Powiadomienie

Planujesz powrót pracowników do biura? Zobacz, jak może Ci w tym pomóc Chrome OS.

Konfigurowanie logowania jednokrotnego i obsługi administracyjnej użytkowników między Microsoft Entra ID a ChromeOS

Jako administrator możesz skonfigurować obsługę administracyjną użytkowników i logowanie jednokrotne między najemcą Microsoft Entra ID a kontem Google Workspace lub Cloud Identity. Dzięki temu Twoi użytkownicy będą mogli logować się na stronie uwierzytelniania w Microsoft Entra ID, a nie na ekranie logowania przez Google na urządzeniach z ChromeOS.

Urządzenia z ChromeOS obsługują logowanie jednokrotne przez SAML (Security Assertion Markup Language), dzięki czemu użytkownicy mogą logować się na urządzeniach przy użyciu tego samego mechanizmu uwierzytelniania, który jest używany w całej organizacji. Hasła użytkowników mogą pozostać w posiadaniu dostawcy tożsamości w organizacji. Proces logowania przypomina logowanie się na konto Google Workspace w przeglądarce przy użyciu logowania jednokrotnego przez SAML. Różnica polega jednak na tym, że użytkownik loguje się na urządzenie, dlatego trzeba wziąć pod uwagę dodatkowe kwestie.

Zanim zaczniesz

  • Twoja domena jest skonfigurowana w Microsoft Entra ID i Google (Workspace lub Cloud Identity).
  • Nazwy kont użytkowników są takie same w Microsoft Entra ID i Google. Katalog Microsoft Entra ID przechowuje Twoją domenę jako zarejestrowaną subdomenę.
  • Te kroki nie wymagają lokalnej federacji, takiej jak usługi Active Directory Federation (ADFS). Zależą one jednak od podobnej usługi w chmurze połączonej z bezpłatnym abonamentem Microsoft Entra ID.

Instrukcje

Krok 1. Utwórz aplikację dla firm
  1. Zaloguj się w portalu Microsoft Azure.
  2. W polu wyszukiwania u góry strony wpisz aplikacja firmowa i wybierz ją z listy wyników wyszukiwania.
  3. U góry panelu Enterprise applications (Aplikacje firmowe) kliknij New application (Nowa aplikacja).
  4. W sekcji Cloud platforms (Platformy w chmurze) kliknij Google Cloud Platform.
  5. Kliknij Google Cloud/G Suite Connector firmy Microsoft.
  6. W polu Name (Nazwa) wpisz Google Cloud/G Suite Connector by Microsoft.
  7. Kliknij Utwórz.
Krok 2. Przypisz konkretnego użytkownika do aplikacji firmowej

Będąc w portalu Microsoft Azure:

  1. Po lewej stronie w sekcji Manage (Zarządzaj) kliknij Users and groups (Użytkownicy i grupy). Możesz też kliknąć Assign users and groups (Przypisz użytkowników i grupy) w sekcji Getting started (Pierwsze kroki) na stronie przeglądu.
  2. U góry panelu Users and groups (Użytkownicy i grupy) kliknij Add user/group (Dodaj użytkownika/grupę).
  3. W panelu Add Assignment (Dodaj przypisanie) po lewej stronie w sekcji Users (Użytkownicy) kliknij None selected (Nic nie wybrano).
  4. W panelu (Users) Użytkownicy wybierz odpowiedniego użytkownika.
  5. Kliknij Wybierz.
  6. W panelu Add Assignment (Dodaj przypisanie) kliknij Assign (Przypisz).
Krok 3. Skonfiguruj logowanie jednokrotne przez SAML

Będąc w portalu Microsoft Azure:

