Google-referentieprovider voor Windows installeren

Als beheerder kunt u Google-referentieprovider voor Windows (Google Credential Provider for Windows, GCPW) instellen, zodat gebruikers kunnen inloggen op een Windows 10- of 11-apparaat met het Google-account dat ze gebruiken voor hun werk of op school. Voor apparaten die eigendom zijn van het bedrijf stellen u of andere IT-professionals in uw organisatie GCPW in op de apparaten. Voor persoonlijke apparaten waarop de gebruiker beheerdersrechten heeft, kunt u de gebruiker GCPW laten installeren.

Vereisten

Licentievereisten

GCPW (zelfstandig): Deze functie wordt ondersteund in de volgende versies: Frontline Starter en Frontline Standard, Business Starter, Business Standard, Business Plus, Enterprise Standard en Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade, Education Plus en Endpoint Education Upgrade, Essentials, Enterprise Essentials en Enterprise Essentials Plus, G Suite Basic, G Suite Business, Cloud Identity Free en Cloud Identity Premium. Versies vergelijken
GCPW met Windows-apparaatbeheer: Deze functies worden ondersteund in de volgende versies: Frontline Starter en Frontline Standard, Business Plus, Enterprise Standard en Enterprise Plus, Education Standard, Education Plus en Endpoint Education Upgrade, Enterprise Essentials en Enterprise Essentials Plus en Cloud Identity Premium. Versies vergelijken

Systeemvereisten

Windows 10 of 11 (Pro, Pro for Workstations, Enterprise of Education).
Chrome-browser versie 81 of hoger (stabiele versie), geïnstalleerd met beheerdersrechten.
Beschikbare schijfruimte voor Google Chrome (100 MB) en GCPW (3 MB).
U moet beheerdersrechten op het apparaat hebben om het installatieprogramma uit te voeren. U kunt ook software-implementatietools gebruiken om het installatieprogramma op apparaten te implementeren.
GCPW werkt niet met externe providers van mobiel apparaatbeheer.

Voordat u begint: De implementatie voorbereiden

Bereid u voor om GCPW te installeren en de Chrome-browser te installeren op de apparaten.
Als u Cloudbeheer voor de Chrome-browser wilt gebruiken, stelt u dit in voordat u GCPW installeert. Zie Cloudbeheer voor de Chrome-browser instellen voor meer informatie.

Stap 1. GCPW downloaden

In de volgende stappen leest u hoe u GCPW handmatig instelt. U kunt ook een app-distributietool of PowerShell-script gebruiken om GCPW te distribueren en te installeren. Bekijk het voorbeeld van een PowerShell-script voor meer informatie.

Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
Ga in de Beheerdersconsole naar Menu ApparatenMobiel en eindpuntenInstellingenWindows.
Klik op Google-referentieprovider voor Windows instellenGCPW downloaden.
Download het 64-bits of 32-bits GCPW-installatiebestand en distribueer dit naar apparaten.

Stap 2. Toegestane domeinen en optionele instellingen voor GCPW instellen

Gebruik de configuratiemethode die aansluit bij uw doelen:

Als u dezelfde instellingen wilt toepassen op alle Windows-apparaten in uw organisatie, kunt u het best de Beheerdersconsole gebruiken.
Als u verschillende instellingen wilt toepassen op verschillende apparaten, laat u de instellingen in de Beheerdersconsole staan op Niet geconfigureerd en bewerkt u de registerinstellingen op elk apparaat.

Opmerking: Als u zowel instellingen in de Beheerdersconsole als registerinstellingen configureert, krijgen de instellingen in de Beheerdersconsole voorrang.

