管理網路

如果您使用的是 G Suite 免費版 (舊版),則需升級至 G Suite Basic 才能使用這項功能。

注意:本文將說明如何為行動裝置、Chromebook 和 Chromebox 視訊會議解決方案裝置建立及配置網路設定。

在 Google 管理控制台中,您可以為您網域中已註冊的受管理裝置設定 Wi-Fi 網路、乙太網路、虛擬私人網路 (VPN) 存取權限,以及網路憑證。新增網路組態設定時,您可以對整個機構統一套用相同的網路設定,也可以對不同的機構單位分別套用專屬的網路設定。

如果您是「依使用者」來設定網路,設定將套用至機構單位中所有使用者的行動裝置和 Chromebook。此外,您也可以選擇「依裝置」,直接為 Chromebook 和 Chromebox 視訊會議解決方案裝置指定網路設定。

全部展開   |   全部收合

事前準備

  • 如果您需要在貴機構的 Chromebook 上使用靜態 IP 位址,可以在 DHCP 伺服器上使用 IP 位址保留設定。不過,DHCP 無法提供驗證服務,如果您想在網路上追蹤 Chrome 裝置的身分,請使用另外的驗證機制。
  • 如果您在設定網路時將密碼欄位留白,使用者可在裝置上設定密碼。如果您指定密碼,裝置將強制套用您所設定的密碼,使用者無法變更。

設定網路

新增 VPN 設定

適用於受管理的 Chromebook 和其他 Chrome 作業系統裝置。

如果您是使用:

第三方 VPN 應用程式:請透過 Chrome 線上應用程式商店下載應用程式。您可以安裝並設定第三方 VPN 應用程式,方法就和使用其他 Chrome 應用程式一樣。詳情請參閱為單一應用程式設定 Chrome 政策

內建 VPN:如要使用 Chrome OS 原生支援的其中一種 VPN 類型 (OpenVPN 和 L2TP over IPSec),請新增 VPN 設定。請按照下列步驟操作:

步驟 1:設定一般 VPN 資訊

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中前往 [裝置管理],按一下左側的 [網路]

    必須擁有共用裝置設定管理員權限。

  3. 按一下 [VPN]
  4. 從左側清單中選取要設定的機構。
  5. 按一下底部的 [新增 VPN]
  6. 輸入 VPN 名稱。
  7. 在 [遠端主機] 方塊中,輸入提供 VPN 存取權限的伺服器IP 位址、或完整的伺服器主機名稱。
  8. (選用) 如要讓裝置自動連線至該 VPN,請勾選 [自動連線] 核取方塊。

步驟 2:調整 VPN 設定

  1. 選擇 VPN 類型。
    管理控制台能推送的 OpenVPN 設定有限。舉例來說,控制台無法針對採用傳輸層安全標準 (TLS) 驗證的 OpenVPN 網路推送設定。
  2. 調整設定:
    • 如果是 L2TP over IPsec (預先共用金鑰):
      1. 輸入連線至 VPN 所需的預先共用金鑰。
        在您儲存設定後,系統將不再顯示這個值。
      2. 輸入用於連線至 VPN 的使用者名稱。
        該使用者名稱可支援使用者名稱變數
      3. (選用) 輸入密碼。
        如果您採用使用者名稱變數,則不需輸入密碼。在您儲存設定後,系統將不再顯示這個值。
    • 如果是 OpenVPN:
      1. (選用) 輸入連線至遠端主機時要使用的通訊埠。
      2. 選擇 VPN 流量傳輸所使用的通訊協定。
      3. 在驗證網路連線所提供的憑證時,選擇要授權給哪些單位。
        接著從已上傳的憑證中選擇要使用的憑證。
      4. 如果伺服器需要用戶端憑證,請勾選 [使用用戶端註冊網址] 核取方塊。
        勾選後,請在 [發行者模式] 或 [主體模式] 中輸入一或多個值。
        • 您指定的每個值都必須與所用憑證中對應的值完全相符。
        • 您的伺服器會透過 HTML5 Keygen 標記來提供憑證。
      5. 輸入 OpenVPN 使用者名稱 (支援使用者名稱變數)。
        如要在登入時要求個別使用者憑證,請將此欄位留白。
      6. 輸入 OpenVPN 密碼。
        如要在登入時要求個別使用者憑證,請將此欄位留白。
  3. 針對您的 VPN 指定 Proxy 設定。

