管理网络

如果您使用的是旧版 G Suite,则必须升级到 G Suite 基本版才能使用此功能。

注意:本文介绍如何为移动设备、Chromebook 和 Chromebox 会易设备配置网络。

在 Google 管理控制台中,您可以为您网域中注册的受管理设备配置 Wi-Fi、以太网、虚拟专用网 (VPN) 访问以及网络证书。添加网络配置时,您既可以对整个单位实施统一的网络设置,也可以针对不同的单位部门实施特定网络设置。

如果您“按用户”配置网络设置,则可以将相应设置应用于单位部门中所有用户的移动设备和 Chromebook。您还可以“按设备”直接为 Chromebook 和 Chromebox 会易设备配置网络设置。

展开所有部分   |   收起所有部分

准备工作

  • 如果您需要在单位中的 Chromebook 上使用静态 IP 地址,则可以使用 DHCP 服务器上预留的 IP 地址。但是,DHCP 不提供身份验证。要在网络上跟踪 Chrome 设备的身份,请使用另外的身份验证机制。
  • 如果您在设置网络时将密码字段留空,则用户可以在设备上设置密码。如果您指定了密码,则系统会在设备上强制使用该密码,且用户无法进行更改。

设置网络

添加 VPN 配置

适用于受管理的 Chromebook 和其他运行 Chrome 操作系统的设备。

如果您使用的是:

第三方 VPN 应用 - 从 Chrome 网上应用店下载此应用。您可以像安装和配置任何其他 Chrome 应用一样安装和配置第三方 VPN 应用。有关详情,请参阅为单个应用设置 Chrome 政策

内置 VPN - 如果您打算使用 Chrome 操作系统原生支持的 VPN 模式(OpenVPN 和 L2TP over IPSec),请添加相应 VPN 配置。请按照以下步骤操作:

第 1 步:设置常规 VPN 信息

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到设备管理,然后点击左侧的网络

    需要拥有共享设备设置管理员权限。

  3. 点击 VPN
  4. 从左侧列表中选择合适的单位。
  5. 点击底部的添加 VPN
  6. 输入 VPN 的名称。
  7. 远程主机框中,输入提供 VPN 访问的服务器的 IP 地址或完整服务器主机名。
  8. (可选)要自动将设备连接到此 VPN,请选中自动连接复选框。

第 2 步:配置 VPN 设置

  1. 选择 VPN 类型。
    管理控制台无法任意推送各类 OpenVPN 配置。例如,它不能为使用传输层安全协议(TLS) 身份验证的 OpenVPN 网络推送配置。
  2. 配置设置:
    • 对于使用预共享密钥的 L2TP over IPsec:
      1. 输入要连接到 VPN 所需的预共享密钥。
        保存配置后,此值将不再明文可见。
      2. 输入用于连接 VPN 的用户名。
        该用户名支持使用用户名变量
      3. (可选)输入密码。
        如果您使用的是用户名变量,请勿输入密码。保存配置后,此值将不再明文可见。
    • 对于 OpenVPN,请按照以下步骤操作:
      1. (可选)输入连接远程主机所用的端口。
      2. 选择 VPN 流量所用的协议。
      3. 选择对网络连接提供的证书进行身份验证时所要允许的授权机构。
        从您上传的证书中进行选择。
      4. 如果服务器要求使用客户端证书,请选中使用客户端注册网址复选框。
        选中后,请为颁发者模式主题模式输入一个或多个值。
        • 您指定的所有值都必须与证书中对应的值完全一致,系统才能使用该证书。
        • 您的服务器应提供带有 HTML5 keygen 标记的证书。
      5. 输入 OpenVPN 用户名(支持用户名变量)。
        如果要求个人用户在登录时提供凭据,请将此字段留空。
      6. 输入 OpenVPN 密码。
        如果要求个人用户在登录时提供凭据,请将此字段留空。
  3. 为您的 VPN 指定代理设置。

第 3 步:授予 VPN 访问权限

  1. (可选)要仅限特定设备访问网络,请取消选中相应设备旁边的复选框。
  2. 点击添加 然后 保存更改
添加 Wi-Fi 或以太网网络配置
您可以专门为 Chrome 设备配置以太网访问。我们已在 Wi-Fi 设置中对可以配置的以太网设置进行了说明。我们建议您在网域中的顶级单位一级至少设置一个无线网络,并将其设置为自动连接。这可确保设备在登录屏幕上即可访问此 Wi-Fi 网络。

