启用或停用端点验证

如果有运行 ChromeOS 或 Chrome 浏览器的设备访问贵组织的数据，管理员可以通过端点验证来获取相应设备的详细信息，例如个人设备和组织自有设备的操作系统、设备类型以及用户。此外，您还可以根据设备的位置、安全状态或其他属性，利用情境感知访问权限 (CAA) 来控制是否允许设备访问数据。例如，您可以选择设备需要获得批准，然后创建 CAA 政策，在设备状态为待审批或已屏蔽时禁止设备访问数据。

支持的计算机

Apple Mac OS X El Capitan (10.11) 及更高版本
运行 ChromeOS 110 及更高版本的设备
Linux Debian 和 Ubuntu
注意：CPU 必须支持 AES 指令。
Microsoft Windows 10 和 11

设置端点验证

展开所有部分 | 收起所有部分

第 1 步：在管理控制台中启用端点验证

通常情况下，端点验证功能会默认处于启用状态。如果您停用了此功能，请重新启用。

准备工作：如果要将设置应用于部分用户，请将这些用户的帐号归入单独的单位部门。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标设备移动设备和端点设置通用。
依次点击数据访问权限 端点验证。
要将设置应用于所有人，请将顶级单位部门保持为已选中状态。否则，请选择某个下级单位部门。
勾选监控有哪些设备在访问组织数据复选框。
点击保存。如果您配置了下级单位部门，则或许可以继承或覆盖上级单位部门的设置。

第 2 步：安装端点验证扩展程序

方法 1：让用户自行安装该扩展程序

对于 Linux、Mac 和 Windows 设备，用户可以自行安装该扩展程序。有关详情和用户操作步骤，请参阅在计算机上设置端点验证。

方法 2：在管理控制台中强制安装该扩展程序

准备工作：如果要将设置应用于部分用户，请将这些用户的帐号归入单独的单位部门。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标设备Chrome应用和扩展程序用户和浏览器。
如果您已注册 Chrome 浏览器云管理，请依次点击“菜单”图标 Chrome 浏览器应用和扩展程序用户和浏览器。
要将设置应用于所有人，请将顶级单位部门保持为已选中状态。否则，请选择某个下级单位部门。
点击“添加”图标 “按 ID 添加 Chrome 应用或扩展程序”图标。
在扩展程序 ID 字段中输入 callobklhcbilhphinckomhgkigmfocg。请复制该代码，以免出错。
将来自 Chrome 应用商店保持为选中状态，然后点击保存。
系统会随即打开应用选项面板，请在其中的证书管理部分执行以下操作：
1. 点击允许访问密钥旁边的“启用”图标。
2. 点击允许使用企业验证功能旁边的“启用”图标。
3. 关闭面板。
在应用列表中，点击“Endpoint Verification”行中的向下箭头，然后选择安装政策：
- 如要在运行 ChromeOS 的设备上强制安装该扩展程序并将其固定到浏览器工具栏，请选择强制安装 + 固定到浏览器工具栏。
- 要强制安装该扩展程序，请选择强制安装。
- 要允许用户自行安装该扩展程序，请选择允许安装。
点击保存。如果您配置了下级单位部门，则或许可以继承或覆盖上级单位部门的设置。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

方法 3：使用政策将该扩展程序添加到受管设备上

Mac、Windows 和 Linux 设备

了解如何为受管理的 PC 设置 Chrome 浏览器政策。

第 3 步：必要时，安装帮助程序应用（仅适用于 Mac、Windows 和 Linux）

如要在以下系统上使用端点验证功能，则必须安装帮助程序应用：

运行 Chrome 79 及更早版本 Chrome 的 Windows 和 Mac。如要报告 Mac 设备的密码状态，必须使用帮助程序应用。但是如果用户的 Chrome 是 80 或更高版本，则系统不会向其提示安装该应用。
运行任何版本 Chrome 浏览器的 Linux