步驟 3:提供 VPN 存取權

  1. (選用) 如要限制特定裝置的存取權限,請取消勾選裝置旁的核取方塊。
  2. 依序按一下 [新增] 接下來 [儲存變更]
新增 Wi-Fi 或乙太網路設定
您可以專為 Chrome 裝置設定乙太網路存取權,這些可調整的乙太網路設定是屬於 Wi-Fi 設定的一部分。建議您在網域的頂層機構設定至少一個無線網路並選取 [自動連線],以確保裝置可在登入畫面存取這個 Wi-Fi 網路。

如果受管理的裝置註冊了行動管理服務,您可以為這些裝置自動新增已設定好的 Wi-Fi 網路。所有 G Suite 版本的客戶都可以使用網路管理設定。使用者必須在搭載 Android 2.2 以上版本的裝置上安裝 Google Apps Device Policy,搭載Android 4.3 以上版本的裝置,還可支援 802.1x Wi-Fi 網路。而受管理的 iOS 裝置支援的加強式驗證通訊協定 (EAPs) 如下:受保護的加強式驗證通訊協定 (PEAP)、精簡版加強式驗證通訊協定 (LEAP)、傳輸層安全性 (TLS) 以及通道傳輸層安全性 (TTLS)。

注意:行動裝置一律會沿用使用者的 Wi-Fi 網路設定,因此,您只能「依使用者」來套用行動裝置的網路設定。

設定一般網路資訊

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中前往 [裝置管理],按一下左側的 [網路]

    必須擁有共用裝置設定管理員權限。

  3. 按一下 [Wi-Fi]
  4. 從左側清單中選取要設定的機構。
  5. 按一下底部的 [新增 Wi-Fi]
  6. 輸入 Wi-Fi 網路名稱。
    這個名稱僅供參考,不需與網路的服務集識別碼 (SSID) 相符。
  7. 輸入 Wi-Fi 網路的 SSID。
    SSID 須區分大小寫。
  8. (選用) 如果您的網路並未對外播送 SSID 資訊,請勾選 [這個 SSID 未公開播送] 核取方塊。
  9. (選用) 如要讓裝置在偵測到這個網路時自動連線,請勾選 [自動連線] 核取方塊。

調整安全性設定

  1. 選擇網路的安全性類型。
    注意:動態 WEP (802.1x) 僅適用於 Chrome 裝置。
  2. (選用) 如果選擇 [WEP (不安全)] 和 [WPA/WPA2] 安全性類型,請輸入一組網路安全性通關密語。
  3. (選用) 如果選擇 [WPA/WPA2 Enterprise (802.1x)] 和 [動態 WEP (802.1x)],請指定以下資訊:

    注意:在與 G Suite 教育版搭配使用的 Android 平板電腦上,您無法在學生平板電腦設定過程中使用 WPA/WPA2 Enterprise (802.1x),但可以在平板電腦註冊完成後再手動套用。

    1. 選擇網路的 EAP。
    2. (選用) 如果是 EAP-TTLS 和 PEAP,請選擇使用內部通訊協定。
      [自動] 可適用於大部分設定。
    3. (選用) 如果是 EAP-TTLS 和 PEAP,請輸入對網路外部通訊協定顯示的使用者身分。
      該身分可支援使用者名稱變數
    4. 輸入用於管理網路的使用者名稱。
      該使用者名稱可支援使用者名稱變數。
    5. (選用) 輸入使用者密碼。
      EAP-TLS 不需要這項設定。在您儲存設定後,系統將不再顯示這個值。
    6. (選用) 選擇伺服器憑證授權單位。
      LEAP 和 EAP-PWD 不需要這項設定。
    7. (選用) 如果是 EAP-TLS 網路,請指定下列設定:
      • 輸入用戶端註冊網址。
      • 在 [發行者模式] 或 [主體模式] 中輸入一或多個值。
        您指定的每個值都必須與所用憑證中對應的值完全相符。您的伺服器會透過 HTML5 Keygen 標記來提供憑證。
  4. 配置網路的 Proxy 設定。
    1. 在「Proxy 設定」之下,請選擇下列其中一個選項:
      直接連線到網際網路

