管理員可以設定 Microsoft Entra ID 用戶群與 Google Workspace/Cloud Identity 帳戶之間的使用者帳戶佈建和單一登入 (SSO)。之後,使用者就可以在 ChromeOS 裝置上登入 Microsoft Entra ID 驗證頁面,而非 Google 登入畫面。
ChromeOS 裝置支援安全宣告標記語言 (SAML) 的單一登入 (SSO) 機制,讓使用者可以透過與組織內部其他服務相同的驗證機制來登入裝置。使用者的密碼可以保留在機構的識別資訊提供者 (IdP) 內。登入流程非常類似在瀏覽器中透過 SAML 單一登入 (SSO) 登入 Google Workspace 帳戶。不過,由於使用者登入的是裝置,所以還須注意一些事項。
事前準備
- 在 Microsoft Entra ID 和 Google (Workspace 或 Cloud Identity) 設定好您的網域。
- Microsoft Entra ID 和 Google 的使用者帳戶名稱相同。Microsoft Entra ID 目錄會將您的網域保存為已註冊的子網域。
- 這些步驟不需要設定本機同盟,例如 Active Directory 同盟服務 (ADFS),但需仰賴 Microsoft Entra ID 免費方案隨附的同等雲端式服務。
操作說明
步驟 1:建立企業應用程式
- 登入 Microsoft Azure 入口網站。
- 在頂端的搜尋框中輸入企業應用程式,然後從搜尋結果清單中選取該結果。
- 按一下「企業應用程式」窗格頂端的「新增應用程式」。
- 按一下「雲端平台」下方的「Google Cloud Platform」。
- 按一下 Google Cloud/G Suite Connector by Microsoft。
- 在「名稱」部分,輸入 Google Cloud/G Suite Connector by Microsoft。
- 按一下「建立」。
步驟 2:將特定使用者指派給企業應用程式
同樣在 Microsoft Azure 入口網站中:
- 在左側的「管理」下方,按一下「使用者和群組」。或者,您也可以在「概觀」頁面的「開始使用」下方,按一下「指派使用者及群組」。
- 在「使用者和群組」窗格頂端,按一下 Add user/group。
- 在左側的「新增指派」窗格中,按一下「使用者」下方的「未選取任何項目」。
- 在「使用者」窗格中,選取要設定的使用者。
- 按一下「選取」。
- 在「新增指派」窗格中,按一下「指派」。
步驟 3:設定使用 SAML 的單一登入 (SSO)
同樣在 Microsoft Azure 入口網站中:
- 在左側的「管理」下方,按一下「單一登入」。
- 選取單一登入方法。點擊 [SAML]。
- 在 SAML 式登入頁面中,前往 Basic SAML Configuration。
- 按一下「編輯」。
- 設定 ID (實體 ID)。新增網址:
- google.com/a/<您的網域>.com
- https://google.com/a/<您的網域>.com
- 設定回覆網址 (宣告客戶服務網址):
- 新增網址:
- https://www.google.com/acs
- https://www.google.com/a/<您的網域>/acs
- 設定預設:
- 勾選 https://www.google.com/a/yourdomain.com/acs 旁邊的「預設」方塊。
- 新增網址:
- 設定登入網址。新增網址:
- https://www.google.com/a/<您的網域>/ServiceLogin?continue=https://mail.google.com
- 按一下「儲存」。
- 下載 Base64 版本的憑證:
- 一樣在 SAML 式登入頁面,前往 SAML Signing Certificate。
- 按一下「憑證 (Base64)」旁邊的「下載」。
- 收集設定 Google Cloud/G Suite Connector by Microsoft 應用程式所需的資訊,以便與 Microsoft Entra ID 建立連結:
- 一樣在 SAML 式登入頁面,前往 Set up Google Cloud / G Suite Connector by Microsoft。
- 複製網址:
- 登入網址:使用者登入您的系統與 Google Workspace 時使用的網頁。
- 登出網址:使用者登出後系統將其重新導向的網頁。
步驟 4:設定 Microsoft Entra SSO SSO
調整第三方 IdP 設定
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「總覽」。
- 點選「透過第三方 IdP 設定單一登入服務 (SSO)」。
- 按一下「新增 SSO 設定檔」。
