管理対象Chromeプロファイルの閲覧データのクリア機能を構成する

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

セッション違反またはエンティティリスクの変化、あるいはその両方に対応するため、ユーザーのChromeデータを消去できます。

この機能は、認証済みAPIを使用して、ユーザーのChromeキャッシュとクッキーを消去します。これを強制アクションとしてセットアップするプロセスは、3段階で構成されます。はじめに、Googleサービスアカウントの権限を設定します。その後、委任ワークフローを構成します。最後にワークフローをポリシーに追加します。

開始する前の確認事項

  • スーパー管理者、org管理者、グループ管理者、ヘルプデスク管理者、またはユーザーのChromeデータを消去(Clear users' Chrome data)権限を持つカスタム管理者である必要があります。ITPの管理者ロールを参照してください。
  • orgでは、Chrome Enterprise CoreまたはGoogle Workspaceを通じてプロビジョニングされる、管理対象Chromeプロファイルを使用する必要があります。Google権限を割り当てられるように、サービスアカウントを書き留めます。「OktaをChrome Enterpriseと統合する」を参照してください。
  • Googleアプリ統合には、okta.users.manage OAuth 2.0スコープが必要です。「Okta APIのスコープ」を参照してください。
  • Chromeブラウザー用のデバイス保証ポリシーを構成します。「デバイス保証」を参照してください。

管理対象ブラウザー権限をGoogleサービスアカウントに割り当てる

  1. Google管理コンソールで、アカウント(Account) > 管理者ロール(Admin Roles)に移動します。
  2. 新しいロールを作成(Create new role)をクリックします。
  3. サービス(Services) > Chrome管理(Chrome Management) > 設定(Settings)で、管理対象ブラウザー(Managed Browsers)を選択します。
  4. ロールを確認して作成します。
  5. 管理者を割り当て(Assign Admin)をクリックします。
  6. サービスアカウントを割り当てる(Assign service accounts)をクリックし、Chrome Device Trust向けに構成したサービス管理者を探します。アクション(Actions)メニューを開きます。
  7. 管理者を割り当てる(Assign Admin)を選択します。

委任ワークフローを作成する

この機能は、POSTメソッドのみをサポートし、リクエスト本文を必要としない認証済みAPI(/api/v1/users/{userId}/clear-chrome-data)を使用します。「管理対象のChromeプロファイルの閲覧データを消去する」を参照してください。

このAPIを委任ワークフローで使用します。ポリシーアクションの委任フローを作成するを参照してください。

ワークフローをポリシーに追加する

セッション保護

セッション違反でユーザーのChromeデータを消去する場合は、このワークフローをセッション保護ポリシーに追加します。このシナリオでは、ワークフローは、可能であればMFA(MFA if possible)Oktaログアウト(Okta logout)の後にITPが実行する追加の強制適用アクションの1つで、グローバルセッションおよびアプリサインインポリシーから継承されます。

  1. Admin Consoleで、セキュリティ(Security) > Identity Threat Protectionに移動します。

  2. 検出および応答(Detection and Response)タブをクリックします。

  3. セッション保護(Session Protection)に移動します。

  4. ステータス(Status)セクションで、強制適用済み(Enforced)を選択します。

  5. セッション違反検出(Session violation detection)セクションで編集(Edit)をクリックします。管理対象のChromeプロファイルデータを消去するための別の基準を設定する場合は、編集(Edit)モードでリスクレベル(Risk level)またはユーザーの新しいIP:(User's new IP is)フィールドを変更することもできます。

  6. 強制適用設定(Enforcement settings)セクションで 追加のアクションを実行(Run an additional action)を選択し、ワークフローを実行(Run a workflow)を選択します。

  7. 構成したワークフローを選択します。

  8. 影響を受けるグループ(Groups impacted)セクションで、ワークフローを実行(Run a workflow)を適用するグループを選択します。これらのグループではないユーザーは、グローバルセッションポリシーとアプリサインインポリシーで、可能であればMFA(MFA if possible)Oktaログアウト(Okta logout)アクションの影響を依然として受ける場合があることに注意してください。

エンティティリスクポリシー

エンティティリスク変更のためにユーザーのChromeデータを消去する場合は、このワークフローをエンティティリスクポリシーに追加します。このシナリオでは、セッションハイジャック、総当たり攻撃、高脅威IPアドレスからのサインインイベントが発生した場合に、ユーザーのChromeプロファイルデータを消去できます。エンティティリスクポリシーには複数のルールを含めることができるため、Googleプロファイルデータの消去が必要なイベントを制御できます。

  1. 管理者ダッシュボードで、セキュリティ(Security) > Identity Threat Protectionに移動します。
  2. レスポンスの構成(Configure response)セクションで、エンティティリスクポリシーに移動する(Go to entity risk policy)をクリックします。
  3. ルールを追加(Add Rule)をクリックします。
  4. ルール名(Rule Name)を入力します。
  5. ユーザーのグループメンバーシップ:(User's group membership includes)で、ルールに含める、またはルールから除外するユーザーグループを指定します。
  6. 検出(Detection)で、Oktaに検出または除外させるアクティビティを指定します。
  7. エンティティリスクレベル(Entity Risk Level)を選択します。
  8. このアクションを実行(Take this action)フィールドで、ワークフローを実行(Run a Workflow)を選択します。
  9. アクションによってトリガーされるWorkflow(Workflow triggered by action)ドロップダウンメニューをクリックするか、委任ワークフローの名前を入力します。
  10. 保存(Save)をクリックします。