Planen Sie Ihre Strategie für die Rückkehr ins Büro? Sehen Sie sich im Hilfeartikel Chromebooks für die Telearbeit einrichten an, wie Chrome OS Ihnen helfen kann.

Chrome OS-Geräte mit Active Directory verwalten

Hinweis: Die Chrome OS-Geräteverwaltung mit Microsoft Active Directory (AD) ist für neue Nutzer nicht mehr verfügbar. Wir empfehlen für Chrome OS-Geräte in einer AD-Umgebung die cloudbasierte Chrome-Verwaltung und Kerberos. Weitere Informationen finden Sie unter Richtlinien für Chrome OS-Geräte verwalten.

Sie können Ihre Geräte mit Chrome OS in einen Microsoft Active Directory-Server integrieren. Dadurch werden die Geräte mit Ihrer Domain verknüpft, sodass Sie sie in Ihren Domaincontrollern und in der cloudbasierten Admin-Konsole sehen können. Sie verwenden Windows-Gruppenrichtlinien, nicht die Admin-Konsole, um integrierte Geräte zu verwalten und Richtlinien an Nutzer und Geräte zu senden. Die Nutzer melden sich einfach mit ihren Anmeldedaten für Active Directory auf ihren Geräten an. Nutzernamen müssen dabei nicht mit den Servern von Google synchronisiert werden.

Um Richtlinien zu konfigurieren und Geräte zu verwalten, die nicht in Active Directory integriert sind, verwenden Sie weiterhin die Admin-Konsole. Auf Geräten, die über die Cloud verwaltet werden, können sich Nutzer nicht mit ihren Active Directory-Anmeldedaten anmelden. Sie müssen die Daten in Ihrer Google-Domain daher mit Active Directory synchronisieren.

Hinweise

  • Diese Funktion ist nicht verfügbar, wenn Ihre Organisation das Chrome Education-Upgrade nutzt. Verwenden Sie stattdessen Google Cloud Directory Sync, um Nutzer aus Active Directory zu synchronisieren. Die Passwörter der Nutzer können Sie bei Bedarf mit Password Sync synchronisieren. Verwalten Sie anschließend die Chrome-Geräterichtlinien über die cloudbasierte Admin-Konsole. Weitere Informationen
  • Geräte, die mit Active Directory verwaltet werden, können nicht als Kioske, für verwaltete Gastsitzungen oder als digitale Beschilderung verwendet werden. Nutzen Sie stattdessen die Admin-Konsole, um Geräte für solche Zwecke zu verwalten und entsprechende Richtlinien zu konfigurieren.
  • Prüfen Sie, ob diese Funktion für Ihre Geräte ausgewählt werden kann. Damit Sie Active Directory verwenden können, benötigen Sie Chrome OS 61 oder höher und die auf Ihren Chromebooks ausgeführte Plattform muss auf Intel oder AMD basieren. Für Chromebooks mit ARM-Chipsätzen ist das nicht möglich. Um zu prüfen, ob Ihre Geräte infrage kommen, gehen Sie zu chrome://system und scrollen Sie zur Zeile „CPU“. Wenn Sie in dieser Zeile „Intel“ oder „AMD“ sehen, kann das Gerät ausgewählt werden.
  • Geräte mit Chrome OS können in Server integriert werden, für die andere Nutzungsbedingungen gelten. Die Datenverarbeitung, die von diesen Servern durchgeführt wird, ist nicht Teil der Bestimmungen für den Gebrauch von Chrome Enterprise.
  • Für jedes Gerät, das Sie verwalten möchten, benötigen Sie ein Abo für das Chrome Enterprise-Upgrade, außer Sie verwenden Chromebook Enterprise-Geräte. Active Directory ist für Geräte mit dem Chrome Education- oder Chrome Nonprofit-Upgrade nicht verfügbar.

