อุปกรณ์เคลื่อนที่: รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
อุปกรณ์ Chrome OS: ต้องใช้ Chrome Enterprise สำหรับ ใบรับรองตามอุปกรณ์.
คุณสามารถควบคุมการเข้าถึงของผู้ใช้ไปยังเครือข่าย Wi-Fi, แอปภายใน และเว็บไซต์ภายในขององค์กรได้ในอุปกรณ์เคลื่อนที่และ Chrome OS ด้วยการกระจายใบรับรองจากผู้ออกใบรับรอง (CA) ภายในองค์กร ซึ่ง Google Cloud Certificate Connector เป็นบริการของ Windows ที่กระจายใบรับรองและคีย์การตรวจสอบสิทธิ์จากเซิร์ฟเวอร์ Simple Certificate Enrollment Protocol (SCEP) ไปยังอุปกรณ์เคลื่อนที่และ Chrome OS ของผู้ใช้อย่างปลอดภัย ดูข้อมูลเพิ่มเติม
สำหรับอุปกรณ์ Chrome OS คุณจะตั้งค่าใบรับรองตามผู้ใช้หรืออุปกรณ์ได้ ระบบจะเพิ่มใบรับรองผู้ใช้ลงในอุปกรณ์ให้กับผู้ใช้คนใดคนหนึ่ง และผู้ใช้รายนั้นจะเข้าถึงได้ หรือระบบจะมอบหมายใบรับรองอุปกรณ์ตามอุปกรณ์ และผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์จะเข้าถึงได้ โปรดดูรายละเอียดที่หัวข้อจัดการใบรับรองไคลเอ็นต์ในอุปกรณ์ Chrome
หากต้องการควบคุมการเข้าถึงเครือข่าย Wi-Fi สำหรับทั้งอุปกรณ์เคลื่อนที่และ Chrome OS คุณจะต้องตั้งค่าโปรไฟล์ SCEP และเครือข่าย Wi-Fi แยกกัน เนื่องจากอุปกรณ์เคลื่อนที่และ Chrome OS รองรับคีย์ RSA คนละประเภท
หมายเหตุเกี่ยวกับพื้นที่เก็บข้อมูลคีย์:
- สำหรับอุปกรณ์เคลื่อนที่ ระบบจะสร้างคีย์ส่วนตัวสำหรับใบรับรองในเซิร์ฟเวอร์ของ Google โดยจะลบคีย์ออกจากเซิร์ฟเวอร์ของ Google อย่างถาวรหลังจากติดตั้งใบรับรองในอุปกรณ์หรือหลังผ่านไป 24 ชั่วโมง ขึ้นอยู่กับว่ากิจกรรมใดจะเกิดก่อน
- สำหรับอุปกรณ์ Chrome OS ระบบจะสร้างคีย์ส่วนตัวสำหรับใบรับรองในอุปกรณ์ Chrome โดยจะจัดเก็บคีย์สาธารณะที่เกี่ยวข้องไว้ชั่วคราวในเซิร์ฟเวอร์ของ Google และจะลบถาวรหลังจากติดตั้งใบรับรอง
ข้อกำหนดของระบบ
- องค์กรต้องใช้ Microsoft Active Directory Certificate Service สำหรับเซิร์ฟเวอร์ SCEP และ Microsoft Network Device Enrollment Service (NDES) ในการกระจายใบรับรอง
- อุปกรณ์เคลื่อนที่: อุปกรณ์ iOS และ Android ที่อยู่ภายใต้การจัดการอุปกรณ์เคลื่อนที่ขั้นสูง โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดของอุปกรณ์
- อุปกรณ์ Chrome OS:
- ใบรับรองอุปกรณ์: Chrome OS เวอร์ชัน 89 ขึ้นไปและจัดการด้วย Chrome Enterprise
- ใบรับรองผู้ใช้: Chrome OS เวอร์ชัน 86 ขึ้นไป หมายเหตุ: สำหรับเวอร์ชันที่เก่ากว่า 87 ผู้ใช้จะต้องรีสตาร์ทอุปกรณ์หรือรอ 2-3 ชั่วโมงเพื่อให้ใบรับรองผู้ใช้ใช้งานได้
