For administrators who enroll Windows, Mac, or Linux computers in Chrome Browser Cloud Management.
Przeglądarka Chrome w wersji 95 i nowszej
Jako administrator Chrome Enterprise możesz wymagać od użytkowników skonfigurowania oddzielnego profilu, gdy logują się w przeglądarce Chrome przy użyciu zarządzanego konta Google na urządzeniu niezarządzanym. Utworzenie różnych profili Chrome pozwala użytkownikom przełączać się między kontem zarządzanym a innymi kontami Google, takimi jak konta osobiste czy testowe. Dzięki temu nie muszą się za każdym razem wylogowywać. Żadne dane ani treści nie są udostępniane między profilami.
Zasady i ustawienia Chrome na poziomie użytkownika w konsoli administracyjnej Google są stosowane tylko do profilu zarządzanego, a nie do innych profili. Możesz zarządzać profilami zarządzanymi i je kontrolować. Oto przykładowe działania:
- instalowanie rozszerzeń do Chrome przeznaczonych dla organizacji,
- blokowanie instalowania niektórych niezatwierdzonych rozszerzeń,
- śledzenie rozszerzeń zainstalowanych w profilach zarządzanych,
- usuwanie profilu zarządzanego (na przykład gdy użytkownik opuszcza organizację),
- wymuszanie stosowania określonych ustawień przeglądarki w profilu zarządzanym.
- włączanie bezpiecznej sesji w przeglądarce w celu uzyskania dostępu do danych firmowych za pomocą Chrome Enterprise Premium.
Uwaga: gdy użytkownicy tworzą nowy profil zarządzany na swoim urządzeniu osobistym, wyrażają zgodę na zarządzanie.
Bezpieczeństwo
Użytkownicy nadal mogą logować się na zarządzane konta Google przy użyciu przeglądarki innej niż Chrome. Za pomocą Chrome Enterprise Premium możesz ograniczyć dostęp użytkowników do zasobów firmowych tylko w ramach zarządzanych przez siebie profili Chrome z włączoną ochroną danych przed zagrożeniami. Szczegółowe informacje znajdziesz w artykule poświęconym ochronie użytkowników Chrome przy użyciu Chrome Enterprise Premium.
Krok 1. Sprawdź zasady
| Zasada | Opis |
|---|---|
|
Określa, czy przeglądarka Chrome umożliwia tworzenie i przełączanie profili, gdy użytkownicy logują się na konta Google inne niż to, którego aktualnie używają. Jeśli ta zasada jest nieskonfigurowana: użytkownicy nie są proszeni o utworzenie oddzielnego profilu. |
|
|
Używaj w połączeniu z zasadą SigninInterceptionEnabled, aby wymagać od użytkowników utworzenia oddzielnego profilu, gdy logują się na zarządzane konta Google na urządzeniach niezarządzanych. Gdy użytkownik zaloguje się na profil inny niż ten, którego obecnie używa, zobaczy link z prośbą o otwarcie przeglądarki Chrome w trybie gościa. Jeśli ta zasada jest nieskonfigurowana: użytkownicy mogą używać zarządzanych kont Google bez konieczności tworzenia oddzielnego profilu. |
Krok 2. Skonfiguruj zasady
Konsola administracyjnaMoże obejmować użytkowników zalogowanych na dowolnym urządzeniu lub w zarejestrowanych przeglądarkach na urządzeniach z systemem Windows, macOS lub Linux. Więcej informacji znajdziesz w sekcji Warunki stosowania ustawień artykułu Ustawianie zasad Chrome dotyczących użytkowników lub przeglądarek.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej kliknij Menu
Urządzenia
Chrome
Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu
Przeglądarka Chrome
- Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
- Otwórz Ustawienia logowania:
- Kliknij Przechwytywanie logowania:
- Wybierz Włącz przechwytywanie logowania.
- Kliknij Zapisz.
- Kliknij Oddzielny profil na potrzeby zarządzanej tożsamości Google, aby wymusić utworzenie przez użytkowników osobnego profilu dla zarządzanego konta. Wybierz opcję i kliknij Zapisz:
- Wymagaj oddzielnego profilu – konto zarządzane jest kontem głównym. Profil może też zawierać konta pomocnicze.
- Wymagaj oddzielnego profilu i nie zezwalaj na używanie dodatkowych kont zarządzanych – konto zarządzane jest kontem głównym. Profil nie obejmuje kont dodatkowych.
- Kliknij Przechwytywanie logowania:
Dotyczy użytkowników systemu Windows,którzy logują się na zarządzane konto w przeglądarce Chrome.
Przy użyciu zasad grupy
W edytorze zasad grupy systemu Microsoft Windows (w folderze konfiguracji użytkownika lub komputera):
- Kliknij Zasady
- Znajdź i aktywuj opcję Włącz przechwytywanie logowania.
Wskazówka: jeśli nie widzisz tej zasady, pobierz najnowszy szablon zasad. - W sekcji Dodaj ograniczenia dotyczące kont zarządzanych wybierz jedną z opcji:
- primary_account
- primary_account_strict
Jeśli pozostawisz tę zasadę nieskonfigurowaną, będzie stosowane zachowanie opisane powyżej
- Zastosuj aktualizację na urządzeniach użytkowników.
W profilu konfiguracji Chrome dodaj lub zaktualizuj wymienione poniżej klucze. Następnie wprowadź tę zmianę na kontach użytkowników.
