コンテンツに移動
Chrome Enterprise

Google Cloud Identity によって Chrome ブラウザ クラウド管理の利用価値を高める

2023年5月23日
https://storage.googleapis.com/gweb-cloudblog-publish/images/19430___SSO_Authentication_Blog_Header_Opt.max-2500x2500_TCfiCL8.png
Google Cloud Japan Team

※この投稿は米国時間 2023 年 4 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。

Google は、「エンタープライズ セキュリティはブラウザから始まる」、すなわち、安全なブラウザはエンタープライズのリスク軽減に貢献すると強く信じています。そのような信念から、悪意のある転送を防ぐように Chrome を強化し、本来なら他のセキュリティ ツールが担うワークロードを軽減するためにデータ損失防止(DLP)関連の機能を Chrome にネイティブに組み込んできました。

多くの IT チームにとって、セキュリティは最優先事項となっています。Chrome ブラウザ クラウド管理によってブラウザを一元管理できるようになった現在、IT チームは「どうすればエンタープライズ セキュリティ全体を向上させることができるか」という問題に目を向けています。Chrome ブラウザ クラウド管理を使用すれば、IT 部門が各従業員の使用するブラウザのポリシー、設定、アプリ、拡張機能を全社的に構成および管理し、そのような作業のすべてを単一のコンソールから行うことができます。従業員が複数のオペレーティング システムやデバイスを使用していても関係ありません。

企業との会話の中で、Chrome プロファイルのログイン動作管理において次のようにまったく異なる管理アプローチを企業がとっていることに気づきました。

  • 一つは、ブラウザを完全にロックダウンし、すべての Chrome プロファイルのログインをブロックするという方法です。この場合、たとえばユーザーが個人的な Gmail をチェックすることはブロックされませんが、Google Sync 機能はすべてブロックされます。これはユーザーの不満を増加させ、管理者の負荷を高めます。ユーザーにとって、ブラウザのデータを同期できないということは、デバイスが故障した場合にブックマーク、履歴、お気に入りの拡張機能が失われる危険があることを意味します。このアプローチでは、ユーザーのプロファイルをバックアップするために管理者が複雑なワークロードを考え出す必要があります。特に VDI 環境では、これはより一層重要となり、なおかつ困難でもあります。

  • もう一つは、プロファイルのログイン制御を実装しないというものです。この場合、ユーザーは任意の Google アカウントでログインし、すべてのデータを同期することができます。ただし、このアプローチでは企業データと個人データが混在することが問題となります。これはリスクと考えられます。たとえば、退職した従業員が同期された企業データを持ち去ることができます。これには、パスワード、履歴、ブックマークなどが含まれる可能性があります。退職者の個人アカウントが侵害された場合、攻撃者は企業データを盗み取り、それを使用して企業のリソースに攻撃を仕掛けることができます。

これら 2 つのアプローチは、一方はセキュリティは高いもののユーザー エクスペリエンスが犠牲となり、もう一方はセキュリティが弱すぎます。そこで、企業の Chrome ブラウザ全体にわたってユーザー エクスペリエンスを効率化し、さらには高度なエンタープライズ セキュリティも提供する方法があるとしたらどうでしょうか?

企業アカウントに対して Google Sync を有効にする

Google は、Google がホストする企業向けアカウントを 2 種類提供しています。Chrome の視点から見ると、どちらも Google Sync に対応しており、エンタープライズ クラスのさまざまな SSO と統合できます。

Google Cloud Identity を導入するプロセスは簡単です。

ポリシーによってプロファイルを分離する

プロファイルの分離に関連するポリシーを有効にすることを強くおすすめします。管理コンソールで、[デバイス] > [Chrome] > [設定] > [ユーザーとブラウザ] に移動し、以下のポリシーを有効にしてください。

  • [ログイン インターセプト] > [ログイン インターセプトを有効にする]

  • [管理対象の Google Identity 用の別のプロファイル] > [別のプロファイルを適用する]

