安裝 Google 憑證提供者 Windows 版

管理員可以設定 Google 憑證提供者 Windows 版 (GCPW)，讓使用者透過公司或學校用的 Google 帳戶登入 Windows 10 或 11 裝置。如果是公司擁有的裝置，您或貴機構的其他 IT 專業人員須在裝置上設定 GCPW；如果是使用者本身具備管理員權限的個人裝置，您可以請他們自行安裝 GCPW。

需求條件

授權需求

GCPW (獨立模式)：支援這項功能的版本：Frontline Starter 和 Frontline Standard；Business Starter、Business Standard 和 Business Plus；Enterprise Standard 和 Enterprise Plus；Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus 和 Endpoint Education Upgrade；Essentials、Enterprise Essentials 和 Enterprise Essentials Plus；G Suite Basic 和 G Suite Business；Cloud Identity 免費版和 Cloud Identity 進階版。 版本比較
GCPW (含 Windows 裝置管理服務)：支援這項功能的版本：Frontline Starter 和 Frontline Standard；Business Plus；Enterprise Standard 和 Enterprise Plus；Education Standard、Education Plus 和 Endpoint Education Upgrade；Enterprise Essentials 和 Enterprise Essentials Plus；Cloud Identity 進階版。 版本比較

系統需求

Windows 10 或 11 (專業版、工作站專業版、企業版或教育版)。
Chrome 81 以上版本 (穩定版) 的瀏覽器，須具備管理員權限才能安裝。
足夠的磁碟空間，可安裝 Google Chrome (100 MB) 和 GCPW (3 MB)。
您必須具備裝置的管理員權限才能執行安裝程式，或者，您也可以使用軟體部署工具將安裝程式部署至裝置。
GCPW 與行動裝置管理服務的第三方供應商不相容。

事前準備 - 準備部署作業

如果還沒開始，請先準備安裝 GCPW，並在裝置上安裝 Chrome 瀏覽器。
如果您打算使用 Chrome 瀏覽器雲端管理服務，請先設定該服務，再安裝 GCPW。詳情請參閱「設定 Chrome 瀏覽器雲端管理服務」。

步驟 1：下載 GCPW

下列步驟說明的是如何手動設定 GCPW，不過您也可以使用應用程式發布工具或 PowerShell 指令碼來發布及安裝 GCPW。詳情請參閱 PowerShell 範例指令碼。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「裝置」「行動裝置和端點」「設定」「Windows」。
依序按一下 [設定 Google 憑證提供者 Windows 版 (GCPW)] [下載 GCPW]。
下載 64 位元或 32 位元 GCPW 安裝檔，然後發布到裝置上。

步驟 2：指定 GCPW 允許的網域和選用設定

請根據您的目的採用適合的設定方式：

如要將相同設定套用到貴機構的所有 Windows 裝置，最簡單的做法是使用管理控制台。
如要對不同裝置套用不同設定，請將管理控制台設定維持在「未設定」狀態，然後分別編輯每部裝置的登錄設定。

注意：如果同時設置管理控制台設定和登錄設定，前者會覆寫後者的設定。

在管理控制台中調整 GCPW 設定 (建議做法)

為了使用 GCPW，您必須先設定允許的網域。如要在管理控制台中設定允許的網域，裝置上必須有註冊權杖。您可以透過下列幾種方式設定權杖：

如果您是從管理控制台下載 GCPW，那麼安裝檔會自動設定權杖，您可以直接進行後續作業。
如果您先前已設定 Chrome 瀏覽器雲端管理的註冊權杖，這類權杖同樣能讓您從管理控制台管理 GCPW 設定。
如果您是從傳統下載頁面 (https://tools.google.com/dlpage/gcpw/) 下載 GCPW，則安裝檔不含權杖。在沒有權杖的情況下，您無法透過管理控制台更改允許網域，但是仍能編輯相關設定，方法是依序點選 [裝置] [行動裝置和端點] [設定] [Windows 設定] [GCPW 設定]。必要時，您可以在裝置上設定 GCPW 權杖。