如果您的受管理设备注册了移动设备管理服务,您就可以自动为这些设备添加已配置的 Wi-Fi 网络。所有类型的 G Suite 客户均可使用网络管理设置。用户需要在自己搭载 Android 2.2 及更高版本的设备上安装 Google Apps Device Policy。只有搭载 Android 4.3 及更高版本的设备才支持其他 802.1x Wi-Fi 网络。受管理 iOS 设备支持以下可扩展的身份验证协议 (EAP):受保护的可扩展身份验证协议 (PEAP)、轻量可扩展身份验证协议 (LEAP)、传输层安全 (TLS) 和隧道传输层安全 (TTLS)。

注意:移动设备始终会继承其用户的 Wi-Fi 网络设置。因此,只能针对用户为移动设备配置网络设置。

设置常规网络信息

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到设备管理,然后点击左侧的网络

    需要拥有共享设备设置管理员权限。

  3. 点击 Wi-Fi
  4. 从左侧列表中选择合适的单位。
  5. 点击底部的添加 Wi-Fi
  6. 输入 Wi-Fi 网络的名称。
    该名称仅供个人使用之便,且无需与网络的服务集标识符 (SSID) 保持一致。
  7. 输入 Wi-Fi 网络的 SSID。
    SSID 区分大小写。
  8. (可选)如果不希望您的网络广播其 SSID,请选中不广播此 SSID 复选框。
  9. (可选)要使设备在此网络可用时自动连接,请选中自动连接复选框。

配置安全设置

  1. 为网络选择一种安全加密类型。
    注意:只有 Chrome 设备支持动态 WEP (802.1x)。
  2. (可选)如使用 WEP(不安全)WPA/WPA2 方式的加密,请输入网络安全密码。
  3. (可选)如使用 WPA/WPA2 Enterprise (802.1x)动态 WEP (802.1x),请指定以下信息:

    注意:对于与 G Suite 教育版搭配使用的 Android 平板电脑,您无法在配置学生平板电脑时使用 WPA/WPA2 Enterprise (802.1x),但可以在注册平板电脑后进行手动配置。

    1. 为网络选择一种 EAP。
    2. (可选)对于 EAP-TTLS 和 PEAP,请选择要使用的内部协议。
      “自动”选项适用于大多数配置。
    3. (可选)对于 EAP-TTLS 和 PEAP,请输入要提交给网络外部协议的用户身份。
      该身份支持使用用户名变量
    4. 输入用于管理网络的用户名。
      该用户名支持使用用户名变量。
    5. (可选)输入用户名所对应的密码。
      EAP-TLS 不需要密码。保存配置后,此值将不再明文可见。
    6. (可选)选择服务器证书授权机构。
      LEAP 或 EAP-PWD 不需要执行此操作。
    7. (可选)对于 EAP-TLS 网络,请指定以下信息:
      • 输入客户端注册网址。
      • 输入“颁发者模式”或“主题模式”的一个或多个值。
        您指定的所有值都必须与证书中对应的值完全一致,系统才能使用该证书。您的服务器应提供带有 HTML5 keygen 标记的证书。
  4. 为网络指定代理设置。
    1. 代理设置下方,选择下列选项之一:
      直接连接到互联网

      允许直接通过互联网访问所有网站,无需使用代理服务器。

      注意:与 G Suite 教育版搭配使用的 Android 平板电脑不支持直接连接到互联网。

      手动代理配置

      指定您定义的服务器配置。输入要使用的服务器主机 IP 地址和端口号。要绕过代理服务器(不适用于 iOS 设备流量),不为部分网域或 IP 地址设置代理,请以列表形式输入这些网域和 IP 地址(以逗号分隔,不留空格)。您可以使用通配符。例如,要添加 google.com 的所有变体,请输入 *google.com*。

      自动代理配置 使用代理服务器自动配置 (.pac) 文件确定要使用的代理服务器。输入 PAC 文件网址。
    2. (可选)如果您使用经过身份验证的代理,则必须将这份列表中的所有主机名列入白名单。
      注意:Chrome 操作系统仅支持浏览器流量使用经过身份验证的代理,而不支持非用户流量或来自 Android 应用或虚拟机的流量使用经过身份验证的代理。

授予网络访问权限

  1. (可选)要仅限特定设备访问网络,请取消选中相应设备旁边的复选框。
  2. 选择按用户还是按设备应用网络。

    仅移动设备和 Chromebook 支持使用“按用户”设置访问权限,而只有 Chromebook 和 Chromebox 会易设备才支持按设备设置访问权限。对于与 G Suite 教育版搭配使用的 Android 平板电脑,请选择按用户

