Gerenciar redes

Para Chromebooks gerenciados e outros dispositivos com o Chrome OS.

Se você estiver usando:

Um app de VPN de terceiros: faça o download do app na Chrome Web Store. É possível instalar e configurar apps de VPN de terceiros como qualquer outro app do Chrome. Para mais detalhes, consulte Definir políticas do Chrome para um app.

A VPN integrada: adicione a configuração da VPN se você quiser usar um dos tipos de VPN com suporte nativo no Chrome OS (OpenVPN e L2TP via IPSec). Siga estas etapas:

Etapa 1. Definir as informações gerais da VPN

1. Faça login no Google Admin Console.

   Faça login com sua conta de administrador (não termina em @gmail.com).

2. Na página inicial do Admin Console, acesse Gerenciamento de dispositivos.À esquerda, clique em Redes.

   Exige o privilégio de administrador Configurações do dispositivo compartilhado.

3. Clique em VPN.
4. Escolha a organização apropriada na lista à esquerda.
5. Na parte inferior, clique em Adicionar VPN.
6. Digite um nome para a VPN.
7. Na caixa Host remoto, digite o endereço IP ou o nome completo do host do servidor que fornece acesso à VPN.
8. Opcional: para conectar os dispositivos automaticamente a essa VPN, marque a caixa Conectar automaticamente.

Etapa 2. Definir as configurações da VPN

1. Escolha um tipo de VPN.
   O Admin Console só pode oferecer configurações OpenVPN limitadas. Por exemplo, ele não pode enviar configurações para redes OpenVPN com autenticação TLS.
2. Defina as configurações:
   • Para L2TP via IPsec com chave pré-compartilhada:
     1. Digite a chave pré-compartilhada necessária para estabelecer uma conexão com a VPN.
        Depois que você salvar a configuração, esse valor não ficará mais visível.
     2. Digite um nome de usuário para se conectar à VPN.
        O nome de usuário é compatível com as variáveis de nome de usuário.
     3. (Opcional) Digite a senha.
        Se você estiver usando um nome de usuário variável, não digite a senha. Depois que você salvar a configuração, esse valor não ficará mais visível.
   • Para a OpenVPN:
     1. (Opcional) Digite a porta a ser usada na conexão com o host remoto.
     2. Escolha o protocolo que deve ser usado para o tráfego da VPN.
     3. Escolha quais autoridades serão permitidas durante a autenticação do certificado fornecido pela conexão de rede.
        Escolha a partir dos certificados enviados.
     4. Marque a caixa Usar URL de registro de cliente se o servidor exigir certificados de cliente.
        Se a caixa for selecionada, digite um ou mais valores para um Padrão de emissor ou Padrão de assunto.
        • Cada valor que você especificar precisa corresponder exatamente ao respectivo valor no certificado a ser usado.
        • O servidor deve emitir o certificado com a tag keygen de HTML5.
     5. Digite o nome de usuário da OpenVPN (compatível com as variáveis de nome de usuário).
        Deixe esse espaço em branco para solicitar as credenciais de cada usuário no login.
     6. Digite a senha da OpenVPN.
        Deixe este campo em branco para que os usuários tenham que inserir suas credenciais individuais quando fizerem login.
3. Especifique as configurações de proxy da VPN.

Etapa 3. Conceder acesso à VPN

1. (Opcional) Para restringir o acesso a alguns dispositivos, desmarque a caixa ao lado de cada um.
2. Clique em Adicionar Salvar alterações.

Você poderá adicionar automaticamente as redes Wi-Fi configuradas aos dispositivos gerenciados se eles estiverem inscritos no gerenciamento de dispositivos móveis. As configurações de gerenciamento de rede estão disponíveis para todos os clientes do G Suite. Os usuários precisam ter um dispositivo Android 2.2 e superior com o Google Apps Device Policy instalado. Outras redes Wi-Fi 802.1x só são permitidas em dispositivos Android 4.3 e superiores. Em dispositivos iOS gerenciados, os seguintes protocolos de autenticação extensíveis (EAPs, na sigla em inglês) são compatíveis: Protected Extensible Authentication Protocol (PEAP), Lightweight Extensible Authentication Protocol (LEAP), Transport Layer Security (TLS) e Tunneled Transport Layer Security (TTLS).

Observação: um dispositivo móvel sempre herda as configurações de rede Wi-Fi do usuário. Portanto, as configurações de rede de dispositivos móveis só podem ser aplicadas por usuário.

