Как установить поставщик учетных данных Google для Windows

Как администратор, вы можете настроить поставщик учетных данных Google для Windows (GCPW), чтобы пользователи могли выполнять вход на устройствах Windows 10 или 11 с помощью учебного или рабочего аккаунта Google. Установку GCPW на корпоративных устройствах должны выполнять вы или другие ИТ-специалисты организации. На личных устройствах вы можете доверить установку GCPW самим пользователям, если у них есть права администратора.

Требования

Лицензии

GCPW (автономно). Эта функция доступна в версиях Frontline Starter и Frontline Standard Business Starter, Business Standard и Business Plus, Enterprise Standard и Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade, Education Plus и лицензия Endpoint Education, Essentials, Enterprise Essentials и Enterprise Essentials Plus, G Suite Basic и G Suite Business, Cloud Identity Free и Cloud Identity Premium. Сравнение версий
GCPW со службой управления устройствами Windows. Эта функция доступна в версиях Frontline Starter и Frontline Standard, Business Plus, Enterprise Standard и Enterprise Plus, Education Standard, Education Plus и лицензия Endpoint Education, Enterprise Essentials и Enterprise Essentials Plus, Cloud Identity Premium. Сравнение версий

Системные требования

Windows 10 или 11 (Pro, Pro для рабочих станций, Корпоративная или для образовательных учреждений).
Браузер Chrome 81 или более поздней стабильной версии, установленный с правами администратора.
Достаточно места на диске для установки Google Chrome (100 МБ) и GCPW (3 МБ).
Для запуска установщика на устройстве вам понадобятся права администратора. Также можно развернуть установщик на устройствах с помощью инструментов развертывания ПО.
GCPW несовместим со сторонними поставщиками управления мобильными устройствами.

Подготовка к развертыванию

Подготовьтесь к установке GCPW, если вы этого ещё не сделали, и установите на устройствах браузер Chrome.
Если вы собираетесь использовать облачное управление браузером Chrome, настройте его, прежде чем устанавливать GCPW.

Шаг 1. Скачайте GCPW

Ниже приведены инструкции по установке GCPW вручную. Для распространения и установки GCPW вы также можете использовать инструмент распространения приложений или скрипт PowerShell. Пример скрипта приведен здесь.

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню УстройстваМобильные устройства и конечные точкиНастройкиWindows.
Нажмите Настройка поставщика учетных данных Google для Windows (GCPW)Скачать GCPW.
Скачайте установочный файл 64- или 32-разрядной версии GCPW и передайте его на устройства.

Шаг 2. Настройте разрешенные домены GCPW и дополнительные параметры

Используйте подходящий вам способ настройки:

Применить настройки ко всем устройствам Windows в организации удобнее в консоли администратора.
Если нужно задать разные параметры для разных устройств, оставьте настройки в консоли администратора в состоянии Не настроено и измените нужные разделы реестра на каждом устройстве.

Примечание. Настройки в консоли администратора имеют приоритет над теми, что указаны в реестре.

Как задать настройки GCPW в консоли администратора (рекомендуется)

Чтобы использовать GCPW, нужно указать разрешенные домены. Чтобы указать такие домены в консоли администратора, необходимо добавить на устройство токен регистрации. Это можно сделать несколькими способами:

Если вы скачали GCPW в консоли администратора, файл установки автоматически добавит токен. Дальнейших действий с вашей стороны не потребуется.
Если вы ранее настроили облачное управление браузерами Chrome с помощью токена регистрации, он также позволяет управлять настройками GCPW в консоли администратора.
Если вы скачали GCPW на странице https://tools.google.com/dlpage/gcpw/, ваш файл установки не содержит токена. Без него вы не сможете изменить разрешенные домены в консоли администратора, но можете управлять настройками в разделе УстройстваМобильные устройства и конечные точкиНастройкиНастройки WindowsНастройки GCPW. При необходимости добавьте токен GCPW на устройства.

Как изменить настройки в консоли администратора

Подготовка. Если вам нужно подготовить отдел или группу для этого параметра, ознакомьтесь со статьей Как добавить организационное подразделение.

