本文適用對象為透過 Google 管理控制台管理 Chrome 政策的管理員。
Chrome Enterprise 管理員可以在機構中採用兩步驟驗證 (2-SV) 或多重驗證 (MFA) 功能,並強制要求使用者定期登入 ChromeOS 裝置。
如此一來,使用者就必須透過兩個或更多步驟定期登入帳戶,進而為機構提供額外的安全防護。
什麼是驗證要素
驗證要素是基於安全考量而用於驗證使用者身分的資訊或流程。
驗證要素可分為三個類別:
- 您知道的內容,例如密碼或個人識別碼 (PIN)
- 您持有的裝置,例如安全金鑰或智慧型手機
- 您本人的身分,也就是如指紋和臉部辨識等的生物特徵辨識
當使用者透過兩步驟驗證或多重驗證登入時,必須提供所有必要的驗證方法,否則將無法取得存取權。
下面列出幾個驗證範例:
- 使用者在 ChromeOS 裝置新增帳戶時所進行的兩步驟驗證
- 使用者登入其使用者帳戶時所進行的兩步驟驗證
- 使用者解鎖 ChromeOS 裝置時所進行的兩步驟驗證
- 使用者透過指紋或 PIN 碼解除 ChromeOS 裝置螢幕鎖定時所進行的無密碼驗證
如要進一步瞭解應在機構中使用兩步驟驗證或多重驗證的原因和時機,請參閱「使用兩步驟驗證功能保障企業資料安全」。
事前準備
- 如果您原先已部署 Chrome,請提早通知使用者,請他們務必在指定日期登入自己的受管理 Google 帳戶。
步驟 1:選取政策
如果使用者並非採用 SAML 單一登入 (SSO) 服務登入 ChromeOS 裝置,您可以使用下列政策:
如果使用者採用 SAML 單一登入 (SSO) 服務登入 ChromeOS 裝置,您可以使用下列政策:
步驟 2:檢閱政策
您可以設定下列一或多項政策:
政策 | 說明與設定 |
---|---|
GaiaOfflineSigninTimeLimitDays |
為未使用 SAML 單一登入 (SSO) 服務登入 ChromeOS 裝置的使用者,設定在登入畫面執行強制線上登入的頻率。 輸入值 (以天為單位):
如果保留空白,使用者就不需要定期進行線上登入。 |
GaiaLockScreenOfflineSigninTimeLimitDays |
為未使用 SAML 單一登入 (SSO) 登入服務 ChromeOS 裝置的使用者,設定在螢幕鎖定畫面執行強制線上登入的頻率。 輸入值 (以天為單位):
如果保留空白,使用者就不需要定期使用線上登入功能解除螢幕鎖定。 |
SAMLOfflineSigninTimeLimit |
為採用 SAML 的單一登入帳戶 (SSO) 設定在登入畫面執行強制線上登入流程的頻率。 選擇登入頻率選項。 如果您選取「永不」,使用者就無需執行線上登入。 |
SamlLockScreenOfflineSigninTimeLimitDays |
為採用 SAML 的使用者設定在螢幕鎖定畫面中執行強制線上登入的頻率。 輸入值 (以天為單位):
如果保留空白,使用者就不需要定期使用線上登入功能解除螢幕鎖定。 |
步驟 3:設定政策
點選下方標題即可查看相應的政策管理步驟。
適用於所有裝置上已登入的使用者。詳情請參閱「瞭解套用設定的時機」。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示 「Chrome 瀏覽器」「設定」。
-
如要為所有使用者套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
-
前往「安全性」。
-
如果使用者未採用 SAML 單一登入 (SSO),請依下列步驟操作:
-
按一下「Google 線上登入頻率」,輸入值 (以天為單位),然後按一下「儲存」:
-
0:使用者一律必須使用線上登入功能。
-
1 至 365:當達到設定的頻率週期之後,使用者就必須在下次啟動工作階段時進行線上登入。
-
-
按一下「Google 線上解鎖頻率」,輸入值 (以天為單位),然後按一下「儲存」:
-
0:使用者一律必須在鎖定畫面中使用線上登入功能。
-
1 至 365:當達到設定的頻率週期之後,使用者就必須在下次解除螢幕鎖定時進行線上登入。
-
-
-
如果使用者採用了 SAML 單一登入 (SSO),請依下列步驟操作:
-
按一下「SAML 單一登入服務的登入頻率」,設定強制線上登入的頻率週期,然後點選「儲存」。
-
按一下「SAML 單一登入解鎖頻率」,輸入值 (以天為單位),然後按一下「儲存」:
-
0:使用者一律必須在鎖定畫面中使用線上登入功能。
-
1 至 365:當達到設定的頻率週期之後,使用者就必須在下次解除螢幕鎖定時進行線上登入。
-
-
步驟 4:確認已套用政策
在您套用任何 Chrome 政策後,使用者必須重新啟動 Chrome 瀏覽器,這樣設定才會生效。您可以檢查使用者的裝置,確認是否正確套用政策。
- 在受管理的 Chrome 裝置上,使用瀏覽器前往 chrome://policy。
- 按一下 [重新載入政策]。
- 勾選「顯示尚未設定任何值的政策」方塊。
- 請確認 GaiaOfflineSigninTimeLimitDays、GaiaLockScreenOfflineSigninTimeLimitDays、SAMLOfflineSigninTimeLimit 和 SamlLockScreenOfflineSigninTimeLimitDays 政策的「狀態」皆已設定為「確定」(若適用)。
- 針對所有政策按一下「顯示政策值」,確認值欄位中的值與您在政策中設定的值相同。