Definir as informações gerais da rede

1. Faça login no Google Admin Console.

   Faça login com sua conta de administrador (não termina em @gmail.com).

2. Na página inicial do Admin Console, acesse Gerenciamento de dispositivos.À esquerda, clique em Redes.

   Exige o privilégio de administrador Configurações do dispositivo compartilhado.

3. Clique em Wi-Fi.
4. Escolha a organização apropriada na lista à esquerda.
5. Na parte inferior, clique em Adicionar Wi-Fi.
6. Digite um nome para a rede Wi-Fi.
   O nome é para sua referência e não precisa corresponder ao SSID (Identificador do conjunto de serviços) da rede.
7. Digite o SSID da rede Wi-Fi.
   Ele diferencia maiúsculas de minúsculas.
8. Opcional: se a rede não transmitir o SSID, marque a caixa Este SSID não é transmitido.
9. (Opcional) Para conectar dispositivos automaticamente a essa rede quando ela estiver disponível, marque a caixa Conectar automaticamente.

Definir configurações de segurança

1. Escolha um tipo de segurança para a rede.
   Observação: o tipo Dynamic WEP (802.1x) é compatível apenas em dispositivos Chrome.
2. (Opcional) Para o tipo WEP (não seguro) e WPA/WPA2, digite uma senha longa de segurança de rede.
3. (Opcional) Para o tipo WPA/WPA2 Enterprise (802.1x) e Dynamic WEP (802.1x), especifique o seguinte:

   Observação: nos tablets Android usados com o G Suite for Education, não é possível usar o WPA/WPA2 Enterprise (802.1x) durante a configuração do tablet de um aluno, mas ele pode ser implementado manualmente depois que os tablets forem inscritos.

   1. Escolha um EAP para a rede.
   2. (Opcional) Para EAP-TTLS e PEAP, escolha o protocolo interno para uso.
      A opção "Automático" funciona na maioria das configurações.
   3. (Opcional) Para EAP-TTLS e PEAP, digite a identidade do usuário para apresentar o protocolo externo da rede.
      A identidade é compatível com variáveis de nome de usuário.
   4. Digite um nome de usuário para administrar a rede.
      O nome de usuário é compatível com as variáveis de nome de usuário.
   5. (Opcional) Digite uma senha de nome de usuário.
      Não é necessário digitar uma senha para EAP-TLS. Depois de salvar a configuração, esse valor não estará mais visível.
   6. (Opcional) Escolha a autoridade de certificação do servidor.
      Isso não é obrigatório para LEAP ou EAP-PWD.
   7. (Opcional) Para redes EAP-TLS, especifique o seguinte:
      • Digite um URL de registro de cliente.
      • Digite um ou mais valores para um Padrão de emissor ou Padrão de assunto.
        Cada valor que você especificar precisa corresponder exatamente ao respectivo valor no certificado a ser usado. O servidor deve emitir o certificado com a tag keygen de HTML5.
4. Especifique a configuração de proxy da rede.
   1. Em Configurações de proxy, escolha uma destas opções:

      Conexão direta à Internet	Permite o acesso direto à Internet para todos os websites sem o uso de um servidor proxy. Observação: a conexão direta à Internet não é compatível com os tablets Android usados com o G Suite for Education.
      Configuração manual de proxy	Especifica uma configuração do servidor proxy definida por você. Digite o endereço IP do host e o número da porta do servidor a serem usados. Para ignorar o servidor proxy (indisponível para o tráfego de dispositivos iOS) e não ter qualquer proxy para alguns domínios ou endereços IP, digite-os como itens separados por vírgulas sem espaços em uma lista. Os caracteres curinga são aceitos. Por exemplo, para adicionar todas as variações do google.com, digite *google.com*.
      Configuração automática de proxy	Usa um arquivo de configuração automática do servidor proxy (.pac) para determinar o servidor proxy a ser usado. Digite o URL do arquivo PAC.

   2. (Opcional) Se você usar um proxy autenticado, precisará colocar na lista de permissões todos os nomes de host dessa lista.
      Observação: o Chrome OS é compatível com proxies autenticados somente para o tráfego de navegadores. Ele é incompatível com proxies autenticados para tráfego de não usuários ou de aplicativos Android ou máquinas virtuais.

Conceder acesso à rede

1. (Opcional) Para restringir o acesso a alguns dispositivos, desmarque a caixa ao lado de cada um.
2. Escolha se deseja aplicar a rede por usuário ou por dispositivo.

