Как управлять сетями

Если вы работаете с устаревшей бесплатной версией G Suite и хотите использовать эту функцию, перейдите на G Suite Basic

Примечание. Из этой статьи вы узнаете, как настроить сети для мобильных устройств, а также для устройств Chromebook и Chromebox для видеоконференций.

В консоли администратора Google можно настроить доступ к сетям Wi-Fi, Ethernet и VPN для управляемых устройств, а также предоставить им сертификаты для входа в эти сети. Вы можете применить выбранные настройки для всей организации или для отдельных организационных подразделений.

Вы также можете задать сетевые параметры для пользователей (они будут применяться ко всем устройствам Chromebook, телефонам и планшетам пользователя в организационном подразделении) или непосредственно для устройств Chromebook и Chromebox для видеоконференций.

Развернуть все   |   Свернуть все

Подготовка

  • Если вам необходимо использовать на устройствах Chromebook в организации статические IP-адреса, зарезервируйте IP-адреса на сервере DHCP. Учтите, что протокол DHCP не предусматривает аутентификацию. Чтобы отслеживать идентификационные данные устройств Chrome в сети, используйте отдельный механизм аутентификации.
  • Если при настройке сетей вы оставите пустым поле "Пароль", пользователи смогут сами устанавливать пароли на устройствах. Если вы укажете пароль, он будет принудительно использован на устройствах, и пользователи не смогут его сменить.

Настройка сети

Как добавить конфигурацию VPN

Приведенная ниже информация касается управляемых устройств Chromebook и других устройств на базе Chrome OS.

Выберите, что использовать для работы с VPN:

Стороннее приложение для работы с VPN. Скачайте приложение в Интернет-магазине Chrome. Вы можете устанавливать и настраивать сторонние VPN-приложения, как и любое другое приложение Chrome. Узнайте, как настроить правила Chrome для отдельного приложения.

Встроенный инструмент для создания VPN. Чтобы использовать технологию по умолчанию (OpenVPN или протокол L2TP по IPSec), добавьте конфигурацию VPN. Для этого следуйте инструкциям ниже.

1. Как добавить общие данные VPN

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Управление устройствами.Слева нажмите Сети.

    У вас должно быть право администратора Настройки общих устройств.

  3. Нажмите VPN.
  4. Выберите организацию из списка слева.
  5. Внизу нажмите Добавить VPN.
  6. Введите название сети VPN.
  7. В поле Удаленный хост введите IP-адрес или полное имя сервера, через который осуществляется доступ к VPN.
  8. Чтобы устройства всегда соединялись с этой сетью, установите флажок Автоматическое подключение.

2. Как добавить конфигурацию VPN

  1. Выберите тип VPN.
    В консоли администратора доступны только ограниченные конфигурации OpenVPN. Например, нельзя создать ту, в которой используется аутентификация по протоколу TLS.
  2. Задайте нужные параметры.
    • Если вы выбрали передачу данных по L2TP через IPsec с предварительным общим ключом:
      1. Введите предварительный общий ключ для подключения к VPN.
        После сохранения конфигурации эти данные будут скрыты.
      2. Укажите имя пользователя для подключения к VPN.
        Поддерживаются переменные имени пользователя.
      3. При необходимости введите пароль.
        Если вы используете переменные имени пользователя, он не нужен. После сохранения конфигурации эти данные будут скрыты.
    • Если вы хотите использовать OpenVPN:
      1. При необходимости укажите порт для подключения к удаленному хосту.
      2. Выберите протокол для VPN-трафика.
      3. Определите, каким центрам следует доверять во время проверки сертификата, полученного при подключении к сети.
        Выберите один из загруженных сертификатов.
      4. Если серверу требуются сертификаты клиентов, установите флажок Использовать URL для регистрации клиентов.
        После этого введите значения в поля Шаблон эмитента сертификата или Шаблон субъекта.
        • Каждое из значений должно совпадать с аналогичным значением в сертификате.
        • Сервер должен предоставлять сертификат с тегом keygen (HTML5).
      5. Введите имя пользователя OpenVPN (поддерживаются переменные).
        Если вы хотите, чтобы при входе нужно было вводить учетные данные, не заполняйте это поле.
      6. Введите пароль OpenVPN.
        Если вы хотите, чтобы при входе нужно было вводить учетные данные, не заполняйте это поле.
  3. Задайте необходимые для VPN настройки прокси-сервера.