ข้อควรทราบก่อนที่จะเริ่มต้น
- หากต้องการชื่อเรื่องของใบรับรองเพื่อใช้ชื่อผู้ใช้ Active Directory คุณต้องซิงค์ Active Directory และ Google Directory ด้วย Google Cloud Directory Sync (GCDS) หากจำเป็น ให้ตั้งค่า GCDS
- หากยังไม่ได้อัปโหลดใบรับรอง CA ในคอนโซลผู้ดูแลระบบของ Google ให้เพิ่มใบรับรอง
- ดูปัญหาที่ทราบเพื่อหลีกเลี่ยงการทำงานที่ไม่คาดคิด
ปัญหาที่ทราบ
- คุณจะเพิกถอนใบรับรองหลังจากที่ติดตั้งในอุปกรณ์แล้วไม่ได้
- โปรไฟล์ SCEP ไม่รองรับคำถามแบบไดนามิก
- การรับค่าของโปรไฟล์ SCEP ระหว่างหน่วยขององค์กรจะแจกแจงได้ในบางกรณี เช่น หากคุณตั้งค่าโปรไฟล์ SCEP ให้กับหน่วยขององค์กรและเปลี่ยนโปรไฟล์ SCEP ของหน่วยขององค์กรย่อย โปรไฟล์ SCEP ของหน่วยขององค์กรระดับบนสุดจะรับค่ามาจากหน่วยขององค์กรย่อยได้อีกครั้ง
- สำหรับอุปกรณ์เคลื่อนที่ โปรไฟล์ SCEP จะใช้กับการกำหนดค่า VPN หรืออีเทอร์เน็ตไม่ได้ และจะใช้ได้กับ Wi-Fi เท่านั้น
- สำหรับอุปกรณ์ Chrome OS โปรไฟล์ SCEP จะใช้กับการกำหนดค่า VPN หรืออีเทอร์เน็ตโดยตรงไม่ได้ หากต้องการใช้โปรไฟล์ SCEP กับการกำหนดค่า VPN หรืออีเทอร์เน็ตโดยอ้อม ให้ใช้รูปแบบผู้ออกและหัวเรื่องเพื่อเลือกใบรับรองที่จะใช้โดยอัตโนมัติ
- สำหรับผู้ใช้อุปกรณ์ Chrome OS ใบรับรองจะใช้ได้สำหรับผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์ที่มีการจัดการเท่านั้น ผู้ใช้และอุปกรณ์ต้องอยู่ในโดเมนเดียวกัน
ขั้นตอนที่ 1: ดาวน์โหลด Google Cloud Certificate Connector
ทำตามขั้นตอนต่อไปนี้ในเซิร์ฟเวอร์ SCEP หรือในคอมพิวเตอร์ที่ใช้ Windows ซึ่งมีบัญชีที่ลงชื่อเข้าใช้เป็นบริการอย่างหนึ่งในเซิร์ฟเวอร์ SCEP ได้ และเตรียมข้อมูลเข้าสู่บัญชีให้พร้อมใช้งาน
หากองค์กรมีหลายเซิร์ฟเวอร์ คุณจะใช้ตัวแทนเครื่องมือเชื่อมต่อใบรับรองเดียวกันกับเซิร์ฟเวอร์ทั้งหมดได้ โดยดาวน์โหลดและติดตั้งไฟล์การติดตั้ง ไฟล์การกำหนดค่า และไฟล์คีย์ในคอมพิวเตอร์เครื่องหนึ่งตามที่อธิบายไว้ในขั้นตอนต่อไปนี้ จากนั้นคัดลอกทั้ง 3 ไฟล์ไปยังคอมพิวเตอร์เครื่องอื่นและทำตามวิธีการตั้งค่าในคอมพิวเตอร์เครื่องนั้น
หมายเหตุ: ให้ดาวน์โหลด Google Cloud Certificate Connector และคอมโพเนนต์ต่างๆ เพียงครั้งเดียวเท่านั้นเมื่อตั้งค่าใบรับรองสำหรับองค์กรครั้งแรก โดยใบรับรองและโปรไฟล์ SCEP จะใช้เครื่องมือเชื่อมต่อใบรับรองเดียวกันได้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู อุปกรณ์เครือข่าย
- คลิก SCEP ที่ปลอดภัยดาวน์โหลดเครื่องมือเชื่อมต่อ
