ตั้งค่าใบรับรองสำหรับอุปกรณ์เคลื่อนที่และ Chrome OS ที่มีการจัดการ

อุปกรณ์เคลื่อนที่: รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

อุปกรณ์ Chrome OS: ต้องใช้ Chrome Enterprise สำหรับ ใบรับรองตามอุปกรณ์.

คุณสามารถควบคุมการเข้าถึงของผู้ใช้ไปยังเครือข่าย Wi-Fi, แอปภายใน และเว็บไซต์ภายในขององค์กรได้ในอุปกรณ์เคลื่อนที่และ Chrome OS ด้วยการกระจายใบรับรองจากผู้ออกใบรับรอง (CA) ภายในองค์กร ซึ่ง Google Cloud Certificate Connector เป็นบริการของ Windows ที่กระจายใบรับรองและคีย์การตรวจสอบสิทธิ์จากเซิร์ฟเวอร์ Simple Certificate Enrollment Protocol (SCEP) ไปยังอุปกรณ์เคลื่อนที่และ Chrome OS ของผู้ใช้อย่างปลอดภัย ดูข้อมูลเพิ่มเติม

สำหรับอุปกรณ์ Chrome OS คุณจะตั้งค่าใบรับรองตามผู้ใช้หรืออุปกรณ์ได้ ระบบจะเพิ่มใบรับรองผู้ใช้ลงในอุปกรณ์ให้กับผู้ใช้คนใดคนหนึ่ง และผู้ใช้รายนั้นจะเข้าถึงได้ หรือระบบจะมอบหมายใบรับรองอุปกรณ์ตามอุปกรณ์ และผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์จะเข้าถึงได้ โปรดดูรายละเอียดที่หัวข้อจัดการใบรับรองไคลเอ็นต์ในอุปกรณ์ Chrome

หากต้องการควบคุมการเข้าถึงเครือข่าย Wi-Fi สำหรับทั้งอุปกรณ์เคลื่อนที่และ Chrome OS คุณจะต้องตั้งค่าโปรไฟล์ SCEP และเครือข่าย Wi-Fi แยกกัน เนื่องจากอุปกรณ์เคลื่อนที่และ Chrome OS รองรับคีย์ RSA คนละประเภท

หมายเหตุเกี่ยวกับพื้นที่เก็บข้อมูลคีย์:

• สำหรับอุปกรณ์เคลื่อนที่ ระบบจะสร้างคีย์ส่วนตัวสำหรับใบรับรองในเซิร์ฟเวอร์ของ Google โดยจะลบคีย์ออกจากเซิร์ฟเวอร์ของ Google อย่างถาวรหลังจากติดตั้งใบรับรองในอุปกรณ์หรือหลังผ่านไป 24 ชั่วโมง ขึ้นอยู่กับว่ากิจกรรมใดจะเกิดก่อน
• สำหรับอุปกรณ์ Chrome OS ระบบจะสร้างคีย์ส่วนตัวสำหรับใบรับรองในอุปกรณ์ Chrome โดยจะจัดเก็บคีย์สาธารณะที่เกี่ยวข้องไว้ชั่วคราวในเซิร์ฟเวอร์ของ Google และจะลบถาวรหลังจากติดตั้งใบรับรอง

ข้อกำหนดของระบบ

• องค์กรต้องใช้ Microsoft Active Directory Certificate Service สำหรับเซิร์ฟเวอร์ SCEP และ Microsoft Network Device Enrollment Service (NDES) ในการกระจายใบรับรอง
• อุปกรณ์เคลื่อนที่: อุปกรณ์ iOS และ Android ที่อยู่ภายใต้การจัดการอุปกรณ์เคลื่อนที่ขั้นสูง โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดของอุปกรณ์
• อุปกรณ์ Chrome OS:
  • ใบรับรองอุปกรณ์: Chrome OS เวอร์ชัน 89 ขึ้นไปและจัดการด้วย Chrome Enterprise
  • ใบรับรองผู้ใช้: Chrome OS เวอร์ชัน 86 ขึ้นไป หมายเหตุ: สำหรับเวอร์ชันที่เก่ากว่า 87 ผู้ใช้จะต้องรีสตาร์ทอุปกรณ์หรือรอ 2-3 ชั่วโมงเพื่อให้ใบรับรองผู้ใช้ใช้งานได้