      允許直接透過網際網路存取所有網站,不需使用 Proxy 伺服器。

      注意:與 G Suite 教育版搭配使用的 Android 平板電腦不支援「直接連線到網際網路」。

      手動 Proxy 設定

      指定您定義的 Proxy 伺服器設定。輸入要使用的伺服器主機 IP 位址和通訊埠號碼。如要略過 Proxy 伺服器 (不適用於 iOS 裝置流量),不為部分網域或 IP 位址設定 Proxy,請以清單形式輸入 IP 位址和通訊埠號碼 (以半形逗號分隔,不含空格)。您可以使用萬用字元。舉例來說,如要新增所有不同形式的 google.com,請輸入 *google.com*。

      自動 Proxy 設定 使用 Proxy 伺服器自動設定 (.pac) 檔案決定要使用的 Proxy 伺服器。輸入 PAC 檔案網址。
    2. (選用) 如果您使用的 Proxy 已通過驗證,則必須將這份清單中的主機名稱全部加入許可清單。
      注意:Chrome 作業系統僅支援透過已驗證的 Proxy 傳送瀏覽器流量,不支援透過已驗證的 Proxy 傳送非使用者流量,或是來自 Android 應用程式或虛擬機器的流量。

提供網路存取權

  1. (選用) 如要限制特定裝置的存取權限,請取消勾選裝置旁的核取方塊。
  2. 選擇是否要 [依使用者] 或 [依裝置] 套用網路設定。

    「使用者導向」的網路存取設定僅適用於行動裝置和 Chromebook,而「裝置導向」的網路存取設定僅適用於 Chromebook 和 Chromebox 視訊會議解決方案裝置。如果您的 Android 平板電腦是與 G Suite 教育版搭配使用,請選擇 [依使用者]

  3. 依序按一下 [新增] 接下來 [儲存變更]

設定 Wi-Fi 網路時的其他注意事項

  • 設定 Wi-Fi 網路後,請確保在變更密碼前設定其他網路,以便使用者在裝置上取得最新的 Wi-Fi 設定。
  • 如果您已設定多個 Wi-Fi 網路,建議您一次只變更一個網路的密碼。
  • 在 Android 裝置中,系統需要花點時間才能識別隱藏的網路。
依政策設定網路憑證

您可以讓 Chrome 和 Android 裝置使用政策指定的使用者名稱或識別憑證,自動嘗試連線至安全網路。例如,您可以指定使用已登入使用者的使用者名稱或完整電子郵件地址,這樣使用者就只需要提供密碼進行驗證。

如要在 Chrome 裝置上使用這項功能,請於設定 Enterprise (802.1x)、WPA/WPA2 Enterprise (802.1x)、動態 WEP (802.1x) 或 VPN 時,在 [使用者名稱] 或 [外部身分] 方塊中指定下列其中一種變數。

為搭載 Chrome 作業系統的裝置設定 802.1x 時,如果指定 ${PASSWORD} 變數,系統就會用使用者目前的登入密碼進行登入。如果沒有指定這個變數,系統則會提示使用者在登入時輸入密碼。

請輸入下表 [變數] 一欄中顯示的確切變數文字。舉例來說,輸入 ${LOGIN_ID} 即可讓系統以實際的值 (jsmith) 取代這個變數。

變數 支援的裝置
${LOGIN_ID}

目前使用者的使用者名稱,例如 jsmith。

注意:在 Chrome 裝置上,只有「依使用者」套用的網路會取代這個變數。

Android
Chrome
${LOGIN_EMAIL}

目前使用者的完整電子郵件地址,例如 jsmith@<您的網域>.com。

注意:在 Chrome 裝置上,只有「依使用者」套用的網路會取代這個變數。

Android
Chrome
${CERT_SAN_EMAIL}

系統會根據發行者模式或主體模式,將用戶端憑證中的第一個 [rfc822Name Subject Alternate Name] 欄位設定為與這個網路相符。
如果使用者透過 Google 以外的帳戶連線至無線網路,這項變數會與 ${LOGIN_EMAIL} 有所不同。

