作为管理员,您可以设置 Windows 版 Google 凭据提供程序 (GCPW),让用户使用组织或学校的 Google 账号登录 Windows 10 或 11 设备。对于公司自有设备,您或您组织中的其他 IT 专业人员需要在这些设备上设置 GCPW。对于用户拥有管理员权限的个人设备,您可以让用户安装 GCPW。
要求
许可要求
- GCPW(独立式产品)- 支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务新手版、商务标准版和商务 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版、教与学升级版、教育 Plus 版和教育端点管理升级;Essentials、Enterprise Essentials和Enterprise Essentials Plus;G Suite 基本版和 G Suite 商务版;Cloud Identity 免费版和 Cloud Identity 专业版。 比较您的版本
- 支持 Windows 设备管理的 GCPW 设备 - 支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;Cloud Identity 专业版。 比较您的版本
系统要求
- Windows 10 或 11(专业版、工作站专业版、企业版或教育版)。
- Chrome 浏览器 81 版或更高版本(稳定版),安装时已获得管理员权限。
- Google Chrome (100 MB) 和 GCPW (3 MB) 的可用磁盘空间。
- 您需要设备的管理员权限才能运行安装程序,您也可以使用软件部署工具将安装程序部署到设备。
- GCPW 与移动设备管理的第三方提供商不兼容。
准备工作 - 为部署做好准备
- 如果您尚未安装,请准备安装 GCPW 并在设备上安装 Chrome 浏览器。
- 如果您打算使用 Chrome 浏览器云管理,请先设置它,然后再安装 GCPW。有关详情,请参阅设置 Chrome 浏览器云管理。
第 1 步:下载 GCPW
以下步骤介绍了如何手动设置 GCPW,您也可以使用应用分发工具或 PowerShell 脚本分发和安装 GCPW。有关详情,请参阅 PowerShell 示例脚本。
-
-
在管理控制台中,依次点击“菜单”图标
设备
移动设备和端点
设置
Windows。
- 点击 点击 Windows 版 Google 凭据提供程序设置
下载 GCPW。
- 下载 64 位或 32 位 GCPW 安装文件并将其分发到设备。
第 2 步:设置 GCPW 允许的网域和可选设置
根据您的目标,使用对应的配置方法:
- 要将相同的设置应用到贵组织中的所有 Windows 设备,最简单的方法就是使用管理控制台。
- 要将不同的设置应用到不同的设备,请将管理控制台中的设置保留为未配置,然后在每台设备上修改注册表设置。
注意:如果您同时配置了管理控制台中的设置,则管理控制台设置会覆盖注册表设置。
在管理控制台中配置 GCPW 设置(推荐)要使用 GCPW,您必须设置允许的网域。要在管理控制台中设置允许的网域,设备必须拥有注册令牌。设置令牌有几种方式:
- 如果您从管理控制台下载了 GCPW,您的安装文件会自动设置令牌,您可以继续操作。
- 如果您之前为 Chrome 浏览器云管理设置了注册令牌,则您可以通过这些令牌在管理控制台中管理 GCPW 设置。
- 如果您是通过传统下载页面 (https://tools.google.com/dlpage/gcpw/) 下载的 GCPW,则您的安装文件不包含令牌。如果没有令牌,您将无法在管理控制台中更改允许的网域,但可以修改以下位置的设置:设备
移动设备和端点
设置
Windows 设置
GCPW 设置。如果需要,请在设备上设置 GCPW 令牌。
在管理控制台中修改设置
准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门。
-
-
在管理控制台中,依次点击“菜单”图标
设备
移动设备和端点
设置
Windows。
- 点击 Windows 版 Google 凭据提供程序 (GCPW) 设置
允许的网域。
- 输入允许使用 GCPW 登录的网域。如果您不添加任何网域,则所有用户都无法通过 GCPW 登录。
- 点击保存。最长可能需要一小时允许的网域的设置才会同步至设备。
“允许的网域”是唯一一个必填的设置。如需配置其他 GCPW 设置,请接着执行后续步骤。
- 在页面顶部的面包屑导航中,点击 Windows 设置。
- 点击 GCPW 设置。
- (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- 点击以下任一设置并根据需要进行更新:
设置 说明和设置 自动更新 GCPW 要在 Windows 设备上自动安装新版本的 GCPW,请勾选自动更新 GCPW 对应的复选框(默认情况下处于选中状态)。
要仅允许更新到特定版本,请勾选更新到特定版本后,禁止继续更新对应的复选框,然后输入允许更新的最新版本。如果您想先测试最新版本然后再为所有用户部署,则建议您采用此方法。
注意:您必须在批准版本后更新此设置,用户才能获得新功能和安全更新。如果您输入的版本早于设备上安装的版本,系统不会将 GCPW 回滚到旧版本。
要停用 GCPW 自动更新功能(不推荐),请取消选中自动更新 GCPW 对应的复选框。
管理多个账号 要允许多个 Google Workspace 帐号通过 GCPW 登录设备,请选择已启用。如果您使用 Window 设备管理,即使您允许多个帐号使用 GCPW,每台设备也只能有一位用户注册 Windows 设备管理。
要仅允许单个 Google Workspace 帐号通过 GCPW 登录设备,请选择已停用。
如果将该值设置为尚未配置,除非您在设备上将
enable_multi_user_login
注册表设置设为 0,否则系统将允许多个 Google Workspace 帐号登录设备。注册设备管理服务 如果贵单位使用 Windows 设备管理服务,您可以让设备在用户首次通过 GCPW 登录时自动注册。
如果您未勾选自动注册设备管理服务对应的复选框,而贵单位使用了 Windows 设备管理服务,除非您在设备上将