ข้อควรทราบก่อนที่จะเริ่มต้น

• หากต้องการชื่อเรื่องของใบรับรองเพื่อใช้ชื่อผู้ใช้ Active Directory คุณต้องซิงค์ Active Directory และ Google Directory ด้วย Google Cloud Directory Sync (GCDS) หากจำเป็น ให้ตั้งค่า GCDS
• หากยังไม่ได้อัปโหลดใบรับรอง CA ในคอนโซลผู้ดูแลระบบของ Google ให้เพิ่มใบรับรอง
• ดูปัญหาที่ทราบเพื่อหลีกเลี่ยงการทำงานที่ไม่คาดคิด

ปัญหาที่ทราบ

• คุณจะเพิกถอนใบรับรองหลังจากที่ติดตั้งในอุปกรณ์แล้วไม่ได้
• โปรไฟล์ SCEP ไม่รองรับคำถามแบบไดนามิก
• การรับค่าของโปรไฟล์ SCEP ระหว่างหน่วยขององค์กรจะแจกแจงได้ในบางกรณี เช่น หากคุณตั้งค่าโปรไฟล์ SCEP ให้กับหน่วยขององค์กรและเปลี่ยนโปรไฟล์ SCEP ของหน่วยขององค์กรย่อย โปรไฟล์ SCEP ของหน่วยขององค์กรระดับบนสุดจะรับค่ามาจากหน่วยขององค์กรย่อยได้อีกครั้ง
• สำหรับอุปกรณ์เคลื่อนที่ โปรไฟล์ SCEP จะใช้กับการกำหนดค่า VPN หรืออีเทอร์เน็ตไม่ได้ และจะใช้ได้กับ Wi-Fi เท่านั้น
• สำหรับอุปกรณ์ Chrome OS โปรไฟล์ SCEP จะใช้กับการกำหนดค่า VPN หรืออีเทอร์เน็ตโดยตรงไม่ได้ หากต้องการใช้โปรไฟล์ SCEP กับการกำหนดค่า VPN หรืออีเทอร์เน็ตโดยอ้อม ให้ใช้รูปแบบผู้ออกและหัวเรื่องเพื่อเลือกใบรับรองที่จะใช้โดยอัตโนมัติ
• สำหรับผู้ใช้อุปกรณ์ Chrome OS ใบรับรองจะใช้ได้สำหรับผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์ที่มีการจัดการเท่านั้น ผู้ใช้และอุปกรณ์ต้องอยู่ในโดเมนเดียวกัน

ขั้นตอนที่ 1: ดาวน์โหลด Google Cloud Certificate Connector

ทำตามขั้นตอนต่อไปนี้ในเซิร์ฟเวอร์ SCEP หรือในคอมพิวเตอร์ที่ใช้ Windows ซึ่งมีบัญชีที่ลงชื่อเข้าใช้เป็นบริการอย่างหนึ่งในเซิร์ฟเวอร์ SCEP ได้ และเตรียมข้อมูลเข้าสู่บัญชีให้พร้อมใช้งาน

หากองค์กรมีหลายเซิร์ฟเวอร์ คุณจะใช้ตัวแทนเครื่องมือเชื่อมต่อใบรับรองเดียวกันกับเซิร์ฟเวอร์ทั้งหมดได้ โดยดาวน์โหลดและติดตั้งไฟล์การติดตั้ง ไฟล์การกำหนดค่า และไฟล์คีย์ในคอมพิวเตอร์เครื่องหนึ่งตามที่อธิบายไว้ในขั้นตอนต่อไปนี้ จากนั้นคัดลอกทั้ง 3 ไฟล์ไปยังคอมพิวเตอร์เครื่องอื่นและทำตามวิธีการตั้งค่าในคอมพิวเตอร์เครื่องนั้น

หมายเหตุ: ให้ดาวน์โหลด Google Cloud Certificate Connector และคอมโพเนนต์ต่างๆ เพียงครั้งเดียวเท่านั้นเมื่อตั้งค่าใบรับรองสำหรับองค์กรครั้งแรก โดยใบรับรองและโปรไฟล์ SCEP จะใช้เครื่องมือเชื่อมต่อใบรับรองเดียวกันได้