僅適用於 Chrome 51 以上版本。

Chrome 51 以上版本
${CERT_SAN_UPN}

系統會根據發行者模式或主體模式,將用戶端憑證中的第一個 [Microsoft User Principal Name otherName] 欄位設定為與這個網路相符。

僅適用於 Chrome 51 以上版本。

Chrome 51 以上版本
${PASSWORD} 目前使用者的密碼,例如 password1234。 Chrome
 

注意:

  • ${CERT_SAN_EMAIL} 和 ${CERT_SAN_UPN} 只會讀取憑證中的 [X509v3 主旨別名]。也就是說,這些變數並不會讀取 [主旨名稱] 欄位中的任何欄位。
  • 如果用戶端憑證缺少用來指定替代變數的欄位,替代變數將不會生效,且身分欄位也會保留實字字串變數。
  • 憑證式替代變數僅適用於 Wi-Fi 網路環境,不適用於 VPN 連線。
  • 凡是搭載 Chrome 68 以上版本的裝置,都支援使用 ${PASSWORD} 變數的自動連線和驗證方式;如為 Chrome 66 和 67 的版本,則只適用於已註冊的裝置。

管理網路

變更或刪除現有設定

您可以變更或刪除現有的 VPN、Wi-Fi 或乙太網路設定。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中前往 [裝置管理],按一下左側的 [網路]

    必須擁有共用裝置設定管理員權限。

  3. 根據您要變更或刪除的設定類型,執行下列其中一項操作:
    • 按一下 [Wi-Fi]
    • 按一下 [乙太網路]
    • 按一下 [VPN]
  4. 從左側清單中選取要設定的機構。
  5. (選用) 如何編輯現有設定:
    1. 按一下網路右邊的 [編輯]。
    2. 進行所需變更,然後按一下 [套用]。
  6. (選用) 如要還原在機構內套用的網路設定,請按一下該網路右邊的 [還原]
    • 如果是新增到現有機構的網路,設定就會遭到永久刪除。
    • 如果是沿用自上層機構再加以編輯的網路,系統就會還原機構內套用的設定,並且沿用上層機構的變更。
  7. (選用) 如要移除子機構沿用的網路,請按一下該網路右邊的 [移除]。
  8. 按一下 [儲存變更]。
管理憑證

網路設定完畢後,您可以新增 X.509 PEM 格式的憑證,或是刪除不需要的憑證。

事前準備

  • 在搭載 Chrome 作業系統 61 至 72 等版本的裝置上,機構新增的憑證可用於裝置上的網路設定和資訊站應用程式;而在使用舊版作業系統的裝置上,憑證僅適用於裝置上的網路設定。
  • 在搭載 Chrome 作業系統 73 以上版本的裝置上,機構新增的憑證可用於裝置上的網路設定、資訊站應用程式和受管理的訪客工作階段。
  • 有些採用 PEAP、TLS、TTLS 的設定必須透過伺服器端憑證存取。
  • 如要為 EAP Wi-Fi 網路使用憑證,裝置必須使用密碼、PIN 碼或圖形驗證來確保安全性。
  • 請不要上傳包含私密金鑰的憑證。

安全搜尋

如果您在網路流量中部署 Proxy,可以設定 Proxy 在所有傳送至 Google 的搜尋要求中附加 safe=strict 參數,藉此將所有餿循線訂為安全搜尋 (無論「搜尋設定」頁面中的設定為何)。然而,這項參數不適用於使用 SSL 搜尋的搜尋要求。進一步瞭解如何禁止 SSL 搜尋略過您的內容篩選器

新增或刪除憑證

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中前往 [裝置管理],按一下左側的 [網路]