如果用户安装 Endpoint Verification 扩展程序的同时还需安装帮助程序应用，那么系统会自动提示他们安装该应用。有关详情，请参阅在计算机上设置端点验证。

重要提示：

如果设备已注册端点验证且不需要帮助程序应用，请勿安装此应用（Mac 设备除外）。因为这样的设置可能会阻止设备向服务器报告数据。如果设备未报告数据，请卸载帮助程序应用。
如果您使用的是客户端证书身份验证，请确保设备用正确的证书连接到受保护的服务，例如内部网站。端点验证帮助程序应用会创建自签名证书，供 Chrome 浏览器内部使用。如果将自签名证书用于客户端证书请求，连接会遭拒绝。请采用以下一种或两种方法：
1. 在服务器上，为客户端证书请求设置有效的 CA 名称列表。
2. 设置 AutoSelectCertificateForUrls Chrome 政策，以选择受信任的证书。

安装帮助程序应用

如要在您自己或他人的计算机上安装帮助程序应用，请执行以下操作：

下载适用于 Mac、Windows 或 Linux 的帮助程序应用。
使用第三方软件管理工具安装此应用。

第 4 步：（可选）设置设备审批功能

如要查看访问贵组织数据的各个端点验证设备，您需要管理员批准才能访问设备。您可以将这些设备标记为已批准或已屏蔽，还可以将标记用作 CAA 级别中的条件。注意：如果您未设置 CAA 级别，则处于“待审批”或“已屏蔽”状态的设备仍然可以访问工作数据。

端点验证问题排查

如果用户遇到问题，他们或许可以自行解决。有关详情，请参阅面向用户的端点验证问题排查。

如果 Mac 设备未在管理控制台中报告密码状态，请确保已安装端点验证帮助程序应用。

如果安装了帮助程序应用的设备无法在 Chrome 浏览器中访问受到保护的网站，请确保这些设备使用正确的证书进行连接。您可以采用以下任一方法或两种方法并用：

在服务器上，为客户端证书请求设置有效的 CA 名称列表。
设置 AutoSelectCertificateForUrls Chrome 政策，以选择受信任的证书。

如果文中的解决方案均不起作用，您可以联系 Google 支持团队。在与支持团队联系之前，我们建议您先让用户下载端点验证日志，以便支持专家可以更快地帮助他们解决问题。

查看未使用端点验证的用户名单

您可以获取未在设备上安装端点验证扩展程序的用户名单。如有需要，您可以发送电子邮件让他们进行安装。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
依次点击“菜单”图标设备概览。
点击端点。
在设备列表的顶部，点击添加过滤条件。
选择排除：端点验证。
如要向未使用端点验证的用户发送电子邮件，请执行以下操作：
1. 勾选每台设备旁边的复选框。
2. 点击“向用户发送电子邮件”图标。
  系统会打开新的电子邮件窗口，其中的收件人字段会显示您选择的用户。
3. 撰写电子邮件，然后点击发送。

停用端点验证

管理控制台中不会显示您停用端点验证后新添加的设备。您仍然可以查看之前监控的设备，但设备信息不会更新。

准备工作：如果要将设置应用于部分用户，请将这些用户的帐号归入单独的单位部门。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标设备移动设备和端点设置通用。
依次点击数据访问权限 端点验证。
要将设置应用于所有人，请将顶级单位部门保持为已选中状态。否则，请选择某个下级单位部门。
取消选中监控有哪些设备在访问组织数据对应的复选框。
点击保存。如果您配置了下级单位部门，则或许可以继承或覆盖上级单位部门的设置。

删除设备

设备一经删除，便不再同步工作数据，但系统不会从设备中移除任何信息。下次同步后，设备会重新添加到列表中，除非有情境感知访问权限政策的屏蔽。如果访问权限被政策屏蔽，设备可能需要获得批准才能重新同步数据。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
依次点击“菜单”图标设备概览。
点击端点。
选择您要移除的设备，然后点击删除。

_{“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。}

该内容对您有帮助吗？

您有什么改进建议？