Domain einrichten und konfigurieren

Schritt 1: Active Directory aktivieren

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Klicken Sie in der Startseite der Admin-Konsole auf Geräte und dann Chrome-Verwaltung.
  3. Klicken Sie auf Einstellungenund dannNutzer und Browser.
  4. Wählen Sie die oberste Organisationseinheit aus.
  5. Gehen Sie zu „Steuerelemente für die Registrierung“.
  6. Wählen Sie neben Microsoft Active Directory die Option Verwaltung über Active Directory aktivieren aus.
  7. Klicken Sie auf Speichern.
Schritt 2 (optional): Domain für den Zugriff auf den Managed Play Store konfigurieren

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Konfigurieren Sie die Vertrauensstellung der vertrauenden Seite auf Microsoft Windows Server.
    Hinweis: Vor diesem Schritt muss der Active Directory Federation Services-Server (AD FS-Server) eingerichtet werden.
    1. Gehen Sie in der AD FS-Verwaltungskonsole zu AD FS und dann Vertrauensstellungen und dann Vertrauensstellung der vertrauenden Seite.
    2. Klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen und anschließend auf Starten.
    3. Wählen Sie Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren aus.
    4. Legen Sie die Verbundmetadaten-Adresse auf https://m.google.com/devicemanagement/data/api/SAML2 fest.
    5. Klicken Sie auf Weiter und dann Schließen.
    6. Klicken Sie im Feld Anspruchsregeln bearbeiten auf Regel hinzufügen.
    7. Prüfen Sie, ob die Option LDAP-Attribute als Ansprüche senden ausgewählt ist, und klicken Sie auf Weiter.
    8. Wählen Sie unter Attributspeicher die Option Active Directory aus.
    9. Geben Sie unter LDAP-Attribut das Attribut objectGUID ein.
    10. Wählen Sie unter Typ des ausgehenden Anspruchs die Option Namens-ID aus.
    11. Klicken Sie auf Fertigstellen und dann OK.
      Weitere Informationen zur Einrichtung der Vertrauensstellung der vertrauenden Seite finden Sie auf der Website von Microsoft.
  2. Laden Sie die AD FS-Metadatendatei (federationmetadata.xml) vom Server herunter. Sie befindet sich unter folgendem Pfad:
    https://Name_Ihres_ADFS_Servers/federationmetadata/2007-06/federationmetadata.xml.
  3. Konfigurieren Sie die SAML-Einstellungen in der Admin-Konsole:
    1. Melden Sie sich in der Google Admin-Konsole an.

      Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

    2. Klicken Sie in der Startseite der Admin-Konsole auf Geräte und dann Chrome-Verwaltung.
    3. Klicken Sie auf Einstellungenund dannNutzer und Browser.
    4. Wählen Sie die oberste Organisationseinheit aus.
    5. Gehen Sie zu Steuerelemente für die Registrierungund dannMicrosoft Active Directory.
    6. Klicken Sie unter „Identitätsanbieter-Metadaten“ auf Hochladen.
    7. Gehen Sie zum Speicherort der AD FS-Metadatendatei und klicken Sie auf Öffnen.
    8. Klicken Sie auf Speichern.

Ihre Nutzer müssen sich auf dem SAML-Endpunkt authentifizieren, bevor sie den Managed Play Store verwenden können.

Schritt 3 (optional): Vorlage für die Domainkonfiguration hinzufügen

Wenn Sie eine Konfigurationsvorlage verwenden, müssen Nutzer die folgenden Informationen eingeben, wenn sie ihre Geräte mit der Active Directory-Domain verknüpfen: den Namen des Chromebook-Computers und die Konfiguration, z. B. Vertrieb oder Technik.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Klicken Sie in der Startseite der Admin-Konsole auf Geräte und dann Chrome-Verwaltung.
  3. Klicken Sie auf Einstellungenund dannNutzer und Browser.
  4. Wählen Sie die oberste Organisationseinheit aus.
  5. Gehen Sie zu Steuerelemente für die Registrierungund dannMicrosoft Active Directory.
  6. Klicken Sie unter „Konfiguration zum Zusammenführen der Domains“ auf Hochladen.
  7. Gehen Sie zum Speicherort der Konfigurationsdatei und klicken Sie auf Öffnen.
  8. Klicken Sie auf Speichern.

