OktaをChrome Enterpriseと統合する
Chrome Enterprise環境を保護するには、Chrome Device Trustと管理対象Chromeプロファイルを構成します。
Chrome Device Trustコネクターをセットアップすることで、ChromeOSまたはChromeブラウザーからのデバイスシグナルを使用して、保護されたリソースへのアクセスを制御するアプリサインインポリシーを作成できます。
強力なセキュリティポスチャを確保するには、ユーザーがOkta資格情報でChromeブラウザーにサインインできるように管理対象Chromeプロファイルを構成することで、ブラウザー環境を保護できます。
Chrome Device TrustによってChromeOSおよびChromeブラウザーでアクセスを保護する
Chrome Device Trustをセットアップする前に、次の条件が満たされていることを確認します。
- Oktaテナントが有効化されたOkta Integration Networkである。
- Google Chrome Enterpriseを使用している。
- Chromeデバイス管理(ChromeOS)
- クラウド管理のChromeブラウザー(macOSまたはWindows)
- 管理対象Chromeプロファイル (すべてのプラットフォーム)
- ユーザーがOkta資格情報を使用してGoogle Workspaceにサインインできるように、Okta orgでGoogle Workspaceのアプリ統合を構成している。「アプリ統合を開始する」を参照してください。
- Google AdminコンソールでOktaシングルサインオン(SSO)が構成されている。「組織のSSOをセットアップする」を参照してください。
- ChromeOSからシグナルを受信するために、Google Adminコンソールでデバイス管理登録を構成している。
- macOSデバイスにSecure Enclaveが搭載されている。
- Chrome Device Trustではシークレットモードはサポートされません。
Okta Admin ConsoleでChrome Device Trustを有効化する
- Okta Admin Consoleでに移動します。
- [Endpoint security(エンドポイントセキュリティ)]タブを選択し、[Add endpoint integration(エンドポイント統合を追加)]をクリックします。
- [Chrome Device Trust]を選択し、統合の対象として有効にするプラットフォームを選択します。
-
[Save(保存)]をクリックします。
- [Chrome Device Trust]統合ページには、生成された設定が表示されます。統合ページの[Login URL pattern(ログインURLパターン)]フィールドと[Service account(サービスアカウント)]フィールドの値をコピーします。これらの値はテナントに固有であり、OktaアカウントとGoogle Workspaceアカウントをリンクするために使用されます。
Google AdminコンソールでChrome Device Trustを有効化する
- Google Adminコンソールにサインインします。
- に移動し、[New provider configuration(新規プロバイダー構成)]をクリックします。プロバイダーリストを[Okta]までスクロールし、[Set up(セットアップ)]をクリックします。
- [Configuration name(構成名)]を入力し、Okta Admin Consoleで作成した統合の[URL Pattern(URLパターン)]と[Service account(サービスアカウント)]の情報をプロバイダー構成に追加します。[Add configuration(構成を追加)]をクリックします。
- プロバイダー構成を組織単位に適用します。構成が適切な組織単位に適用されていることを確認するには、管理対象ブラウザーの構成が同じ組織単位にマッピングされていることを確認してください。
認可エラーやシグナルエラーを回避するには、ChromeOSデバイスとユーザーがOktaプロバイダー構成と同じ組織単位に属していることを確認してください。詳細については、「Chrome Enterpriseデバイストラストコネクタを管理する」を参照してください。
ChromeOS向けのデバイス保障ポリシーを追加する
ChromeOS向けのポリシーを構成するには、「デバイス保証ポリシーを追加する」を参照してください。
macOSまたはWindows上の管理対象Chromeブラウザー向けのデバイス保障ポリシーを追加する
ポリシーを構成するには、「デバイス保証ポリシーを追加する」を参照してください。Chrome Device Trust統合から利用可能になる条件を含めて、macOSまたはWindowsの条件を定義します。
エンドユーザーは、ChromeOSデバイスにサインインした際に、サインインページから直接すべてのGoogle WorkspaceアプリのSSOを実行します。つまり、ChromeOS上のGoogle Workspace向けデバイス保証ポリシーは、ChromeOSのサインイン画面上での最初のサインイン試行時にのみ評価されます。Oktaでは、デバイスのロックアウトを回避するために、ChromeOS上のGoogle Workspaceにベースラインのデバイス保証ポリシーを割り当てることをお勧めします。Google Workspaceに含まれないアプリに対してセキュリティ制御を追加できます。
デバイス保証をアプリサインインポリシーに追加する
このタスクを完了させるには、「デバイス保証をアプリサインインポリシーに追加する」を参照してください。
システムログ
Chrome Device Trustシグナルが収集されていることを確認するには、システムログでシグナルを確認します。[Device Integrator(デバイスインテグレーター)]キーの下にある[device(デバイス)]オプションを展開します。次のイベントを探します。
- factors user.session.start
- user.authentication.verify
- policy.evaluate_sign_on
- user.authentication.auth_via_mfa このイベントは、アプリサインインポリシーが多要素認証を必要とする場合にのみ表示されます。Device Assurance Policies APIのドキュメントを参照してください。
Chromeブラウザーを保護する
ユーザーが会社管理対象デバイスで個人のGoogle Chromeプロファイルにサインインした場合、orgは次のようなセキュリティリスクにさらされます。
- 資格情報の漏洩:企業アプリの資格情報は、個人のGoogleアカウントのパスワードマネージャーに保存することができます。個人アカウントが侵害された場合、この企業資格情報が公開されます。
- 安全でない拡張機能:企業のIT部門が承認していないブラウザー拡張機能には、保護対象データへのアクセスのために悪用できる脆弱性がある可能性があります。
- ポリシー違反:個人プロファイルは、管理対象ブラウザーに適用されたセキュリティポリシーや制御(コンテンツのフィルタリング、ダウンロード制限など)をバイパスします。
これらのリスクを軽減するために、仕事用と個人用のブラウザープロファイルを管理対象Chromeプロファイルで分離することができます。この機能を構成することで、管理対象または非管理対象のデバイス上のChromeブラウザー内に会社制御のワークプロファイルを作成できます。
この機能を構成するには、Googleドキュメントを参照してください。