Готовитесь к возвращению сотрудников в офис? Узнайте, как Chrome OS поможет вам организовать эффективную работу.

Как настроить принудительное создание отдельного профиля

For administrators who enroll Windows, Mac, or Linux computers in Chrome Browser Cloud Management.

Требуется браузер Chrome 95 или более поздней версии.

Администратор Chrome Enterprise может настроить для пользователей принудительное создание отдельного профиля, если они входят в браузер Chrome с управляемым аккаунтом Google или на устройстве, для которого управление не настроено. Если в браузере Chrome созданы отдельные профили, пользователи могут переключаться между рабочим и другими аккаунтами Google, например личным или тестовым, без необходимости каждый раз выходить из текущего аккаунта. Данные из одного профиля недоступны в другом.

Правила Chrome на уровне пользователей и настройки, заданные в консоли администратора Google, применяются только к управляемому профилю. Администратор может следить, как используются управляемые профили, в том числе выполнять следующие действия:

  • устанавливать расширения Chrome, одобренные в организации;
  • блокировать установку расширений, которые не одобрены;
  • отслеживать, какие расширения установлены в управляемых профилях;
  • удалять управляемый профиль, например когда пользователь покидает организацию;
  • настраивать принудительное применение некоторых настроек браузера в управляемом профиле;
  • включать защищенный сеанс браузера для доступа к корпоративным данным с помощью Google BeyondCorp.

Примечание. Когда пользователи создают новый управляемый профиль на личном устройстве, они соглашаются с тем, что их устройства становятся управляемыми.

Безопасность

Пользователи по-прежнему могут входить в управляемый аккаунт Google в браузере, отличном от Chrome. Настройте BeyondCorp Enterprise, чтобы разрешить доступ к корпоративным ресурсам только из профилей Chrome, которыми вы управляете, а также включить защиту от угроз и защиту данных. Подробнее о том, как включить BeyondCorp Threat and Data Protection для пользователей Chrome

Шаг 1. Проверьте правила

Правило Описание

SigninInterceptionEnabled

Это правило позволяет указать, появится ли в браузере Chrome предложение создать или сменить профиль, когда пользователи входят в аккаунт Google, отличный от текущего.

Если правило не настроено, предложение не появляется.

ManagedAccountsSigninRestriction

Если это правило настроено вместе с правилом SigninInterceptionEnabled, пользователи должны создать отдельный профиль при входе в управляемый аккаунт Google на устройстве, для которого управление не настроено.

При входе в профиль, отличный от текущего, пользователи увидят ссылку с предложением открыть браузер Chrome в гостевом режиме.

Если правило не настроено, пользователям не нужно создавать отдельный профиль. Они могут продолжить работу с управляемым аккаунтом Google.

Шаг 2. Настройте правила

Консоль администратора

Правила могут применяться при входе пользователей в аккаунт на любом устройстве и в зарегистрированных браузерах на компьютерах под управлением Windows, macOS или Linux. Подробнее о том, как применяются правила

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Устройстваа затемУправление устройствами Chrome OS.
  3. Нажмите Настройкиа затемПользователи и браузеры.
  4. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  5. Перейдите в раздел "Настройки входа".
  6. Для параметра "Перехват входа" выберите значение Включить перехват входа.
  7. Параметр "Отдельный профиль для управляемого аккаунта Google": укажите, что пользователи должны обязательно создавать отдельный профиль для управляемого аккаунта. Выберите один из вариантов ниже.
    • Отдельный профиль является обязательным – управляемый аккаунт является основным. В профиле также могут быть дополнительные аккаунты.
    • Отдельный профиль является обязательным, и дополнительные управляемые аккаунты запрещены – управляемый аккаунт является основным. В профиле не может быть дополнительных аккаунтов.
  8. Нажмите Сохранить.
Windows

Эти инструкции относятся к пользователям Windows, которые входят в управляемый аккаунт в браузере Chrome.

С помощью групповой политики

В редакторе "Управление групповыми политиками" Microsoft Windows (папка "Конфигурация компьютера" или "Конфигурация пользователя"):

  1. Выберите Политикиа затемАдминистративные шаблоныа затемGoogleа затемGoogle Chrome.
  2. Найдите и включите правило Включить перехват входа.
    Совет. Если вы не видите это правило, скачайте последнюю версию его шаблона.
  3. Для параметра Добавление ограничений для управляемых аккаунтов выберите одно из значений ниже.
    • primary_account
    • primary_account_strict
      Если вы не выберете ни один из вариантов, правило будет применяться по принципу не настроено, описанному выше.
  4. Примените обновление для всех пользователей.
MacOS
Приведенная ниже информация касается пользователей компьютеров AppleMac, которые вошли в управляемый аккаунт в браузере Chrome.

