目次 デバイス保証ポリシー Chrome Device Trustコネクター Chrome Device Trustの設定 デバイス保証ポリシー設定 認証ポリシーの設定 動作確認 最後に 今回のブログでは、Chrome Device Trustコネクターを用いてChromeブラウザからシグナルを収集し、デバイス保証ポリシーにおいて、デバイスのセキュリティ状態を総合的に評価する方法についてご紹介します。 Chrome Device Trustコネクターでは、Okta Verifyアプリよりも多くのデバイスシグナルを収集することができ、それらのシグナルをOktaへのアクセス条件として認証ポリシーにて利用することができます。 なお、Chrome Device Trustコネクターの動作には、Okta Verifyアプリが必須ではありませんが、Okta Verifyアプリと同時に利用することもできます。その場合は、Okta Verifyアプリからのシグナルが優先されます。 本機能の利用には、Adaptive SSO(SSOとは?)またはAdaptive MFA(MFAとは?)のライセンスが必要です。 デバイス保証ポリシー デバイス保証ポリシーとは、OSのバージョンやデバイスの状態を認証ポリシーの条件として利用することができる機能です。つまり、Oktaで保護されたアプリケーションへアクセスすることができるデバイスの最小要件を定義することができます。 Chrome Device Trustコネクター Chrome Device Trustコネクターは、Oktaで保護されているアプリケーションへアクセスする前に、ChromeOSおよびChrome ブラウザを介してデバイスのセキュリティ状態を確認することができる Google Chrome サービスです。Chrome Device Trustコネクターは、OS、ブラウザのバージョン、セキュリティ パッチ レベル、ディスク暗号化など、さまざまなデバイス シグナルを安全に収集します。Okta は、リクエストごとにこれらのシグナルを使用して、アクセスを許可する前に、デバイスが一連のデバイス保証ポリシーに準拠しているかどうかを評価します。 Chrome Device TrustコネクターはChromeOSおよびWindowsやMacOS上のChromeブラウザーを管理することができますが、それ以外のChromiumベースのブラウザなどは管理対象とすることができません。 本ブログでは、Chrome Device Trust コネクターを用いて、管理対象のChromeブラウザから収集したデバイスシグナルを、Okta認証ポリシーの条件として利用する方法について、具体的に説明します。 Chrome Device Trustの設定 はじめに 本手順では、管理対象はWindows端末上のChromeブラウザとして説明します。ChromeOSやMacOS上のChromeブラウザなどを管理対象とする場合には、公式ドキュメントを参照に設定してください。 Chromeブラウザを管理対象にする 注意:既に、利用しているChromeブラウザが会社の管理対象となっている場合は、本手順を試すことはできません。管理対象となっていない端末でテストを実施してください。 本手順では、Chromeブラウザクラウド管理を利用し、Windows上で動作しているChromeブラウザを管理対象とします。 Google WorkspaceやGoogle Cloud IdentityなどのGoogleサービスを既に使用している場合は、追加でChromeブラウザクラウド管理のサブスクリプションを追加することができます。Googleサービスを使用していない場合でも、Chromeブラウザクラウド管理を利用することができます。利用料金はかかりません。(2024年8月時点) Chrome ブラウザ クラウド管理を利用するため、以下のWebサイトへアクセスし、アカウントを作成します。https://chromeenterprise.google/browser/management/ アカウントが作成できたら、サインアップし、Google Admin Consoleにアクセスします。 [Chrome ブラウザ] - [管理対象ブラウザ]メニューをクリックします。 [登録]をクリックします。 ブラウザを登録する方法は、グループポリシー管理エディタを使用する方法、レジストリを編集する方法、regファイルを実行する方法、MDMを利用する方法など、複数用意されています。今回は手順をなるべく簡略化し、わかりやすく説明するため、regファイルを用いて登録する方法を用います。 それ以外の方法で実行する場合や、Windows以外のOSで実行する場合は、Google社のドキュメント[2. クラウド管理型の Chrome ブラウザを登録する]を参照してください。 [ダウンロード]の[.REG ファイル (WINDOWS)]ボタンをクリックしダウンロードします。 ダウンロードしたregファイルを、管理対象とするWindows端末へコピーします。 以下手順は、管理対象端末で実施します。 コピーしたregファイルを実行し、レジストリキーをインストールします。 レジストリエディターを開き、[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]に[CloudManagementEnrollmentToken]キーが登録されていることを確認します。 設定が完了したら、管理対象のChromeブラウザをすべて終了し、再起動します。 管理対象端末での操作は、以上です。 Google Admin Consoleにアクセスし、 [Chrome ブラウザ] - [管理対象ブラウザ] に移動します。Chromeブラウザが登録され、情報が抽出されていることが確認できます。 Chromeブラウザから収集されるシグナルの一覧は、こちらの[ユーザーのデバイスからアップロードされるデータ]を参照してください。 Chromeブラウザのレポートを有効にする Google Admin Consoleにて、[Chrome ブラウザ] - [設定]に移動します。 適用する組織部門を選択します。 [ユーザーとブラウザの設定]タブの[ブラウザに関するレポート]までスクロールします。 [管理対象ブラウザに関するレポート] を [管理対象ブラウザのクラウドレポートを有効にする] に設定し、[保存] をクリックします。 管理対象のWindows端末のChromeブラウザを再起動し、新しいポリシーを適用します。 Chrome Device Trustをエンドポイントとして追加する Okta Admin Consoleへ管理者権限でログインします。 [Security] - [Device Integrations]に移動します。 [Endpoint security]タブを選択し、[Add endpoint integration]をクリックします。 [Chrome Device Trust]を選択し、統合の対象として有効にするプラットフォームを選択し、[Add]ボタンをクリックします。 OktaとGoogleの双方のアカウントをリンクするために利用される値が表示されますので、[Login URL.