  3. 点击添加 然后 保存更改

设置 Wi-Fi 网络时的其他注意事项

  • 设置 Wi-Fi 网络后,请务必先设置其他网络,然后再更改密码,以便用户能够在自己的设备上使用更新后的 Wi-Fi 设置。
  • 如果您配置了多个 Wi-Fi 网络,则一次只能更改一个网络的密码。
  • 隐藏的网络可能需要过一段时间才会在 Android 设备上显示。
根据政策配置网络凭据

您可以设定政策,让 Chrome 和 Android 设备使用指定的用户名或身份凭据自动尝试连接到安全网络。举例来说,您可以规定让设备使用已登录用户的用户名或完整电子邮件地址,这样用户只需提供密码即可进行身份验证。

如要在 Chrome 设备中使用此功能,在配置 Enterprise (802.1x)、WPA/WPA2 Enterprise (802.1x)、动态 WEP (802.1x) 或 VPN 时,请在用户名外部身份框中指定以下任一变量。

在运行 Chrome 操作系统的设备中配置 802.1x 时,如果“${PASSWORD}”变量已被指定,系统会使用用户当前的登录密码进行身份验证,否则就会提示用户输入登录密码。

输入变量时请严格遵照下表中“变量”列中的文本。例如,输入 ${LOGIN_ID} 即可令系统将此变量替换为实际的值 jsmith。

变量 受支持的设备
${LOGIN_ID}

当前用户名(例如:jsmith)。

注意:在 Chrome 设备中,系统只会为“按用户”配置网络设置的网络替换此变量。

Android
Chrome
${LOGIN_EMAIL}

当前用户的完整电子邮件地址(例如:jsmith@your_domain.com)。

注意:在 Chrome 设备中,系统只会为“按用户”配置网络设置的网络替换此变量。

Android
Chrome
${CERT_SAN_EMAIL}

根据颁发者模式或主题模式,与此网络匹配的客户端证书中的首个 rfc822Name Subject Alternate Name 字段。
如果您通过非 Google 登录连接到无线网络,则该变量可能与 ${LOGIN_EMAIL} 不同。

Chrome 51 及更高版本支持此变量。

Chrome 51 及更高版本
${CERT_SAN_UPN}

根据颁发者模式或主题模式,与此网络匹配的客户端证书中的首个 Microsoft User Principal Name otherName 字段。

Chrome 51 及更高版本支持此变量。

Chrome 51 及更高版本
${PASSWORD} 当前用户的密码(例如:password1234)。 Chrome
 

注意:

  • ${CERT_SAN_EMAIL} 和 ${CERT_SAN_UPN} 仅会读取证书中的 X509v3 Subject Alternate Name。具体来说,这两个变量不会读取“Subject Name”字段中的任何字段。
  • 如果客户端证书缺少指定用于替换的字段,则任何替换内容均不会生效,而且文字字符串变量将保留在标识字段。
  • 基于证书的替换仅在 Wi-Fi 环境下生效,不支持 VPN。
  • 所有运行 Chrome 68 及更高版本操作系统的设备都可使用“${PASSWORD}”变量自动连接网络并进行身份验证。如果是运行 Chrome 66 和 67 的设备,则只有已注册的设备可使用此变量。

管理网络

更改或删除现有配置

您可以更改或删除现有的 VPN、Wi-Fi 或以太网网络配置。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到设备管理,然后点击左侧的网络

    需要拥有共享设备设置管理员权限。

  3. 根据您要更改或删除的配置类型,请执行以下一项操作:
    • 点击 Wi-Fi
    • 点击以太网
    • 点击 VPN
  4. 从左侧列表中选择合适的单位。
  5. (可选)要修改现有配置,请执行以下操作:
    1. 点击网络右侧的修改
    2. 进行所需更改,然后点击应用
  6. (可选)要从单位中还原本地应用的网络配置,请点击相应网络右侧的还原
    • 如果该网络已添加到当前单位,则其将被永久删除。
    • 如果该网络继承自上级单位,且之后被修改,则本地应用的更改将被还原,上级单位的更改将被继承。
  7. (可选)要从下级单位中移除继承的网络,请点击相应网络右侧的移除
  8. 点击保存更改
管理证书

设置网络后,您可以添加新证书(X.509 PEM 格式)或删除不使用的证书。

准备工作

  • 在 Chrome 操作系统 61 至 72 版本中,单位添加的证书可用于设备上的网络设置和自助服务终端应用。在之前的版本中,证书仅适用于设备上的网络设置。
  • 在 Chrome 操作系统 73 及更高版本中,单位添加的证书可用于设备上的网络设置、自助服务终端应用和受管理的访客自助服务终端。
  • 一些使用 PEAP、TLS 和 TTLS 的配置需要通过服务器端证书才可访问。
  • 要将证书用于 EAP Wi-Fi 网络,必须通过密码、PIN 码或图案验证为设备提供保护。
  • 请勿上传包含私钥的证书。

