支援這項功能的版本:Frontline Starter 和 Frontline Standard;Business Starter、Business Standard 和 Business Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus 和 Endpoint Education Upgrade;Essentials、Enterprise Essentials 和 Enterprise Essentials Plus;G Suite Basic 和 G Suite Business;Cloud Identity 免費版和 Cloud Identity 進階版。 版本比較
在裝置上安裝 Google 憑證提供者 Windows 版 (GCPW) 前,您必須決定 Google 與 Windows 同步處理密碼的方式、將裝置存取權授予支援團隊,以及決定要如何處理現有的 Windows 設定檔。
注意:GCPW 不支援 USB 安全金鑰。即使您強制使用安全金鑰,使用者還是可以使用 Android 或 iOS 的內建安全金鑰登入裝置。他們也可以在收到執行兩步驟驗證的提示時點選 [試試其他方法],然後採用其他可行的兩步驟驗證方法;如果沒有其他可行方法,使用者才無法登入裝置。如要修改兩步驟驗證方法,請參閱兩步驟驗證設定指南。
完成這些初步設定步驟後,您就可以在 Windows 裝置上安裝 GCPW。
步驟 1:決定密碼管理策略
當您在 Windows 10 或 11 裝置上安裝 GCPW,而使用者透過 Google 帳戶密碼登入後,GCPW 就會自動將使用者登入 Windows 設定檔和 Chrome 瀏覽器。如要讓自動登入程序順利運作,使用者的 Google 帳戶密碼和 Windows 密碼必須保持同步。
您可以採用下列兩種方式讓密碼保持同步:透過 Google (建議做法) 或同步處理工具,將密碼更新資料從 Active Directory、Azure Active Directory (AD) 或其他第三方工具推送至 Google。
無論採用哪一種方式,使用者都只能管理 Google 密碼,即使他們在裝置上按下 Ctrl + Alt + Delete 鍵,也無法重設密碼 (GCPW 封鎖此功能)。
如有部分使用者無法管理自己的密碼 (例如學生),您就必須在管理控制台中重設及更新該使用者的密碼。
透過 Google 管理控制台管理密碼
將本機 Windows 設定檔與 Google 帳戶建立關聯時,建議您採用這個方法
如果您使用 Google 管理控制台管理密碼,那麼當使用者變更自己的 Google 帳戶密碼時,您就不必採取任何行動,GCPW 會自動將他們的 Google 帳戶密碼與 Windows 密碼同步處理。只要使用者在連上網際網路的狀態下使用新密碼登入裝置,系統就會執行同步處理作業。
注意事項:
- 如果使用者有與 Microsoft 帳戶 (例如 @outlook.com 和 hotmail.com) 相關聯的 Windows 設定檔,GCPW 就無法同步處理 Microsoft 帳戶和 Google 帳戶的密碼。也就是說,如果使用者變更了 Microsoft 帳戶密碼,就必須手動變更 Google 帳戶密碼,否則將收到密碼同步處理錯誤。
- 如果使用者擁有 AD 支援的 Windows 設定檔,當裝置無法連線至 AD 伺服器時,便無法依這個方法進行密碼同步處理,建議您轉而採用下列方法。
使用 Active Directory、Azure AD 或第三方工具管理密碼
將 AD 支援的 Windows 設定檔與 Google 帳戶建立關聯時,建議您採用這個方法
如果您透過 Active Directory、Azure AD 或其他工具管理 Windows 裝置的密碼,就必須使用 G Suite Password Sync (GSPS) 或其他工具來同步處理 Google 帳戶密碼和 Windows 密碼。
注意:透過這個方法,使用者仍需在個人 Google 帳戶中管理密碼。當您要求使用者重設密碼時,建議您使用 Google 管理控制台,而非 AD 或其他工具。您仍然可以使用 AD 或其他工具,但使用者必須重設 Microsoft 密碼,並將 Google 密碼重設為相同的密碼。