    必須擁有共用裝置設定管理員權限。

  3. 按一下 [憑證]。
  4. 在左側選取您要新增或刪除憑證的機構單位。
    如要為所有使用者套用設定,請選取頂層機構單位。如果只要為特定機構的使用者套用設定,則請選取該機構。在預設狀態下,機構會沿用上層機構的設定。
  5. 如果您要新增憑證:
    1. 按一下 [新增憑證]
    2. 選擇要上傳的憑證,然後按一下 [開啟]
  6. 如果您要移除憑證,請選取 [移除] 或 [還原],然後按一下 [確定]
  7. (選用) 如要允許瀏覽器驗證伺服器的完整數位憑證鏈結,或是將憑證做為傳輸層安全標準 (TLS) 檢查網站篩選器的根 CA,請勾選 [使用這個憑證做為 HTTPS 憑證授權] 核取方塊。

使用自動連線功能

讓 Chromebook 自動連線至受管理的網路

您可以設定讓 Chromebook 或其他搭載 Chrome 作業系統的裝置自動連線至指定網路。勾選 [僅允許自動連線至受管理的網路] 即表示 Chromebook 僅能自動連線至指定的網路 (請依序透過 [裝置管理] > [網路] > [Wi-Fi] 或 [裝置管理] > [網路] > [乙太網路] 進行設定)。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中前往 [裝置管理],按一下左側的 [網路]

    必須擁有共用裝置設定管理員權限。

  3. 按一下 [一般設定]
  4. 勾選 [僅允許自動連線至受管理的網路]
  5. 按一下 [儲存變更]。

注意:即使這項設定已生效,您仍然可以手動將 Chrome 裝置連線至未受管理的網路。

搭載 Chrome 40 以上版本的裝置自動連線至 EAP-TLS 網路的運作方式

如果您是透過搭載 Chrome 40 以上版本的 Chrome 裝置連線至 EAP-TLS (支援用戶端憑證的網路),您的 Chromebook 會執行以下操作:

  • 在擴充功能安裝用戶端憑證後,自動連線至 EAP-TLS (支援用戶端憑證的網路)。
  • 初次登入 (即使透過暫時模式登入) 後,如果系統同時偵測到裝置憑證和 EAP-TLS 網路,會再次為您切換至支援憑證的網路。
  • 如果您已在管理控制台中設定裝置層級的受管理網路 (不需為支援憑證的網路),系統會在登入畫面時自動連線至「最高」安全性的受管理網路。

搭載 Chrome 40 以上版本的裝置自動連線至非 EAP-TLS 網路的運作方式

針對非 EAP-TLS 的 802.1X 網路,自動連線的運作方式將有所不同。具體而言,如果您的網路為每位使用者提供專屬憑證,使用者就必須在初次登入裝置時手動連線至該 802.1X 網路。即使您已設定自動連線並套用變數,使用者仍需手動進行。使用者初次手動連線後,系統會將登入憑證儲存在裝置上的個人資料中,日後再次登入時就會自動連線至該網路。

如何選擇自動連線的網路

適用於 Chrome 72 以上版本。

如果您已啟用自動連線功能,並設有多個可用網路,您的 Chrome 作業系統裝置會根據下列優先順序來選擇連線的網路。裝置採用各優先順序規則的順序如下所示。如果同時有多個網路符合一項規則,則會依據是否符合下一項規則來做判定,以此類推。

  1. 技術:乙太網路優先於 Wi-Fi 網路。
  2. 受管理與否:受政策管理的網路優先於未受管理、只有使用者/裝置設定的網路。
  3. 安全等級:採用傳輸層安全標準 (TLS) 加密的網路優先於 PSK 加密網路。如果沒有這兩種網路可用,裝置才會選擇開放網路。
  4. 設定檔:在使用者層級設定的網路優先於在裝置層級設定的網路。

後續步驟

如要進一步瞭解如何為 Chrome 裝置部署 Wi-Fi 和網路,包括設定傳輸層安全標準 (TLS) 或安全資料傳輸層 (SSL) 內容篩選器,請參閱為 Chrome 裝置設定企業網路

無障礙功能:您可以使用螢幕閱讀器存取網路管理設定。如需瞭解詳情,請瀏覽 Google 無障礙中心G Suite 管理員專用的無障礙功能指南。如需回報相關問題,請參閱 Google 無障礙功能意見回饋

這對您有幫助嗎?
我們應如何改進呢?