Для администраторов, которые зарегистрировали устройства с Windows, macOS или Linux в системе облачного управления браузером Chrome.
Требуется браузер Chrome 95 или более поздней версии.
Администратор Chrome Enterprise может настроить для пользователей принудительное создание отдельного профиля, если они входят в браузер Chrome с управляемым аккаунтом Google или на устройстве, для которого управление не настроено. Если в браузере Chrome созданы отдельные профили, пользователи могут переключаться между рабочим и другими аккаунтами Google, например личным или тестовым, без необходимости каждый раз выходить из текущего аккаунта. Данные из одного профиля недоступны в другом.
Правила Chrome на уровне пользователей и настройки, заданные в консоли администратора Google, применяются только к управляемому профилю. Администратор может следить, как используются управляемые профили, в том числе выполнять следующие действия:
- устанавливать расширения Chrome, одобренные в организации;
- блокировать установку расширений, которые не одобрены;
- отслеживать, какие расширения установлены в управляемых профилях;
- удалять управляемый профиль, например когда пользователь покидает организацию;
- настраивать принудительное применение некоторых настроек браузера в управляемом профиле;
- включать защищенный сеанс браузера для доступа к корпоративным данным с помощью решения Chrome Enterprise Premium
Примечание. Когда пользователи создают новый управляемый профиль на личном устройстве, они соглашаются с тем, что их устройства становятся управляемыми.
Безопасность
Пользователи по-прежнему могут входить в управляемый аккаунт Google в браузере, отличном от Chrome. Настройте Chrome Enterprise Premium, чтобы разрешить доступ к корпоративным ресурсам только из профилей Chrome, которыми вы управляете, а также включить защиту от угроз и защиту данных. Дополнительная информация приведена в статье Как настроить Chrome Enterprise Premium для пользователей Chrome.
Шаг 1. Проверьте правила
Правило | Описание |
---|---|
Это правило позволяет указать, появится ли в браузере Chrome предложение создать или сменить профиль, когда пользователи входят в аккаунт Google, отличный от текущего. Если правило не настроено, предложение не появляется. |
|
Если это правило настроено вместе с правилом SigninInterceptionEnabled, пользователи должны создать отдельный профиль при входе в управляемый аккаунт Google на устройстве, для которого управление не настроено. При входе в профиль, отличный от текущего, пользователи увидят ссылку с предложением открыть браузер Chrome в гостевом режиме. Если правило не настроено, пользователям не нужно создавать отдельный профиль. Они могут продолжить работу с управляемым аккаунтом Google. |
Шаг 2. Настройте правила
Консоль администратораПравила могут применяться при входе пользователей в аккаунт на любом устройстве и в зарегистрированных браузерах на компьютерах под управлением Windows, macOS или Linux. Подробнее о том, как применяются правила…
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню УстройстваChromeНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.
Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню Браузер ChromeНастройки.
- Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
- Перейдите в раздел Настройки входа.
- Нажмите Перехват входа.
- Выберите Включить перехват входа.
- Нажмите Сохранить.
- Нажмите Отдельный профиль для управляемого аккаунта Google, чтобы обязать пользователей создавать отдельный профиль для управляемого аккаунта. Выберите нужный вариант и нажмите Сохранить.
- Отдельный профиль является обязательным – управляемый аккаунт является основным. В профиле также могут быть дополнительные аккаунты.
- Отдельный профиль является обязательным, и дополнительные управляемые аккаунты запрещены – управляемый аккаунт является основным. В профиле не может быть дополнительных аккаунтов.
- Нажмите Перехват входа.
Эти инструкции относятся к пользователям Windows, которые входят в управляемый аккаунт в браузере Chrome.
С помощью групповой политики
В редакторе "Управление групповыми политиками" Microsoft Windows (папка "Конфигурация компьютера" или "Конфигурация пользователя"):
- Выберите ПолитикиАдминистративные шаблоныGoogleGoogle Chrome.
- Найдите и включите правило Включить перехват входа.
Совет. Если вы не видите это правило, скачайте последнюю версию его шаблона. - Для параметра Добавление ограничений для управляемых аккаунтов выберите одно из значений ниже.
- primary_account
- primary_account_strict
Если вы не выберете ни один из вариантов, правило будет применяться по принципу не настроено, описанному выше.
- Примените обновление для всех пользователей.
В профиле конфигурации Chrome добавьте или обновите указанные ниже ключи, а затем примените изменения к пользователям.
