管理員可以設定 Google 憑證提供者 Windows 版 (GCPW),讓使用者透過公司或學校用的 Google 帳戶登入 Windows 10 或 11 裝置。如果是公司擁有的裝置,您或貴機構的其他 IT 專業人員須在裝置上設定 GCPW;如果是使用者本身具備管理員權限的個人裝置,您可以請他們自行安裝 GCPW。
需求條件
授權需求
- GCPW (獨立模式):支援這項功能的版本:Frontline Starter 和 Frontline Standard;Business Starter、Business Standard 和 Business Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus 和 Endpoint Education Upgrade;Essentials、Enterprise Essentials 和 Enterprise Essentials Plus;G Suite Basic 和 G Suite Business;Cloud Identity 免費版和 Cloud Identity 進階版。 版本比較
- GCPW (含 Windows 裝置管理服務):支援這項功能的版本:Frontline Starter 和 Frontline Standard;Business Plus;Enterprise Standard 和 Enterprise Plus;Education Standard、Education Plus 和 Endpoint Education Upgrade;Enterprise Essentials 和 Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較
系統需求
- Windows 10 或 11 (專業版、工作站專業版、企業版或教育版)。
- Chrome 81 以上版本 (穩定版) 的瀏覽器,須具備管理員權限才能安裝。
- 足夠的磁碟空間,可安裝 Google Chrome (100 MB) 和 GCPW (3 MB)。
- 您必須具備裝置的管理員權限才能執行安裝程式,或者,您也可以使用軟體部署工具將安裝程式部署至裝置。
- GCPW 與行動裝置管理服務的第三方供應商不相容。
事前準備 - 準備部署作業
- 如果還沒開始,請先準備安裝 GCPW,並在裝置上安裝 Chrome 瀏覽器。
- 如果您打算使用 Chrome 瀏覽器雲端管理服務,請先設定該服務,再安裝 GCPW。詳情請參閱「設定 Chrome 瀏覽器雲端管理服務」。
步驟 1:下載 GCPW
下列步驟說明的是如何手動設定 GCPW,不過您也可以使用應用程式發布工具或 PowerShell 指令碼來發布及安裝 GCPW。詳情請參閱 PowerShell 範例指令碼。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「行動裝置和端點」「設定」「Windows」。
- 依序按一下 [設定 Google 憑證提供者 Windows 版 (GCPW)] [下載 GCPW]。
- 下載 64 位元或 32 位元 GCPW 安裝檔,然後發布到裝置上。
步驟 2:指定 GCPW 允許的網域和選用設定
請根據您的目的採用適合的設定方式:
- 如要將相同設定套用到貴機構的所有 Windows 裝置,最簡單的做法是使用管理控制台。
- 如要對不同裝置套用不同設定,請將管理控制台設定維持在「未設定」狀態,然後分別編輯每部裝置的登錄設定。
注意:如果同時設置管理控制台設定和登錄設定,前者會覆寫後者的設定。
在管理控制台中調整 GCPW 設定 (建議做法)為了使用 GCPW,您必須先設定允許的網域。如要在管理控制台中設定允許的網域,裝置上必須有註冊權杖。您可以透過下列幾種方式設定權杖:
- 如果您是從管理控制台下載 GCPW,那麼安裝檔會自動設定權杖,您可以直接進行後續作業。
- 如果您先前已設定 Chrome 瀏覽器雲端管理的註冊權杖,這類權杖同樣能讓您從管理控制台管理 GCPW 設定。
- 如果您是從傳統下載頁面 (https://tools.google.com/dlpage/gcpw/) 下載 GCPW,則安裝檔不含權杖。在沒有權杖的情況下,您無法透過管理控制台更改允許網域,但是仍能編輯相關設定,方法是依序點選 [裝置] [行動裝置和端點] [設定] [Windows 設定] [GCPW 設定]。必要時,您可以在裝置上設定 GCPW 權杖。
在管理控制台中調整設定
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「行動裝置和端點」「設定」「Windows」。
- 依序按一下 [設定 Google 憑證提供者 Windows 版 (GCPW)] [允許網域]
- 輸入允許透過 GCPW 登入的網域。如果您未新增任何網域,使用者都將一律無法透過 GCPW 登入。