GCPW-instellingen configureren in de Beheerdersconsole (aanbevolen)

Voordat u GCPW kunt gebruiken, moet u toegestane domeinen instellen. Als u toegestane domeinen wilt instellen in de Beheerdersconsole, moet het apparaat een inschrijftoken bevatten. U kunt deze token op verschillende manieren instellen:

Als u GCPW heeft gedownload vanuit de Beheerdersconsole, wordt de token automatisch ingesteld via het installatiebestand en kunt u doorgaan.
Als u eerder inschrijftokens heeft ingesteld voor Cloudbeheer voor de Chrome-browser, kunt u met deze tokens ook GCPW-instellingen beheren via de Beheerdersconsole.
Als u GCPW heeft gedownload via de klassieke downloadpagina (https://tools.google.com/dlpage/gcpw/) bevat het installatiebestand geen token. Zonder token kunt u de toegestane domeinen niet wijzigen vanuit de Beheerdersconsole. U kunt de instellingen wel wijzigen via ApparatenMobiel en eindpuntenInstellingenWindows-instellingenGCPW-instellingen. Stel indien nodig de GCPW-token in op apparaten.

Instellingen bewerken in de Beheerdersconsole

Voordat u begint: Als u een afdeling of team wilt instellen voor deze instelling, gaat u naar Een organisatie-eenheid toevoegen.

Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
Ga in de Beheerdersconsole naar Menu ApparatenMobiel en eindpuntenInstellingenWindows.
Klik op Google-referentieprovider voor Windows (GCPW) instellenToegestane domeinen.
Vul de domeinen in waarmee gebruikers mogen inloggen met GCPW. Als u geen domeinen toevoegt, kunnen gebruikers niet inloggen via GCPW.
Klik op Opslaan. Het kan een uur duren voordat de toegestane domeinen zijn gesynchroniseerd met apparaten.
Toegestane domeinen is de enige vereiste instelling. Ga naar de volgende stappen om andere GCPW-instellingen te configureren.
Klik bovenaan de pagina, in de broodkruimel, op Windows-instellingen.
Klik op GCPW-instellingen.
(Optioneel) Als u de instelling wilt toepassen op een afdeling of team, selecteert u aan de zijkant een organisatie-eenheid. Laat me zien hoe dit moet

Klik op de volgende instellingen en update ze indien nodig:

Instelling	Beschrijving en installatie
GCPW automatisch updaten	Als u wilt dat nieuwe versies van GCPW automatisch op Windows-apparaten worden geïnstalleerd, vinkt u het vakje aan voor GCPW automatisch updaten (dit is standaard aangevinkt). Als u wilt dat GCPW slechts tot een bepaalde versie wordt geüpdatet, vinkt u het vakje aan voor Updates na een specifieke versie blokkeren en voert u de laatste toegestane versie in. U kunt deze optie gebruiken om de nieuwste versie te testen voordat u deze implementeert voor al uw gebruikers. Opmerking: U moet deze instelling updaten als u versies goedkeurt, zodat gebruikers toegang blijven houden tot nieuwe functies en beveiligingsupdates. Als u een versie opgeeft die ouder is dan de versie die al op een apparaat is geïnstalleerd, wordt GCPW niet teruggezet naar die versie. Als u automatische updates voor GCPW wilt uitschakelen (afgeraden), haalt u het vinkje weg voor GCPW automatisch updaten.
Meerdere accounts beheren	Selecteer Aan om toe te staan dat meer dan 1 Google Workspace-account inlogt op een apparaat via GCPW. Als u Windows-apparaatbeheer gebruikt, kan er slechts 1 gebruiker zijn ingeschreven bij Windows-apparaatbeheer per apparaat, zelfs als u meerdere accounts toestaat voor GCPW. Selecteer Uit als u wilt dat slechts 1 Google Workspace-account kan inloggen op een apparaat via GCPW. Als deze instelling is ingesteld op Niet geconfigureerd, kan meer dan 1 Google Workspace-account inloggen op een apparaat, tenzij de registerinstelling `enable_multi_user_login` is ingesteld op 0 op het apparaat.
Inschrijven voor apparaatbeheer	Als uw organisatie Windows-apparaatbeheer gebruikt, kunt u instellen dat apparaten automatisch worden ingeschreven als een gebruiker voor het eerst inlogt via GCPW. Als het vakje niet is aangevinkt voor Automatisch inschrijven voor apparaatbeheer en uw organisatie Windows-apparaatbeheer gebruikt, moet u apparaten handmatig inschrijven, tenzij u de registersleutel `enable_dm_enrollment` instelt op 1 op het apparaat.
Offline toegang	Als u wilt bepalen hoelang gebruikers via GCPW kunnen inloggen op een apparaat terwijl ze offline zijn, wijzigt u de waarde in Ingeschakeld en stelt u het aantal dagen in. Als de limiet verloopt, kunnen gebruikers pas weer inloggen op hun apparaat als ze verbinding hebben met internet. Als deze instelling is ingesteld op Niet geconfigureerd, kan een gebruiker onbeperkt offline inloggen, tenzij de registerinstelling `validity_period_in_days` is ingesteld op het apparaat.

Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.
Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen.

GCPW-instellingen worden elk uur gesynchroniseerd met apparaten. Het kan daarom een uur duren voordat de instellingen zijn toegepast en gebruikers kunnen inloggen via GCPW.

GCPW instellen via de registerinstellingen op een apparaat

Als u GCPW niet beheert met de instellingen in de Beheerdersconsole of als u waarden wilt instellen voor instellingen die niet kunnen worden geconfigureerd in de Beheerdersconsole, kunt u ze instellen via het register op elk apparaat.

In de volgende instructies staat hoe u registersleutels handmatig kunt instellen, maar u of een gebruiker met beheerdersrechten kunnen ook sleutels instellen via een PowerShell-script.

Opmerking: Als u GCPW configureert via zowel de Beheerdersconsole als het register op een apparaat, overschrijven de instellingen in de Beheerdersconsole de registerinstellingen.

Configureer de verplichte registersleutel waarmee gebruikers in de opgegeven domeinen kunnen inloggen met GCPW, en eventuele andere registersleutels die uw organisatie nodig heeft.

Opmerking: In de volgende instructies staat hoe u registersleutels handmatig kunt instellen, maar u of een gebruiker kunnen ook sleutels instellen met een PowerShell-script.

Instelling	Standaardgedrag en handmatige installatie
Vereist: Geef de domeinen op die mogen inloggen met GCPW. Opmerking: Gebruikers kunnen pas inloggen met GCPW nadat deze registersleutel is ingesteld.	Standaard: Geen enkel domein mag inloggen met GCPW. Instellen Klik in het menu Start van Windows op Uitvoeren. Vul regedit in het vak Uitvoeren in. Ga in de Register-editor naar HKEY_LOCAL_MACHINE\Software\Google. Klik met de rechtermuisknop op Google en klik op NieuwSleutel om een map te maken. Geef de map de naam GCPW. Klik met de rechtermuisknop op de map GCPW en klik op NieuwTekenreekswaarde. Vul als naam `domains_allowed_to_login` in. Dubbelklik op de naam en vul in het vak Waardegegevens een door komma's gescheiden lijst met de toegestane domeinnamen in. Bijvoorbeeld: example.com, example.org, example.net. Klik op OK.
Automatische inschrijving bij Windows-apparaatbeheer uitzetten	Standaard: 1 (apparaten automatisch inschrijven). Instellen Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op NieuwDWORD. Vul als naam `enable_dm_enrollment` in. Dubbelklik op de naam en vul in het vak Waardegegevens de waarde 0 in. Als u de sleutel ooit wilt resetten zodat automatische inschrijving wel is toegestaan, wijzigt u de waarde in 1. Klik op OK.
Vereisen dat gebruikers online inloggen nadat een apparaat een bepaalde tijd offline is geweest	Standaard: Geen waarde (online inloggen wordt niet afgedwongen). Instellen Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op NieuwDWORD. Vul bij de naam `validity_period_in_days` in. Dubbelklik op de naam en vul in het vak Waardegegevens het aantal dagen in waarna de gebruiker moet inloggen bij GCPW. Als u bijvoorbeeld 5 invult, moeten gebruikers online inloggen als het apparaat 5 dagen offline is. Als u 0 invult, moeten gebruikers meteen online inloggen als de verbinding van het apparaat met internet wordt verbroken. Klik op OK.