如有部分使用者無法自行變更密碼,您就必須在管理控制台中重設使用者密碼。如果您在 AD 或其他工具中重設密碼,使用者就無法變更 Google 帳戶密碼,因而無法解決「密碼不正確」錯誤。
步驟 2:設置相容的密碼複雜度規定
設定密碼複雜度規定,要求使用者為 Google 帳戶設定的密碼強度必須等同或高於 Active Directory 或 Windows 密碼規定。如果 Google 密碼強度規定較低,使用者在變更密碼時可以不必依循 Windows 密碼強度規定;但如果他們要存取 Windows 帳戶,就必須根據 Windows 密碼強度規定,再次更改自己的 Google 密碼。
步驟 3:決定管理 GCPW 設定的方式
您在設定 GCPW 後必須先指定要允許登入哪些網域,使用者才能透過 GCPW 登入。此外,您也可以關閉 Windows 裝置管理服務中的自動註冊功能、控管自動更新功能,以及規定使用者在一段時間後要進行線上登入。如要控管這些設定,請前往管理控制台,或在每部裝置的登錄檔設定中操作。
- 管理控制台:這種做法適用於貴機構的所有成員將獲准登入相同網域的情況。您可以依機構單位設定其他選項。透過此做法,您不僅能輕鬆查看 GCPW 的設定方式,還能更有效率地變更各項設定,因為這些設定會自動推送到所有裝置。
- 登錄檔設定:這種做法適用於想在不同裝置上允許登入不同網域的情況。在此情況下,您無法透過管理控制台查看裝置的設定方式,因此請務必自行保留相關記錄。如需更新或新增設定,您必須分別更新每部裝置。
步驟 4:將使用者的 Google 帳戶與現有 Windows 設定檔建立關聯
如果 Windows 裝置上已經有屬於使用者公司帳戶的 Windows 設定檔,您就可以透過 GCPW 設定將該設定檔與使用者的 Google 帳戶建立關聯。
如果您未將現有 Windows 設定檔與 Google 帳戶建立關聯,GCPW 就會建立新的 Google 登入專用 Windows 設定檔。擁有本機設定檔的使用者還是能登入原有的 Windows 設定檔,但 Active Directory 使用者將無法存取這個設定檔。請參閱這篇文章,瞭解如何讓使用者利用 GCPW 登入現有 Windows 設定檔。
瞭解如何將 Google 帳戶與現有 Windows 設定檔建立關聯。
步驟 5:如果您使用 Windows 裝置管理服務,請讓您的支援團隊存取裝置
請確認您的支援團隊 (Active Directory 使用者、Active Directory 群組和本機使用者) 具備適當的本機管理員權限。詳情請參閱「管理 Windows 10 或 11 裝置的帳戶設定」。
步驟 6:如果您使用 Windows 裝置管理服務,請規劃自動註冊作業
如果您是自動部署 GCPW,則可略過這個步驟。
根據預設,GCPW 會自動為首位透過 GCPW 登入裝置的使用者註冊 Windows 裝置管理服務 (如果已為該使用者啟用 Windows 裝置管理服務的話)。但假如貴機構是手動部署軟體,設定裝置的使用者可能就不會是您要透過 Windows 裝置管理服務管理的使用者。如果負責設定的使用者透過 GCPW 登入,您可以為他們註冊,而不用為預定的使用者註冊。由於 Microsoft Windows 管理服務的限制,每部裝置只有一位使用者能夠註冊 Windows 裝置管理服務,因此假如負責設定的使用者已完成註冊,系統就不會套用預定使用者的設定。
您可以管理或避免為負責設定的使用者進行自動註冊,方法如下:
- 如果負責設定的使用者用的是本機管理員帳戶,而非透過 Google 帳戶登入,他們將不會註冊 Windows 裝置管理服務。
- 如果負責設定的使用者透過 GCPW 登入 (以獲得特殊權限的帳戶或自己的公司帳戶來設定裝置),您可以針對這類帳戶所屬的機構單位關閉自動註冊功能。
- 如果您允許系統為負責設定的使用者自動註冊,可以先取消註冊該使用者,然後再將裝置交給預定的使用者。操作說明
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。