- 按一下 [儲存]。允許網域的設定會在一小時內同步到裝置上。
允許網域是唯一的必要設定。如要調整其他 GCPW 設定,請進行後續步驟。
- 在頁面頂端的導覽標記中,按一下 [Windows 設定]。
- 按一下 [GCPW 設定]。
- 如要為所有使用者套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 點選下列任一設定,然後視需求進行更新:
設定 說明與設定方式 自動更新 GCPW 如要在 Windows 裝置上自動安裝新版 GCPW,請勾選 [自動更新 GCPW] 方塊 (系統會預設勾選這個方塊)。
如果只要允許更新至特定版本,請勾選 [只更新到特定版本為止] 方塊,然後輸入允許的最新版本。假使您想先測試最新版本再為使用者部署,建議您採用這種做法。
注意:您必須在核准版本後更新這項設定,使用者才能取得新功能和安全性更新。如果您輸入的版本比裝置安裝的版本還舊,系統不會將 GCPW 復原為舊版本。
如要關閉 GCPW 自動更新功能 (不建議),請取消勾選 [自動更新 GCPW] 方塊。
管理多個帳戶 如要允許多個 Google Workspace 帳戶透過 GCPW 登入裝置,請選取 [已啟用]。如果您使用 Windows 裝置管理服務,即便您允許多個帳戶使用 GCPW,每部裝置仍將只有一位使用者可以註冊 Windows 裝置管理服務。
如果只要允許單一 Google Workspace 帳戶透過 GCPW 登入裝置,請選取 [已停用]。
當設定狀態為 [未設定] 時,除非您在裝置上將
enable_multi_user_login
登錄檔設定設為 0,否則裝置將開放多個 Google Workspace 帳戶登入。註冊裝置管理服務 如果貴機構使用 Windows 裝置管理服務,您可以讓裝置在使用者首次透過 GCPW 登入時自動註冊。
假使您並未勾選 [自動註冊裝置管理服務] 方塊,而且貴機構使用了 Windows 裝置管理服務,除非您在裝置上將
enable_dm_enrollment
登錄機碼設為 1,否則就必須手動註冊裝置。離線存取功能 如要限制使用者可透過 GCPW 離線登入裝置的時間長度,請將值變更為 [已啟用],然後設定天數。
期限屆滿後,使用者將須連上網際網路才能登入裝置。
當設定狀態為 [未設定] 時,除非您在裝置上指定
validity_period_in_days
登錄檔設定,否則使用者可以無限期離線登入裝置。 - 按一下 [儲存]。如果您已設定某個子機構單位,或許可以沿用或覆寫上層機構單位的設定。
GCPW 設定每小時會同步到裝置一次,因此您的設定最多可能要過 1 小時才會生效,屆時使用者才能透過 GCPW 登入。
如果您不要使用管理控制台中的設定來管理 GCPW,或是想要針對未在管理控制台中配置的設定調整數值,可以在每部裝置的登錄檔中進行設定。
下列指示說明的是如何手動設定登錄機碼,不過您或具備管理員權限的使用者也可以使用 PowerShell 指令碼設定機碼。
注意:如果分別透過管理控制台和裝置的登錄檔調整 GCPW 設定,前者會覆寫後者的設定。
- 設定讓指定網域使用者透過 GCPW 登入的必要登錄機碼,以及貴機構需要的任何其他登錄機碼。
注意:下列指示說明的是如何手動設定登錄機碼,不過您或使用者也可以使用 PowerShell 指令碼設定機碼。
設定 系統預設行為和手動設定方式 必要:指定哪些網域可使用 GCPW 登入。
注意:在設定這個登錄機碼之前,使用者將無法透過 GCPW 登入。預設值:一律禁止網域使用 GCPW 登入
設定方式
- 在 Windows「開始」功能表中按一下 [執行]。
- 在「執行」方塊中輸入 regedit。
- 在登錄編輯程式中前往 HKEY_LOCAL_MACHINE\Software\Google,然後在 [Google] 上按一下滑鼠右鍵,接著依序點選 [新增] [機碼] 來建立資料夾。
- 將資料夾命名為 GCPW。
- 在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選 [新增] [字串值]。
- 輸入
domains_allowed_to_login
做為名稱。 - 按兩下名稱,然後在 [數值資料] 方塊中輸入允許的網域名稱清單 (以半形逗號分隔),例如:example.com, example.org, example.net。
- 點選 [確定]。
關閉 Windows 裝置管理服務的自動註冊功能 預設值: 1 (自動註冊裝置)
設定方式
- 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選 [新增] [DWORD]。
- 輸入
enable_dm_enrollment
做為名稱。 - 按兩下名稱,然後在 [數值資料] 方塊中輸入「0」。如果您想重設機碼,允許自動註冊裝置,請將值改為「1」。
- 點選 [確定]。