- Ustaw wartość klucza SigninInterceptionEnabled na true.
- Ustaw wartość klucza ManagedAccountsSigninRestriction na primary_account lub primary_account_strict.
Przy użyciu dowolnego edytora plików JSON:
- Otwórz folder /etc/opt/chrome/policies/managed.
- Utwórz lub zaktualizuj plik JSON.
- Zastosuj ustawienia:
- Ustaw wartość klucza SigninInterceptionEnabled na 1.
- Ustaw wartość klucza ManagedAccountsSigninRestriction na primary_account lub primary_account_strict.
- 222lucynanowak@gmail.com to osobiste konto Google
- lucyna@sklepzoologiczny.com to zarządzane konto Google
- lucyna@altostrat.com to inne zarządzane konto Google
Przykład 1
Scenariusz
Skonfiguruj te ustawienia w konsoli administracyjnej:
- Przechwytywanie logowania – włącz przechwytywanie logowania.
- Oddzielny profil dla zarządzanej tożsamości Google – wymuś osobny profil.
Wynik
- Użytkownik jest zalogowany w przeglądarce Chrome za pomocą osobistego konta Google 222lucynanowak@gmail.com. Użytkownik próbuje zalogować się w witrynie przy użyciu zarządzanego konta Google lucyna@sklepzoologiczny.com. Użytkownik otrzymuje prośbę o utworzenie osobnego profilu dla adresu lucyna@sklepzoologiczny.com – oddzielenie zostaje wymuszone.
- Użytkownik jest zalogowany w przeglądarce Chrome za pomocą zarządzanego konta Google lucyna@sklepzoologiczny.com. Użytkownik próbuje zalogować się w witrynie za pomocą osobistego konta Google (222lucynanowak@gmail.com) lub innego zarządzanego konta Google lucyna@altostrat.com. Użytkownik może logować się tylko w obszarze treści lub witrynie, ale nie w samej przeglądarce. Użytkownik otrzymuje prośbę o utworzenie osobnego profilu, ale oddzielenie nie jest wymuszane.
Przykład 2
Scenariusz
Skonfiguruj te ustawienia w konsoli administracyjnej:
- Przechwytywanie logowania – włącz przechwytywanie logowania.
- Oddzielny profil na potrzeby zarządzanej tożsamości Google – wymuś używanie osobnego profilu i zakazuj korzystania z dodatkowych kont zarządzanych.
Wynik
- Użytkownik jest zalogowany w przeglądarce Chrome za pomocą osobistego konta Google 222lucynanowak@gmail.com. W Gmailu użytkownik chce przełączyć konto na zarządzane konto Google (lucyna@sklepzoologiczny.com). Użytkownik otrzymuje prośbę o utworzenie osobnego profilu dla adresu lucyna@sklepzoologiczny.com – oddzielenie zostaje wymuszone.
- Użytkownik jest zalogowany w przeglądarce Chrome za pomocą zarządzanego konta Google lucyna@sklepzoologiczny.com. W Gmailu użytkownik chce przełączyć konto na swoje konto osobiste 222lucynanowak@gmail.com. Użytkownik może przełączać się między nimi bez tworzenia nowego profilu. Użytkownik może otrzymać prośbę o utworzenie osobnego profilu, ale oddzielenie nie jest wymuszane.
- Użytkownik jest zalogowany w przeglądarce Chrome za pomocą zarządzanego konta Google lucyna@sklepzoologiczny.com. W Gmailu użytkownik chce przełączyć konto na inne zarządzane konto Google (lucyna@altostrat.com). Użytkownik otrzymuje prośbę o utworzenie osobnego profilu dla adresu lucyna@sklepzoologiczny.com – oddzielenie zostaje wymuszone niezależnie od zasad, które mogły zostać utworzone w domenie altostrat.com. Dzięki temu w przypadku użytkowników zarządzanych kont Google w więcej niż 1 organizacji dane i treści nie są udostępniane między profilami.
Krok 3. Sprawdź, czy zasady zostały zastosowane
Gdy skonfigurujesz jakiekolwiek zasady Chrome, użytkownicy muszą ponownie uruchomić przeglądarkę, aby zaczęły obowiązywać nowe ustawienia. Możesz sprawdzić na urządzeniach użytkowników, czy zasady zostały prawidłowo zastosowane.
- Na urządzeniu użytkownika otwórz stronę chrome://policy.
- Kliknij Odśwież zasady.
- Zaznacz pole Pokaż zasady bez ustawionej wartości.
- W przypadku skonfigurowanych zasad sprawdź, czy stan jest ustawiony na OK:
- ManagedAccountsSigninRestriction
- SigninInterceptionEnabled
- W przypadku skonfigurowanych zasad sprawdź, czy wartości zasad są zgodne z ustawieniami zasad.
- ManagedAccountsSigninRestriction — none, primary_account lub primary_account_strict
- SigninInterceptionEnabled — true lub false
Aby wyświetlić informacje o zarządzaniu profilami Chrome na urządzeniu użytkownika, otwórz stronę chrome://management.
Znany problem
W przypadku urządzeń z przeglądarką Chrome w wersji 98 lub starszej użytkownicy z włączoną synchronizacją podczas tworzenia nowego profilu zobaczą prośbę o połączenie danych Chrome z kontem. Aby kontynuować, użytkownicy powinni kliknąć Utwórz nowy profil.