OktaをChrome Enterpriseと統合する

Chrome Enterprise環境を保護するには、Chrome Device Trustと管理対象Chromeプロファイルを構成します。

Chrome Device Trustコネクターをセットアップすることで、ChromeOSまたはChromeブラウザーからのデバイスシグナルを使用して、保護されたリソースへのアクセスを制御するアプリサインインポリシーを作成できます。

強力なセキュリティポスチャを確保するには、ユーザーがOkta資格情報でChromeブラウザーにサインインできるように管理対象Chromeプロファイルを構成することで、ブラウザー環境を保護できます。

Chrome Device TrustによってChromeOSおよびChromeブラウザーでアクセスを保護する

Chrome Device Trustをセットアップする前に、次の条件が満たされていることを確認します。

Oktaテナントが有効化されたOkta Integration Networkである。
Google Chrome Enterpriseを使用している。
- Chromeデバイス管理（ChromeOS）
- クラウド管理のChromeブラウザー（macOSまたはWindows）
- 管理対象Chromeプロファイルすべてのプラットフォーム（）
ユーザーがOkta資格情報を使用してGoogle Workspaceにサインインできるように、Okta orgでGoogle Workspaceのアプリ統合を構成している。アプリ統合を開始するを参照してください。
Google AdminコンソールでOktaシングルサインオン（SSO）が構成されている。「組織のSSOをセットアップする」を参照してください。
ChromeOSからシグナルを受信するために、Google Adminコンソールでデバイス管理登録を構成している。
macOSデバイスにSecure Enclaveが搭載されている。
Chrome Device Trustではシークレットモードはサポートされません。

Okta Admin ConsoleでChrome Device Trustを有効化する

Okta Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。
エンドポイントセキュリティ（Endpoint security）タブを選択し、エンドポイント統合を追加（Add endpoint integration）をクリックします。
Chrome Device Trust を選択し、統合の対象として有効にするプラットフォームを選択します。
保存（Save）をクリックします。
Chrome Device Trust統合ページには、生成された設定が表示されます。統合ページのログインURLパターン（Login URL pattern）フィールドとサービスアカウント（Service account）フィールドの値をコピーします。これらの値はテナントに固有であり、OktaアカウントとGoogle Workspaceアカウントをリンクするために使用されます。

Google AdminコンソールでChrome Device Trustを有効化する

Google Adminコンソールにサインインします。
デバイス（Devices） > Chrome > コネクター（Connectors）に移動し、新規プロバイダー構成（New provider configuration）をクリックします。プロバイダーリストを Okta までスクロールし、セットアップ（Set up）をクリックします。
構成名（Configuration name）を入力し、Okta Admin Consoleで作成した統合のURLパターン（URL Pattern）とサービスアカウント（Service account）の情報をプロバイダー構成に追加します。構成を追加（Add configuration）をクリックします。
プロバイダー構成を組織単位（Organizational unit）に適用します。構成が適切な組織単位に適用されていることを確認するには、管理対象ブラウザーの構成が同じ組織単位にマッピングされていることを確認してください。
認可エラーやシグナルエラーを回避するには、ChromeOSデバイスとユーザーがOktaプロバイダー構成と同じ組織単位に属していることを確認してください。詳細については、「Chrome Enterpriseデバイストラストコネクタを管理する」を参照してください。

ChromeOS向けのデバイス保障ポリシーを追加する

ChromeOS向けのポリシーを構成するには、デバイス保証ポリシーを追加するを参照してください。

macOSまたはWindows上の管理対象Chromeブラウザー向けのデバイス保障ポリシーを追加する

ポリシーを構成するには、デバイス保証ポリシーを追加するを参照してください。Chrome Device Trust統合から利用可能になる条件を含めて、macOSまたはWindowsの条件を定義します。

注:

エンドユーザーは、ChromeOSデバイスにサインインした際に、サインインページから直接すべてのGoogle WorkspaceアプリのSSOを実行します。つまり、ChromeOS上のGoogle Workspace向けデバイス保証ポリシーは、ChromeOSのサインイン画面上での最初のサインイン試行時にのみ評価されます。Oktaでは、デバイスのロックアウトを回避するために、ChromeOS上のGoogle Workspaceにベースラインのデバイス保証ポリシーを割り当てることをお勧めします。Google Workspaceに含まれないアプリに対してセキュリティ制御を追加できます。

デバイス保証をアプリサインインポリシーに追加する

このタスクを完了させるには、デバイス保証をアプリサインインポリシーに追加するを参照してください。

システムログ

Chrome Device Trustシグナルが収集されていることを確認するには、システムログでシグナルを確認します。デバイスインテグレーター（Device Integrator）（device）キーの下にあるデバイス（device）（Device Integrator）オプションを展開します。次のイベントを探します。

factors user.session.start
user.authentication.verify
policy.evaluate_sign_on
user.authentication.auth_via_mfa このイベントは、アプリサインインポリシーが多要素認証を必要とする場合にのみ表示されます。Device Assurance Policies APIのドキュメントを参照してください。

Chromeブラウザーを保護する

ユーザーが会社管理対象デバイスで個人のGoogle Chromeプロファイルにサインインした場合、orgは次のようなセキュリティリスクにさらされます。

資格情報の漏洩：企業アプリの資格情報は、個人のGoogleアカウントのパスワードマネージャーに保存することができます。個人アカウントが侵害された場合、この企業資格情報が公開されます。
安全でない拡張機能：企業のIT部門が承認していないブラウザー拡張機能には、保護対象データへのアクセスのために悪用できる脆弱性がある可能性があります。
ポリシー違反：個人プロファイルは、管理対象ブラウザーに適用されたセキュリティポリシーや制御（コンテンツのフィルタリング、ダウンロード制限など）をバイパスします。

これらのリスクを軽減するために、仕事用と個人用のブラウザープロファイルを管理対象Chromeプロファイルで分離することができます。この機能を構成することで、管理対象または非管理対象のデバイス上のChromeブラウザー内に会社制御のワークプロファイルを作成できます。

この機能を構成するには、Googleドキュメントを参照してください。