Slechts 1 gebruiker toestaan met een Google-account in te loggen op het apparaat	Standaard: Meerdere gebruikers kunnen met hun Google-account inloggen op een apparaat. Als u Windows-apparaatbeheer gebruikt, kan er slechts 1 gebruiker zijn ingeschreven bij Windows-apparaatbeheer per apparaat, zelfs als u meerdere accounts toestaat voor GCPW. Instellen Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op NieuwDWORD. Vul als naam `enable_multi_user_login` in. Dubbelklik op de naam en vul in het vak Waardegegevens de waarde 0 in. Als u de sleutel ooit wilt resetten zodat meerdere accounts op het apparaat wel zijn toegestaan, wijzigt u de waarde in 1. Klik op OK.
Hiermee kunnen gebruikers voor de 1e keer inloggen bij GCPW met hun bestaande lokale Windows-profiel (zonder op Werkaccount toevoegen te klikken).	Standaard: Bij inloggen via GCPW wordt het bestaande lokale profiel niet gebruikt. Gebruikers moeten klikken op Werkaccount toevoegen als ze voor de eerste keer inloggen. Instellen Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op NieuwSleutel. Geef de sleutel de naam Users. Klik met de rechtermuisknop op de map Users en klik op NieuwSleutel. Geef de sleutel als naam de Windows-account-SID (beveiligings-ID) van de gebruiker. Bekijk de documentatie van Microsoft om de SID van een gebruiker te vinden. Klik met de rechtermuisknop op de SID-map en klik op NieuwTekenreekswaarde. Vul `email` in als de naam. Dubbelklik op de naam en vul in het vak Waardegegevens het werkaccount in dat u wilt koppelen aan het lokale Windows-account van de gebruiker. Gebruik het hele e-mailadres van de gebruiker, zoals gebruiker@uw-bedrijf.com. Klik op OK.
Zorgen dat GCPW een nieuwe Windows-accountnaam instelt die alleen bestaat uit het gebruikersnaamgedeelte van het werk- of schoolmailadres van de gebruiker	Standaard: Als GCPW een Windows-profiel maakt voor een gebruiker wanneer deze voor het eerst inlogt (u koppelt geen Google-accounts aan bestaande Windows-profielen of er is geen Windows-profiel), wordt de accountnaam gemaakt op basis van het e-mailadres van de gebruiker, met de indeling gebruikersnaam_domein. Instellen Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op NieuwDWORD. Vul `use_shorter_account_name` in bij de naam. Dubbelklik op de naam en vul in het vak Waardegegevens de waarde 1 in. Klik op OK.

Start het apparaat opnieuw op.

Stap 3. GCPW installeren

U kunt GCPW op verschillende manieren installeren:

Handmatig, zoals beschreven in dit gedeelte.
Via een PowerShell-script. Bekijk het voorbeeld van een PowerShell-script voor meer informatie.
Via een app-distributietool van derden of als onderdeel van uw pc-systeemimage.