  1. Po lewej stronie w sekcji Manage (Zarządzaj) kliknij Single sign-on (Logowanie jednokrotne).
  2. Wybierz metodę logowania jednokrotnego. Kliknij SAML.
  3. Na stronie logowania jednokrotnego opartego na SAML otwórz Basic SAML Configuration (Podstawowa konfiguracja SAML).
  4. Kliknij Edytuj.
  5. Skonfiguruj identyfikator (jednostki). Dodaj URL-e:
    • google.com/a/twoja-domena.com
    • https://google.com/a/twoja-domena.com
  6. Skonfiguruj adres URL odpowiedzi (Assertion Consumer Service URL, URL usługi konsumenta potwierdzenia):
    1. Dodaj URL-e:
      • https://www.google.com/acs
      • https://www.google.com/a/twoja-domena.com/acs
    2. Ustaw wartość domyślną:
      • Obokhttps://www.google.com/a/twoja-domena.com/acs, zaznacz pole Default (Domyślnie).
  7. Skonfiguruj URL logowania. Dodaj adres URL:
    • https://www.google.com/a/twoja-domena.com/ServiceLogin?continue=https://mail.google.com
  8. Kliknij Zapisz.
  9. Pobierz wersję Base64 certyfikatu:
    1. Na stronie logowania jednokrotnego opartego na SAML otwórz SAML Signing Certificate (Certyfikat do podpisywania SAML).
    2. Obok opcji Certificate (Base64) Certyfikat (Base64 )kliknij Downlad (Pobierz).
  10. Zbierz informacje potrzebne do skonfigurowania połączenia aplikacji Google Cloud / G Suite Connector by Microsoft z Microsoft Entra ID:
    1. Pozostając na stronie logowania jednokrotnego opartego na SAML, przejdź do Set up Google Cloud / G Suite Connector by Microsoft (Skonfiguruj Google Cloud / G Suite Connector by Microsoft).
    2. Skopiuj adresy URL:
      • Login URL (URL logowania) – strona, na której użytkownicy logują się w Twoim systemie i w Google Workspace.
      • Logout URL (URL wylogowania)– strona, na którą użytkownicy są przekierowywani po wylogowaniu się.
Krok 4. Skonfiguruj logowanie jednokrotne w Microsoft Entra

Konfigurowanie ustawień zewnętrznego dostawcy tożsamości

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2.  W konsoli administracyjnej otwórz Menu a potem Bezpieczeństwoa potemPrzegląd.
  3. Kliknij Konfigurowanie logowania jednokrotnego (SSO) przy użyciu zewnętrznego dostawcy tożsamości.
  4. Kliknij Dodaj profil logowania jednokrotnego.
  5. Zaznacz pole Skonfiguruj jednokrotne logowanie przy użyciu zewnętrznego dostawcy tożsamości.
  6. Wpisz adresy URL zewnętrznych dostawców tożsamości:
    1. Adres URL strony logowania – wklej adres URL logowania skopiowany w kroku 3 powyżej.
    2. Adres URL strony wylogowania – wklej adres URL wylogowania skopiowany w kroku 3 powyżej.
      Uwaga: adresy URL muszą korzystać z protokołu HTTPS.
  7. Kliknij Zamień certyfikat.
  8. Wybierz plik, którego chcesz użyć, i kliknij Otwórz.
  9. Kliknij pole Użyj wystawcy właściwego dla domeny.
  10. W polu Adres URL do zmiany hasła wpisz adres URL:
    • https://account.activedirectory.windowsazure.com/changepassword.aspx
  11. Kliknij Zapisz.

Skonfiguruj ustawienia dotyczące użytkowników

W konsoli administracyjnej:

  1. W konsoli administracyjnej kliknij Menu  a potem  Urządzenia a potem Chrome a potem Ustawienia. Domyślnie otworzy się strona Ustawienia użytkownika i przeglądarki.

    Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu  a potem  Przeglądarka Chrome a potem Ustawienia.

  2. Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  3. Otwórz Zabezpieczenia.
  4. W przypadku logowania jednokrotnego wybierz Włącz logowanie jednokrotne oparte na protokole SAML dla urządzeń z Chrome.
  5. (Opcjonalnie) Jako częstotliwość logowania jednokrotnego przez SAML wpisz wartość mniejszą niż okres ważności hasła. Więcej informacji o tym ustawieniu znajdziesz w artykule Ustawianie zasad Chrome dotyczących użytkowników lub przeglądarek.
  6. Kliknij Zapisz.