3. Как предоставить доступ к VPN

  1. Если вы хотите запретить доступ к сети определенным устройствам, снимите флажки рядом с их названиями.
  2. Нажмите Добавить затем Сохранить изменения.
Как добавить конфигурацию Wi-Fi или Ethernet
Доступ к сети Ethernet можно настроить только для устройств Chrome. Чтобы задать конфигурацию Ethernet, воспользуйтесь приведенными ниже инструкциями для сетей Wi-Fi. Рекомендуем настроить хотя бы одну беспроводную сеть для устройств в вашем домене и выбрать автоматическое подключение к ней. В этом случае соединение будет устанавливаться при входе в систему.

Вы можете автоматически добавлять настроенные сети Wi-Fi на управляемые устройства, если они зарегистрированы в системе управления мобильными устройствами. Настройки управления сетями доступны во всех типах пакетов G Suite. При этом на устройствах пользователей должно быть установлено приложение Google Apps Device Policy и Android 2.2 или более поздней версии. Дополнительные сети Wi-Fi (802.1x) поддерживаются только на телефонах и планшетах с Android 4.3 и более поздними версиями. На управляемых устройствах iOS поддерживаются следующие расширяемые протоколы аутентификации (EAP): PEAP (защищенный расширяемый протокол аутентификации), LEAP (облегченный расширяемый протокол аутентификации), TLS (протокол безопасности транспортного уровня) и TTLS (протокол безопасности транспортного уровня через туннель).

Примечание. Мобильное устройство всегда наследует параметры сети Wi-Fi пользователя. По этой причине доступ к сети на телефоне или планшете необходимо настраивать для пользователей.

Как добавить общие данные сети

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Управление устройствами.Слева нажмите Сети.

    У вас должно быть право администратора Настройки общих устройств.

  3. Нажмите Wi-Fi.
  4. Выберите организацию из списка слева.
  5. Внизу нажмите Добавить сеть Wi-Fi.
  6. Введите название новой сети Wi-Fi.
    Оно может не совпадать с именем беспроводной сети (SSID). Это поле служит лишь для того, чтобы вам было проще ориентироваться.
  7. Введите SSID сети Wi-Fi.
    Регистр символов учитывается.
  8. (Необязательно.) Если имя сети не передается, установите флажок Скрывать SSID.
  9. Чтобы устройства подключались к этой сети, когда она доступна, установите флажок Автоматическое подключение.

Как настроить параметры безопасности

  1. Выберите тип защиты сети.
    Примечание. Dynamic WEP (802.1x) поддерживается только на устройствах Chrome.
  2. Если выбран тип защиты WEP (небезопасно) или WPA/WPA2, введите кодовую фразу.
  3. Если выбран тип защиты WPA/WPA2 Enterprise (802.1x) или Dynamic WEP (802.1x), выполните предложенные ниже действия.

    Примечание. При настройке для учащихся планшетов Android, принадлежащих к домену G Suite for Education, нельзя использовать WPA/WPA2 Enterprise (802.1x). Однако этот тип защиты можно применить вручную после регистрации устройств.

    1. Выберите EAP для сети.
    2. Для EAP-TTLS и PEAP можно выбрать внутренний протокол.
      В большинстве случаев выбор происходит автоматически.
    3. Для EAP-TTLS и PEAP можно указать идентификационные данные пользователя, доступные внешнему протоколу сети.
      Поддерживаются переменные имени пользователя.
    4. Введите имя пользователя, выполняющего функцию администратора сети.
      Поддерживаются переменные имени пользователя.
    5. При необходимости введите пароль.
      Для EAP-TLS он не нужен. После сохранения конфигурации пароль будет скрыт.
    6. Выберите центр сертификации сервера.
      Для LEAP и EAP-PWD он не требуется.
    7. Если вы выбрали EAP-TLS, сделайте следующее:
      • Введите URL для регистрации клиентов.
      • Укажите одно или несколько значений в поля "Шаблон эмитента сертификата" или "Шаблон субъекта".
        Каждое из них должно совпадать с аналогичным значением в сертификате, Сервер должен предоставлять сертификат с тегом keygen (HTML5).
  4. Настройте прокси-сервер для сети.
    1. Выберите один из следующих параметров в настройках прокси-сервера:
      Прямое подключение к Интернету

      Этот параметр разрешает прямой доступ ко всем сайтам без использования прокси-сервера.