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню УстройстваМобильные устройства и конечные точкиНастройкиWindows.
Нажмите Настройка поставщика учетных данных Google для Windows (GCPW)Разрешенные домены.
Укажите домены, которым разрешен вход с использованием GCPW. Если не добавить ни одного домена, пользователи не смогут выполнить вход с помощью GCPW.
Нажмите Сохранить. Разрешенные домены будут синхронизированы с вашими устройствами в течение часа.
"Разрешенные домены" – это единственная обязательная настройка. Если нужно задать другие параметры GCPW, выполните указанные ниже шаги.
В строке навигации вверху страницы нажмите Настройки Windows.
Выберите Настройки GCPW.
Чтобы применить параметр к отделу или команде, выберите сбоку организационное подразделение. Инструкции

При необходимости выберите и измените приведенные ниже параметры.

Параметр	Описание и настройка
Автообновление GCPW	Чтобы новые версии GCPW устанавливались на устройства Windows автоматически, установите флажок Обновлять клиент GCPW автоматически (он установлен по умолчанию). Чтобы разрешить обновления только до определенного номера версии, установите флажок Ограничить обновления определенной версией и укажите его. Эту возможность также удобно использовать, чтобы проверить последнюю версию, прежде чем развертывать ее для всех пользователей. Примечание. Вам нужно будет менять значение параметра по мере одобрения версий, чтобы пользователи получали доступ к новым функциям и обновлениям безопасности. Если указать более раннюю версию, чем установленная на устройстве, откат GCPW к этой версии не выполняется. Чтобы отключить автоматическое обновление GCPW (не рекомендуется), снимите флажок Обновлять клиент GCPW автоматически.
Управление несколькими аккаунтами	Чтобы разрешить на одном устройстве вход в несколько аккаунтов Google Workspace с помощью GCPW, выберите Включено. Если вы используете службу управления устройствами Windows, то, даже когда вход на устройство с помощью GCPW разрешен нескольким аккаунтам, только один из них будет зарегистрирован в этой службе. Чтобы на устройстве можно было войти только в один аккаунт Google Workspace с помощью GCPW, выберите Отключено. При значении Не настроено ограничений на количество аккаунтов нет, если только на устройстве для параметра реестра `enable_multi_user_login` не установлено значение 0.
Регистрация в службе управления устройствами	Если в вашей организации используется управление устройствами Windows, вы можете настроить автоматическую регистрацию устройств при первом входе пользователя с помощью GCPW. Если флажок Регистрироваться в системе управления устройствами автоматически не установлен и ваша организация использует управление устройствами Windows, вам необходимо регистрировать устройства вручную или на устройстве установить для параметра реестра `enable_dm_enrollment` значение 1.
Офлайн-режим	Чтобы ограничить время, в течение которого пользователи могут выполнить вход на своих устройствах с помощью GCPW в офлайн-режиме, измените значение на Включено и укажите количество дней. Когда указанное время пройдет, пользователь не сможет выполнить вход на устройстве без подключения к Интернету. При значении Не настроено время не ограничивается, если только на устройстве не задан параметр реестра `validity_period_in_days`.

Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.
Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Синхронизация настроек GCPW с устройствами выполняется каждый час, поэтому пройдет максимум час, прежде чем настройки начнут действовать, а пользователи смогут выполнять вход с помощью GCPW.

Как настроить GCPW с помощью реестра устройства

Если вы не настраиваете GCPW с помощью консоли администратора или хотите задать значения параметров, которые в ней не определены, измените реестр каждого устройства.

Ниже приведены инструкции по настройке реестра вручную, но вы или пользователь с правами администратора также можете сделать это с помощью скрипта PowerShell.

Примечание. Настройки GCPW, заданные в консоли администратора, имеют приоритет над теми, что указаны в реестре устройства.

Настройте обязательный раздел реестра, разрешающий пользователям в указанных доменах выполнять вход с помощью GCPW, а также другие разделы в зависимости от потребностей вашей организации.

Примечание. Ниже приведены инструкции по настройке реестра вручную, но вы или пользователь также можете сделать это с помощью скрипта PowerShell.