Laden Sie hier die Beispieldatei mit einer Konfigurationsvorlage herunter. Sie können zur Bearbeitung einen Texteditor verwenden. Die Konfigurationsvorlage enthält sensible Daten. Sie sollten sie daher mit diesem Microsoft PowerShell-Skript mit einem Passwort verschlüsseln: diesem. Ändern Sie auch die Erweiterung der Ausgabedatei in .base64. Andernfalls können beim Hochladen der Datei Probleme auftreten. Nutzer, die sich registrieren, müssen dieses Passwort eingeben, wenn sie Chromebooks mit der AD-Domain verknüpfen.

Die Beispieldatei mit der Konfigurationsvorlage enthält Folgendes:

  • Gerätename: erforderlich
  • Active Directory-Nutzername: optional
  • Active Directory-Passwort: optional
  • Organisationseinheit: optional
  • Verschlüsselungstypen: optional, mögliche Werte: strong (stark), all (alle) oder legacy (alt)
  • Regex für Validierung des Computernamens: optional
Schritt 4: Geräte mit der Active Directory-Domain verknüpfen
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie in der Startseite der Admin-Konsole auf Geräte und dann Chrome-Verwaltung.
  3. Klicken Sie auf Einstellungenund dannNutzer und Browser.
  4. To apply the setting to all users, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. Gehen Sie zu „Steuerelemente für die Registrierung“.
  6. Wählen Sie als Geräteverwaltungsmodus Active Directory aus.
  7. Optional: Wenn Sie festlegen möchten, welche Nutzer Geräte in Ihrer Domain registrieren können, scrollen Sie zu „Registrierungsberechtigungen“ und wählen Sie eine Option aus:
    • Nutzer in dieser Organisation dürfen neue Geräte registrieren oder vorhandene Geräte erneut registrieren: Nutzer können neue Geräte registrieren oder Geräte erneut registrieren, deren Bereitstellung aufgehoben wurde. Sie können jedoch auch solche Geräte noch einmal registrieren, auf denen die Gerätedaten gelöscht wurden oder die auf die Werkseinstellungen zurückgesetzt wurden.
    • Nutzer in dieser Organisation dürfen nur vorhandene Geräte erneut registrieren (keine neuen Geräte oder Geräte mit aufgehobener Bereitstellung): Nutzer haben nur die Möglichkeit, Geräte erneut zu registrieren, auf denen die Gerätedaten gelöscht wurden oder die auf die Werkseinstellungen zurückgesetzt wurden. Sie können keine neuen Geräte registrieren oder Geräte erneut registrieren, deren Bereitstellung aufgehoben wurde.
    • Nutzer in dieser Organisation dürfen keine neuen Geräte registrieren und vorhandene Geräte nicht erneut registrieren: Nutzer können keine Geräte registrieren oder erneut registrieren, auch nicht über eine erzwungene erneute Registrierung.
  8. Klicken Sie auf Speichern.
Schritt 5: Gruppenrichtlinienobjekte zur Nutzer- und Geräteverwaltung konfigurieren

Mithilfe von Gruppenrichtlinien können Sie Richtlinien auf Chrome-Geräte anwenden, die in Active Directory integriert sind. Einstellungen, die Sie in der Admin-Konsole konfigurieren, gelten nicht für Geräte (die erzwungene erneute Registrierung ausgenommen).