GCPW handmatig installeren

Voer het installatieprogramma uit op het apparaat. U kunt dubbelklikken op het installatiebestand of het uitvoeren via de opdrachtprompt:
1. Open de opdrachtprompt.
2. Als u de 64-bits client wilt installeren, voert u gcpwstandaloneenterprise64.exe uit als beheerder. Als u de 32-bits client wilt installeren, voert u gcpwstandaloneenterprise.exe uit als beheerder. Als u het installatieprogramma in de stille modus wilt uitvoeren, voegt u de argumenten /silent /install toe.
Tijdens de installatie worden er 4 bestanden gemaakt:
- C:\Program Files\Google\CredentialProvider\versienummer\Gaia.dll
- C:\Program Files\Google\CredentialProvider\versienummer\gcp_setup.exe
- C:\Program Files\Google\CredentialProvider\versienummer\gcp_eventlog_provider.dll
- C:\Program Files\Google\CredentialProvider\versienummer\extension\gcpw_extension.exe
(Optioneel) Als u Google wilt helpen GCPW te verbeteren, kunt u op het apparaat automatische foutrapportage voor GCPW aanzetten.

Stap 4. GCPW-apparaten beheren

Gebruikerservaring

De gebruiker kan nu inloggen op het apparaat met GCPW. Als dit is toegestaan, kunnen ze het apparaatwachtwoord beheren door het wachtwoord van het Google-account te beheren.
Als de gebruiker problemen heeft met inloggen, kunt u diegene helpen door de instructies te volgen in Problemen met GCPW oplossen.

Administratie en beheer

U kunt apparaatgegevens controleren in de Beheerdersconsole nadat gebruikers voor het eerst zijn ingelogd.
Als u het wachtwoord van een gebruiker moet resetten, raden we u sterk aan het wachtwoord van de gebruiker te resetten in de Beheerdersconsole. Als een wachtwoord moet worden gereset via de AD of een andere tool, moet de gebruiker hun Windows-wachtwoord updaten en dan het Google-accountwachtwoord updaten om deze overeen te laten komen. Gebruikers die hun eigen wachtwoord niet mogen updaten, zoals leerlingen, hebben geen toegang meer tot hun account.

GCPW instellen met een PowerShell-script

U kunt een Microsoft PowerShell-script gebruiken om GCPW te downloaden, te installeren en eventueel registersleutels in te stellen. We raden u aan GCPW-instellingen te beheren in de Beheerdersconsole.

Opmerking: Google biedt geen support voor het gebruik van voorbeeldscripts. U moet ervaring hebben met het gebruik van PowerShell-scripts voordat u dit voorbeeldscript gebruikt.

Voorbeeldscript

Dit script downloadt GCPW via de klassieke openbare site (geen organisatiespecifieke token inbegrepen) en installeert het. Vervolgens wordt de vereiste registersleutel geconfigureerd die inloggen op apparaten beperkt tot accounts in specifieke domeinen. Als u het script wilt gebruiken, kopieert u het naar een teksteditor en vult u de toegestane domeinen in regel 11 in. Als u GCPW-instellingen wilt beheren in de Beheerdersconsole kopieert u de token uit de Beheerdersconsole en gebruikt u het script om een registersleutel in te stellen met de token.

<# Dit script downloadt Google-referentieprovider voor Windows via
https://tools.google.com/dlpage/gcpw/, installeert het en configureert het.
U moet Windows-beheerderstoegang hebben om het script te kunnen gebruiken. #>

<# Stel de volgende sleutel in voor de domeinen waarvan u wilt dat gebruikers kunnen inloggen.

Bijvoorbeeld:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# Controleren of een of meer domeinen zijn ingesteld #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# Controleren of de huidige gebruiker een beheerder is en afsluiten als dit niet het geval is. #>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# Het GCPW-bestand kiezen dat moet worden gedownload. De 32-bits en 64-bits versies hebben elk een andere naam #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# Het GCPW-installatieprogramma downloaden. #>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# Het GCPW-installatieprogramma uitvoeren en wachten tot de installatie is afgerond. #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# Controleren of de installatie is geslaagd. #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# De vereiste registersleutel instellen met de toegestane domeinen. #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

Gerelateerde onderwerpen

_{Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.}

Was dit nuttig?

Hoe kunnen we dit verbeteren?