Параметр	Поведение по умолчанию и настройка вручную
Обязательно: укажите домены, которым разрешен вход с использованием GCPW. Примечание. Пользователи не могут выполнять вход с помощью GCPW, если этот раздел реестра не настроен.	По умолчанию: вход с использованием GCPW запрещен для всех доменов. Настройка В меню "Пуск" выберите Выполнить. В окне "Выполнить" введите команду regedit. В редакторе реестра перейдите к разделу HKEY_LOCAL_MACHINE\Software\Google, нажмите на элемент Google правой кнопкой мыши и выберите СоздатьРаздел, чтобы создать папку. Присвойте папке название GCPW. Нажмите на папку GCPW правой кнопкой мыши и выберите СоздатьСтроковый параметр. Введите название параметра `domains_allowed_to_login`. Нажмите на название дважды и в поле Значение введите разделенный запятыми список разрешенных доменных имен. Например: example.com, example.org, example.net. Нажмите ОК.
Отключите автоматическую регистрацию в службе управления устройствами Windows.	По умолчанию: 1 (автоматическая регистрация устройств). Настройка В редакторе реестра нажмите на папку GCPW правой кнопкой мыши и выберите СоздатьПараметр DWORD. Введите название параметра `enable_dm_enrollment`. Нажмите на название дважды и в поле Значение введите 0. Если нужно сбросить параметр и разрешить автоматическую регистрацию, измените значение на 1. Нажмите ОК.
Укажите количество дней, после которого пользователь, работающий с устройством офлайн, должен выполнить онлайн-вход.	По умолчанию: нет значения (онлайн-вход не обязателен). Настройка В редакторе реестра нажмите на папку GCPW правой кнопкой мыши и выберите СоздатьПараметр DWORD. Введите название параметра `validity_period_in_days`. Нажмите на название дважды и в окне Значение введите количество дней между онлайн-входами с помощью GCPW. Например, если ввести значение 5, пользователю необходимо будет выполнить онлайн-вход, если устройство работает в офлайн-режиме в течение 5 дней. Если ввести значение 0, онлайн-вход нужно будет выполнить сразу после отключения устройства от интернета. Нажмите ОК.
Разрешите вход на устройство с помощью учетных данных Google только одному пользователю.	По умолчанию: вход на устройство с помощью учетных данных Google могут выполнять несколько пользователей. Если вы используете службу управления устройствами Windows, то, даже когда вход на устройство с помощью GCPW разрешен нескольким аккаунтам, только один из них будет зарегистрирован в этой службе. Настройка В редакторе реестра нажмите на папку GCPW правой кнопкой мыши и выберите СоздатьПараметр DWORD. Введите название параметра `enable_multi_user_login`. Нажмите на название дважды и в поле Значение введите 0. Чтобы сбросить настройку и разрешить автоматический вход на устройство для нескольких аккаунтов, измените значение на 1. Нажмите ОК.
Разрешите пользователям выполнять первый вход с помощью GCPW, используя имеющийся локальный профиль Windows (без необходимости нажимать Добавить рабочую учетную запись).	По умолчанию: при входе с помощью GCPW не используется имеющийся локальный профиль. При первом входе пользователям нужно нажать Добавить рабочую учетную запись. Настройка В редакторе реестра нажмите на папку GCPW правой кнопкой мыши и выберите СоздатьРаздел. Присвойте разделу название Пользователи. Нажмите на папку Пользователи правой кнопкой мыши и выберите СоздатьРаздел. Укажите в качестве названия раздела идентификатор безопасности для учетной записи Windows пользователя. Информация о том, как найти идентификатор безопасности пользователя, приведена в документации Microsoft. Нажмите на созданную папку правой кнопкой мыши и выберите СоздатьСтроковый параметр. В качестве названия параметра введите `email`. Нажмите на название дважды и в поле Значение введите рабочий аккаунт, который вы хотите связать с локальной учетной записью Windows пользователя. Это должен быть полный адрес электронной почты пользователя, например user@your-company.com. Нажмите ОК.
Настройте инструмент GCPW так, чтобы он устанавливал в качестве нового названия учетной записи Windows только ту часть адреса электронной почты, которая соответствует имени пользователя.	По умолчанию: если GCPW создает профиль Windows для пользователя при первом входе (потому что вы не связали аккаунты Google с имеющимися профилями Windows или профиль Windows отсутствует), название учетной записи создается на основе адреса электронной почты пользователя в формате imyapolzovatelya_domen. Настройка В редакторе реестра нажмите на папку GCPW правой кнопкой мыши и выберите СоздатьПараметр DWORD. Введите название параметра `use_shorter_account_name`. Нажмите на название дважды и в поле Значение введите 1. Нажмите ОК.