要求使用者在裝置離線達到設定天數後執行線上登入 預設值:沒有數值 (未強制執行線上登入)
設定方式
- 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選 [新增] [DWORD]。
- 輸入
validity_period_in_days
做為名稱。 - 按兩下名稱,然後在 [數值資料] 方塊中輸入每次 GCPW 線上登入操作的相隔天數。
舉例來說,如果您輸入的值為 5,使用者就必須在裝置離線 5 天後進行線上登入。如果輸入的值為 0,使用者就必須在裝置的網際網路連線中斷後,立即執行線上登入。
- 按一下 [確定]。
僅允許一位使用者透過 Google 帳戶登入裝置 預設值:允許多位使用者透過自己的 Google 帳戶登入裝置。如果您使用 Windows 裝置管理服務,即便您允許多個帳戶使用 GCPW,每部裝置仍將只有一位使用者可以註冊 Windows 裝置管理服務。
設定方式
- 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選 [新增] [DWORD]。
- 輸入
enable_multi_user_login
做為名稱。 - 按兩下名稱,然後在 [數值資料] 方塊中輸入「0」。如果您想重設機碼,允許在裝置上自動使用多個帳戶,請將值改為「1」。
- 點選 [確定]。
讓使用者在首次透過 GCPW 登入時使用現有的本機 Windows 設定檔 (不必點選 [新增公司帳戶]) 預設值:透過 GCPW 登入時不使用現有的本機設定檔。使用者必須在首次登入時按一下 [新增公司帳戶]。
設定方式
- 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選 [新增] [機碼]。
- 將機碼命名為 Users。
- 在「Users」資料夾上按一下滑鼠右鍵,然後依序點選 [新增] [機碼]。
- 將機碼命名為使用者的 Windows 帳戶 SID (安全性識別碼)。如要尋找使用者的 SID,請參閱 Microsoft 的說明文件。
- 在「SID」資料夾上按一下滑鼠右鍵,然後依序點選 [新增] [字串值]。
- 輸入
email
做為名稱。 - 按兩下名稱,然後在 [數值資料] 方塊中輸入要與使用者本機 Windows 帳戶建立關聯的公司帳戶。請輸入使用者的完整電子郵件地址,例如 <使用者>@<貴公司>.com。
- 按一下 [確定]。
讓 GCPW 在為使用者設定新的 Windows 帳戶時,僅使用其公司或學校電子郵件地址的使用者名稱部分做為帳戶名稱 預設值:如果您未將 Google 帳戶與現有 Windows 設定檔建立關聯,或者目前沒有 Windows 設定檔,GCPW 就會為初次登入的使用者建立 Windows 設定檔,並根據對方的電子郵件地址產生帳戶名稱,格式為 <使用者名稱>_<網域>。
設定方式
- 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選 [新增] [DWORD]。
- 輸入
use_shorter_account_name
做為名稱。 - 按兩下名稱,然後在 [數值資料] 方塊中輸入「1」。
- 按一下 [確定]。
- 重新啟動裝置。
步驟 3:安裝 GCPW
您可以透過以下幾種方式安裝 GCPW:
- 手動安裝 (如本節所述)
- 使用 PowerShell 指令碼。詳情請參閱 PowerShell 範例指令碼。
- 使用第三方應用程式發布工具,或與電腦系統映像檔一併安裝
如何手動安裝 GCPW
- 在裝置上執行安裝程式。您可以按兩下安裝檔,也可以透過命令提示字元執行該檔案:
- 開啟命令提示字元。
- 如要安裝 64 位元用戶端,請以管理員身分執行 gcpwstandaloneenterprise64.exe。如要安裝 32 位元用戶端,請以管理員身分執行 gcpwstandaloneenterprise.exe。如要在無訊息模式中執行安裝程式,請納入以下引數:/silent /install。
安裝作業會建立 4 個檔案:
- C:\Program Files\Google\CredentialProvider\<版本號碼>\Gaia.dll
- C:\Program Files\Google\CredentialProvider\<版本號碼>\gcp_setup.exe
- C:\Program Files\Google\CredentialProvider\<版本號碼>\gcp_eventlog_provider.dll
- C:\Program Files\Google\CredentialProvider\<版本號碼>\extension\gcpw_extension.exe
- (選用) 如要協助 Google 改善 GCPW,您可以在裝置上啟用 GCPW 的自動產生錯誤報告功能。
步驟 4:管理 GCPW 裝置