1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

   ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

2. จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู  อุปกรณ์เครือข่าย
3. คลิก SCEP ที่ปลอดภัยดาวน์โหลดเครื่องมือเชื่อมต่อ
4. คลิกดาวน์โหลดในส่วน Google Cloud Certificate Connector การดาวน์โหลดจะสร้างโฟลเดอร์ในเดสก์ท็อปซึ่งมีเครื่องมือเชื่อมต่อใบรับรอง เราขอแนะนำให้ดาวน์โหลดไฟล์การกำหนดค่าเครื่องมือเชื่อมต่ออื่นๆ มาใส่โฟลเดอร์นี้
5. คลิกดาวน์โหลดในส่วนดาวน์โหลดไฟล์การกำหนดค่าเครื่องมือเชื่อมต่อ ระบบจะดาวน์โหลดไฟล์ config.json
6. คลิกสร้างคีย์ในส่วนดาวน์โหลดคีย์บัญชีบริการ ระบบจะดาวน์โหลดไฟล์ key.json
7. เรียกใช้โปรแกรมติดตั้งเครื่องมือเชื่อมต่อใบรับรอง
   1. คลิกถัดไปในวิซาร์ดการติดตั้ง
   2. ยอมรับข้อกำหนดในข้อตกลงการอนุญาตให้ใช้สิทธิ แล้วคลิกถัดไป
   3. เลือกบัญชีที่ต้องการติดตั้งบริการ แล้วคลิกถัดไป บัญชีต้องมีสิทธิ์ในการลงชื่อเข้าใช้เป็นบริการในเซิร์ฟเวอร์ SCEP
   4. เลือกตำแหน่งการติดตั้ง ซึ่งเราขอแนะนำให้ใช้ค่าเริ่มต้น จากนั้นคลิกถัดไป
   5. ป้อนข้อมูลเข้าสู่บัญชีบริการ แล้วคลิกถัดไป ระบบจะติดตั้งบริการ
   6. คลิกเสร็จสิ้นเพื่อสิ้นสุดการติดตั้ง
8. ย้ายไฟล์การกำหนดค่าและคีย์ (config.json และ key.json) ไปยังโฟลเดอร์ Google Cloud Certificate Connector ที่สร้างระหว่างการติดตั้ง โดยทั่วไปจะอยู่ที่ C:\Program Files\Google Cloud Certificate Connector
9. เปิดบริการ Google Cloud Certificate Connector ดังนี้
   1. เปิดบริการของ Windows
   2. เลือก Google Cloud Certificate Connector ในรายการบริการ
   3. คลิกเริ่มเพื่อเริ่มบริการ ตรวจสอบว่าสถานะเปลี่ยนเป็นกำลังทำงาน โดยบริการจะรีสตาร์ทโดยอัตโนมัติหากคอมพิวเตอร์รีบูต

หากคุณดาวน์โหลดคีย์บัญชีบริการใหม่ในภายหลัง ให้รีสตาร์ทบริการใหม่เพื่อใช้งานคีย์นั้น

ขั้นตอนที่ 2: เพิ่มโปรไฟล์ SCEP

โปรไฟล์ SCEP จะกำหนดใบรับรองซึ่งให้ผู้ใช้เข้าถึงเครือข่าย Wi-Fi ของคุณได้ คุณจะให้สิทธิ์โปรไฟล์กับผู้ใช้บางรายได้โดยการเพิ่มโปรไฟล์นั้นลงในหน่วยขององค์กร โดยตั้งค่าโปรไฟล์ SCEP หลายโปรไฟล์เพื่อจัดการการเข้าถึงได้ตามหน่วยขององค์กรและตามประเภทอุปกรณ์

1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

   ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

2. จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู  อุปกรณ์เครือข่าย
3. คลิกสร้างโปรไฟล์ SCEP
4. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กร แสดงวิธีการ ที่ด้านข้าง หมายเหตุ: เราขอแนะนำให้คุณตั้งค่าโปรไฟล์ SCEP ให้กับหน่วยขององค์กรแต่ละหน่วยที่ต้องการใช้โปรไฟล์ดังกล่าวเนื่องจากมีปัญหาที่ทราบแล้ว
5. คลิกเพิ่มโปรไฟล์ SCEP ที่ปลอดภัย
6. ป้อนรายละเอียดการกำหนดค่าสำหรับโปรไฟล์ หาก CA ของคุณออกเทมเพลตที่เฉพาะเจาะจง ให้จับคู่รายละเอียดของโปรไฟล์กับเทมเพลตนั้น
   • ชื่อโปรไฟล์ SCEP - ชื่อที่สื่อความหมายถึงโปรไฟล์นั้น ชื่อนี้จะปรากฏในรายการโปรไฟล์และในตัวเลือกโปรไฟล์ในการกำหนดค่าเครือข่าย Wi-Fi
   • รูปแบบของชื่อเรื่อง - เลือกวิธีที่คุณต้องการระบุเจ้าของใบรับรอง หากเลือกชื่อเฉพาะแบบเต็ม ชื่อจริงของใบรับรองจะเป็นชื่อผู้ใช้
   • ชื่อเรื่องอื่น - ให้ระบุ SAN โดยค่าเริ่มต้นจะเป็นไม่มี