- คลิกดาวน์โหลดในส่วน Google Cloud Certificate Connector การดาวน์โหลดจะสร้างโฟลเดอร์ในเดสก์ท็อปซึ่งมีเครื่องมือเชื่อมต่อใบรับรอง เราขอแนะนำให้ดาวน์โหลดไฟล์การกำหนดค่าเครื่องมือเชื่อมต่ออื่นๆ มาใส่โฟลเดอร์นี้
- คลิกดาวน์โหลดในส่วนดาวน์โหลดไฟล์การกำหนดค่าเครื่องมือเชื่อมต่อ ระบบจะดาวน์โหลดไฟล์
config.json
- คลิกสร้างคีย์ในส่วนดาวน์โหลดคีย์บัญชีบริการ ระบบจะดาวน์โหลดไฟล์
key.json
- เรียกใช้โปรแกรมติดตั้งเครื่องมือเชื่อมต่อใบรับรอง
- คลิกถัดไปในวิซาร์ดการติดตั้ง
- ยอมรับข้อกำหนดในข้อตกลงการอนุญาตให้ใช้สิทธิ แล้วคลิกถัดไป
- เลือกบัญชีที่ต้องการติดตั้งบริการ แล้วคลิกถัดไป บัญชีต้องมีสิทธิ์ในการลงชื่อเข้าใช้เป็นบริการในเซิร์ฟเวอร์ SCEP
- เลือกตำแหน่งการติดตั้ง ซึ่งเราขอแนะนำให้ใช้ค่าเริ่มต้น จากนั้นคลิกถัดไป
- ป้อนข้อมูลเข้าสู่บัญชีบริการ แล้วคลิกถัดไป ระบบจะติดตั้งบริการ
- คลิกเสร็จสิ้นเพื่อสิ้นสุดการติดตั้ง
- ย้ายไฟล์การกำหนดค่าและคีย์ (
config.json
และkey.json
) ไปยังโฟลเดอร์ Google Cloud Certificate Connector ที่สร้างระหว่างการติดตั้ง โดยทั่วไปจะอยู่ที่C:\Program Files\Google Cloud Certificate Connector
- เปิดบริการ Google Cloud Certificate Connector ดังนี้
- เปิดบริการของ Windows
- เลือก Google Cloud Certificate Connector ในรายการบริการ
- คลิกเริ่มเพื่อเริ่มบริการ ตรวจสอบว่าสถานะเปลี่ยนเป็นกำลังทำงาน โดยบริการจะรีสตาร์ทโดยอัตโนมัติหากคอมพิวเตอร์รีบูต
หากคุณดาวน์โหลดคีย์บัญชีบริการใหม่ในภายหลัง ให้รีสตาร์ทบริการใหม่เพื่อใช้งานคีย์นั้น
ขั้นตอนที่ 2: เพิ่มโปรไฟล์ SCEP
โปรไฟล์ SCEP จะกำหนดใบรับรองซึ่งให้ผู้ใช้เข้าถึงเครือข่าย Wi-Fi ของคุณได้ คุณจะให้สิทธิ์โปรไฟล์กับผู้ใช้บางรายได้โดยการเพิ่มโปรไฟล์นั้นลงในหน่วยขององค์กร โดยตั้งค่าโปรไฟล์ SCEP หลายโปรไฟล์เพื่อจัดการการเข้าถึงได้ตามหน่วยขององค์กรและตามประเภทอุปกรณ์
ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู อุปกรณ์เครือข่าย
- คลิกสร้างโปรไฟล์ SCEP
-
(ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กร แสดงวิธีการ ที่ด้านข้าง หมายเหตุ: เราขอแนะนำให้คุณตั้งค่าโปรไฟล์ SCEP ให้กับหน่วยขององค์กรแต่ละหน่วยที่ต้องการใช้โปรไฟล์ดังกล่าวเนื่องจากมีปัญหาที่ทราบแล้ว
- คลิกเพิ่มโปรไฟล์ SCEP ที่ปลอดภัย
- ป้อนรายละเอียดการกำหนดค่าสำหรับโปรไฟล์ หาก CA ของคุณออกเทมเพลตที่เฉพาะเจาะจง ให้จับคู่รายละเอียดของโปรไฟล์กับเทมเพลตนั้น
- ชื่อโปรไฟล์ SCEP - ชื่อที่สื่อความหมายถึงโปรไฟล์นั้น ชื่อนี้จะปรากฏในรายการโปรไฟล์และในตัวเลือกโปรไฟล์ในการกำหนดค่าเครือข่าย Wi-Fi