Hinweise

  • Geräte mit Chrome OS benötigen standardmäßig eine starke Verschlüsselung (Advanced Encryption Standard, AES), die in Ihrer Umgebung möglicherweise nicht unterstützt wird. Wenn Sie Probleme bei der Anmeldung mit Active Directory-Anmeldedaten haben, rufen Sie die Richtlinie DeviceKerberosEncryptionTypes auf und prüfen Sie die unterstützten Verschlüsselungstypen. Wenn eine RC4-Verschlüsselung erforderlich ist, ändern Sie den Verschlüsselungstyp zu all (Alle) oder Legacy (Alt).
  • Eine Liste der verfügbaren Richtlinien für Chrome OS-Geräte finden Sie hier.

Gruppenrichtlinienobjekte konfigurieren

  1. Laden Sie die Chrome OS-ADMX-Vorlagen herunter.
  2. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
  3. Erstellen Sie beliebige Gruppenrichtlinienobjekte und stellen Sie sie in den zutreffenden Organisationseinheiten und Gruppen für Ihre Nutzer und Geräte bereit.
Schritt 6 (optional): Aktuelle Cloud-Richtlinien in Active Directory exportieren

Über die Admin-Konsole können Sie Cloud-Richtlinien für Nutzer und Geräte als PowerShell-Skriptdateien exportieren. Sie können die Richtlinien anschließend auf Chrome-Geräte anwenden, die Sie über Active Directory verwalten.

Hinweis: Google hat vor Kurzem die Richtliniennamen für einige Nutzer- und Geräteeinstellungen geändert. Auf den Geräten wird weiterhin der alte Richtlinienname verwendet. Beim Exportieren und Festlegen hat aber der neue Richtlinienname Vorrang.

In der Admin-Konsole:

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie in der Startseite der Admin-Konsole auf Geräte und dann Chrome-Verwaltung.
  3. Klicken Sie auf Einstellungen.
  4. Wählen Sie eine Einstellungsseite aus: Nutzer und Browser oder Gerät.
  5. Wenn Sie die Einstellungen exportieren möchten, die für alle Nutzer oder Geräte konfiguriert sind, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
  6. Klicken Sie ganz rechts auf „Einstellungen exportieren“ "".
  7. Optional: Wenn Sie Zugriff auf die Einstellungsseiten Nutzer und Browser und Gerät haben, wählen Sie aus, ob Nutzereinstellungen, Geräteeinstellungen oder beides exportiert werden sollen.
  8. Klicken Sie auf Exportieren. Ein PowerShell-Skript wird automatisch auf Ihr Gerät heruntergeladen.

Auf Microsoft Windows Server:

  1. Öffnen Sie eine PowerShell-Sitzung.
  2. Deaktivieren Sie die Signaturprüfung. Typ:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
    Weitere Informationen finden Sie in der Microsoft-Dokumentation.
  3. Führen Sie das heruntergeladene PowerShell-Skript aus.
Schritt 7 (optional): Android-Apps für Nutzer konfigurieren

Alle Apps, die Sie für die Domain genehmigen, werden Ihren Nutzern automatisch angezeigt, wenn sie den Managed Play Store aufrufen.

So genehmigen und konfigurieren Sie Apps für Ihre Nutzer:

  1. Melden Sie sich im Managed Play Store an.
  2. Genehmigen Sie Apps für Ihre Nutzer. Weitere Informationen finden Sie unter Verwaltete Apps für Android-Geräte einrichten.
  3. Setzen Sie die Richtlinie „Enable ARC“ (ArcEnabled) auf „True“, um den Zugang zum Google Play Store für Ihre Nutzer zu aktivieren.
  4. Richten Sie die Richtlinie „Configure ARC“ (ArcPolicy) ein, um die Installation von Apps für Ihre Nutzer zu erzwingen und verwaltete Konfigurationen für sie anzuwenden.
  5. Pinnen Sie mit der Richtlinie „Pinned Apps“ (PinnedLauncherApps) Android-Apps (und Chrome-Apps) im Launcher an.