В профиле конфигурации Chrome добавьте или обновите указанные ниже ключи, а затем примените изменения к пользователям.

  1. Установите для ключа SigninInterceptionEnabled значение true.
  2. Установите для ключа ManagedAccountsSigninRestriction значение primary_account или primary_account_strict.
Linux
Приведенная ниже информация касается пользователей компьютеров Linux, которые вошли в управляемый аккаунт в браузере Chrome.

С помощью редактора JSON-файлов:

  1. Откройте папку /etc/opt/chrome/policies/managed.
  2. Создайте или обновите JSON-файл.
  3. Примените настройки:
    • Для параметра SigninInterceptionEnabled задайте значение "1".
    • Для параметра ManagedAccountsSigninRestriction задайте значение primary_account или primary_account_strict.
Примеры сценариев
  • 222larabrown@gmail.com – личный аккаунт Google.
  • lara@examplepetstore.com – управляемый аккаунт Google.
  • lara@altostrat.com – ещё один управляемый аккаунт Google.

Пример 1

Сценарий

Задайте настройки в консоли администратора.

  • Перехват входа – включите перехват входа.
  • Отдельный профиль для управляемого аккаунта Google – настройте принудительное создание отдельного профиля.

Результат

  • Пользователь выполнил вход в браузере Chrome с личным аккаунтом Google (222larabrown@gmail.com) и пытается войти на сайте в управляемый аккаунт Google (lara@examplepetstore.com). Он увидит уведомление о том, что для этого аккаунта необходимо создать отдельный профиль, и он будет создан принудительно.
  • Пользователь выполнил вход в браузере Chrome с управляемым аккаунтом Google (lara@examplepetstore.com) и пытается войти на сайте в личный аккаунт Google (222larabrown@gmail.com) или другой управляемый аккаунт Google (lara@altostrat.com). В этом случае пользователю будет разрешен вход в область содержимого или на сайт, но не в браузер. Ему будет предложено создать отдельный профиль, но принудительно он не создается.

Пример 2

Сценарий

Задайте настройки в консоли администратора.

  • Перехват входа – включите перехват входа.
  • Отдельный профиль для управляемого аккаунта Google – настройте принудительное создание отдельного профиля и запретите создание дополнительных управляемых аккаунтов.

Результат

  • Пользователь выполнил вход в браузере Chrome с личным аккаунтом Google (222larabrown@gmail.com) и пытается переключиться в Gmail на управляемый аккаунт Google (lara@examplepetstore.com). Он увидит уведомление о том, что для этого аккаунта необходимо создать отдельный профиль, и он будет создан принудительно.
  • Пользователь выполнил вход в браузере Chrome с управляемым аккаунтом Google (lara@examplepetstore.com) и пытается переключиться в Gmail на личный аккаунт Google (222larabrown@gmail.com). Пользователь может это сделать, не создавая новый профиль. Пользователю может быть предложено создать отдельный профиль, но принудительно он не создается.
  • Пользователь выполнил вход в браузере Chrome с управляемым аккаунтом Google (lara@examplepetstore.com) и пытается переключиться в Gmail на другой управляемый аккаунт (lara@altostrat.com). Он увидит уведомление о том, что для этого аккаунта необходимо создать отдельный профиль, и он будет создан принудительно вне зависимости от правил, действующих в домене altostrat.com. Это исключает ситуацию, в которой данные пользователей, имеющих управляемые аккаунты Google в нескольких организациях, могут передаваться между профилями.

Шаг 3. Убедитесь, что правила применяются

Чтобы правила Chrome вступили в силу, пользователям нужно перезапустить браузер Chrome на своих устройствах. Вы также можете проверить, правильно ли применяются правила на пользовательских устройствах.

  1. На устройстве пользователя откройте браузер Chrome и перейдите на страницу chrome://policy.
  2. Нажмите Повторно загрузить правила.
  3. Установите флажок Показывать правила, значения которых не заданы.
  4. Убедитесь, что для параметра "Состояние" в настроенных вами правилах указано значение "OК".
    • ManagedAccountsSigninRestriction
    • SigninInterceptionEnabled
  5. Убедитесь, что значения правил совпадают с теми, которые вы настроили.
    • ManagedAccountsSigninRestriction – none (нет), primary_account или primary_account_strict.
    • SigninInterceptionEnabled – true или false.

Чтобы посмотреть настройки управления профилями Chrome, на устройстве пользователя откройте страницу chrome://management.

Известная проблема

Пользователям устройств, на которых установлен браузер Chrome 98 или более ранней версии и включена синхронизация, предлагается связать свои данные Chrome с аккаунтом при создании нового профиля. Чтобы продолжить, пользователь должен нажать Создать профиль.

Статьи по теме

Эта информация оказалась полезной?
Как можно улучшить эту статью?
Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
true
true
true
410864
false
false