     สำหรับอุปกรณ์ Chrome OS คุณสามารถกำหนดชื่อเรื่องอื่นตามแอตทริบิวต์ของผู้ใช้และอุปกรณ์ได้ หากต้องการใช้คำขอลงชื่อใบรับรอง (CSR) ที่กำหนดเอง ให้กำหนดค่าเทมเพลตใบรับรองใน CA เพื่อให้ได้ใบรับรองที่มีค่าเรื่องตามที่กำหนดไว้ในคำขอ และอย่างน้อยต้องระบุค่าเรื่องเป็น CommonName

     คุณจะใช้ตัวยึดตำแหน่งต่อไปนี้ได้ โดยจะใส่หรือไม่ใส่ก็ได้

     • ${DEVICE_DIRECTORY_ID} - รหัสไดเรกทอรีของอุปกรณ์
     • ${USER_EMAIL} - อีเมลของผู้ใช้ที่ลงชื่อเข้าใช้
     • ${USER_EMAIL_DOMAIN} - ชื่อโดเมนของผู้ใช้ที่ลงชื่อเข้าใช้
     • ${DEVICE_SERIAL_NUMBER} - หมายเลขซีเรียลของอุปกรณ์
     • ${DEVICE_ASSET_ID} - รหัสเนื้อหาของอุปกรณ์ที่ผู้ดูแลระบบกำหนดไว้
     • ${DEVICE_ANNOTATED_LOCATION} - สถานที่ตั้งของอุปกรณ์ที่ผู้ดูแลระบบกำหนดไว้
     • ${USER_EMAIL_NAME} - ส่วนแรก (ส่วนที่อยู่ก่อน @) ของอีเมลที่ผู้ใช้ลงชื่อเข้าใช้

     หากค่าตัวยึดตำแหน่งใช้ไม่ได้ ระบบจะนำสตริงที่เป็นค่าว่างมาแทนที่

   • อัลกอริทึมสำหรับการเซ็นชื่อ - ฟังก์ชันแฮชที่ใช้ในการเข้ารหัสคีย์การให้สิทธิ์ มีเฉพาะ SHA256 ที่มี RSA เท่านั้น
   • การใช้คีย์ - ตัวเลือกสำหรับวิธีใช้คีย์ การเข้ารหัสคีย์ และการเซ็นชื่อ โดยจะเลือกได้มากกว่า 1 รายการ
   • ขนาดของคีย์ (บิต) - ขนาดของคีย์ RSA สำหรับอุปกรณ์ Chrome OS ให้เลือก 2048
   • URL ของเซิร์ฟเวอร์ SCEP - URL ของเซิร์ฟเวอร์ SCEP
   • ระยะเวลาที่ใช้งานใบรับรองได้ (ปี) - ใบรับรองอุปกรณ์ใช้ได้นานเท่าใด ป้อนในรูปแบบตัวเลข
   • จำนวนวันที่ต่ออายุได้ - คุณจะลองต่ออายุใบรับรองอุปกรณ์ได้ก่อนจะหมดอายุกี่วัน
   • ขยายการใช้งานคีย์ - วิธีที่คุณใช้คีย์ได้ เลือกได้มากกว่า 1 ค่า
   • ประเภทคำถาม - หากต้องการให้ Google แสดงวลีคำถามที่กำหนดเมื่อขอใบรับรองจากเซิร์ฟเวอร์ SCEP ให้เลือกคงที่ และป้อนวลี หากเลือกไม่มี เซิร์ฟเวอร์จะไม่ต้องใช้การตรวจสอบนี้
   • ชื่อเทมเพลต - ชื่อของเทมเพลตที่เซิร์ฟเวอร์ NDES ใช้งาน
   • ผู้ออกใบรับรอง - ชื่อของใบรับรองที่คุณอัปโหลดเพื่อใช้เป็นผู้ออกใบรับรอง
   • ประเภทเครือข่ายที่ใช้กับโปรไฟล์นี้ - ประเภทเครือข่ายที่ใช้โปรไฟล์ SCEP
   • แพลตฟอร์มที่ใช้กับโปรไฟล์นี้ - แพลตฟอร์มอุปกรณ์ที่ใช้โปรไฟล์ SCEP สำหรับอุปกรณ์ Chrome OS ให้เลือก Chromebook (ผู้ใช้), Chromebook (อุปกรณ์) หรือทั้ง 2 อย่าง ขึ้นอยู่กับประเภทของใบรับรองที่คุณต้องการใช้งาน
7. คลิกบันทึก หรือคลิกลบล้างสำหรับ หน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