SSO の統合

主要な SSO のほとんどは Google 管理コンソールとの統合をサポートしており、これを通じてアカウントを自動的にプロビジョニングできます。

人気のある SSO / IdP の Google との統合に関連するページへのリンクを以下に示します。

SSO プロバイダを Google 管理コンソールに直接統合すると、すべての企業アカウントを Google 管理コンソールで自動的に生成し、SSO によって保護できます。これにより、企業の Google アカウントを、現在他のすべてのエンタープライズ サービスに使用しているのと同じ MFA ルールに従わせることができます。

すべてのアカウントが Google エコシステム内で生成され、その後はユーザーに対して個人用の Gmail アカウントではなく各自に割り当てられた企業アカウントを使用するよう通達するだけです。

Chrome ブラウザ クラウド管理と Cloud Identity の併用

Chrome ブラウザ クラウド管理は、企業に安全なブラウジング体験をもたらすための基盤です。Chrome ブラウザ クラウド管理の登録トークンをデプロイすると、社内のすべての Chrome ブラウザが Google 管理コンソールによって管理され、ポリシーや拡張機能の設定を一元的に適用できます。そこに Cloud Identity を追加すると、可能なことが飛躍的に広がります。

登録トークンをデプロイし、社内共通のセキュリティ対策を全社のブラウザに適用できます。その一つが、従業員がプロファイル レイヤで企業用 Google アカウントにのみログインするよう制限することです(それでもユーザーは個人用の Gmail をチェックできます。ただし、どのようなデータもそのアカウントには同期できません)。ブラウザにログインするユーザーに応じて、構成を動的に変えることができます。たとえば、開発者がログインした場合は、すべてのデベロッパー ツールが Chrome で有効になります。通常のユーザーが同じマシンでブラウザにログインした場合、デベロッパー ツールは無効になります。これにより、すべてのマシンの構成をシンプルなものとし、管理者はブラウザにログインするユーザーだけに注意を向けることができます。

Chrome ブラウザ クラウド管理と Google Cloud Identity を併用することのもう一つの利点は、BYOD に関連しています。SSO または Google の BeyondCorp Enterprise を介してさまざまな条件付きアクセス ポリシーを施行することができ、従業員は会社が管理している Chrome プロファイルを個人所有のデバイスに追加して限定されたウェブ アプリケーションにアクセスできます。ユーザーに与えられた会社所有のデバイスが故障した場合は、適切なネットワーク構成さえあれば、引き続き個人所有のデバイスから Chrome にログインできます。ユーザーは社内のチケット発行システムにアクセスしてデバイスの修理や交換をリクエストするケースを開くことができ、さらには同じ SSO によって保護されたクラウドベースのウェブ アプリケーションにアクセスすることもできます。

簡素化された Azure クラウド認証

Chrome 111 から、Windows 10 / 11 マシン用に Microsoft Azure ドメインに参加しているお客様のユーザー エクスペリエンスを大幅に向上させる新しいポリシーが提供されています。Azure クラウド認証ポリシーを有効にすると、Microsoft Azure によって保護されているリソースに対して Chrome から OS 認証情報が安全に送信されます。エンドユーザーは認証情報を再入力しなくて済み、MFA チャレンジを行う必要もありません。Azure 条件付きポリシーもすべて適用されます。

Azure を有効にしているお客様にとって、このポリシーには別の利点もあります。前のセクションで、Google Cloud Identity アカウントを全従業員に提供することについて書きました。SSO のために Google アカウントを Microsoft Azure と統合し、このポリシーを有効にした場合、ユーザーが Chrome を初めて起動したときに行うことは、メールアドレスを入力することだけです。残りのステップは自動的に行われます。ログインは Azure にリダイレクトされ、Azure のページで Windows PRT によって自動的に認証されてから、再び Google にリダイレクトされてログインが成功します。あとは、Google Sync を一度クリックして有効にしておけば、お気に入りのブラウザをすぐに安全に使用できます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/Azure_AD_SSO_.gif

Chrome は、お客様が Google Cloud Identity や Microsoft Azure などのいずれの ID プロバイダを選んだかにかかわらず、ログイン エクスペリエンスを向上させる方法や、企業が求めるセキュリティ機能を提供する方法を常に探し続けています。お客様の環境で Chrome ブラウザ クラウド管理をどのように活用できるかについては、こちらをご覧ください。


- Chrome ブラウザ カスタマー エンジニア Alex Bauer

投稿先