      Примечание. Прямое подключение к Интернету не поддерживается на планшетах Android, используемых в доменах G Suite for Education.

      Настройка прокси-сервера вручную

      Этот параметр позволяет вручную задать конфигурацию прокси-сервера. Введите IP-адрес хоста сервера и номер порта. Чтобы обходить прокси-сервер (такая возможность не поддерживается для трафика на устройствах iOS) для определенных доменов или IP-адресов, введите их через запятую (без пробелов). Можно использовать подстановочные знаки. Например, чтобы добавить все варианты с google.com, введите *google.com*.

      Автоматическая настройка прокси-сервера Для определения нужного прокси-сервера используется файл автонастройки прокси-сервера (PAC-файл). Введите его URL. 
    2. Если вы используете прокси-сервер с аутентификацией, при необходимости добавьте все имена хостов из этого списка в белый список.
      Примечание. Chrome OS поддерживает прокси-серверы с аутентификацией только для трафика через браузер, но не для трафика без участия пользователя или трафика от Android-приложений и виртуальных машин.

Как предоставить доступ к сети

  1. Если вы хотите запретить доступ к сети определенным устройствам, снимите флажки рядом с их названиями.
  2. Выберите вид доступа к сети: для пользователей или для устройств.

    Доступ для пользователей поддерживается только на Chromebook и мобильных устройствах. Доступ для устройств – на Chromebook и Chromebox для видеоконференций. На планшетах Android, используемых в домене G Suite for Education, выберите для пользователей.

  3. Нажмите Добавить затем Сохранить изменения.

Советы по настройке сетей Wi-Fi

  • Прежде чем изменить пароль для новой сети Wi-Fi, обязательно настройте дополнительную сеть, чтобы пользователи получили обновленные параметры Wi-Fi для своих устройств.
  • Если у вас настроено несколько сетей Wi-Fi, изменяйте их пароли по одному.
  • Обнаружение скрытых сетей на устройствах Android может занять некоторое время.
Как настроить сетевые подключения с помощью правил

Устройства Chrome, Android и Apple® iOS® могут автоматически подключаться к защищенным сетям с помощью имени пользователя или учетных данных, указанных в правилах. Например, вы можете указать имя пользователя, который вошел в систему, или его полный адрес электронной почты. При этом пользователям потребуется только ввести пароль для аутентификации.

Чтобы воспользоваться этой функцией на устройствах Chrome, при настройке конфигурации VPN, Enterprise (802.1x), WPA/WPA2 Enterprise (802.1x) или Dynamic WEP (802.1x) укажите одну из перечисленных ниже переменных в поле Имя пользователя или Внешние идентификационные данные.

Если во время настройки конфигурации 802.1x на устройствах с Chrome OS задана переменная ${PASSWORD}, для аутентификации используется текущий пароль пользователя для входа. В остальных случаях пользователям предлагается ввести свой пароль.

Укажите переменную в том же виде, что и в столбце "Переменная" в таблице ниже. Например, введите ${LOGIN_ID}, чтобы система заменила эту переменную ее значением – a.borisov.

Переменная Значение Поддерживаемые устройства
${LOGIN_ID}

Имя пользователя (например, a.borisov).

Примечание. На устройствах Chrome эта переменная заменяется только для сетей, в которых применяется параметр для пользователей.

Android
iOS
Chrome
${LOGIN_EMAIL}

Полный адрес электронной почты пользователя (например, a.borisov@vashdomen.ru).

Примечание. На устройствах Chrome эта переменная заменяется только для сетей, в которых применяется параметр для пользователей.

Android
iOS
Chrome
${CERT_SAN_EMAIL}

Первое поле rfc822Name Subject Alternate Name в сертификате клиента, соответствующем выбранной сети на основе шаблона субъекта или эмитента сертификата.
Значение может отличаться от ${LOGIN_EMAIL}, если подключение к беспроводным сетям осуществляется с помощью имени пользователя, не связанного с Google.