Перезапустите устройство.

Шаг 3. Установите GCPW

Установить GCPW можно несколькими способами:

Вручную, как описано в этом разделе.
С помощью скрипта PowerShell. Пример скрипта приведен здесь.
С помощью стороннего инструмента распространения приложений или как часть образа системы для ПК.

Чтобы установить GCPW вручную:

Запустите установщик на устройстве. Дважды нажмите на скачанный файл или запустите его с помощью командной строки:
1. Откройте командную строку.
2. Чтобы установить 64-разрядную версию клиента, запустите файл gcpwstandaloneenterprise64.exe от имени администратора. Чтобы установить 32-разрядную версию клиента, запустите файл gcpwstandaloneenterprise.exe от имени администратора. Чтобы запустить установщик в автоматическом режиме, добавьте аргументы /silent /install.
Установщик создаст четыре файла:
- C:\Program Files\Google\CredentialProvider\номер версии\Gaia.dll
- C:\Program Files\Google\CredentialProvider\номер версии\gcp_setup.exe
- C:\Program Files\Google\CredentialProvider\номер версии\gcp_eventlog_provider.dll
- C:\Program Files\Google\CredentialProvider\номер версии\extension\gcpw_extension.exe
Чтобы помочь Google улучшить GCPW, включите на устройстве автоматические отчеты об ошибках в работе этого инструмента.

Шаг 4. Начните управлять устройствами с GCPW

Для пользователей

Теперь пользователи могут входить на устройство с помощью GCPW. Если это разрешено, они могут изменить пароль своего устройства, сменив пароль аккаунта Google.
Если у пользователей возникнут проблемы со входом, вы можете помочь им, следуя инструкциям из статьи Как устранить неполадки с GCPW.

Для администраторов

После первого входа пользователя в аккаунт на устройстве вы сможете просматривать сведения о нем в консоли администратора.
Мы настоятельно рекомендуем сбрасывать пароли пользователей в консоли администратора. Если вы отправите запрос на сброс пароля с помощью AD или другого инструмента, пользователю потребуется сначала изменить пароль Windows, а затем установить такой же пароль для аккаунта Google. Пользователи, у которых нет разрешений на смену пароля, например учащиеся, потеряют доступ к аккаунтам.

Как настроить GCPW с помощью скрипта PowerShell

Вы можете использовать скрипт Microsoft PowerShell, чтобы скачать и установить GCPW, а затем при необходимости настроить разделы реестра. Рекомендуем для настройки GCPW использовать консоль администратора.

Примечание. Google не оказывает поддержку по использованию примеров скриптов. Чтобы использовать пример, вы должны иметь опыт работы со скриптами PowerShell.

Пример скрипта

Этот скрипт скачивает GCPW (без токена для организации) с общедоступного сайта и устанавливает его, а затем настраивает раздел реестра, который разрешает вход на устройство только для аккаунтов из определенных доменов. Чтобы использовать этот скрипт, скопируйте его в текстовый редактор и введите разрешенные домены в строке 11. Если вы хотите настраивать GCPW с помощью консоли администратора, получите токен в консоли и добавьте его в раздел реестра с помощью скрипта.

<# Скрипт скачивает поставщик учетных данных Google для Windows
со страницы https://tools.google.com/dlpage/gcpw/, устанавливает и настраивает его.
Для использования скрипта требуются права администратора Windows. #>

<# Указание доменов, из которых должен быть разрешен вход, в виде значения переменной.

Пример:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# Проверка, указан ли хотя бы один домен. #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# Проверка наличия прав администратора у текущего пользователя и выход в противном случае. #>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# Выбор файла GCPW для скачивания. 32-разрядная и 64-разрядная версии имеют разные названия. #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# Скачивание установщика GCPW. #>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# Запуск установщика GCPW и ожидание завершения установки. #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# Проверка завершения установки. #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# Установка значения с разрешенными доменами для соответствующего раздела реестра. #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

Статьи по теме

_{Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.}

Чи корисна ця інформація?

Як можна її покращити?