For administrators who enroll Windows, Mac, or Linux computers in Chrome Browser Cloud Management.
Chrome-browser versie 95 en hoger.
Als Chrome Enterprise-beheerder kun je afdwingen dat gebruikers een apart profiel instellen als ze inloggen bij de Chrome-browser met hun beheerde Google-account op een onbeheerd apparaat. Als gebruikers verschillende Chrome-profielen maken, kunnen ze schakelen tussen hun beheerde account en hun andere Google-accounts, zoals persoonlijke accounts of testaccounts, zonder dat ze telkens moeten uitloggen. Er worden geen gegevens of content gedeeld tussen profielen.
He Chrome-beleid en de Chrome-instellingen op gebruikersniveau in de Google Beheerdersconsole worden alleen toegepast op het beheerde profiel, niet op hun andere profielen. Je kunt beheerde profielen beheren en controleren, zoals:
- De Chrome-extensies van je organisatie installeren
- Installatie van bepaalde niet-goedgekeurde extensies blokkeren
- Bijhouden welke extensies zijn geïnstalleerd in beheerde profielen
- Een beheerd profiel verwijderen, bijvoorbeeld wanneer een gebruiker een organisatie verlaat
- Bepaalde browserinstellingen afdwingen in het beheerde profiel
- Zet een beveiligde browsersessie aan om toegang te krijgen tot bedrijfsgegevens met Chrome Enterprise Premium.
Opmerking: Als gebruikers hun nieuwe beheerde profiel maken op hun persoonlijke apparaat, bevestigen ze de disclaimer dat ze worden beheerd.
Beveiligingsoverwegingen
Gebruikers kunnen nog steeds een andere browser dan Chrome gebruiken om in te loggen op hun beheerde Google-account. Gebruik Chrome Enterprise Premium om de toegang van gebruikers tot bedrijfsbronnen te beperken tot Chrome-profielen die jij beheert en waarvoor bescherming tegen bedreigingen en gegevensbescherming aanstaan. Ga naar Chrome-gebruikers beschermen met Chrome Enterprise Premium voor meer informatie.
Stap 1: Het beleid bekijken
Beleid | Beschrijving |
---|---|
Hiermee bepaal je of de Chrome-browser aanbiedt een profiel te maken of te schakelen tussen profielen als gebruikers inloggen op een ander Google-account dan het account dat ze momenteel gebruiken. Niet ingesteld: Gebruikers worden niet gevraagd aparte profielen te maken. |
|
Gebruik deze instelling samen met SigninInterceptionEnabled om te vereisen dat gebruikers een apart profiel maken als ze inloggen op hun beheerde Google-account op een onbeheerd apparaat. Voor sommige gebruikers geldt dat als ze inloggen op een ander profiel dan het profiel waarop ze momenteel zijn ingelogd, ze een link zien om de Chrome-browser in de gastmodus te openen. Niet ingesteld: Gebruikers kunnen hun beheerde Google-account gebruiken zonder dat ze een apart profiel hoeven te maken. |
Stap 2: Het beleid instellen
BeheerdersconsoleKan worden toegepast op ingelogde gebruikers op elk apparaat of ingeschreven browsers op Windows, Mac of Linux. Zie Begrijpen wanneer de instellingen gelden voor meer informatie.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu ApparatenChromeInstellingen. De pagina Instellingen voor gebruikers en browsers wordt standaard geopend.
Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu Chrome-browserInstellingen.
- Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
- Ga naar Inloginstellingen:
- Klik op Onderschepping bij inloggen:
- Selecteer Onderschepping bij inloggen aanzetten.
- Klik op Opslaan.
- Klik op Apart profiel voor beheerde Google-identiteit om af te dwingen dat gebruikers een apart profiel maken voor hun beheerde account. Kies een optie en klik op Opslaan.
- Apart profiel afdwingen: Het beheerde account is het primaire account. Het profiel kan ook secundaire accounts bevatten.
- Apart profiel afdwingen en secundaire beheerde accounts niet toestaan: Het beheerde account is het primaire account. Het profiel bevat geen secundaire accounts.
- Klik op Onderschepping bij inloggen:
Geldt voor Windows-gebruikers die inloggen op een beheerd account in de Chrome-browser.
Met Groepsbeleid
Doe het volgende in de groepsbeleidsobjecteditor van Microsoft Windows (map Computer of Gebruikersconfiguratie):
- Ga naar Beleid Beheertemplates Google Google Chrome.
- Ga naar Onderschepping bij inloggen aanzetten en zet de instelling aan.
Tip: Als je dit beleid niet ziet, download je de nieuwste beleidstemplate. - Kies een optie bij Beperkingen op beheerde accounts beheren:
- primary_account
- primary_account_strict
Als je dit beleid op 'Niet geconfigureerd' laat staan, wordt het gedrag gebruikt dat hierboven staat beschreven onder Niet ingesteld
- Implementeer de update voor je gebruikers.