- 勾選「透過第三方識別資訊提供者設定 SSO」方塊。
- 輸入第三方 IdP 網址:
- 按一下「更換憑證」。
- 選取您要使用的檔案,然後按一下「開啟」。
- 按一下「使用網域特定發行者」方塊。
- 在「變更密碼網址」部分,輸入網址:
- https://account.activedirectory.windowsazure.com/changepassword.aspx
- 按一下「儲存」。
配置使用者設定
一樣在管理控制台中:
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示 「Chrome 瀏覽器」「設定」。
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「安全性」。
- 針對「單一登入」,選取「為 Chrome 裝置啟用 SAML 式單一登入服務」。
- (選用) 針對「SAML 單一登入服務的登入頻率」,輸入小於密碼有效期限的值。如需設定的詳細資訊,請參閱「為使用者或瀏覽器設定 Chrome 政策」。
- 按一下「儲存」。
配置裝置設定
一樣在管理控制台中:
- 按一下頁面頂端的「裝置設定」。或者,您也可以從管理控制台首頁前往「裝置」「Chrome」「設定」「裝置」。
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「登入設定」。
- 針對「單一登入 IdP 重新導向」,選取「允許使用者直接前往 SAML 單一登入 (SSO) IdP 頁面」。如需設定的詳細資訊,請參閱「設定 Chrome 裝置政策」。
- 針對「單一登入 Cookie 行為」,選取「允許在登入過程中將 SAML SSO Cookie 傳輸至使用者工作階段」。如需設定的詳細資訊,請參閱「設定 Chrome 裝置政策」。
- 按一下「儲存」。
步驟 5:測試 ChromeOS 裝置
- 開啟受管理的 ChromeOS 裝置。
- 在「登入 Chromebook」頁面上,按一下「下一步」。
- 在 Microsoft 登入頁面輸入 AD 使用者名稱。
- 按一下「下一步」。
- 請輸入您的密碼。
- 按一下「登入」。
- 如要繼續登入並存取使用者工作階段,請按一下「是」。
步驟 6:指定 Microsoft Entra ID 使用者帳戶佈建設定
您在申請 Cloud Identity 或 Google Workspace 時,會建立超級管理員帳戶。雖然您可以將這個帳戶用於 Microsoft Entra ID,但建議您建立專供 Microsoft Entra ID 使用的獨立超級管理員帳戶。
建立使用者
-
- 在管理控制台中,依序點選「選單」圖示 「目錄」「使用者」。
- 按一下頁面頂端的「新增使用者」。
- 輸入帳戶資訊。詳情請參閱「為新使用者新增帳戶」。
- 按一下「新增使用者」。
- 按一下「完成」即可完成使用者新增程序。
將使用者設為超級管理員
一樣在管理控制台中:
- 在管理控制台中,依序點選「選單」圖示 「目錄」「使用者」。
- 在「使用者」清單中,找出您剛才建立的新使用者。
- 按一下使用者的名稱,開啟對方的帳戶頁面。
- 按一下「管理員角色與權限」。
- 按一下「指派角色」。
- 按一下「超級管理員」角色旁邊的滑桿,將角色變成「已指派」狀態 。
- 按一下「儲存」。
提示:請新管理員在自己的帳戶中新增救援選項。
使用者通常會在幾分鐘內成為管理員,但有時最多可能需要經過 24 小時才會生效。
管理使用者帳戶佈建
- 登入 Microsoft Azure 入口網站。
- 在頂端的搜尋框中輸入企業應用程式,然後從搜尋結果清單中選取該結果。
- 搜尋並按一下 Google Cloud / G Suite Connector by Microsoft。
- 在左側的「管理」下方,按一下「佈建」。
- 按一下「開始使用」。
- 針對「佈建模式」,選取「自動」。
- 按一下「管理員認證」。
- 按一下「授權」。
- 使用剛建立的新超級管理員帳戶登入。
- 按一下「允許」,確認存取 Cloud Identity API。
- 在「管理員憑證」下方,按一下「測試連線」。系統會顯示訊息,告知您是否有權啟用佈建功能。
- (選用) 在「對應」下方設定使用者或群組佈建作業。建議您採用預設設定。
- 按一下「儲存」。
- 按一下「佈建」頁面頂端的「開始佈建」。
- 等待同步作業完成。
相關主題
- 為 ChromeOS 裝置設定 SAML 單一登入服務
- Micrsoft Entra ID 使用者佈建與單一登入
- 教學課程:Micrsoft Entra 單一登入 (SSO) 與 Google Cloud/G Suite Connector by Microsoft 整合
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。