enable_dm_enrollment
注册表项设为 1,否则就必须手动注册设备。离线访问 要限制用户能够通过 GCPW 离线登录其设备的时长,请将该值更改为已启用,然后设置天数。
设置的期限到期后,用户必须连接到互联网才能登录设备。
如果将该值设置为尚未配置,除非您在设备上设置了
validity_period_in_days
注册表设置,否则用户可以无限期离线登录。 - 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
系统会每隔 1 小时将 GCPW 设置同步到设备上,因此最长可能需要 1 小时您的设置才能应用于设备,用户才能通过 GCPW 登录。
如果您不是通过管理控制台中的设置管理 GCPW,或者想为不是在管理控制中配置的设置设定值,您可以在每台设备上的注册表中设置。
以下说明介绍了如何手动设置注册表项,但您或拥有管理员权限的用户也可以使用 PowerShell 脚本设置注册表项。
注意:如果您在管理控制台和设备的注册表中配置了 GCPW,则管理控制台设置会覆盖注册表设置。
- 配置允许指定网域中的用户使用 GCPW 登录的必需注册表项,以及贵组织所需的任何其他注册表项。
注意:以下说明介绍了如何手动设置注册表项,但您或用户也可以使用 PowerShell 脚本设置注册表项。
设置 默认行为和手动设置 必需:指定允许使用 GCPW 登录的网域。
注意:设置此注册表项后,用户才能使用 GCPW 登录。默认:不允许任何网域使用 GCPW 登录
设置
- 在 Windows 的“开始”菜单中,点击运行。
- 在“运行”对话框中,输入 regedit。
- 在注册表编辑器中,转到 HKEY_LOCAL_MACHINE\Software\Google,右键点击 Google,然后点击新建
项以创建文件夹。
- 将文件夹命名为 GCPW。
- 右键点击 GCPW文件夹,然后点击新建
字符串值。
- 输入
domains_allowed_to_login
作为名称。 - 双击该名称,然后在数值数据框中输入允许的域名(以英文逗号分隔)。例如:example.com, example.org, example.net。
- 点击确定。
在 Windows 设备管理中关闭自动注册 默认:1(自动注册设备)
设置
- 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建
DWORD。
- 输入
enable_dm_enrollment
作为名称。 - 双击名称,然后在数值数据框中输入 0。如果您想要重置该项以允许自动注册,请将值更改为 1。
- 点击确定。
要求用户在设备离线一段时间后在线登录 默认:没有值(不强制要求在线登录)
设置
- 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建
DWORD。
- 输入
validity_period_in_days
作为名称。 - 双击名称,然后在数值数据框中输入两次使用 GCPW 在线登录之间间隔的天数。
例如,如果您输入 5,则用户需要在设备离线 5 天后在线登录。如果您输入 0,则用户在设备与互联网断开连接后便需立即在线登录。
- 点击确定。
仅允许一位用户使用 Google 账号登录设备 默认:允许多位用户使用自己的 Google 账号登录设备。如果您使用 Window 设备管理,即使您允许多个账号使用 GCPW,每台设备也只能有一位用户注册 Windows 设备管理。
设置
- 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建
DWORD。
- 输入
enable_multi_user_login
作为名称。 - 双击名称,然后在数值数据框中输入 0。如果您想要重置该项以允许在设备上自动支持多个账号,请将值更改为 1。
- 点击确定。
允许用户在借助 GCPW 首次登录时使用其现有的本地 Windows 配置文件(无需点击添加工作账号) 默认:使用 GCPW 登录时不使用现有的本地配置文件。用户在首次登录时必须点击添加工作账号。
设置
- 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建
项。
- 将该项命名为 Users。
- 右键点击 Users 文件夹,然后点击新建
项。
- 将该项命名为用户的 Windows 账号 SID(安全标识符)。要查找用户的 SID,请参阅相关 Microsoft 文档。
- 右键点击 SID 文件夹,然后点击新建
字符串值。
- 输入
email
作为名称。 - 双击该名称,在数值数据框中,输入您要与用户的本地 Windows 账号关联的工作账号。请使用用户的完整电子邮件地址,例如 <用户名>@<您的公司名称>.com。
- 点击确定。
让 GCPW 设置一个新的 Windows 账号名称,该名称仅为相应用户的工作或学校账号的用户名部分。 默认:在用户首次登录(您未将 Google 账号与现有 Windows 配置文件相关联或者不存在 Windows 配置文件)时,GCPW 会创建 Windows 配置文件,然后系统会采用“用户名_域名”这样的格式从用户电子邮件地址提取账号名称。
设置
- 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建
DWORD。
- 输入
use_shorter_account_name
作为名称。 - 双击该名称,然后在数值数据框中输入 1。
- 点击确定。
- 重新启动设备。
第 3 步. 安装 GCPW
您可以通过以下几种方式安装 GCPW:
- 手动安装,如本部分所述。
- 使用 PowerShell 脚本。有关详情,请参阅 PowerShell 示例脚本。
- 使用第三方应用分发工具或作为 PC 系统映像的组成部分安装。
手动安装 GCPW
- 在设备上,运行安装程序。您可以双击安装文件,也可以通过命令提示符运行该文件:
- 打开命令提示符。
- 要安装 64 位客户端,请以管理员身份运行 gcpwstandaloneenterprise64.exe。要安装 32 位客户端,请以管理员身份运行 gcpwstandaloneenterprise.exe。要在静默模式下运行安装程序,请添加参数 /silent /install。
