Gérer les appareils Chrome avec Active Directory

Vous pouvez intégrer vos appareils équipés de Chrome OS sur un serveur Microsoft® Active Directory®. Cette opération permet de connecter les appareils à votre domaine pour qu'ils soient visibles dans vos contrôleurs de domaine. Vous pouvez également gérer des sessions, ou appliquer des règles à des comptes utilisateur et à des appareils. Vous n'avez pas à synchroniser les noms d'utilisateur sur les serveurs de Google. Les utilisateurs se connectent aux appareils à l'aide de leurs identifiants Active Directory. Pour le moment, il n'est pas possible d'utiliser des appareils de type kiosques, des sessions Invité gérées ou des panneaux d'affichage numérique avec l'intégration Active Directory.

Avant de commencer

  • Cette fonctionnalité n'est pas disponible si votre organisation possède des licences Chrome Education. Au lieu de cela, vous utilisez l'annuaire Google Cloud pour synchroniser les utilisateurs à partir d'Active Directory et éventuellement G Suite Password Sync pour synchroniser les mots de passe utilisateur. Vous utilisez ensuite la console d'administration Google dans le cloud pour gérer les règles relatives aux appareils Chrome. En savoir plus
  • Vérifiez la compatibilité de votre appareil. Afin d'utiliser Active Directory pour gérer les appareils Chrome, vous devez disposer de Chrome OS 61 ou d'une version ultérieure, et vos Chromebooks doivent être exécutés sur une plate-forme Intel® ou AMD. Les Chromebooks équipés de puces ARM (Chromebook Plus de Samsung®, par exemple) ne sont pas compatibles. Pour vérifier la compatibilité de votre appareil, accédez à chrome://system et faites défiler la page jusqu'à la ligne du processeur. Si Intel ou AMD apparaît sur cette ligne, cela signifie que votre appareil est compatible.
  • Cette fonctionnalité intègre les appareils équipés de Chrome OS avec des serveurs soumis à leurs propres conditions d'utilisation. Tout traitement de données effectué par ces serveurs ne relève pas des conditions d'utilisation de Chrome Enterprise.
  • Pour démarrer la procédure de configuration ci-dessous, vous devez disposer d'un compte ayant accès à la console d'administration Google sur un domaine géré avec la licence Chrome Enterprise.
  • Vous devez être abonné au service de licence Chrome Enterprise pour chaque appareil Chrome autonome que vous souhaitez gérer. Sinon, vous devez utiliser des appareils Chromebook Enterprise. L'intégration Active Directory n'est pas disponible pour les appareils équipés de Chrome Education Upgrade ou de Chrome Nonprofit Upgrade.

Configurer votre domaine et vos appareils

Pour gérer les appareils intégrés, vous définissez la règle d'activation de l'intégration Chrome Enterprise Active Directory dans la console d'administration Google.

Une fois l'intégration activée, vous ne pouvez gérer les appareils que via Active Directory. Vous ne pouvez plus utiliser la console d'administration Google pour gérer les appareils Chrome. Par ailleurs, la page "Paramètres de l'appareil" n'apparaît plus dans la console. 

Avant de pouvoir gérer des appareils avec Active Directory, vous devez effacer les données de tous les appareils existants et réenregistrer ces derniers dans le domaine (voir l'étape 2 ci-dessous). L'activation d'Active Directory désactive la réinscription forcée afin de faciliter le processus.

Étape 1 : Configurez des appareils pour Active Directory

Nécessite des droits de super-administrateur

  1. Connectez-vous à la console d'administration Google avec le compte de votre domaine Chrome Enterprise.
  2. Cliquez sur Gestion des appareils puis Gestion de Google Chrome.
  3. Cliquez sur Paramètres d'intégration de Microsoft Active Directory.
  4. Sélectionnez Autoriser la gestion des Chromebooks via le service Active Directory.
  5. Lisez le commentaire et cliquez sur Activer l'intégration d'Active Directory
Étape 2 : Enregistrez les appareils Chrome

Important : L'enregistrement d'un appareil Chrome s'effectue en deux étapes. Vous devez d'abord enregistrer l'appareil sur les serveurs de Google, puis dans un second temps associer l'appareil à votre domaine Active Directory. Ces deux étapes doivent être accomplies l'une à la suite de l'autre, sans redémarrer l'appareil entre temps. Vous devez donc réaliser les deux étapes avant de rattacher l'appareil à un compte utilisateur.

  1. Connectez-vous à la console d'administration Google avec le compte de votre domaine Chrome Enterprise.
  2. Cliquez sur Gestion des appareils puis Appareils Chrome.
  3. Vérifiez que vous disposez des mises à niveau pour les appareils autonomes.
  4. Suivez cette procédure pour chaque appareil de façon à l'enregistrer sur le serveur de Google.
Étape 3 : Associez les appareils Chrome au domaine

Une fois qu'un appareil est enregistré sur le serveur Google, vous êtes invité à l'associer au domaine Active Directory.

Remarque : Les comptes administrateur et les comptes utilisateur doivent être en visibilité directe d'un contrôleur de domaine pour pouvoir connecter l'appareil Chrome à un domaine et réaliser la première authentification.