   Só é possível acessar por usuário em dispositivos móveis e Chromebooks. Só é possível acessar por dispositivo em Chromebooks e Chromebox para videoconferências. Nos tablets Android com o G Suite for Education, escolha por usuário.

3. Clique em Adicionar Salvar alterações.

Outras observações sobre a configuração de redes Wi-Fi

• Depois de configurar uma rede Wi-Fi e antes de alterar a senha, configure uma rede adicional para os usuários receberem as configurações Wi-Fi atualizadas nos dispositivos deles.
• Se você tiver várias redes Wi-Fi configuradas, altere a senha de cada uma separadamente.
• Redes ocultas podem levar um tempo para serem identificadas em dispositivos Android.

Nos dispositivos Chrome e Android, você pode configurar o dispositivo para estabelecer automaticamente uma conexão com uma rede segura usando o nome de usuário ou as credenciais de identidade especificadas pela política. Por exemplo, é possível especificar um nome de usuário ou o endereço de e-mail completo de um usuário conectado. Dessa forma, os usuários só precisam informar a senha para fazer a autenticação.

Para usar esse recurso, especifique uma das variáveis a seguir nas caixas Nome de usuário ou Identidade exterior durante a configuração de Enterprise (802.1x), WPA/WPA2 Enterprise (802.1x), Dynamic WEP (802.1x) ou VPN.

Durante a configuração do 802.1x, se a variável ${PASSWORD} for especificada, a autenticação será feita com senha de login atual do usuário. Caso contrário, os usuários precisarão informar uma senha para fazer a autenticação.

Digite o texto da variável exatamente como mostrado na coluna "Variável" na tabela abaixo. Por exemplo, digite ${LOGIN_ID} para solicitar que o sistema substitua essa variável pelo valor jsmith.

Observação:

• As variáveis ${CERT_SAN_EMAIL} e ${CERT_SAN_UPN} só farão a leitura de X509v3 Subject Alternate Name do certificado. Especificamente, elas não farão a leitura de nenhum campo em Subject Name.
• Se o certificado de cliente não incluir os campos indicados para serem substituídos, nenhuma substituição será realizada e a variável literal da string permanecerá no campo de identidade.
• A substituição baseada no certificado funciona apenas para Wi-Fi. Ela não funciona para VPN.
• No Chrome 68 e posterior, a conexão automática e a autenticação com a variável ${PASSWORD} funcionam em todos os dispositivos. No Chrome 66 e 67, esses recursos funcionam apenas em dispositivos inscritos.

É possível alterar ou excluir uma configuração de rede VPN, Wi-Fi ou Ethernet existente.

1. Faça login no Google Admin Console.

   Faça login com sua conta de administrador (não termina em @gmail.com).

2. Na página inicial do Admin Console, acesse Gerenciamento de dispositivos.À esquerda, clique em Redes.

   Exige o privilégio de administrador Configurações do dispositivo compartilhado.

3. Dependendo do tipo de configuração que você quer alterar ou excluir, use uma destas opções:
   • Clique em Wi-Fi.
   • Clique em Ethernet.
   • Clique em VPN.
4. Escolha a organização apropriada na lista à esquerda.
5. (Opcional) Para editar uma configuração existente:
   1. À direita da rede, clique em Editar.
   2. Faça as alterações e clique em Aplicar.
6. (Opcional) Para reverter uma configuração de rede utilizada localmente em uma organização, clique em Reverter à direita da rede.
   • Se a rede foi adicionada à organização atual, ela será excluída permanentemente.
   • Se a rede foi herdada da organização principal e depois editada, as alterações aplicadas localmente serão revertidas, e as alterações da organização principal serão herdadas.
7. (Opcional) Para remover uma rede herdada de uma suborganização, clique em Remover à direita da rede.
8. Clique em Salvar alterações.

Depois de configurar uma rede, você pode adicionar novos certificados (no formato X.509 PEM) ou excluir os que não são mais usados.

Antes de começar

• Nas versões 61 a 72 do Chrome OS, os certificados adicionados a uma organização estão disponíveis para configurações de rede e aplicativos de quiosque nos dispositivos. Nas versões anteriores, os certificados estão disponíveis apenas para as configurações de rede no dispositivo.
• No Chrome OS versão 73 e versões posteriores, os certificados adicionados a uma organização estão disponíveis para configurações de rede, aplicativos de quiosque e sessões de visitante gerenciadas nos dispositivos.
• Algumas configurações que usam PEAP, TLS e TTLS precisam de certificados de servidor para assegurar a acessibilidade.
• Se você quiser usar certificados para uma rede Wi-Fi EAP, o dispositivo precisa ser protegido por uma senha, um PIN ou uma verificação de padrão.
• Não faça upload de certificados que contêm chaves privadas.