安装过程将创建 4 个文件:
- C:\Program Files\Google\CredentialProvider\<版本号>\Gaia.dll
- C:\Program Files\Google\CredentialProvider\<版本号>\gcp_setup.exe
- C:\Program Files\Google\CredentialProvider\<版本号>\gcp_eventlog_provider.dll
- C:\Program Files\Google\CredentialProvider\<版本号>\extension\gcpw_extension.exe
- (可选)要帮助 Google 改进 GCPW,您可以在设备上为 GCPW 启用自动报错功能。
第 4 步:管理 GCPW 设备
用户体验
- 用户现在可以使用 GCPW 登录设备。如果允许,他们可以通过管理自己的 Google 账号密码来管理设备密码。
- 如果他们在登录时遇到问题,您可以按照 GCPW 问题排查中的说明为他们提供帮助。
管理员管理
- 用户首次登录后,您可以在管理控制台中查看设备详细信息。
- 如果您需要重置用户密码,我们强烈建议您在管理控制台中为用户重置其密码。如果您要求通过 AD 或其他工具重置密码,他们就必须更新自己的 Windows 密码,然后再更新 Google 账号密码以使两者相匹配。无权更新自己密码的用户(例如学生)将无法访问自己的账号。
使用 PowerShell 脚本设置 GCPW
您可以使用 Microsoft PowerShell 脚本下载并安装 GCPW,以及视情况设置注册表项。我们建议您使用管理控制台管理 GCPW 设置。
注意:如果您使用示例脚本,Google 将不会对此提供支持。在使用 PowerShell 示例脚本之前,您应该具备使用该脚本的经验。
示例脚本
此脚本会从传统的公开网站下载并安装 GCPW(不含组织专有令牌),然后配置必需的注册表项(仅允许特定网域中的账号登录设备)。要使用该脚本,请将其复制到文本编辑器中,然后在第 11 行中输入允许的网域。如果您想通过管理控制台管理 GCPW 设置,请从管理控制台获取令牌,然后使用相应脚本来设置包含该令牌的注册表项。
<# 该脚本将从 https://tools.google.com/dlpage/gcpw/ 下载 Windows 版 Google 凭据提供程序,然后进行安装和配置。
必须拥有 Windows 管理员访问权限才能使用该脚本。#>
<# 将以下项设置为您想要允许用户登录的网域。
例如:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>
$domainsAllowedToLogin = ""
Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework
<# 检查是设置了一个还是多个网域 #>
if ($domainsAllowedToLogin.Equals('')) {
$msgResult = [System.Windows.MessageBox]::Show('网域列表不能为空!请修改此脚本。', 'GCPW', 'OK', 'Error')
exit 5
}
function Is-Admin() {
$admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
return $admin
}
<# 检查当前用户是否为管理员,如果不是则退出。#>
if (-not (Is-Admin)) {
$result = [System.Windows.MessageBox]::Show('请以管理员身份运行!', 'GCPW', 'OK', 'Error')
exit 5
}
<# 选择要下载的 GCPW 文件。在 32 位和 64 位版本中,该文件的名称不同 #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
$gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}
<# 下载 GCPW 安装程序。#>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName
<# 运行 GCPW 安装程序,然后等待安装完成 #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)
<# 检查是否安装成功 #>
if ($installProcess.ExitCode -ne 0) {
$result = [System.Windows.MessageBox]::Show('安装失败!', 'GCPW', 'OK', 'Error')
exit $installProcess.ExitCode
}
else {
$result = [System.Windows.MessageBox]::Show('已顺利完成安装!', 'GCPW', 'OK', 'Info')
}
<# 设置必需的注册表项,将其值设为允许的网域 #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)
$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name
if ($domains -eq $domainsAllowedToLogin) {
$msgResult = [System.Windows.MessageBox]::Show('已顺利完成配置!', 'GCPW', 'OK', 'Info')
}
else {
$msgResult = [System.Windows.MessageBox]::Show('无法写入注册表。配置未完成。', 'GCPW', 'OK', 'Error')
}
相关主题
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。