หลังจากที่เพิ่มโปรไฟล์แล้ว ระบบจะแสดงโปรไฟล์นั้นพร้อมด้วยชื่อและแพลตฟอร์มที่เปิดให้ใช้งาน ในคอลัมน์แพลตฟอร์ม ระบบจะเปิดใช้โปรไฟล์ดังกล่าวสำหรับแพลตฟอร์มที่มีไอคอนสีน้ำเงินและจะปิดใช้สำหรับแพลตฟอร์มที่มีไอคอนสีเทา หากต้องการแก้ไขโปรไฟล์ ให้ชี้ไปที่แถวที่ต้องการ แล้วคลิกแก้ไข

โปรไฟล์ SCEP จะกระจายไปยังผู้ใช้ในหน่วยขององค์กรโดยอัตโนมัติ

ขั้นตอนที่ 3: กำหนดค่าคีย์สโตร์ของ Google Cloud Certificate Connector

หากใบรับรองออกโดย CA ที่เชื่อถือได้ หรือ URL ของเซิร์ฟเวอร์ SCEP ของคุณเริ่มต้นด้วย HTTP ให้ข้ามขั้นตอนนี้ไป

หากใบรับรองไม่ได้ออกโดย CA ที่เชื่อถือได้ เช่น ใบรับรองแบบ Self-signed คุณต้องนำเข้าใบรับรองไปที่คีย์สโตร์ของ Google Cloud Certificate Connector ไม่เช่นนั้นจะจัดสรรใบรับรองอุปกรณ์และเชื่อมต่ออุปกรณ์ไม่ได้

1. ลงชื่อเข้าใช้ CA
2. หากยังไม่ได้ติดตั้ง Java JRE ให้ติดตั้งเพื่อให้สามารถใช้ keytool.exe ได้
3. เปิด Command Prompt
4. ส่งออกใบรับรอง CA และแปลงเป็นไฟล์ PEM โดยใช้คำสั่งต่อไปนี้

   certutil ‑ca.cert C:\root.cer
   certutil ‑encode cacert.cer cacert.pem

5. นำเข้าใบรับรอง CA ไปยังคีย์สโตร์ จากไดเรกทอรีย่อยของโฟลเดอร์ Google Cloud Certificate Connector ที่สร้างขึ้นระหว่างการติดตั้ง โดยทั่วไปจะอยู่ที่ C:\Program Files\Google Cloud Certificate Connector ให้เรียกใช้คำสั่งต่อไปนี้

   java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

   แทนที่ java-home-dir ด้วยเส้นทางไปยัง JRE ในโฟลเดอร์ Google Cloud Certificate Connector และcert-export-dir ด้วยเส้นทางไปยังใบรับรองที่ส่งออกในขั้นตอนที่ 4

ขั้นตอนที่ 4: กำหนดค่าเครือข่าย Wi-Fi เพื่อกำหนดให้ใช้โปรไฟล์ SCEP (ไม่บังคับ)

หลังจากที่อุปกรณ์เคลื่อนที่หรือ Chrome OS ของผู้ใช้ได้รับใบรับรองจากเซิร์ฟเวอร์ SCEP แล้ว คุณจะกำหนดค่าเครือข่าย Wi-Fi เพื่อให้มีการตรวจสอบสิทธิ์ใบรับรองได้

หากต้องการควบคุมการเข้าถึงเครือข่าย Wi-Fi สำหรับทั้งอุปกรณ์เคลื่อนที่และ Chrome OS ให้ตั้งค่าเครือข่าย Wi-Fi แยกกันสำหรับอุปกรณ์แต่ละเครื่อง เช่น ตั้งค่าเครือข่าย Wi-Fi เดียวสำหรับอุปกรณ์เคลื่อนที่และกําหนดโปรไฟล์ SCEP สำหรับอุปกรณ์เคลื่อนที่ และตั้งค่าเครือข่าย Wi-Fi อื่นสําหรับอุปกรณ์ Chrome OS และกำหนดโปรไฟล์ SCEP สำหรับอุปกรณ์ Chrome OS