Поддерживается в Chrome 51 и более поздних версиях.

Chrome 51 и более поздние версии
${CERT_SAN_UPN}

Первое поле Microsoft User Principal Name otherName в сертификате клиента, соответствующем выбранной сети на основе шаблона субъекта или эмитента сертификата.

Поддерживается в Chrome 51 и более поздних версиях.

Chrome 51 и более поздние версии
${PASSWORD} Текущий пароль пользователя (например: password1234). Chrome
 

Примечания

  • Переменные ${CERT_SAN_EMAIL} и ${CERT_SAN_UPN} считывают из сертификата только значение X509v3 Subject Alternate Name, но не используют значения из поля с именем субъекта сертификата.
  • Если в сертификате клиента отсутствуют подстановочные поля, в поле идентификации будет указана сама переменная.
  • Подстановка на основе сертификата действует только для сетей Wi-Fi (не для VPN).
  • В Chrome 68 и более поздних версий автоматическое подключение и аутентификация с помощью переменной ${PASSWORD} работают на всех устройствах. В Chrome версии 66 и 67 они работают только на зарегистрированных устройствах.

Управление сетью

Как изменить или удалить конфигурацию

Действующую конфигурацию сети VPN, Wi-Fi или Ethernet можно изменить или удалить.

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Управление устройствами.Слева нажмите Сети.

    У вас должно быть право администратора Настройки общих устройств.

  3. В зависимости от типа конфигурации, которую нужно изменить, выполните одно из следующих действий:
    • Нажмите Wi-Fi.
    • Нажмите Ethernet.
    • Нажмите VPN.
  4. Выберите организацию из списка слева.
  5. Если вам нужно отредактировать конфигурацию, сделайте следующее:
    1. Нажмите Изменить справа от названия сети.
    2. Внесите необходимые изменения и выберите Применить.
  6. Если вам нужно исключить локальную сеть из организации, нажмите соответствующую кнопку справа.
    • Сеть, добавленная для организации, будет удалена навсегда.
    • Если сеть была унаследована от родительской организации, то изменения в ней, примененные локально, будут потеряны. Она начнет работать в соответствии с родительскими настройками.
  7. Если вы хотите удалить унаследованную сеть из дочерней организации, нажмите Удалить справа от нее.
  8. Нажмите Сохранить.
Как управлять сертификатами

После настройки сети вы можете добавить новые сертификаты (в формате X.509 PEM) или удалить ненужные.

Подготовка

  • В Chrome OS версий от 61 до 72 сертификаты, добавленные в организацию, доступны в настройках сети и киоск-приложениях на устройствах, а в более ранних версиях – только в настройках сети на устройствах.
  • В Chrome OS 73 и более поздних версий сертификаты, добавленные в организацию, доступны в настройках сети, киоск-приложениях и управляемых гостевых сеансах на устройствах.
  • Для доступа к некоторым конфигурациям, в которых используются протоколы PEAP, TLS и TTLS, необходимы сертификаты со стороны сервера.
  • Чтобы использовать сертификаты для сети Wi-Fi EAP, устройство должно быть защищено паролем, PIN-кодом или графическим ключом.
  • Не загружайте сертификаты, которые содержат закрытые ключи.

Безопасный поиск

Прокси-сервер, установленный для учета интернет-трафика, можно настроить так, чтобы он добавлял параметр safe=strict ко всем поисковым запросам в Google. При этом Безопасный поиск будет включен всегда, независимо от заданных вами настроек. Обратите внимание, что этот параметр не используется при поиске через SSL. Подробнее о поиске через SSL и фильтрах контента

Как добавлять и удалять сертификаты

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Управление устройствами.Слева нажмите Сети.

    У вас должно быть право администратора Настройки общих устройств.

  3. Нажмите Сертификаты.
  4. Слева на странице выберите организационное подразделение.
    Выберите организационное подразделение верхнего уровня, чтобы применить настройки ко всем пользователям, или другую организацию, чтобы применить настройки к ее пользователям. По умолчанию организационные подразделения наследуют настройки родительской организации.
  5. Чтобы добавить сертификат:
    1. Нажмите Добавить сертификат.
    2. Выберите нужный сертификат и нажмите Открыть.
  6. Чтобы удалить сертификат, выберите Удалить или Отменить и нажмите ОК.
  7. Необязательно: чтобы разрешить браузеру выполнять проверку всей цепочки цифровых сертификатов серверов или если сертификат будет использоваться в качестве корневого центра сертификации для веб-фильтра, выполняющего проверку TLS, установите флажок Использовать этот сертификат как сертификат HTTPS.