- รูปแบบของชื่อเรื่อง - เลือกวิธีที่คุณต้องการระบุเจ้าของใบรับรอง หากเลือกชื่อเฉพาะแบบเต็ม ชื่อจริงของใบรับรองจะเป็นชื่อผู้ใช้
- ชื่อเรื่องอื่น - ให้ระบุ SAN โดยค่าเริ่มต้นจะเป็นไม่มี
สำหรับอุปกรณ์ Chrome OS คุณสามารถกำหนดชื่อเรื่องอื่นตามแอตทริบิวต์ของผู้ใช้และอุปกรณ์ได้ หากต้องการใช้คำขอลงชื่อใบรับรอง (CSR) ที่กำหนดเอง ให้กำหนดค่าเทมเพลตใบรับรองใน CA เพื่อให้ได้ใบรับรองที่มีค่าเรื่องตามที่กำหนดไว้ในคำขอ และอย่างน้อยต้องระบุค่าเรื่องเป็น CommonName
คุณจะใช้ตัวยึดตำแหน่งต่อไปนี้ได้ โดยจะใส่หรือไม่ใส่ก็ได้
${DEVICE_DIRECTORY_ID}
- รหัสไดเรกทอรีของอุปกรณ์${USER_EMAIL}
- อีเมลของผู้ใช้ที่ลงชื่อเข้าใช้${USER_EMAIL_DOMAIN}
- ชื่อโดเมนของผู้ใช้ที่ลงชื่อเข้าใช้${DEVICE_SERIAL_NUMBER}
- หมายเลขซีเรียลของอุปกรณ์${DEVICE_ASSET_ID}
- รหัสเนื้อหาของอุปกรณ์ที่ผู้ดูแลระบบกำหนดไว้${DEVICE_ANNOTATED_LOCATION}
- สถานที่ตั้งของอุปกรณ์ที่ผู้ดูแลระบบกำหนดไว้${USER_EMAIL_NAME}
- ส่วนแรก (ส่วนที่อยู่ก่อน @) ของอีเมลที่ผู้ใช้ลงชื่อเข้าใช้
หากค่าตัวยึดตำแหน่งใช้ไม่ได้ ระบบจะนำสตริงที่เป็นค่าว่างมาแทนที่
- อัลกอริทึมสำหรับการเซ็นชื่อ - ฟังก์ชันแฮชที่ใช้ในการเข้ารหัสคีย์การให้สิทธิ์ มีเฉพาะ SHA256 ที่มี RSA เท่านั้น
- การใช้คีย์ - ตัวเลือกสำหรับวิธีใช้คีย์ การเข้ารหัสคีย์ และการเซ็นชื่อ โดยจะเลือกได้มากกว่า 1 รายการ
- ขนาดของคีย์ (บิต) - ขนาดของคีย์ RSA สำหรับอุปกรณ์ Chrome OS ให้เลือก 2048
- URL ของเซิร์ฟเวอร์ SCEP - URL ของเซิร์ฟเวอร์ SCEP
- ระยะเวลาที่ใช้งานใบรับรองได้ (ปี) - ใบรับรองอุปกรณ์ใช้ได้นานเท่าใด ป้อนในรูปแบบตัวเลข
- จำนวนวันที่ต่ออายุได้ - คุณจะลองต่ออายุใบรับรองอุปกรณ์ได้ก่อนจะหมดอายุกี่วัน
- ขยายการใช้งานคีย์ - วิธีที่คุณใช้คีย์ได้ เลือกได้มากกว่า 1 ค่า
- ประเภทคำถาม - หากต้องการให้ Google แสดงวลีคำถามที่กำหนดเมื่อขอใบรับรองจากเซิร์ฟเวอร์ SCEP ให้เลือกคงที่ และป้อนวลี หากเลือกไม่มี เซิร์ฟเวอร์จะไม่ต้องใช้การตรวจสอบนี้
- ชื่อเทมเพลต - ชื่อของเทมเพลตที่เซิร์ฟเวอร์ NDES ใช้งาน
- ผู้ออกใบรับรอง - ชื่อของใบรับรองที่คุณอัปโหลดเพื่อใช้เป็นผู้ออกใบรับรอง
- ประเภทเครือข่ายที่ใช้กับโปรไฟล์นี้ - ประเภทเครือข่ายที่ใช้โปรไฟล์ SCEP
- แพลตฟอร์มที่ใช้กับโปรไฟล์นี้ - แพลตฟอร์มอุปกรณ์ที่ใช้โปรไฟล์ SCEP สำหรับอุปกรณ์ Chrome OS ให้เลือก Chromebook (ผู้ใช้), Chromebook (อุปกรณ์) หรือทั้ง 2 อย่าง ขึ้นอยู่กับประเภทของใบรับรองที่คุณต้องการใช้งาน