Voeg de volgende sleutels toe aan het Chrome-configuratieprofiel of update deze. Implementeer daarna de wijziging voor je gebruikers.
- Stel de sleutel SigninInterceptionEnabled in op true.
- Stel de sleutel ManagedAccountsSigninRestriction in op primary_account of primary_account_strict.
Doe het volgende in je voorkeursbewerker voor JSON-bestanden:
- Ga naar de map /etc/opt/chrome/policies/managed.
- Maak of update een JSON-bestand.
- Pas instellingen toe
- Stel SigninInterceptionEnabled in op 1.
- Stel ManagedAccountsSigninRestriction in op primary_account of primary_account_strict.
- 222larabrown@gmail.com is een persoonlijk Google-account
- lara@examplepetstore.com is een beheerd Google-account
- lara@altostrat.com is een ander beheerd Google-account
Voorbeeld 1
Scenario
Stel de instellingen in de Beheerdersconsole in.
- Onderschepping bij inloggen: Onderschepping bij inloggen aanzetten
- Apart profiel voor beheerde Google-identiteit: Apart profiel afdwingen
Resultaat
- De gebruiker is ingelogd bij de Chrome-browser met het persoonlijke Google-account 222larabrown@gmail.com. De gebruiker probeert in te loggen op een website met het beheerde Google-account lara@examplepetstore.com. De gebruiker wordt gevraagd een afzonderlijk profiel te maken voor lara@examplepetstore.com. Er wordt dan een scheiding afgedwongen.
- De gebruiker is ingelogd bij de Chrome-browser met het beheerde Google-account lara@examplepetstore.com. De gebruiker probeert in te loggen op een website met het persoonlijke Google-account 222larabrown@gmail.com of een ander beheerd Google-account, lara@altostrat.com. De gebruiker mag alleen inloggen bij het contentgedeelte of de website, maar niet in de browser zelf. De gebruiker wordt gevraagd een apart profiel te maken, maar er wordt geen scheiding afgedwongen.
Voorbeeld 2
Scenario
Stel de instellingen in de Beheerdersconsole in.
- Onderschepping bij inloggen: Onderschepping bij inloggen aanzetten
- Apart profiel voor beheerde Google-identiteit: Apart profiel afdwingen en secundaire beheerde accounts niet toestaan
Resultaat
- De gebruiker is ingelogd bij de Chrome-browser met het persoonlijke Google-account 222larabrown@gmail.com. In Gmail probeert de gebruiker te schakelen naar het beheerde Google-account, lara@examplepetstore.com. De gebruiker wordt gevraagd een afzonderlijk profiel te maken voor lara@examplepetstore.com. Er wordt dan een scheiding afgedwongen.
- De gebruiker is ingelogd bij de Chrome-browser met het beheerde Google-account lara@examplepetstore.com. In Gmail probeert de gebruiker over te schakelen naar het persoonlijke account 222larabrown@gmail.com. De gebruiker kan overschakelen zonder een nieuw profiel te maken. Mogelijk wordt de gebruiker gevraagd een apart profiel te maken, maar er wordt geen scheiding afgedwongen.
- De gebruiker is ingelogd bij de Chrome-browser met het beheerde Google-account lara@examplepetstore.com. In Gmail probeert de gebruiker over te schakelen naar een ander beheerd account, lara@altostrat.com. De gebruiker wordt gevraagd een apart profiel te maken voor lara@altostrat.com en de scheiding wordt afgedwongen, ongeacht het beleid dat mogelijk is ingesteld in het domein altostrat.com. Zo worden gegevens en content van gebruikers met een beheerd Google-account voor meer dan één organisatie niet gedeeld tussen profielen.
Stap 3: Controleren of het beleid is toegepast
Nadat je Chrome-beleid hebt toegepast, moeten gebruikers Chrome opnieuw starten voordat de instellingen van kracht worden. Je kunt op de apparaten van gebruikers controleren of het beleid juist wordt toegepast.
- Ga op het apparaat van een gebruiker naar chrome://policy.
- Klik op Beleid opnieuw laden.
- Vink het vakje aan voor Beleid weergeven zonder waarde ingesteld.
- Controleer of Status is ingesteld op OK voor het beleid dat je hebt ingesteld:
- ManagedAccountsSigninRestriction
- SigninInterceptionEnabled
- Controleer voor het beleid dat je hebt ingesteld of de beleidswaarden overeenkomen met wat je hebt ingesteld.
- ManagedAccountsSigninRestriction: none, primary_account of primary_account_strict
- SigninInterceptionEnabled: true of false
Ga op het apparaat van een gebruiker naar chrome://management om te zien hoe Chrome-profielen worden beheerd.
Bekend probleem
Op apparaten met Chrome-browser 98 of lager wordt aan gebruikers die synchronisatie hebben aangezet gevraagd om hun Chrome-gegevens aan het account te koppelen terwijl ze hun nieuwe profiel maken. Gebruikers moeten op Een nieuw profiel maken klikken om door te gaan.