Geräte einrichten

Schritt 8 (optional): Chrome-Geräte registrieren und mit der Active Directory-Domain verknüpfen

Die Integration eines Chrome-Geräts in Active Directory erfolgt in zwei Schritten. Sie registrieren das Gerät zuerst auf den Google-Servern und verknüpfen es dann mit Ihrer Active Directory-Domain. Diese zwei Schritte müssen abgeschlossen werden, ohne dass das Gerät neu gestartet wird. Sie können ein Gerät also erst dann für einen Nutzer bereitstellen, wenn Sie beide Schritte durchgeführt haben.

Chrome-Geräte registrieren

Prüfen Sie zuerst, ob die Nutzer, die die Geräte registrieren, einer Organisationseinheit angehören, bei der die Geräte mit der Active Directory-Domain verknüpft werden (siehe Schritt 4 oben). Wenn Sie die Verwaltung eines derzeit registrierten Geräts ändern möchten, müssen Sie die Daten auf dem Gerät löschen und es noch einmal registrieren.

Folgen Sie den Schritten unter Chrome-Geräte registrieren, um die Geräte auf dem Google-Server zu registrieren.

Geräte mit der Active Directory-Domain verknüpfen

Hinweise

  • Administratoren und Nutzer müssen für diesen Vorgang und die anfängliche Authentifizierung ungehinderte Sicht auf einen Domaincontroller haben.
  • Geräte mit Chrome OS benötigen standardmäßig eine starke Verschlüsselung (Advanced Encryption Standard, AES), die in Ihrer Umgebung möglicherweise nicht unterstützt wird. Wenn Sie beim Verknüpfen des Geräts mit einer Domain keine Verbindung zu Active Directory herstellen können, gehen Sie zu Erweiterte Einstellungen und überprüfen Sie die unterstützten Verschlüsselungstypen. Falls die RC4-Verschlüsselung erforderlich ist, ändern Sie den Verschlüsselungstyp zu Alle oder Alt.

Auf jedem Gerät, das Sie registriert haben:

  1. Geben Sie den Namen eines Geräts ein, um es auf dem Active Directory-Server zu identifizieren.
  2. Wenn Sie eine Konfigurationsvorlage für die Domain verwenden:
    1. Geben Sie das Passwort ein, mit dem die Konfigurationsvorlage verschlüsselt wurde (siehe Schritt 3 oben).
    2. Wählen Sie eine Konfiguration aus.
  3. Wenn Sie keine Vorlage für die Domainkonfiguration verwenden, geben Sie die angeforderten Informationen manuell ein.

Auf jedem Gerät sollte jetzt ein Anmeldebildschirm angezeigt werden, über den sich die Nutzer direkt mit ihrem Active Directory-Nutzernamen und ‑Passwort anmelden können.

Schritt 9: Prüfen, ob Geräte registriert sind

Auf Microsoft Windows Server:

  1. Öffnen Sie Active Directory-Nutzer und -Computer.
  2. Sehen Sie nach, ob das Chrome-Gerät in der Chrome-Domain aufgeführt ist.
  3. Verschieben Sie das Gerät in die gewünschte Organisation, damit die richtigen Einstellungen für das Gerät gelten.

In der Admin-Konsole:

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie in der Startseite der Admin-Konsole auf Geräte und dann Chrome-Verwaltung.
  3. Klicken Sie auf Geräte.
  4. Klicken Sie links auf die Organisationseinheit, in der sich das Gerät befindet.
  5. Suchen Sie das Gerät.
    Tipp: Verwenden Sie den Filter „Verwaltungsmodus“, um Geräte aufzulisten, die in Active Directory integriert sind.
  6. Prüfen Sie, ob Verwaltungsmodus auf Microsoft Active Directory gesetzt ist.
  7. Optional: Verschieben Sie das Gerät in die Organisationseinheit, in der Sie es verwalten möchten. Weitere Informationen finden Sie unter Chrome-Geräte in eine Organisationseinheit verschieben.

Weitere Informationen

Google sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.

War das hilfreich?
Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
Suchen in der Hilfe
true
410864
false