  1. Attribuez un nom à l'appareil, qui permettra de l'identifier sur le serveur Active Directory.
  2. Saisissez votre nom d'utilisateur et votre mot de passe Active Directory.
  3. Sur votre ordinateur Microsoft® Windows Server® :
    1. Ouvrez Utilisateurs et ordinateurs Active Directory.
    2. Vérifiez que l'appareil Chrome est bien répertorié au sein du domaine Chrome.
    3. Placez l'appareil dans l'organisation appropriée de façon que les bons paramètres soient appliqués.

Vous devriez voir apparaître sur chaque appareil une fenêtre permettant à l'utilisateur de se connecter directement avec son nom et son mot de passe Active Directory.

Configurer votre domaine et les appareils des utilisateurs

Étape 4 : Configurez des objets de stratégie de groupe pour gérer les comptes utilisateur et les appareils

Pour savoir quelles règles vous pouvez utiliser avec les appareils Chrome, consultez la documentation consacrée à la liste des règles.

  1. Téléchargez les modèles ADMX de Chrome OS.
  2. Ouvrez la console de gestion des stratégies de groupe.
  3. Créez les objets de stratégie de groupe nécessaires et ajoutez-les aux organisations et aux groupes appropriés pour qu'ils soient appliqués aux comptes utilisateur et aux appareils concernés.
Étape 5 : Configurez l'accès à la plate-forme Google Play d'entreprise au sein de votre domaine
  1. Activez les applications Android pour votre domaine :
    1. Connectez-vous à la console d'administration Google.
    2. Accédez à Gestion des appareils puis Gestion de Google Chrome puis Paramètres des applications Android.
    3. Cochez la case Activer les applications Android à gérer dans la console d'administration.
  2. Configurez l'approbation par un tiers de confiance sur votre serveur Microsoft Windows.

    Remarque : Avant de suivre cette étape, assurez-vous qu'un serveur AD FS (Active Directory Federation Services) a bien été configuré.

    1. Dans la console de gestion AD FS, accédez à AD FS puis Trust Relationships (Relations de confiance) puis Relying Party Trust (Approbation par un tiers de confiance).
    2. Sélectionnez Add Relying Party Trust (Ajouter un tiers de confiance) et cliquez sur Start (Démarrer).
    3. Sélectionnez Import data about the relying party published online or on local network (Importer des données à propos du tiers de confiance publiées en ligne ou sur un réseau local).
    4. Définissez l'adresse des métadonnées de fédération (Federation metadata address) sur https://m.google.com/devicemanagement/data/api/SAML2.

    5. Le cas échéant, cliquez sur Next (Suivant), puis sur Close (Fermer).
    6. Dans le champ Edit Claim Rules (Modifier les règles de revendication), cliquez sur Add Rule (Ajouter une règle).
    7. Vérifiez que l'option Send LDAP Attributes as Claims (Envoyer les attributs LDAP en tant que revendications) est bien sélectionnée, puis cliquez sur Next (Suivant).
    8. Sous Attribute Store (Liste des attributs), sélectionnez Active Directory.
    9. Sous LDAP Attribute (Attribut LDAP), saisissez objectGUID.
    10. Sous Outgoing Claim Type (Type de réclamation sortante), sélectionnez Name ID (ID de nom).
    11. Cliquez sur Finish (Terminer), puis sur OK.

      Pour savoir comment mettre en place une approbation par un tiers de confiance, consultez le site Web de Microsoft.

  3. Configurez les paramètres SAML dans la console d'administration Google :
    1. Téléchargez le fichier de métadonnées AD FS (federationmetadata.xml) à partir du serveur. Le fichier se trouve sur votre serveur, à l'emplacement suivant : 
      https://votre_nom_de_serveur_ADFS/federationmetadata/2007-06/federationmetadata.xml.
    2. Connectez-vous à la console d'administration Google.
    3. Accédez à Gestion des appareils puis Gestion de Google Chrome puis Paramètres d'intégration de Microsoft Active Directory.
    4. Cliquez sur Importer les métadonnées du fournisseur d'identité pour importer le fichier des métadonnées AD FS.

    Pour que les utilisateurs puissent utiliser la plate-forme Google Play d'entreprise sur leur appareil Chrome, ils doivent avoir été authentifiés au niveau du point de terminaison SAML.

Étape 6 : Configurez les applications Android pour les utilisateurs

Toutes les applications que vous approuvez au sein du domaine sont automatiquement visibles par tous vos utilisateurs sur la plate-forme Google Play d'entreprise.

Pour approuver et configurer des applications pour vos utilisateurs :

  1. Connectez-vous à la plate-forme Google Play d'entreprise.
  2. Approuvez les applications pour vos utilisateurs. Pour en savoir plus, consultez l'article Gérer les applications sur les appareils Android.
  3. Définissez la règle "Activer ARC" (ArcEnabled) sur "true" (vrai) pour autoriser les utilisateurs à accéder à la plate-forme Google Play.
  4. Configurez la règle "Configurer ARC" (ArcPolicy) de façon à imposer l'installation d'applications sur les appareils des utilisateurs, et à y appliquer les configurations gérées.
  5. Utilisez la règle "Applications épinglées" (PinnedLauncherApps) pour épingler des applications Android (ainsi que des applications Chrome) au lanceur d'applications.

Articles associés

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?