在管理控制台中調整設定

事前準備：如要為特定使用者套用設定，請將他們的帳戶加入同一個機構單位。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「裝置」「行動裝置和端點」「設定」「Windows」。
依序按一下 [設定 Google 憑證提供者 Windows 版 (GCPW)] [允許網域]
輸入允許透過 GCPW 登入的網域。如果您未新增任何網域，使用者都將一律無法透過 GCPW 登入。
按一下 [儲存]。允許網域的設定會在一小時內同步到裝置上。
允許網域是唯一的必要設定。如要調整其他 GCPW 設定，請進行後續步驟。
在頁面頂端的導覽標記中，按一下 [Windows 設定]。
按一下 [GCPW 設定]。
如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位。

點選下列任一設定，然後視需求進行更新：

設定	說明與設定方式
自動更新 GCPW	如要在 Windows 裝置上自動安裝新版 GCPW，請勾選 [自動更新 GCPW] 方塊 (系統會預設勾選這個方塊)。如果只要允許更新至特定版本，請勾選 [只更新到特定版本為止] 方塊，然後輸入允許的最新版本。假使您想先測試最新版本再為使用者部署，建議您採用這種做法。注意：您必須在核准版本後更新這項設定，使用者才能取得新功能和安全性更新。如果您輸入的版本比裝置安裝的版本還舊，系統不會將 GCPW 復原為舊版本。如要關閉 GCPW 自動更新功能 (不建議)，請取消勾選 [自動更新 GCPW] 方塊。
管理多個帳戶	如要允許多個 Google Workspace 帳戶透過 GCPW 登入裝置，請選取 [已啟用]。如果您使用 Windows 裝置管理服務，即便您允許多個帳戶使用 GCPW，每部裝置仍將只有一位使用者可以註冊 Windows 裝置管理服務。如果只要允許單一 Google Workspace 帳戶透過 GCPW 登入裝置，請選取 [已停用]。當設定狀態為 [未設定] 時，除非您在裝置上將 `enable_multi_user_login` 登錄檔設定設為 0，否則裝置將開放多個 Google Workspace 帳戶登入。
註冊裝置管理服務	如果貴機構使用 Windows 裝置管理服務，您可以讓裝置在使用者首次透過 GCPW 登入時自動註冊。假使您並未勾選 [自動註冊裝置管理服務] 方塊，而且貴機構使用了 Windows 裝置管理服務，除非您在裝置上將 `enable_dm_enrollment` 登錄機碼設為 1，否則就必須手動註冊裝置。
離線存取功能	如要限制使用者可透過 GCPW 離線登入裝置的時間長度，請將值變更為 [已啟用]，然後設定天數。期限屆滿後，使用者將須連上網際網路才能登入裝置。當設定狀態為 [未設定] 時，除非您在裝置上指定 `validity_period_in_days` 登錄檔設定，否則使用者可以無限期離線登入裝置。