- คลิกบันทึก หรือคลิกลบล้างสำหรับ หน่วยขององค์กร
หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า
หลังจากที่เพิ่มโปรไฟล์แล้ว ระบบจะแสดงโปรไฟล์นั้นพร้อมด้วยชื่อและแพลตฟอร์มที่เปิดให้ใช้งาน ในคอลัมน์แพลตฟอร์ม ระบบจะเปิดใช้โปรไฟล์ดังกล่าวสำหรับแพลตฟอร์มที่มีไอคอนสีน้ำเงินและจะปิดใช้สำหรับแพลตฟอร์มที่มีไอคอนสีเทา หากต้องการแก้ไขโปรไฟล์ ให้ชี้ไปที่แถวที่ต้องการ แล้วคลิกแก้ไข
โปรไฟล์ SCEP จะกระจายไปยังผู้ใช้ในหน่วยขององค์กรโดยอัตโนมัติ
ขั้นตอนที่ 3: กำหนดค่าคีย์สโตร์ของ Google Cloud Certificate Connector
หากใบรับรองออกโดย CA ที่เชื่อถือได้ หรือ URL ของเซิร์ฟเวอร์ SCEP ของคุณเริ่มต้นด้วย HTTP ให้ข้ามขั้นตอนนี้ไป
หากใบรับรองไม่ได้ออกโดย CA ที่เชื่อถือได้ เช่น ใบรับรองแบบ Self-signed คุณต้องนำเข้าใบรับรองไปที่คีย์สโตร์ของ Google Cloud Certificate Connector ไม่เช่นนั้นจะจัดสรรใบรับรองอุปกรณ์และเชื่อมต่ออุปกรณ์ไม่ได้
- ลงชื่อเข้าใช้ CA
- หากยังไม่ได้ติดตั้ง Java JRE ให้ติดตั้งเพื่อให้สามารถใช้ keytool.exe ได้
- เปิด Command Prompt
- ส่งออกใบรับรอง CA และแปลงเป็นไฟล์ PEM โดยใช้คำสั่งต่อไปนี้
certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem
- นำเข้าใบรับรอง CA ไปยังคีย์สโตร์ จากไดเรกทอรีย่อยของโฟลเดอร์ Google Cloud Certificate Connector ที่สร้างขึ้นระหว่างการติดตั้ง โดยทั่วไปจะอยู่ที่ C:\Program Files\Google Cloud Certificate Connector ให้เรียกใช้คำสั่งต่อไปนี้
java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
แทนที่
java-home-dir
ด้วยเส้นทางไปยัง JRE ในโฟลเดอร์ Google Cloud Certificate Connector และcert-export-dir
ด้วยเส้นทางไปยังใบรับรองที่ส่งออกในขั้นตอนที่ 4
ขั้นตอนที่ 4: กำหนดค่าเครือข่าย Wi-Fi เพื่อกำหนดให้ใช้โปรไฟล์ SCEP (ไม่บังคับ)
หลังจากที่อุปกรณ์เคลื่อนที่หรือ Chrome OS ของผู้ใช้ได้รับใบรับรองจากเซิร์ฟเวอร์ SCEP แล้ว คุณจะกำหนดค่าเครือข่าย Wi-Fi เพื่อให้มีการตรวจสอบสิทธิ์ใบรับรองได้
หากต้องการควบคุมการเข้าถึงเครือข่าย Wi-Fi สำหรับทั้งอุปกรณ์เคลื่อนที่และ Chrome OS ให้ตั้งค่าเครือข่าย Wi-Fi แยกกันสำหรับอุปกรณ์แต่ละเครื่อง เช่น ตั้งค่าเครือข่าย Wi-Fi เดียวสำหรับอุปกรณ์เคลื่อนที่และกําหนดโปรไฟล์ SCEP สำหรับอุปกรณ์เคลื่อนที่ และตั้งค่าเครือข่าย Wi-Fi อื่นสําหรับอุปกรณ์ Chrome OS และกำหนดโปรไฟล์ SCEP สำหรับอุปกรณ์ Chrome OS