使用者體驗
- 使用者現在可以開始透過 GCPW 登入裝置。使用者只要獲得核准,便可以管理 Google 帳戶密碼來管理裝置密碼。
- 如果無法順利登入,請按照排解 GCPW 相關問題一文的說明操作。
管理經營
- 使用者首次登入後,您就能在管理控制台中查看裝置詳細資料。
- 如果您需要重設使用者的密碼,強烈建議您在管理控制台中重設他們的密碼。如需透過 AD 或其他工具重設密碼,使用者必須更新 Windows 密碼,並將 Google 帳戶密碼更新為相同的密碼。如果使用者無法自行更新密碼 (例如學生),將無法登入帳戶。
使用 PowerShell 指令碼設定 GCPW
您可以使用 Microsoft PowerShell 指令碼下載及安裝 GCPW,並視需求設定登錄機碼。建議您透過管理控制台控管 GCPW 設定。
注意:Google 不會提供使用範例指令碼方面的支援服務。建議您只在具備 PowerShell 指令碼使用經驗的情況下使用範例指令碼。
範例指令碼
這個指令碼會從公開網站 (未提供機構專屬的權杖) 下載並安裝 GCPW,然後設定必要的登錄機碼,僅開放特定網域中的帳戶登入裝置。如要使用指令碼,請將指令碼複製到文字編輯器中,然後在第 11 行輸入您要允許的網域。如果您想透過管理控制台管理 GCPW 設定,請先取得管理控制台中的權杖,然後使用指令碼設定有權杖的登錄機碼。
<# 這個指令碼會從 https://tools.google.com/dlpage/gcpw/ 下載 Google 憑證提供者 Windows 版,然後執行安裝及設定程序。
您必須擁有 Windows 管理員權限才能使用指令碼。#>
<# 請根據您要讓使用者從哪些網域登入,來設定以下機碼。
例如:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>
$domainsAllowedToLogin = ""
Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework
<# 請檢查您設定了 1 個還是多個網域 #>
if ($domainsAllowedToLogin.Equals('')) {
$msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
exit 5
}
function Is-Admin() {
$admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
return $admin
}
<# 檢查目前的使用者是否為管理員,如果不是的話,請結束此程序。#>
if (-not (Is-Admin)) {
$result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
exit 5
}
<# 選擇要下載的 GCPW 檔案。提醒您,32 位元和 64 位元版本的名稱各不相同 #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
$gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}
<# 下載 GCPW 安裝程式。#>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName
<# 執行 GCPW 安裝程式並等待安裝完成 #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)
<# 檢查是否已成功安裝 #>
if ($installProcess.ExitCode -ne 0) {
$result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
exit $installProcess.ExitCode
}
else {
$result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}
<# 將允許的網域名稱設為必要的登錄機碼值 #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)
$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name
if ($domains -eq $domainsAllowedToLogin) {
$msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
$msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')
}
相關主題
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。