Skonfiguruj ustawienia urządzeń

W konsoli administracyjnej:

  1. U góry strony kliknij Ustawienia urządzenia. Możesz też na stronie głównej w konsoli administracyjnej kliknąć Urządzenia a potem Chrome a potem Ustawienia a potem Urządzenie.
  2. Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  3. Otwórz Ustawienia logowania.
  4. W sekcji Przekierowanie dostawcy tożsamości logowania jednokrotnego wybierz Zezwalaj użytkownikom na przechodzenie bezpośrednio na stronę dostawcy tożsamości logowania jednokrotnego przez SAML. Więcej informacji o tym ustawieniu znajdziesz w artykule Konfigurowanie zasad dotyczących urządzeń z Chrome.
  5. W sekcji Działanie plików cookie logowania jednokrotnego wybierz Włącz przenoszenie plików cookie jednokrotnego logowania się przez SAML do sesji użytkownika podczas logowania. Więcej informacji o tym ustawieniu znajdziesz w artykule Konfigurowanie zasad dotyczących urządzeń z Chrome.
  6. Kliknij Zapisz.
Krok 5. Przetestuj urządzenia z ChromeOS
  1. Włącz zarządzane urządzenie z ChromeOS.
  2. Na stronie logowania się na Chromebooku kliknij Dalej.
  3. Na stronie logowania Microsoft wpisz nazwę użytkownika AD.
  4. Kliknij Next (Dalej).
  5. Wpisz hasło.
  6. Kliknij Zaloguj się.
  7. Aby pozostać zalogowanym i mieć dostęp do sesji użytkownika, kliknij Tak.
Krok 6. Skonfiguruj obsługę administracyjną użytkowników Microsoft Entra ID

Podczas rejestracji w Cloud Identity lub Google Workspace utworzono konto superadministratora. Możesz go użyć w Microsoft Entra ID, ale zalecamy utworzenie oddzielnego konta superadministratora, które będzie używane tylko przez Microsoft Entra ID.

Utwórz użytkownika

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Katalog a potem Użytkownicy.
  3. U góry strony kliknij Dodaj nowe konto użytkownika.

    Opcję Dodaj nowe konto użytkownika można wybrać u góry tabeli Użytkownicy.

  4. Wpisz informacje o koncie. Więcej informacji znajdziesz w artykule na temat dodawania konta nowego użytkownika.
  5. Kliknij Dodaj nowe konto użytkownika.
  6. Aby zakończyć dodawanie nowego użytkownika, kliknij Gotowe.

Przypisywanie użytkownikowi roli superadministratora

W konsoli administracyjnej:

  1. W konsoli administracyjnej otwórz Menu  a potem  Katalog a potem Użytkownicy.
  2. Na liście użytkowników znajdź nowo utworzonego użytkownika.
  3. Kliknij nazwę użytkownika, aby otworzyć stronę jego konta.
  4. Kliknij Role i uprawnienia administratora.

    Wskazuje link Role administracyjne.

  5. Kliknij Przypisz role.
  6. Obok roli Superadministrator kliknij suwak, aby oznaczyć go jako Przypisane .
  7. Kliknij Zapisz.
    Wskazówka: nowy administrator powinien dodać opcje odzyskiwania do swoich kont.

Użytkownik zwykle uzyskuje uprawnienia administratora w ciągu kilku minut. Może to jednak potrwać do 24 godzin.

Zarządzanie obsługą administracyjną kont użytkowników

  1. Zaloguj się w portalu Microsoft Azure.
  2. W polu wyszukiwania u góry strony wpisz aplikacja firmowa i wybierz ją z listy wyników wyszukiwania.
  3. Wyszukaj i kliknij Google Cloud / G Suite Connector firmy Microsoft.
  4. Po lewej stronie w sekcji Manage (Zarządzaj) kliknij Provisioning (Obsługa administracyjna).
  5. Kliknij Rozpocznij.
  6. Jako tryb obsługi administracyjnej wybierz Automatic (Automatycznie).
  7. Kliknij Admin Credentials (Dane logowania administratora).
  8. Kliknij Autoryzuj.
  9. Zaloguj się na nowo utworzone konto superadministratora.
  10. Kliknij Allow (Zezwalaj), aby potwierdzić dostęp do interfejsu Cloud Identity API.
  11. W sekcji danych logowania administratora kliknij Test Connection (Testuj połączenie). Zobaczysz komunikat informujący o tym, czy masz uprawnienia do włączenia obsługi administracyjnej.
  12. (Opcjonalnie) W sekcji Mappings (Mapowanie) skonfiguruj obsługę administracyjną użytkowników lub grup. Zalecamy użycie ustawienia domyślnego.
  13. Kliknij Zapisz.
  14. U góry strony obsługi administracyjnej kliknij Start provisioning (Rozpocznij obsługę administracyjną).
  15. Zaczekaj na zakończenie synchronizacji.

Powiązane artykuły

Google oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
15103083374407758569
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
410864
false
false