หากต้องการเลือกใบรับรองและใช้โปรไฟล์ SCEP กับเครือข่าย Wi-Fi ให้ทำดังนี้

1. เพิ่มการกำหนดค่า Wi-Fi หรือแก้ไขการกำหนดค่าเดิม
2. ในส่วนการเข้าถึงแพลตฟอร์ม ให้เลือกช่อง Android หรือ iOS หรือทั้ง 2 อย่าง
3. ในส่วนรายละเอียด ให้ตั้งค่าต่อไปนี้
   1. สำหรับการตั้งค่าความปลอดภัย ให้เลือก WPA/WPA2 Enterprise (802.1 X) หรือ Dynamic WEP (802.1 X)
   2. สำหรับโปรโตคอลการตรวจสอบสิทธิ์ที่ขยายได้ ให้เลือก EAP-TLS หรือ EAP-TTLS
   3. สำหรับโปรไฟล์ SCEP ให้เลือกโปรไฟล์ SCEP ที่ต้องการใช้กับเครือข่ายนี้
4. คลิกบันทึก

ในครั้งแรกที่ผู้ใช้พยายามเชื่อมต่อกับเครือข่าย Wi-Fi อุปกรณ์ของผู้ใช้จะต้องแสดงใบรับรอง

• สำหรับอุปกรณ์ Android และ Chrome OS ระบบจะกรอกใบรับรองตามโปรไฟล์ SCEP ของอุปกรณ์และเครือข่ายโดยอัตโนมัติ และให้ผู้ใช้คลิกเชื่อมต่อ
• หากใช้อุปกรณ์ iOS ผู้ใช้ต้องเลือกใบรับรองที่จะใช้ แล้วคลิกเชื่อมต่อ

วิธีการตรวจสอบสิทธิ์ใบรับรองผ่าน Google Cloud Certificate Connector

Google Cloud Certificate Connector เป็นบริการของ Windows ที่สร้างการเชื่อมต่อเฉพาะตัวระหว่างเซิร์ฟเวอร์ SCEP กับ Google ไฟล์การกำหนดค่าและไฟล์คีย์จะกำหนดค่าและรักษาความปลอดภัยให้กับเครื่องมือเชื่อมต่อใบรับรอง โดยทั้ง 2 ไฟล์นี้จะใช้กับองค์กรของคุณเท่านั้น

คุณจะกําหนดใบรับรองอุปกรณ์ให้กับอุปกรณ์และผู้ใช้ที่มีโปรไฟล์ SCEP ได้ หากต้องการให้สิทธิ์โปรไฟล์ ให้เลือกหน่วยขององค์กรและเพิ่มโปรไฟล์ในหน่วยขององค์กรนั้น โดยโปรไฟล์นี้ประกอบด้วยผู้ออกใบรับรองที่ออกใบรับรองอุปกรณ์ เมื่อผู้ใช้ลงทะเบียนอุปกรณ์เคลื่อนที่หรือ Chrome OS เพื่อรับการจัดการ ระบบจัดการปลายทางของ Google จะดึงโปรไฟล์ SCEP ของผู้ใช้และติดตั้งใบรับรองในอุปกรณ์ สำหรับอุปกรณ์ Chrome OS ระบบจะติดตั้งใบรับรองอุปกรณ์ก่อนที่ผู้ใช้จะลงชื่อเข้าใช้ ส่วนใบรับรองผู้ใช้จะติดตั้งหลังจากที่ผู้ใช้ลงชื่อเข้าใช้ หากมีการลงทะเบียนอุปกรณ์แล้ว ระบบจะติดตั้งใบรับรองเป็นส่วนหนึ่งของรอบการซิงค์ปกติ

ระบบจะกำหนดให้ผู้ใช้แจ้งใบรับรองเมื่อพยายามเชื่อมต่อกับเครือข่าย ในอุปกรณ์ Android ระบบจะเลือกใบรับรองโดยอัตโนมัติ แล้วให้ผู้ใช้คลิกเชื่อมต่อ ในอุปกรณ์ iOS ผู้ใช้ต้องเลือกใบรับรองด้วยตนเอง จากนั้นจึงเชื่อมต่อ อุปกรณ์จะเข้าถึงเครือข่ายขององค์กรโดยใช้คีย์ที่ Google เจรจาผ่านเครื่องมือเชื่อมต่อใบรับรอง โดย Google จะจัดเก็บคีย์ไว้ชั่วคราวในระหว่างการเจรจาด้านความปลอดภัย แต่จะลบคีย์อย่างถาวรเมื่อติดตั้งคีย์ในอุปกรณ์แล้ว (หรือหลังจาก 24 ชั่วโมง)