Pesquisa segura

Se você implantar um proxy no tráfego da Web, é possível configurar o proxy para anexar safe=strict a todas as solicitações de pesquisa enviadas ao Google. Esse parâmetro ativará um SafeSearch rigoroso em todas as pesquisas, independentemente da configuração definida na página Configurações de pesquisa. No entanto, o parâmetro não funciona em pesquisas que usam SSL. Saiba como impedir que as pesquisas SSL ignorem seus filtros de conteúdo.

Adicionar ou excluir um certificado

1. Faça login no Google Admin Console.

   Faça login com sua conta de administrador (não termina em @gmail.com).

2. Na página inicial do Admin Console, acesse Gerenciamento de dispositivos.À esquerda, clique em Redes.

   Exige o privilégio de administrador Configurações do dispositivo compartilhado.

3. Clique em Certificados.
4. À esquerda, selecione a unidade organizacional onde você quer adicionar ou excluir certificados.
   Para incluir todos os usuários, selecione a unidade organizacional de nível mais alto. Você também pode selecionar outra organização e definir as configurações para os usuários dela. A princípio, uma nova organização herda as configurações da organização principal.
5. Se quiser adicionar um certificado:
   1. Clique em Adicionar certificado.
   2. Selecione o certificado para fazer upload e clique em Abrir.
6. Se quiser remover um certificado, selecione Remover ou Reverter e clique em OK.
7. (Opcional) Para o navegador validar a cadeia completa de certificados digitais de servidores ou se o certificado for usado como uma CA raiz para um filtro da Web de inspeção de TLS, marque a caixa Usar este certificado como uma autoridade de certificação HTTPS.

Você pode configurar seu Chromebook ou outro dispositivo com o Chrome OS para se conectar a uma rede automaticamente. Ao marcar Permitir apenas conexão automática de redes gerenciadas, os Chromebooks só poderão se conectar automaticamente a uma rede especificada em Gerenciamento de dispositivos > Rede > Wi-Fi ou Gerenciamento de dispositivos > Rede > Ethernet.

1. Faça login no Google Admin Console.

   Faça login com sua conta de administrador (não termina em @gmail.com).

2. Na página inicial do Admin Console, acesse Gerenciamento de dispositivos.À esquerda, clique em Redes.

   Exige o privilégio de administrador Configurações do dispositivo compartilhado.

3. Clique em Configurações gerais.
4. Marque a caixa Permitir apenas conexão automática de redes gerenciadas.
5. Clique em Salvar alterações.

Observação: mesmo com essa configuração definida, é possível conectar manualmente o dispositivo Chrome a uma rede não gerenciada.

Como funciona a conexão automática para redes EAP-TLS em dispositivos com o Chrome 40 ou versões posteriores

Se você estiver conectado à rede EAP-TLS (rede com suporte de certificado de cliente) em dispositivos Chrome com o Chrome 40 e superior, ocorrerá o seguinte:

• Depois de uma extensão instalar os certificados de cliente, os Chromebooks estabelecerão uma conexão automática à rede EAP-TLS (rede com suporte de certificado de cliente).
• Após o primeiro login (mesmo no modo temporário), se houver um certificado de dispositivo e uma rede EAP-TLS, ocorrerá novamente uma troca automática para a rede com suporte de certificado.
• Se qualquer rede gerenciada por todos os dispositivos tiver sido configurada no Admin Console (não necessariamente com suporte de certificado), na tela de login, a conexão será estabelecida à rede gerenciada com "maior" segurança.

Como funciona a conexão automática para redes não EAP-TLS em dispositivos que executam o Chrome 40 ou posterior

Em uma rede 802.1X que não seja EAP-TLS o comportamento de conexão automática será diferente. Especificamente, se a rede tiver credenciais exclusivas associadas a cada usuário, ele precisará conectar-se manualmente à rede 802.1X na primeira vez que fizer login no dispositivo. Isso é necessário mesmo que a configuração de conexão automática tenha sido definida e que o usuário esteja utilizando variáveis. Depois que o usuário se conectar manualmente pela primeira vez, as credenciais de login serão armazenadas no perfil dele no dispositivo. Nos próximos logins do usuário, a conexão com a rede será feita automaticamente.