Gestionar dispositivos Chrome con Active Directory

Esta información se refiere a los Chromebooks gestionados y a otros dispositivos con Chrome OS.

Los dispositivos que utilicen Chrome OS pueden integrarse con un servidor Microsoft® Active Directory®. Mediante esta integración, los dispositivos se vinculan a tu dominio para que puedas verlos en los controladores del dominio y en la consola de administración de Google basada en la nube. Para gestionar los dispositivos integrados y aplicar políticas a los usuarios y a los dispositivos, deberás usar la directiva de grupos de Windows, no la consola de administración. No hace falta que sincronices los nombres de usuarios con los servidores de Google, ya que los usuarios pueden iniciar sesión en los dispositivos mediante sus credenciales de Active Directory.

Puedes seguir usando la consola de administración para definir políticas y gestionar los dispositivos que no estén integrados en Active Directory. Los usuarios no pueden iniciar sesión en dispositivos gestionados en la nube con sus credenciales de Active Directory. Por lo tanto, debes sincronizar los datos de tu dominio de Google con Active Directory.

Antes de empezar

  • Esta función no está disponible si tu organización tiene Licencia de Chrome Education. En ese caso, deberás usar Google Cloud Directory Sync para sincronizar usuarios desde Active Directory y (opcionalmente) podrás usar G Suite Password Sync para sincronizar las contraseñas de los usuarios. También deberás usar la consola de administración de Google basada en la nube para gestionar las políticas de dispositivos Chrome. Más información
  • Los dispositivos gestionados con Active Directory no pueden utilizarse en modo kiosco, con sesiones de invitado gestionadas ni como señalizaciones digitales. En su lugar, utiliza la consola de administración para definir políticas y poder gestionarlos.
  • Comprueba que los dispositivos son compatibles. Para gestionar dispositivos Chrome con Active Directory necesitarás Chrome OS 61 o una versión posterior, y tus Chromebooks deberán trabajar con una plataforma basada en Intel® o en AMD. No pueden utilizarse Chromebooks con chipsets de ARM. Para comprobar si un dispositivo es compatible, ve a chrome://system y localiza la fila de la CPU. Si en esa fila aparece "Intel" o "AMD", significa que tu dispositivo es compatible.
  • Los dispositivos que utilizan Chrome OS se integran con servidores que se rigen por diferentes términos del servicio. Los procesos de tratamiento de datos que aplican estos servidores no están sujetos a las condiciones de uso de Chrome Enterprise.
  • Necesitas una suscripción a Licencia de Chrome Enterprise por cada dispositivo Chrome que quieras gestionar. Como alternativa, puedes usar dispositivos Chromebook Enterprise. Los dispositivos que tengan Licencia de Chrome Education o Licencia de Chrome Nonprofit no se pueden integrar con Active Directory.

Configurar el dominio

Paso 1: Activa la integración con Active Directory

Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
  3. Haz clic en Configuracióny luegoUsuarios y navegadores.
  4. Selecciona el nivel organizativo superior.
  5. Ve a Controles de registro.
  6. Junto a Microsoft® Active Directory®, selecciona Habilitar la gestión de Active Directory.
  7. Haz clic en Guardar.
Paso 2: (Opcional) Configura tu dominio para acceder a Google Play Store administrado

Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. En Microsoft® Windows Server®, configura la relación de confianza con el usuario autenticado.
    Nota: Antes de hacerlo, asegúrate de haber configurado un servidor de Servicios de federación de Active Directory (AD FS).
    1. En la consola de administración de AD FS, ve a AD FSy luegoRelaciones de confianzay luegoRelación de confianza para usuario autenticado.
    2. Selecciona Agregar veracidad del usuario de confianza y haz clic en Iniciar.
    3. Selecciona Importar los datos sobre el usuario de confianza publicado en línea o en una red local.
    4. Especifica https://m.google.com/devicemanagement/data/api/SAML2 como dirección de metadatos de la federación.
    5. Haz clic en Siguientey luegoCerrar.
    6. En el cuadro Editar reglas de notificación, haz clic en Agregar regla.
    7. Comprueba que la opción Enviar atributos LDAP como notificaciones esté seleccionada y después haz clic en Siguiente.
    8. En Almacén de atributos, selecciona Active Directory.
    9. En Atributo LDAP, introduce objectGUID.
    10. En Tipo de notificación saliente, selecciona ID de nombre.
    11. Haz clic en Finalizar y luego Aceptar.
      Para obtener más información sobre cómo puedes configurar la relación de confianza con el usuario autenticado, consulta el sitio web de Microsoft.
  2. Descarga el archivo de metadatos de AD FS (federationmetadata.xml) de tu servidor. El archivo está en esta ubicación:
    https://nombre_de_tu_servidor_ADFS/federationmetadata/2007-06/federationmetadata.xml.
  3. Configura los ajustes de SAML en la consola de administración:
    1. Inicia sesión en la consola de administración de Google.

      Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

    2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
    3. Haz clic en Configuracióny luegoUsuarios y navegadores.
    4. Selecciona el nivel organizativo superior.
    5. Ve a Controles de registroy luegoMicrosoft Active Directory.
    6. En Metadatos del proveedor de identidades, haz clic en Subir.
    7. Navega hasta el archivo de metadatos de AD FS y haz clic en Abrir.
    8. Haz clic en Guardar.

Para que los usuarios puedan empezar a utilizar Google Play Store administrado en dispositivos Chrome, primero deberán autenticarse en el punto de conexión SAML.

Paso 3: (Opcional) Añade la plantilla de configuración del dominio

Puedes utilizar una plantilla de configuración para que los usuarios necesiten introducir menos información cuando vinculen sus dispositivos al dominio de Active Directory. De esta forma, los usuarios que se registren solo tendrán que introducir el nombre del Chromebook y elegir su configuración; por ejemplo, Ventas o Ingeniería.

Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
  3. Haz clic en Configuracióny luegoUsuarios y navegadores.
  4. Selecciona el nivel organizativo superior.
  5. Ve a Controles de registroy luegoMicrosoft Active Directory.
  6. En Configuración para unirse al dominio, haz clic en Subir.
  7. Navega hasta el archivo de configuración y haz clic en Abrir.
  8. Haz clic en Guardar.

Descarga un archivo de plantilla de configuración de ejemplo aquí. Puedes modificarlo con un editor de texto. El archivo de plantilla de configuración contiene datos sensibles, así que asegúrate de cifrarlo con una contraseña mediante esta secuencia de comandos de Microsoft PowerShell. Debes cambiar la extensión del archivo de salida a .base64, ya que, de lo contrario, podrías tener problemas para subir el archivo. Los usuarios que se registren deberán introducir esta contraseña cuando vinculen Chromebooks al dominio de Active Directory.

El archivo de plantilla de configuración de ejemplo incluye estos campos:

  • Nombre del dispositivo: cadena obligatoria
  • Nombre de usuario de Active Directory: cadena opcional
  • Contraseña de Active Directory: cadena opcional
  • Unidad organizativa: cadena opcional
  • Tipos de cifrado: cadena opcional, con los valores strong (seguro), all (todos) o legacy (antiguo)
  • Regex de validación del nombre del ordenador: cadena opcional
Paso 4: Vincula los dispositivos al dominio de Active Directory
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
  3. Haz clic en Configuracióny luegoUsuarios y navegadores.
  4. To apply the setting to all users, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. Ve a Controles de registro.
  6. En Modo de gestión de dispositivos, selecciona Active Directory.
  7. (Opcional) Para controlar qué usuarios pueden registrar dispositivos en tu dominio, desplázate hasta "Permisos de registro" y elige una opción:
    • Permitir que los usuarios de esta organización registren dispositivos nuevos o que ya hayan estado registrados anteriormente: los usuarios pueden registrar dispositivos nuevos o volver a registrar los que se hayan dado de baja. Los usuarios también pueden volver a registrar un dispositivo cuyos datos se hayan borrado o en el que se haya restablecido el estado de fábrica.
    • Permitir que los usuarios de esta organización registren solo dispositivos que ya hayan estado registrados (es decir, no permitirles que registren dispositivos nuevos ni que se hayan dado de baja): los usuarios solo pueden volver a registrar dispositivos cuyos datos se hayan borrado o en los que se haya restablecido el estado de fábrica. No pueden registrar dispositivos nuevos ni volver a registrar los que se hayan dado de baja.
    • No permitir que los usuarios de esta organización registren dispositivos nuevos o que ya hayan estado registrados anteriormente: los usuarios no pueden registrar dispositivos nuevos o que ya se hubieran registrado; incluidos los que se han vuelto a registrar con la opción de registro forzado.
  8. Haz clic en Guardar.
Paso 5: Configura objetos de directiva de grupo para gestionar usuarios y dispositivos

Puedes usar la directiva de grupos para aplicar políticas a dispositivos Chrome integrados con Active Directory. Los ajustes que configures en la consola de administración no se aplican a los dispositivos, salvo la opción "Obligación de volver a realizar el registro".

Antes de empezar

  • De forma predeterminada, los dispositivos con Chrome OS requieren un cifrado potente (un estándar de cifrado avanzado), que es posible que no sea compatible con tu entorno. Si no puedes iniciar sesión con las credenciales de Active Directory, ve a la política DeviceKerberosEncryptionTypes, revisa los tipos de cifrado compatibles y, si se requiere cifrado RC4, cambia el tipo de cifrado a All (Todos) o Legacy (Antiguo).
  • Para ver las políticas que puedes usar con dispositivos Chrome, consulta la lista de políticas.

Configurar los objetos de directiva de grupo

  1. Descarga las plantillas ADMX de Chrome OS.
  2. Abre la consola de administración de directivas de grupo.
  3. Crea un objeto de directiva de grupo y aplícalo a las unidades organizativas y a los grupos de usuarios y dispositivos pertinentes.
Paso 6: (Opcional) Exporta las políticas actuales de la nube a Active Directory

Puedes usar la consola de administración para exportar políticas de la nube relativas a usuarios y dispositivos como archivos de secuencias de comandos de PowerShell. Después, podrás aplicarlas a los dispositivos Chrome que gestionas mediante Active Directory.

En la consola de administración:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
  3. Haz clic en Configuración.
  4. Elige una página de configuración, Usuarios y navegadores o Dispositivo.
  5. Si quieres exportar los ajustes que se han configurado para aplicarse a todos los usuarios o dispositivos, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
  6. En el extremo derecho, haz clic en Exportar ajustes "".
  7. (Opcional) Si tienes acceso a las páginas de los ajustes Usuarios y navegadores y Dispositivo, elige si quieres exportar la configuración de usuario, de dispositivo o ambas.
  8. Haz clic en Exportar. Se descargará automáticamente una secuencia de comandos de PowerShell en tu dispositivo.

En tu equipo Microsoft® Windows Server®, sigue estos pasos:

  1. Abre una sesión de PowerShell.
  2. Inhabilita la verificación de firmas. Escribe este texto:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
    Para obtener información, consulta la documentación de Microsoft.
  3. Ejecuta la secuencia de comandos de PowerShell que has descargado.
Paso 7: (Opcional) Configura las aplicaciones Android de los usuarios

Todas las aplicaciones que apruebes para que se utilicen en el dominio se mostrarán automáticamente a todos tus usuarios cuando estos abran Google Play Store administrado.