安全搜索

如果您在网络流量中部署代理,则可以对您的代理进行配置,为所有发送给 Google 的搜索请求附加 safe=strict 属性。不论“搜索设置”页上的设置如何,此参数均会为所有搜索启用严格的安全搜索。但是,此参数不适用于使用 SSL 搜索的搜索。了解如何防止 SSL 搜索绕过您的内容过滤器

添加或删除证书

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到设备管理,然后点击左侧的网络

    需要拥有共享设备设置管理员权限。

  3. 点击证书
  4. 在左侧,选择您要为其添加或删除证书的单位部门。
    如要为所有用户设置,请选择顶级单位部门。否则,请选择其他单位以为其用户进行设置。最初,单位会沿用其上级单位的设置。
  5. 如要添加证书,请执行以下操作:
    1. 点击添加证书
    2. 选择要上传的证书,然后点击打开
  6. 如要移除证书,请选择移除还原,然后点击确定
  7. (可选)要允许浏览器验证服务器的完整数字证书链,或者要将证书用作 TLS 检查网络过滤器的根 CA,请勾选将此证书用作 HTTPS 证书授权对应的复选框。

使用自动连接功能

将 Chromebook 自动连接到受管理的网络

您可以将 Chromebook 或运行 Chrome 操作系统的其他设备配置为自动连接到网络。选中只允许自动连接到所管理的网络表示 Chromebook 只能自动连接到指定网络:在设备管理 > 网络 > Wi-Fi设备管理 > 网络 > 以太网中指定。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到设备管理,然后点击左侧的网络

    需要拥有共享设备设置管理员权限。

  3. 点击基本设置
  4. 选中只允许自动连接到所管理的网络复选框。
  5. 点击保存更改

注意:即使此设置生效,您仍可以通过手动连接将 Chrome 设备连接到不受管理的网络。

运行 Chrome 40 及更高版本的设备如何自动连接到 EAP-TLS 网络

如果您在运行 Chrome 40 及更高版本的 Chrome 设备上连接到 EAP-TLS(支持客户端证书的网络),您的 Chromebook 将会执行以下操作:

  • 在某个扩展程序安装客户端证书后,自动连接到 EAP-TLS(支持客户端证书的网络)。
  • 首次登录(即使是暂存模式)后,如果存在设备证书和 EAP-TLS 网络,您将再次自动切换到支持证书的网络。
  • 如果有任何设备专属的受管理网络是在管理控制台中配置的(不一定支持证书),则系统会自动连接到登录屏幕上安全性“最高”的受管理网络。

运行 Chrome 40 及更高版本的设备如何自动连接到非 EAP-TLS 网络

对于非 EAP-TLS 的 802.1X 网络,自动连接行为有所不同。具体来说,如果您的网络与每位用户都有关联的唯一凭据,则用户在首次登录此设备时,必须手动连接到 802.1X 网络。即使已设置自动连接设置,且用户使用变量,上述情况仍适用。用户首次手动连接后,登录凭据会存储在此设备上的用户配置文件中。下次登录时,设备便会自动连接到同一网络。

如何选择自动连接网络

适用于 Chrome 72 或更高版本。

如果您已启用自动连接,并且有多个可用网络,您的 Chrome 操作系统设备会根据以下优先级选择网络。设备会按照以下顺序应用优先级规则。如果多个网络符合一项规则,则会根据是否符合下一项规则来判断,以此类推。

  1. 技术 - 以太网优先于 Wi-Fi 网络。
  2. 是否受管理 - 政策配置的受管理网络优先于用户/设备配置的不受管理的网络。
  3. 安全级别 - 采用 TLS 加密的网络优先于 PSK 加密网络。仅当这两种可用网络均不存在时,设备才会选择开放网络。
  4. 配置文件 - 用户配置文件级别配置的网络优先于设备级别配置的网络。

后续步骤

要详细了解如何为 Chrome 设备配置 Wi-Fi 和网络设置,包括如何设置 TLS 或 SSL 内容过滤器,请参阅针对 Chrome 设备设置企业网络

无障碍功能:网络管理设置可通过屏幕阅读器查看。有关详情,请参阅 Google 无障碍功能G Suite 管理员无障碍功能指南。如果要报告问题,请参阅 Google 无障碍功能反馈

该内容对您有帮助吗?
您有什么改进建议?