPN com suporte para acesso verificado ou as extensões do serviço de certificado que permitem a emissão de certificados de dispositivo cliente para os dispositivos em conformidade. Similar à extensão do Chrome descrita acima, é possível fazer o download deles em um ISV ou seguir as instruções no Guia do desenvolvedor da API Verified Access do Google para implementar uma própria.

Verified Access diagram

Você vai precisar:

  • Conhecer a conta de serviço do Google usada pelo endpoint para se comunicar com a API do Google (consulte seu fornecedor).
  • Conceder acesso a essa conta no Admin Console da sua organização nas próximas etapas.

Etapa 4: configurar as políticas do Admin Console

É possível configurar a verificação do dispositivo ou do usuário. Empresas focadas em segurança normalmente fazem a verificação do usuário porque isso confirma o usuário e o dispositivo. A verificação do dispositivo permite que qualquer pessoa que use o dispositivo tenha acesso à rede protegida.

Configurar políticas do dispositivo

  1. Defina o valor da política Modo verificado para exigir o modo de segurança (ou não) para as verificações do dispositivo.
  2. Em Modo verificado, adicione o e-mail da conta de serviço usado pelo endpoint do serviço de rede a uma destas listas:
  • Contas de serviço com permissão para receber IDs de dispositivos
  • Contas de serviço que podem verificar dispositivos, mas não recebem IDs de dispositivos

Configurar políticas do usuário

  1. Defina o valor da política Modo verificado para exigir o modo de segurança (ou não) para as verificações do dispositivo.
  2. Em Modo verificado, adicione o e-mail da conta de serviço usado pelo endpoint do serviço de rede a uma destas listas:
  • Contas de serviço com permissão para receber dados de usuários
  • Contas de serviço que podem verificar usuários, mas não recebem dados de usuários

Ativar políticas do aplicativo (obrigatório)

  1. Ative a opção Forçar instalação.
  2. Permita acesso a chaves empresariais usando um protocolo de desafio

Observação: a API chrome.enterprise.platformKeys está disponível apenas para extensões de instalação forçada por política.

Pronto! Você configurou o acesso verificado. Dúvidas? Consulte o Guia do desenvolvedor da API Verified Access.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
9990821962123085480
true
Pesquisar na Central de Ajuda
false
true
true
true
true
true
410864
false
false
false
false
false