- Установите для ключа SigninInterceptionEnabled значение true.
- Установите для ключа ManagedAccountsSigninRestriction значение primary_account или primary_account_strict.
С помощью редактора JSON-файлов:
- Откройте папку /etc/opt/chrome/policies/managed.
- Создайте или обновите JSON-файл.
- Примените настройки:
- Для параметра SigninInterceptionEnabled задайте значение "1".
- Для параметра ManagedAccountsSigninRestriction задайте значение primary_account или primary_account_strict.
- 222larabrown@gmail.com – личный аккаунт Google.
- lara@examplepetstore.com – управляемый аккаунт Google.
- lara@altostrat.com – ещё один управляемый аккаунт Google.
Пример 1
Сценарий
Задайте настройки в консоли администратора.
- Перехват входа – включите перехват входа.
- Отдельный профиль для управляемого аккаунта Google – настройте принудительное создание отдельного профиля.
Результат
- Пользователь выполнил вход в браузере Chrome с личным аккаунтом Google (222larabrown@gmail.com) и пытается войти на сайте в управляемый аккаунт Google (lara@examplepetstore.com). Он увидит уведомление о том, что для этого аккаунта необходимо создать отдельный профиль, и он будет создан принудительно.
- Пользователь выполнил вход в браузере Chrome с управляемым аккаунтом Google (lara@examplepetstore.com) и пытается войти на сайте в личный аккаунт Google (222larabrown@gmail.com) или другой управляемый аккаунт Google (lara@altostrat.com). В этом случае пользователю будет разрешен вход в область содержимого или на сайт, но не в браузер. Ему будет предложено создать отдельный профиль, но принудительно он не создается.
Пример 2
Сценарий
Задайте настройки в консоли администратора.
- Перехват входа – включите перехват входа.
- Отдельный профиль для управляемого аккаунта Google – настройте принудительное создание отдельного профиля и запретите создание дополнительных управляемых аккаунтов.
Результат
- Пользователь выполнил вход в браузере Chrome с личным аккаунтом Google (222larabrown@gmail.com) и пытается переключиться в Gmail на управляемый аккаунт Google (lara@examplepetstore.com). Он увидит уведомление о том, что для этого аккаунта необходимо создать отдельный профиль, и он будет создан принудительно.
- Пользователь выполнил вход в браузере Chrome с управляемым аккаунтом Google (lara@examplepetstore.com) и пытается переключиться в Gmail на личный аккаунт Google (222larabrown@gmail.com). Пользователь может это сделать, не создавая новый профиль. Пользователю может быть предложено создать отдельный профиль, но принудительно он не создается.
- Пользователь выполнил вход в браузере Chrome с управляемым аккаунтом Google (lara@examplepetstore.com) и пытается переключиться в Gmail на другой управляемый аккаунт (lara@altostrat.com). Он увидит уведомление о том, что для этого аккаунта необходимо создать отдельный профиль, и он будет создан принудительно вне зависимости от правил, действующих в домене altostrat.com. Это исключает ситуацию, в которой данные пользователей, имеющих управляемые аккаунты Google в нескольких организациях, могут передаваться между профилями.
Шаг 3. Убедитесь, что правила применяются
Чтобы правила Chrome вступили в силу, пользователям нужно перезапустить браузер Chrome на своих устройствах. Вы также можете проверить, правильно ли применяются правила на пользовательских устройствах.
- На устройстве пользователя откройте браузер Chrome и перейдите на страницу chrome://policy.
- Нажмите Повторно загрузить правила.
- Установите флажок Показывать правила, значения которых не заданы.
- Убедитесь, что для параметра "Состояние" в настроенных вами правилах указано значение "OК".
- ManagedAccountsSigninRestriction
- SigninInterceptionEnabled
- Убедитесь, что значения правил совпадают с теми, которые вы настроили.
- ManagedAccountsSigninRestriction – none (нет), primary_account или primary_account_strict.
- SigninInterceptionEnabled – true или false.
Чтобы посмотреть настройки управления профилями Chrome, на устройстве пользователя откройте страницу chrome://management.
Известная проблема
Пользователям устройств, на которых установлен браузер Chrome 98 или более ранней версии и включена синхронизация, предлагается связать свои данные Chrome с аккаунтом при создании нового профиля. Чтобы продолжить, пользователь должен нажать Создать профиль.