หากต้องการเลือกใบรับรองและใช้โปรไฟล์ SCEP กับเครือข่าย Wi-Fi ให้ทำดังนี้
- เพิ่มการกำหนดค่า Wi-Fi หรือแก้ไขการกำหนดค่าเดิม
- ในส่วนการเข้าถึงแพลตฟอร์ม ให้เลือกช่อง Android หรือ iOS หรือทั้ง 2 อย่าง
- ในส่วนรายละเอียด ให้ตั้งค่าต่อไปนี้
- สำหรับการตั้งค่าความปลอดภัย ให้เลือก WPA/WPA2 Enterprise (802.1 X) หรือ Dynamic WEP (802.1 X)
- สำหรับโปรโตคอลการตรวจสอบสิทธิ์ที่ขยายได้ ให้เลือก EAP-TLS หรือ EAP-TTLS
- สำหรับโปรไฟล์ SCEP ให้เลือกโปรไฟล์ SCEP ที่ต้องการใช้กับเครือข่ายนี้
- คลิกบันทึก
ในครั้งแรกที่ผู้ใช้พยายามเชื่อมต่อกับเครือข่าย Wi-Fi อุปกรณ์ของผู้ใช้จะต้องแสดงใบรับรอง
- สำหรับอุปกรณ์ Android และ Chrome OS ระบบจะกรอกใบรับรองตามโปรไฟล์ SCEP ของอุปกรณ์และเครือข่ายโดยอัตโนมัติ และให้ผู้ใช้คลิกเชื่อมต่อ
- หากใช้อุปกรณ์ iOS ผู้ใช้ต้องเลือกใบรับรองที่จะใช้ แล้วคลิกเชื่อมต่อ
วิธีการตรวจสอบสิทธิ์ใบรับรองผ่าน Google Cloud Certificate Connector
Google Cloud Certificate Connector เป็นบริการของ Windows ที่สร้างการเชื่อมต่อเฉพาะตัวระหว่างเซิร์ฟเวอร์ SCEP กับ Google ไฟล์การกำหนดค่าและไฟล์คีย์จะกำหนดค่าและรักษาความปลอดภัยให้กับเครื่องมือเชื่อมต่อใบรับรอง โดยทั้ง 2 ไฟล์นี้จะใช้กับองค์กรของคุณเท่านั้น
คุณจะกําหนดใบรับรองอุปกรณ์ให้กับอุปกรณ์และผู้ใช้ที่มีโปรไฟล์ SCEP ได้ หากต้องการให้สิทธิ์โปรไฟล์ ให้เลือกหน่วยขององค์กรและเพิ่มโปรไฟล์ในหน่วยขององค์กรนั้น โดยโปรไฟล์นี้ประกอบด้วยผู้ออกใบรับรองที่ออกใบรับรองอุปกรณ์ เมื่อผู้ใช้ลงทะเบียนอุปกรณ์เคลื่อนที่หรือ Chrome OS เพื่อรับการจัดการ ระบบจัดการปลายทางของ Google จะดึงโปรไฟล์ SCEP ของผู้ใช้และติดตั้งใบรับรองในอุปกรณ์ สำหรับอุปกรณ์ Chrome OS ระบบจะติดตั้งใบรับรองอุปกรณ์ก่อนที่ผู้ใช้จะลงชื่อเข้าใช้ ส่วนใบรับรองผู้ใช้จะติดตั้งหลังจากที่ผู้ใช้ลงชื่อเข้าใช้ หากมีการลงทะเบียนอุปกรณ์แล้ว ระบบจะติดตั้งใบรับรองเป็นส่วนหนึ่งของรอบการซิงค์ปกติ
ระบบจะกำหนดให้ผู้ใช้แจ้งใบรับรองเมื่อพยายามเชื่อมต่อกับเครือข่าย ในอุปกรณ์ Android ระบบจะเลือกใบรับรองโดยอัตโนมัติ แล้วให้ผู้ใช้คลิกเชื่อมต่อ ในอุปกรณ์ iOS ผู้ใช้ต้องเลือกใบรับรองด้วยตนเอง จากนั้นจึงเชื่อมต่อ อุปกรณ์จะเข้าถึงเครือข่ายขององค์กรโดยใช้คีย์ที่ Google เจรจาผ่านเครื่องมือเชื่อมต่อใบรับรอง โดย Google จะจัดเก็บคีย์ไว้ชั่วคราวในระหว่างการเจรจาด้านความปลอดภัย แต่จะลบคีย์อย่างถาวรเมื่อติดตั้งคีย์ในอุปกรณ์แล้ว (หรือหลังจาก 24 ชั่วโมง)
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง