管理員可以藉由設定 Google 憑證提供者 Windows 版 (GCPW),為使用者提供更順暢的初次登入體驗。您可以允許 GCPW 將使用者「現有的」Windows 設定檔與他們的 Google 帳戶建立關聯。這樣一來,使用者就可以利用自己的 Google 帳戶登入工作用的 Windows 設定檔,GCPW 也會將他們的 Google 密碼和 Windows 密碼同步處理。
如要建立新的 Windows 設定檔以與使用者的 Google 帳戶進行關聯,請略過本文的操作說明,直接安裝 GCPW。
透過這個方法,GCPW 就會在使用者首次登入裝置時建立 Windows 設定檔,並將他們的 Google 帳戶與新設定檔進行關聯。
帳戶關聯的運作方式
GCPW 會根據您在 Google Directory 中新增的自訂屬性,將使用者的 Google 帳戶與其現有的本機設定檔或 AD Windows 設定檔建立關聯。自訂屬性會指定使用者在本機或 AD Windows 設定檔中的使用者名稱。
使用者在 GCPW 安裝後首次登入裝置時,GCPW 會查詢他們在目錄中的 Windows 使用者名稱資訊。從目錄中取得 Windows 使用者名稱資訊後,GCPW 便會在裝置上查找相符的設定檔或 AD 使用者名稱。 注意:如果使用者的裝置已加入 AD,但是當中沒有支援 AD 的 Windows 設定檔 (因此必須點選 [其他使用者] 登入),那麼在使用者首次登入時,該裝置就必須連線至 AD。
- 如果找到相符的 Windows 設定檔或 AD 使用者名稱,GCPW 便會將使用者的 Google 帳戶與 Windows 設定檔建立關聯,並同步處理密碼。
- 如果 Directory 中不含使用者的 Windows 使用者名稱,或是 GCPW 找不到相符的內容,該服務便會在裝置上建立新的 Windows 設定檔,並與使用者的 Google 帳戶進行關聯。
- 對於已加入 AD 網域的裝置,如果 AD 使用者名稱無效,GCPW 便可能傳回錯誤。如果未就 Google 帳戶設定自訂屬性,GCPW 便會建立 Windows 設定檔或傳回錯誤,具體情況取決於使用者點選登入的帳戶類型。
如要進一步瞭解使用者的登入體驗,請參閱安裝 GCPW 後登入 Windows。
事前須知
請務必詳閱準備安裝 GCPW 一文中的資訊。
步驟 1:為使用者帳戶新增自訂屬性
您可以透過下列平台新增自訂屬性:管理控制台、開發人員說明文件中的小工具、Directory API 或 Google Cloud Directory Sync (GCDS)。
從管理控制台新增自訂屬性-
- 在管理控制台中,依序點選「選單」圖示
「目錄」
「使用者」。
- 依序按一下「使用者」清單頂端的 [更多]
- 在「標準屬性」之下,查看使用者個人資料的標準屬性。
- 按一下右上方的 [新增自訂屬性]。
- 在「類別」之下輸入
Enhanced desktop security。這個類別名稱需區分大小寫。 - 在「自訂欄位」之下輸入以下的值:
- 名稱 - 根據使用者擁有的 Windows 設定檔類型輸入下列其中一個名稱,或分別輸入兩者:
Local Windows accounts或AD accounts(需區分大小寫)。 - 資訊類型 - 選取[文字]。
- 顯示設定 - 選取 [使用者和管理員皆可檢視]。
- 值數量 - 選取 [多重值]。
- 名稱 - 根據使用者擁有的 Windows 設定檔類型輸入下列其中一個名稱,或分別輸入兩者:
- 按一下 [新增],「管理使用者屬性」頁面隨即會加入該屬性。
注意:如果輸入的「Category」或「Name」值有誤,您將無法以編輯自訂屬性的方式修正這類錯誤。如要進行修正,請先刪除屬性再重新輸入。
只要使用 API 說明文件中的測試小工具,就可以直接從超級管理員的 Google 帳戶傳送要求並進行驗證,過程中不必寫任何程式。
如何使用 API 測試小工具新增自訂屬性:
- 開啟 Schemas: insert 參考文件。
- 在右側的「Try this API (試用這個 API)」面板中輸入以下的值:
- customerId - 輸入