按一下 [儲存]。如果您已設定某個子機構單位，或許可以沿用或覆寫上層機構單位的設定。

GCPW 設定每小時會同步到裝置一次，因此您的設定最多可能要過 1 小時才會生效，屆時使用者才能透過 GCPW 登入。

透過裝置的登錄檔設定來調整 GCPW 設定

如果您不要使用管理控制台中的設定來管理 GCPW，或是想要針對未在管理控制台中配置的設定調整數值，可以在每部裝置的登錄檔中進行設定。

下列指示說明的是如何手動設定登錄機碼，不過您或具備管理員權限的使用者也可以使用 PowerShell 指令碼設定機碼。

注意：如果分別透過管理控制台和裝置的登錄檔調整 GCPW 設定，前者會覆寫後者的設定。

設定讓指定網域使用者透過 GCPW 登入的必要登錄機碼，以及貴機構需要的任何其他登錄機碼。

注意：下列指示說明的是如何手動設定登錄機碼，不過您或使用者也可以使用 PowerShell 指令碼設定機碼。

設定	系統預設行為和手動設定方式
必要：指定哪些網域可使用 GCPW 登入。注意：在設定這個登錄機碼之前，使用者將無法透過 GCPW 登入。	預設值：一律禁止網域使用 GCPW 登入設定方式在 Windows「開始」功能表中按一下 [執行]。在「執行」方塊中輸入 regedit。在登錄編輯程式中前往 HKEY_LOCAL_MACHINE\Software\Google，然後在 [Google] 上按一下滑鼠右鍵，接著依序點選 [新增] [機碼] 來建立資料夾。將資料夾命名為 GCPW。在「GCPW」資料夾上按一下滑鼠右鍵，然後依序點選 [新增] [字串值]。輸入 `domains_allowed_to_login` 做為名稱。按兩下名稱，然後在 [數值資料] 方塊中輸入允許的網域名稱清單 (以半形逗號分隔)，例如：example.com, example.org, example.net。點選 [確定]。
關閉 Windows 裝置管理服務的自動註冊功能	預設值： 1 (自動註冊裝置) 設定方式開啟登錄編輯程式，在「GCPW」資料夾上按一下滑鼠右鍵，然後依序點選 [新增] [DWORD]。輸入 `enable_dm_enrollment` 做為名稱。按兩下名稱，然後在 [數值資料] 方塊中輸入「0」。如果您想重設機碼，允許自動註冊裝置，請將值改為「1」。點選 [確定]。
要求使用者在裝置離線達到設定天數後執行線上登入	預設值：沒有數值 (未強制執行線上登入) 設定方式開啟登錄編輯程式，在「GCPW」資料夾上按一下滑鼠右鍵，然後依序點選 [新增] [DWORD]。輸入 `validity_period_in_days` 做為名稱。按兩下名稱，然後在 [數值資料] 方塊中輸入每次 GCPW 線上登入操作的相隔天數。舉例來說，如果您輸入的值為 5，使用者就必須在裝置離線 5 天後進行線上登入。如果輸入的值為 0，使用者就必須在裝置的網際網路連線中斷後，立即執行線上登入。按一下 [確定]。
僅允許一位使用者透過 Google 帳戶登入裝置	預設值：允許多位使用者透過自己的 Google 帳戶登入裝置。如果您使用 Windows 裝置管理服務，即便您允許多個帳戶使用 GCPW，每部裝置仍將只有一位使用者可以註冊 Windows 裝置管理服務。設定方式開啟登錄編輯程式，在「GCPW」資料夾上按一下滑鼠右鍵，然後依序點選 [新增] [DWORD]。輸入 `enable_multi_user_login` 做為名稱。按兩下名稱，然後在 [數值資料] 方塊中輸入「0」。如果您想重設機碼，允許在裝置上自動使用多個帳戶，請將值改為「1」。點選 [確定]。
讓使用者在首次透過 GCPW 登入時使用現有的本機 Windows 設定檔 (不必點選 [新增公司帳戶])	預設值：透過 GCPW 登入時不使用現有的本機設定檔。使用者必須在首次登入時按一下 [新增公司帳戶]。設定方式開啟登錄編輯程式，在「GCPW」資料夾上按一下滑鼠右鍵，然後依序點選 [新增] [機碼]。將機碼命名為 Users。在「Users」資料夾上按一下滑鼠右鍵，然後依序點選 [新增] [機碼]。將機碼命名為使用者的 Windows 帳戶 SID (安全性識別碼)。如要尋找使用者的 SID，請參閱 Microsoft 的說明文件。在「SID」資料夾上按一下滑鼠右鍵，然後依序點選 [新增] [字串值]。輸入 `email` 做為名稱。按兩下名稱，然後在 [數值資料] 方塊中輸入要與使用者本機 Windows 帳戶建立關聯的公司帳戶。請輸入使用者的完整電子郵件地址，例如 <使用者>@<貴公司>.com。按一下 [確定]。
讓 GCPW 在為使用者設定新的 Windows 帳戶時，僅使用其公司或學校電子郵件地址的使用者名稱部分做為帳戶名稱	預設值：如果您未將 Google 帳戶與現有 Windows 設定檔建立關聯，或者目前沒有 Windows 設定檔，GCPW 就會為初次登入的使用者建立 Windows 設定檔，並根據對方的電子郵件地址產生帳戶名稱，格式為 <使用者名稱>_<網域>。設定方式開啟登錄編輯程式，在「GCPW」資料夾上按一下滑鼠右鍵，然後依序點選 [新增] [DWORD]。輸入 `use_shorter_account_name` 做為名稱。按兩下名稱，然後在 [數值資料] 方塊中輸入「1」。按一下 [確定]。

