Как включить подтвержденный доступ для устройств с ChromeOS

Что такое подтвержденный доступ

Подтвержденный доступ гарантирует, что устройство, подключающееся к вашей сети, не было модифицировано и соответствует политике организации. Он служит точкой доступа для сетевого сервиса (например, VPN-шлюза, сервера для обработки конфиденциальных данных, корпоративного центра сертификации или корпоративной точки доступа к сети Wi-Fi) и необходим для аппаратного криптографического подтверждения идентификационных данных устройства и пользователя, которые пытаются получить доступ к сервису. Подробнее о подтвержденном доступе

Как это работает?

При подтверждении доступа используется доверенный платформенный модуль (Trusted Platform Module, TPM), который есть у каждого устройства с ChromeOS. Он позволяет корпоративным сетевым сервисам криптографически подтверждать идентификационные данные, статус безопасного режима и соблюдение корпоративной политики с помощью серверного API Google.

Вам нужно включить функцию подтверждения доступа в консоли администратора и принудительно установить расширение Chrome на устройствах пользователей. После этого ваш сетевой сервис сможет обращаться к Verified Access API для проверки соответствия политике и к серверам Google, чтобы при необходимости идентифицировать клиентское устройство. Дополнительную информацию о конечной точке сетевого сервиса можно найти ниже в описании шага 3.

Как настроить подтвержденный доступ для организации

Шаг 1. Зарегистрируйте устройства с ChromeOS

Подтвержденный доступ действует только для управляемых корпоративных аккаунтов на устройствах, зарегистрированных в управляемом вами домене. Подробнее о том, как зарегистрировать устройство с ChromeOS

Шаг 2. Установите расширение для подтверждения доступа

Чтобы использовать подтвержденный доступ в организации, установите расширение Chrome, которое вызывает Verified Access API на клиентских устройствах. Такое расширение можно получить у независимого поставщика ПО, например у Cloudpath, или реализовать его самостоятельно, следуя инструкциям в руководстве Google Verified Access API Developer Guide.

Расширение нужно обязательно развернуть в интернет-магазине Chrome или в корпоративном интернет-магазине Chrome вашей организации.

Примечание. В пространстве имен chrome.enterprise.platformKeys есть два API – challengeUserKey и challengeMachineKey. На шаге 4 при проверке устройства нужно вызывать challengeMachineKey API, а при проверке пользователя – challengeUserKey API. Если у вас возникнут вопросы, обратитесь к независимому поставщику ПО.

Шаг 3. Настройте конечную точку сетевого сервиса

У вас должен быть сетевой сервис, который поддерживает протокол подтвержденного доступа и принимает решения по авторизации с учетом результата вызова Google Verified Access API. Это могут быть устройства VPN с поддержкой подтвержденного доступа или расширения службы сертификатов, которые позволяют выдавать сертификаты клиента совместимым устройствам. Вы также можете получить эти сервисы у независимого поставщика ПО или реализовать свои собственные, следуя инструкциям в руководстве Google Verified Access API Developer Guide.

Verified Access diagram

Вам потребуется:

  • узнать у поставщика, какой сервисный аккаунт Google использует конечная точка для обращения к Google API;
  • предоставить этому аккаунту доступ к консоли администратора Google (на следующих шагах).

Шаг 4. Настройте политики в консоли администратора

Вы можете настроить проверку устройств или пользователей. В организациях, заботящихся о безопасности, обычно выполняется проверка пользователей, так как при этом проверяются ещё и устройства. Если проверяются только устройства, любой пользователь сможет получить доступ к защищенной сети.

Настройте правила для устройств

  1. С помощью правила Подтвержденный режим укажите, должен ли при проверке устройств обязательно использоваться безопасный режим.
  2. В разделе Подтвержденный режим добавьте адрес электронной почты сервисного аккаунта, который используется конечной точкой сетевого сервиса, в один из следующих списков:
  • Сервисные аккаунты, которые могут получать идентификаторы устройств.
  • Сервисные аккаунты, которые могут подтверждать устройства, но не получают их идентификаторы.

Настройте правила для пользователей

  1. С помощью правила Подтвержденный режим укажите, должен ли при проверке устройств обязательно использоваться безопасный режим.
  2. В разделе Подтвержденный режим добавьте адрес электронной почты сервисного аккаунта, который используется конечной точкой сетевого сервиса, в один из следующих списков:
  • Сервисные аккаунты, которые могут получать данные пользователей.
  • Сервисные аккаунты, которые могут подтверждать аккаунты пользователей, но не получают их данные.

Включите правила для приложений (обязательно)

  1. Включите параметр Обязательная установка.
  2. Включите параметр Разрешить доступ к корпоративным ключам дополнительной аутентификации.

Примечание. Доступ к chrome.enterprise.platformKeys API есть только у расширений, принудительно установленных политикой.

Вот и всё! Настройка подтвержденного доступа завершена. Если у вас остались вопросы, дополнительная информация доступна в руководстве Verified Access API Developer Guide.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
2233665500221113915
true
Поиск по Справочному центру
false
true
true
true
true
true
410864
false
false
false
false
false