my_customer。 - Request body (要求主體) - 刪除預留位置內容,並將下列文字複製到該欄位中:
{ "displayName": "Enhanced Desktop Security", "fields": [ { "displayName": "AD accounts", "fieldName": "AD_accounts", "fieldType": "STRING", "multiValued": true, "readAccessType": "ADMINS_AND_SELF" }, { "displayName": "Local Windows accounts", "fieldName": "Local_Windows_accounts", "fieldType": "STRING", "multiValued": true, "readAccessType": "ADMINS_AND_SELF" } ], "schemaName": "Enhanced_desktop_security" }
- customerId - 輸入
- 按一下 [Execute] (執行)。
- 依提示輸入超級管理員帳戶的帳戶憑證。
如果要求成功,面板底部會顯示傳回 200 回應碼。您也可以確認已經建立的自訂屬性,方法是開啟管理控制台,然後依序點選 [使用者] [更多]
[管理自訂屬性]。
透過 Directory API 新增自訂屬性。
先在 Active Directory 中新增相應值,然後使用 Google Cloud Directory Sync (GDCS) 將值同步到管理控制台。
步驟 2:為每位使用者的帳戶設定自訂屬性
如果想讓 GCPW 將使用者的 Google 帳戶與現有的 Windows 設定檔建立關聯,請分別為每位使用者完成下列步驟。如要進一步瞭解如何編輯屬性,請參閱為使用者個人資料建立自訂屬性。
每次為一位使用者設定自訂屬性的值:
-
- 在管理控制台中,依序點選「選單」圖示
- 在「使用者」清單中找出所需使用者,然後按一下此人的名稱。如需相關協助,請參閱尋找使用者帳戶。
- 按一下 [使用者資訊],找出「進階電腦安全性」部分。
- 如果使用者有 Active Directory 帳戶,請在文字欄位中輸入該使用者的 SAM 帳戶名稱 (sAMAccountName),格式如下:「<網域>\<使用者名稱>」
舉例來說,如果您的網域是「example.com」,而使用者用於登入 Windows 的使用者名稱是「jsmith」,請輸入以下 SAM 帳戶名稱:
example.com\jsmith。注意:
- 您只能為使用者輸入一個 Active Directory 帳戶。即使您輸入多個帳戶,GCPW 也只會採用第一個帳戶。
- 如果您同時新增了本機帳戶 (下個步驟),GCPW 將優先搜尋 Active Directory 帳戶。
- 如果使用者擁有本機 Windows 設定檔,請在文字欄位中輸入其帳戶資訊,格式如下:un:<Windows 使用者名稱> (Windows 使用者名稱可以包含空格)。如果使用者擁有多個本機 Windows 帳戶,請在新的「Local Windows accounts」欄位中輸入各個帳戶 (開始輸入帳戶時,系統便會新增欄位)。
如要限制使用者對特定裝置的存取權,請輸入「un:<Windows 使用者名稱>,sn:<裝置序號>」(請勿在半形逗號後加空格,且僅能輸入一組裝置序號)。
例如,如果使用者用於登入 Windows 的使用者名稱是「jsmith」,請輸入
un:jsmith。如要禁止使用者在序號為「123456」的裝置上登入,請輸入un:jsmith,sn:123456。 - 按一下 [儲存]。
如要批量更新使用者,請透過下列任一方式新增屬性值:
- Directory API
- 使用 Google Cloud Directory Sync (GDCS) 來同步處理 Active Directory 的值
下一步:安裝 GCPW
按照安裝 Google 憑證提供者 Windows 版一文的說明進行操作。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。
