Google BeyondCorp Enterprise四方山話

JNUCで話した内容の深掘りを少しだけしておきます。
以下内容は2023年調査時点のものになります。

Zero-Trust Network Access (ZTNA) with Jamf and Google | Blog

BeyondCorpを導入した経緯について

アカツキは創業からGoogle Workspaceを導入していたこともあり、会社情報の殆どが最初からGoogleドライブにある環境でした。

メインのゲーム事業では協業会社のIPを使った開発もあるため、公開前の機密情報を扱う場面も多かったこともあり、実は私が入社した時点で既にContext Aware Access自体は一部導入されていました。
ただ、運用としては会社所有デバイスとして必要な端末を登録するというスタンダードなやり方だったため、協業会社の端末も現場が必要とすれば対応可能な一方、管理するチームメンバーへの負荷が常にかかっている状態でした。

Add company-owned devices to the inventory - Google Workspace Admin Help

逆に言えば、この運用周りのためにContext Aware Accessが全社展開できていなかったとも言えますね。
不定期にある程度の台数のPCを購入するため、都度会社所有デバイスに手動で登録するのはまぁまぁな無茶ですからねー。棚卸しも考えるだけでげんなりします。
当然端末の管理はJamfやIntuneなどGoogleとは関係のないMDMで管理しているため、どうしようもない状態ではありました。

JamfとGoogleの連携による恩恵

2022年2月にmacOSのBeyondCorpによるContext Aware Accessが実装され、2023年3月にはiOSも対応されました。

Google Zero Trust protection for macOS users with Jamf

Secure your iOS and iPadOS devices with Google BeyondCorp and Jamf.

これによりJamfに登録しているデバイスについてはGoogle Workspaceの会社所有デバイスに登録することなく、Context Aware Accessのアクセス条件として「Jamfに登録されている一定のコンプライアンスに準拠した端末であること」が実現できることになりました。

運用している人からすると神機能ですね…。iOS対応が発表されてから速攻で検証してさっさと実装した記憶があります。
それまでは無理やり登録環境や条件をやりくりして特定のメンバーだけ個人所有端末からでもGoogleドライブにアクセス可能にしていたのですが、iOSに限って言えば会社のテナントに登録してもらうだけで良くなるのでテンション上がりましたねー。

とはいえ、この時点では実装したものの展開はできず。
なぜならAndroidをどうするのか決められなかったから。涙
展開する場合はmacOS / Windows / iOS / Android全部運用の目処が立ってから、ということだったので、色々と調査したり検証したりと知見が貯まる1年でした。
実は同時にデバイス証明書の運用も検討しているので、この領域だけで1年半は検討しています。そろそろ2年になりますね…。思えば遠くへ来たもんだ。

BeyondCorpのススメ

コスト面で言えばそれなりのエディション（Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Cloud Identity Premium）をお使いであれば追加費用なしってところでしょうか。
環境のアップグレードを考えている人は理由の一つとして十分使える内容だと思います。

また、Context Aware Accessの特性上BeyondCorpの設定をしただけでは運用に影響がないのも導入のしやすさにあげられます。
言ってしまえばGoogle Workspaceのデバイス情報にJamfからもらった情報が追加されるだけなので、エンドユーザーには何も影響ないんですよね。

ざっくり描くとこんな感じ
ユーザーへはアクセスレベル（Context Aware Access）を適用しなければ影響なし

影響があるのはむしろその準備段階としてChromeブラウザのクラウド管理のための登録トークン配布（ブラウザ再起動してもらえればOK）と、アドオンであるEndpoint Verificationの配布（特に作業なしだけどいきなり機能が追加されて驚くくらい）くらいでしょうか。

なので、導入する順番としては以下の流れですね。
方法は私だったりろとにゃんだったりが記事にしているので適宜検索してもらえれば。

1.  【Google Workspace】Chromeブラウザのクラウド管理でChromeブラウザを自動更新するなど管理可能な状態にする

2.  【Google Workspace】Endpoint Verificationを自動配布して会社所有端末の詳細情報を取得できるようにする

3. 【Jamf Pro / Google Workspace】BeyondCorp連携の設定を行う

4.  【Google Workspace】Context Aware Accessのアクセス条件を作成してJamf Proのコンプライアンスを準拠している端末のみGoogleサービスにアクセスできるようにする

動画最後のクライテリアも含めた上記3.4.については元ネタ見てもらったほうがいいと思います。
多分現地でねもてぃさんは薄々感づいていたかもしれません。ありがとうございました。この場を借りてお礼を。

Jamf ProとGoogle BeyondCorp Enterpriseを統合してiOSでもContext Aware Accessを使っちゃおう！

他OSについて

JNUCという場所柄macOS / iOSの話しかしていないので、他OSについても軽く触れておきたいと思います。

Windows

IntuneのみBeyondCorp連携は可能です。

BeyondCorp Enterprise と Microsoft Intune の統合を設定する  |  Google Cloud

IntuneならmacOSもフォローしているので、PCだけBeyondCorp連携したい企業や、デバイス管理はIntuneに統一している企業であれば構築も結構簡単だと思います。

ただしJamfと異なり情報の反映にタイムラグがあるのと、PCの構成によっては連携されない場合を観測しているので注意です。
原因は多分Intuneのデバイス情報取得方法とEndpoint Verificationのデバイス情報取得方法が異なる（と問い合わせしたら回答が来た）からだと思うので、MSがなんとかしないと治らないと思ってますが、MSは問題と思ってなさそうなんでまぁお察しで。。

とはいえ、今までGoogle Workspace上で会社所有デバイスとして登録できなかったBTOパソコンなどに見られるシリアル番号がない端末も、Context Aware Accessが使えるようになることは大きなメリットですね。

Android

BeyondCorp連携で対応しているMDMがないので無理です。終わり。

Google Workspaceに登録すればContext Aware Accessの条件が使えるんですけど、JamfやIntuneで設定しているその他の諸々の構成やセキュリティベースラインが全て使えないというでかすぎるデメリットがあります。

またGoogle WorkspaceがAppConfigに対応していないため、Slack for EMMなどSaaSが用意しているEMM機能が基本的に使えません。
エンタープライズをフル活用したい企業になればなるほど首が絞まる仕組みになっています。
ついでに言うとデバイス証明書のSCEP対応もしていないです。

Googleががんばるか、どこかのMDMがBeyondCorp連携でAndroid対応してくれるまではどうしようもないですね。
とはいえIntuneは実はAppConfig未対応のMDMだし…。
MobileIronあたり、ひとつどうですか、Ivantiさん。

Linux

Google Workspaceで管理されたChromeOSを使ってください。（問題発言）

Linux系に関してはまったく検証していないのでどなたかアウトプットをお願いします。