Использование функций автоподключения

Автоматическое подключение устройств Chromebook к управляемым сетям

Вы можете настроить устройство Chromebook или другое устройство под управлением Chrome OS на автоматическое подключение к сети. Если установить флажок Разрешить автоподключение только к управляемым сетям, устройства Chromebook будут подключаться только к сети, выбранной в консоли администратора (Управление устройствами > Сеть > Wi-Fi или Управление устройствами > Сеть > Ethernet).

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Управление устройствами.Слева нажмите Сети.

    У вас должно быть право администратора Настройки общих устройств.

  3. Выберите Общие настройки.
  4. Установите флажок Разрешить автоподключение только к управляемым сетям.
  5. Нажмите Сохранить.

Примечание. Даже если этот флажок установлен, устройство под управлением Chrome OS можно вручную подключить к неуправляемой сети.

Автоматическое подключение к сетям EAP-TLS на устройствах под управлением Chrome OS 40 или более поздней версии

Если вы подключаетесь к сети EAP-TLS с сохраненными сертификатами на устройстве с Chrome OS 40 или более поздней версией, произойдет следующее:

  • После того как сертификаты будут установлены, устройство подключится к сети EAP-TLS автоматически.
  • Если после первого входа в систему будет обнаружен сертификат и сеть EAP-TLS, устройство автоматически подключится к ней независимо от того, включен режим временного профиля или нет.
  • Если управляемая сеть, с сохраненными сертификатами или без, была настроена в консоли администратора, то при входе в систему устройство подключится к самой защищенной сети.

Автоматическое подключение к другим сетям на устройствах под управлением Chrome OS 40 или более поздней версии

С сетями 802.1X, отличными от EAP-TLS, автоматическое соединение устанавливается несколько иначе. Если учетные данные назначены индивидуально, то при первом входе в систему пользователям потребуется подключиться к сети 802.1X вручную. Это будет необходимо, даже если они используют переменные, а в настройках активировано автоподключение. Когда пользователь впервые войдет в систему, его учетные данные сохранятся на устройстве в личном профиле. После этого соединение с сетью будет устанавливаться автоматически.

Как выбираются сети, подключение к которым происходит автоматически

Относится к устройствам под управлением Chrome OS 72 или более поздней версии

Если вы включили автоматическое подключение к сети и доступны несколько сетей, устройство под управлением Chrome OS выбирает сеть на основе приоритетов. Приоритеты применяются в указанном ниже порядке. Если одному приоритету соответствуют несколько сетей, для выбора одной из них устройство применяет следующий приоритет в списке.

  1. Технологии: предпочтение отдается сетям Ethernet, а при их отсутствии – сетям Wi-Fi.
  2. Управление: предпочтение отдается управляемым сетям, настроенным с помощью правил, а при их отсутствии – неуправляемым сетям, настроенным на уровне пользователя/устройства.
  3. Уровень безопасности: предпочтение отдается сетям с доступом по протоколу TLS, а при их отсутствии – сетям с доступом по протоколу PSK. Открытые сети выбираются только в том случае, если сети с шифрованием TLS или PSK недоступны.
  4. Профиль: предпочтение отдается сетям, настроенным на уровне профиля пользователя, а при их отсутствии – сетям, настроенным на уровне устройства.

Дальнейшие действия

Подробную информацию о развертывании Wi-Fi и других сетей для устройств Chrome, в том числе о настройке TLS- и SSL-фильтров, можно найти в статье Корпоративные сети на устройствах Chrome

Обратите внимание, что подключать и настраивать сети можно с помощью программ чтения с экрана. Подробная информация об этом приведена на сайте Google Специальные возможности и в руководстве по специальным возможностям для администраторов G Suite. Если вы столкнулись с проблемой при использовании специальных возможностей, сообщите нам об этом.

Эта информация оказалась полезной?
Как можно улучшить эту статью?