Para aprobar y configurar aplicaciones dirigidas a tus usuarios, sigue estos pasos:

  1. Inicia sesión en Google Play administrado.
  2. Aprueba las aplicaciones que utilizarán tus usuarios. Para obtener más información, consulta el artículo Configurar aplicaciones gestionadas en dispositivos Android.
  3. Para que tus usuarios puedan acceder a Google Play Store, asigna el valor "true" a la política Habilitar ARC (ArcEnabled).
  4. Para forzar la instalación de aplicaciones en las cuentas de tus usuarios y gestionar sus ajustes, define la política Configurar ARC (ArcPolicy).
  5. Con la política Aplicaciones fijas (PinnedLauncherApps), puedes fijar aplicaciones Android y aplicaciones de Chrome en el menú de aplicaciones.

Configurar los dispositivos

Paso 8: (Opcional) Registra dispositivos Chrome y vincúlalos al dominio de Active Directory

La integración de un dispositivo Chrome con Active Directory es un proceso que se lleva a cabo en dos pasos. En primer lugar, debes registrar el dispositivo en los servidores de Google y, a continuación, vincularlo a tu dominio de Active Directory. Debes completar estos dos pasos sin reiniciar el dispositivo, es decir: debes completar ambos antes de asignar un dispositivo a una cuenta de usuario.

Registrar dispositivos Chrome

Antes de empezar a registrar dispositivos, asegúrate de que los usuarios que los registran pertenecen a una unidad organizativa que vincula dispositivos al dominio de Active Directory. Consulta el Paso 4 descrito más arriba. Si quieres cambiar la forma en que se gestiona un dispositivo registrado, deberás borrar sus datos y volver a registrarlo.

Sigue los pasos que se indican en el artículo Registrar dispositivos Chrome para registrar tus dispositivos en el servidor de Google.

Vincular dispositivos al dominio de Active Directory

Antes de empezar

  • Un controlador de dominio debe poder detectar las cuentas de administrador y de usuario para añadir el dispositivo Chrome a dicho dominio y pasar un proceso de autenticación inicial.
  • De forma predeterminada, los dispositivos con Chrome OS requieren un cifrado potente (un estándar de cifrado avanzado), que es posible que no sea compatible con tu entorno. Si no puedes conectarte a Active Directory cuando añades el dispositivo a un dominio, ve a Configuración avanzada, revisa los tipos de cifrado compatibles y cambia el tipo que esté seleccionado a All (Todos) o Legacy (Antiguo).

Sigue estos pasos en cada dispositivo que hayas registrado:

  1. Da un nombre al dispositivo para identificarlo en el servidor de Active Directory.
  2. Si utilizas una plantilla de configuración del dominio:
    1. Introduce la contraseña que se utilizó para cifrar el archivo de plantilla de configuración (en el Paso 3 de este artículo).
    2. Selecciona una configuración.
  3. Si no utilizas una plantilla de configuración del dominio, introduce manualmente la información requerida.

En cada dispositivo, debería aparecer una pantalla en la que los usuarios pueden iniciar sesión directamente con su nombre de usuario y contraseña de Active Directory.

Paso 9: Verifica que los dispositivos están registrados

En tu equipo Microsoft® Windows Server®, sigue estos pasos:

  1. Abre Usuarios y equipos de Active Directory.
  2. Confirma que el dispositivo aparece en el dominio de Chrome.
  3. Mueve el dispositivo a la organización donde hayas configurado los ajustes que quieras aplicarle.

En la consola de administración:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
  3. Haz clic en Dispositivos.
  4. En la parte izquierda, haz clic en la unidad organizativa en la que se encuentra el dispositivo.
  5. Localiza el dispositivo.
    Consejo: Usa el Modo de gestión para filtrar la lista de dispositivos que están integrados con Active Directory.
  6. Comprueba que el Modo de gestión sea Microsoft Active Directory.
  7. (Opcional) Mueve el dispositivo a la unidad organizativa donde quieras gestionarlo. Para obtener más información, consulta el artículo Mover un dispositivo Chrome a una unidad organizativa.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?