ChromeOSおよびGoogle Chrome向けのデバイス保障ポリシーを追加する

Oktaのデバイス保障ポリシーは、org内のアクセス権限を決定します。これらのポリシーは、デバイス信号、コンプライアンス、セキュリティなど、さまざまな要因を検討してデバイスの信頼性を評価します。Chrome Device Trustコネクターが構成されている場合、ChromeブラウザーまたはChromeOSから重要なデバイス状態信号を収集してデバイスのセキュリティ状態をより総合的に評価できます。

はじめに

このページのタスクを完了する前に、Okta Admin ConsoleおよびGoogle管理コンソールでChrome Device Trustコネクターをセットアップします。ChromeOSからの信号では、デバイスがGoogle管理コンソールのデバイス管理に登録されていることが必須となり、macOSおよびWindowsからの信号では、ChromeブラウザーがGoogle管理コンソールのブラウザー管理に登録されていることが必須となります。

タスク

ChromeOS向けのデバイス保障ポリシーを作成する

  1. Okta Admin Console[Security(セキュリティ)] [Device Assurance Policies(デバイス保証ポリシー)]に移動します。

  2. [Add a policy(ポリシーを追加)]をクリックします。

  3. ポリシーに一意の名前を付け、プラットフォームとしてChromeOSを選択します。

  4. ChromeOS向けのデバイス保障ポリシーの属性を構成します。

    • [Device management(デバイス管理)]:デバイスは、ChromeOSのデバイス管理に登録されている必要があります。
    • [Minimum ChromeOS version(ChromeOSの最小バージョン)]:ChromeOSの最小バージョンの詳細を入力します。

    • [Disk encryption(ディスク暗号化)]:デバイスディスクを暗号化する必要がある場合は、チェックボックスを選択します。

    • [Firewall(ファイアウォール)]:ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Screen lock password(画面ロックパスワード)]:このオプションを選択するときは、ロック解除のためのパスワードが必要です。

    • [Screen lock(画面ロック)]:画面ロックを許可するには、このチェックボックスを選択します。

    • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:ポリシーで許可されるChromeブラウザーの最小バージョンの詳細を入力します。

    • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

    • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

    • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Site Isolation(サイト分離)]:Site Isolationを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Key trust level for ChromeOS(ChromeOSのキー信頼レベル)]:このドロップダウンメニューから[Device in verified mode(検証済みモードのデバイス)]を選択します。

  5. [Save(保存)]をクリックします。

Chromeブラウザー向けのデバイス保障ポリシーを作成する

  1. Okta Admin Console[Security(セキュリティ)] [Device Assurance Policies(デバイス保証ポリシー)]に移動します。

  2. [Add a policy(ポリシーを追加)]をクリックします。

  3. ポリシーに一意の名前を付け、プラットフォームとしてmacOSまたはWindowsを選択します。

  4. [Device attribute provider(デバイス属性プロバイダー)]としてChrome Device Trustを選択します。

    Okta VerifyとChrome Device Trustの両方をプロバイダーとして選択すると、信号が一部重複する可能性があります。その場合は、Oktaからの信号が優先されます。

  5. Chrome Device Trust向けのデバイス保障ポリシーの属性を構成します。属性オプションは、選択したプラットフォームに応じて異なります。「デバイス保証ポリシーを追加する」を参照してください。

  6. [Save(保存)]をクリックします。

  7. 任意。別のプラットフォームに第2のChrome Device Trust向けデバイス保障ポリシーを追加する場合は、上記手順を繰り返します。

エンドユーザーがサインイン画面からChromeOSデバイスにサインインすると、すべてのGoogle Workspaceアプリケーションを対象にシングルサインオン(SSO)が行われます。つまり、ChromeOS上のWorkspace向けデバイス保証ポリシーの使用は、最初のサインイン試行(ChromeOSサインイン画面)のみで評価されます。デバイスのロックアウトを回避するために、ベースラインのデバイス保証ポリシーをChromeOS上のWorkspaceに割り当てた上で、Workspace以外のアプリケーションのセキュリティ制御を追加することをお勧めします。

Chrome Device Trust信号向けのmacOSデバイス保障ポリシーを追加する

Chrome Device Trustコネクターは、Secure Enclaveを搭載したmacOSデバイスからのみ信号を送信します。

  1. Okta Admin Console[Security(セキュリティ)] [Device Assurance Policies(デバイス保証ポリシー)]に移動します。

  2. [Add a policy(ポリシーを追加)]をクリックします。

  3. [Policy name(ポリシー名)]を入力し、[Platform(プラットフォーム)]として[macOS]を選択します。

  4. デフォルトでは、[Device attribute provider(デバイス属性プロバイダー)][Okta Verify]が選択されます。デバイス状態をGoogleのみが提供するようにするには、[Chrome Device Trust]を選択し、[Okta Verify]のチェックボックスをクリアします。デバイス属性プロバイダーとしてOkta VerifyとChrome Device Trustの両方を選択することもできます。これにより、信号が一部重複する可能性があります。その場合は、Oktaからの信号が優先されます。

  5. ポリシー属性を選択します。

    • [Minimum macOS version(macOSの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。

    • [Screen lock password(画面ロックパスワード)]:このオプションを選択するときは、画面ロックにはパスワードが必要になります。

    • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、ディスクの暗号化が必須となります。ディスク暗号化では、内部ボリュームとシステムボリュームのみが評価されます。非表示のボリューム、削除可能なボリューム、自動マウントされたボリューム、または復元に使用されるボリュームは、ディスク暗号化では評価されません。

    • [Firewall(ファイアウォール)]:ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:ポリシーで許可されるChromeブラウザーの最小バージョンの詳細を入力します。

    • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

    • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

    • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Site Isolation(サイト分離)]:サイト分離を有効化する必要がある場合は、このチェックボックスを選択します。

    • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Key trust level for Chrome(Chromeのキー信頼レベル)]:プリセット値を選択するときは、このドロップダウンメニューを使用します。

  6. [Save(保存)]をクリックします。

Chrome Device Trust信号向けのWindowsデバイス保障ポリシーを追加する

  1. Okta Admin Console[Security(セキュリティ)] [Device Assurance Policies(デバイス保証ポリシー)]に移動します。

  2. [Add a policy(ポリシーを追加)]をクリックします。

  3. [Policy name(ポリシー名)]を入力し、[Platform(プラットフォーム)]として[Windows]を選択します。

  4. デフォルトでは、[Device attribute provider(デバイス属性プロバイダー)][Okta Verify]が選択されます。デバイス状態をChrome Device Trustのみが提供するようにするには、[Chrome Device Trust]を選択し、[Okta Verify]のチェックボックスをクリアします。デバイス属性プロバイダーとしてOkta VerifyとChrome Device Trustの両方を選択することもできます。これにより、信号が一部重複する可能性があります。その場合は、Oktaからの信号が優先されます。

  5. ポリシー属性を選択します。

    • [Minimum Windows version(Windowsの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。

    • [Lock screen secured(ロック画面保護)]:ロック画面をパスワード、Windows Hello、またはスマートカードで保護する必要がある場合は、このオプションを選択します。

    • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、ディスクの暗号化が必須となります。ディスク暗号化では、内部ボリュームとシステムボリュームのみが評価されます。非表示のボリューム、削除可能なボリューム、自動マウントされたボリューム、または復元に使用されるボリュームは、ディスク暗号化では評価されません。

    • [Firewall(ファイアウォール)]:ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:ポリシーで許可されるChromeブラウザーの最小バージョンの詳細を入力します。

    • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

    • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

    • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Site Isolation(サイト分離)]:Site Isolationを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Secure Boot(セキュアブート)]:Secure Bootを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Windows machine domain(Windowsマシンドメイン)]:Windowsマシンのドメインを入力します。

    • [Windows user domain(Windowsユーザードメイン)]:ユーザーアカウントのドメインを入力します。

    • [Third party software injection(サードパーティソフトウェア挿入)]:サードパーティソフトウェアの挿入をブロックする必要がある場合は、このチェックボックスを選択します。

    • [CrowdStrike - Agent ID(エージェントID)]:CrowdStrikeのエージェントIDを入力します。この値は、ハイフンなしの小文字である必要があります。

    • [CrowdStrike - Customer ID(カスタマーID)]:CrowdStrikeのカスタマーIDを入力します。この値は、ハイフンなしの小文字である必要があります。

    • [Key trust level for Chrome(Chromeのキー信頼レベル)]:プリセット値を選択するときは、このドロップダウンメニューを使用します。

  6. [Save(保存)]をクリックします。

認証ポリシーにデバイス保証を追加する

認証ポリシールールにデバイス保障を追加することで、組織内のシステムやアプリケーションにアクセスできる管理対象外デバイスの最小要件を確立できます。複数の条件が含まれるようにポリシールールを構成すると、その中の任意の条件によってルールがトリガーされます。

  1. OktaAdmin Consoleで、[Security(セキュリティ)] [Authentication Policies(認証ポリシー)]に移動します。

  2. ポリシーを選択し、[Add Rule(ルールの追加)]をクリックします。

  3. 既存のポリシールールにデバイス保証を追加するには、変更するポリシールールを選択し、[Edit(編集)]をクリックします。

  4. AND[Device assurance policy is(デバイス保証ポリシー:)]の場合、[Any of the following Device Assurance conditions(次のデバイス保証条件のいずれか)]を選択し、以前に作成したデバイス保証の名前を入力します。
    • 複数のプラットフォーム固有のデバイス保証ポリシーを追加できます。
    • 同じルールに複数のデバイス保証属性を追加する場合、それらはOR条件とみなされます。
    • ルールに別の条件が含まれている場合にルールが適用されるには、ルールに定義されているすべての条件が満たされる必要があります。
  5. 追加の条件と、条件が満たされた場合の目的の結果を指定します。
  6. [Create Rule(ルールを作成)]または[Save(保存)]をクリックすると、変更が保存されます。

トラブルシューティング

次が正しいことを確認してください。

  • Okta Admin ConsoleでChrome Device Trust統合が正しく構成されている。

  • Chrome Device Trustを使用するデバイス保障ポリシーが属性プロバイダーとして存在する。

  • アプリサインオンポリシーにデバイス保障ポリシーが追加されている。

  • ChromeOSデバイスとユーザーが、Oktaプロバイダー構成と同じ組織単位内に存在する。

  • ユーザーがプライベートまたはシークレットモードのブラウザーを使用していない。

アカウントの認証シナリオを実行し、Chrome Device TrustイベントのSystem Logを表示します。

System Log

Chrome Device Trust信号が収集されていることは、System Logを表示することで確認できます。System LogでDevice Integratorキーの下の[device(デバイス)]オプションを展開すると、Chrome Device Trust信号が表示されます。次のイベントを探します。

  • factors user.session.start

  • user.authentication.verify

  • policy.evaluate_sign_on

  • user.authentication.auth_via_mfa

user.authentication.auth_via_mfaは、アプリサインオンポリシーが多要素認証を必要とする場合にのみ表示されることに注意してください。Device Assurance Policies APIのドキュメントを参照してください。

関連項目

OktaをChromeOSおよびChromeブラウザーと統合する

Chrome Device Trustコネクターをセットアップする

認証ポリシーにデバイス保証を追加する

デバイス保証の修復メッセージ

デバイス保証