重新啟動裝置。

步驟 3：安裝 GCPW

您可以透過以下幾種方式安裝 GCPW：

手動安裝 (如本節所述)
使用 PowerShell 指令碼。詳情請參閱 PowerShell 範例指令碼。
使用第三方應用程式發布工具，或與電腦系統映像檔一併安裝

如何手動安裝 GCPW

在裝置上執行安裝程式。您可以按兩下安裝檔，也可以透過命令提示字元執行該檔案：
1. 開啟命令提示字元。
2. 如要安裝 64 位元用戶端，請以管理員身分執行 gcpwstandaloneenterprise64.exe。如要安裝 32 位元用戶端，請以管理員身分執行 gcpwstandaloneenterprise.exe。如要在無訊息模式中執行安裝程式，請納入以下引數：/silent /install。
安裝作業會建立 4 個檔案：
- C:\Program Files\Google\CredentialProvider\<版本號碼>\Gaia.dll
- C:\Program Files\Google\CredentialProvider\<版本號碼>\gcp_setup.exe
- C:\Program Files\Google\CredentialProvider\<版本號碼>\gcp_eventlog_provider.dll
- C:\Program Files\Google\CredentialProvider\<版本號碼>\extension\gcpw_extension.exe
(選用) 如要協助 Google 改善 GCPW，您可以在裝置上啟用 GCPW 的自動產生錯誤報告功能。

步驟 4：管理 GCPW 裝置

使用者體驗

使用者現在可以開始透過 GCPW 登入裝置。使用者只要獲得核准，便可以管理 Google 帳戶密碼來管理裝置密碼。
如果無法順利登入，請按照排解 GCPW 相關問題一文的說明操作。

管理經營

使用者首次登入後，您就能在管理控制台中查看裝置詳細資料。
如果您需要重設使用者的密碼，強烈建議您在管理控制台中重設他們的密碼。如需透過 AD 或其他工具重設密碼，使用者必須更新 Windows 密碼，並將 Google 帳戶密碼更新為相同的密碼。如果使用者無法自行更新密碼 (例如學生)，將無法登入帳戶。

使用 PowerShell 指令碼設定 GCPW

您可以使用 Microsoft PowerShell 指令碼下載及安裝 GCPW，並視需求設定登錄機碼。建議您透過管理控制台控管 GCPW 設定。

注意：Google 不會提供使用範例指令碼方面的支援服務。建議您只在具備 PowerShell 指令碼使用經驗的情況下使用範例指令碼。

範例指令碼

這個指令碼會從公開網站 (未提供機構專屬的權杖) 下載並安裝 GCPW，然後設定必要的登錄機碼，僅開放特定網域中的帳戶登入裝置。如要使用指令碼，請將指令碼複製到文字編輯器中，然後在第 11 行輸入您要允許的網域。如果您想透過管理控制台管理 GCPW 設定，請先取得管理控制台中的權杖，然後使用指令碼設定有權杖的登錄機碼。

<# 這個指令碼會從 https://tools.google.com/dlpage/gcpw/ 下載 Google 憑證提供者 Windows 版，然後執行安裝及設定程序。
您必須擁有 Windows 管理員權限才能使用指令碼。#>

<# 請根據您要讓使用者從哪些網域登入，來設定以下機碼。

例如：
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# 請檢查您設定了 1 個還是多個網域 #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# 檢查目前的使用者是否為管理員，如果不是的話，請結束此程序。#>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# 選擇要下載的 GCPW 檔案。提醒您，32 位元和 64 位元版本的名稱各不相同 #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# 下載 GCPW 安裝程式。#>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# 執行 GCPW 安裝程式並等待安裝完成 #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# 檢查是否已成功安裝 #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# 將允許的網域名稱設為必要的登錄機碼值 #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

這對您有幫助嗎？

我們應如何改進呢？