Gérer les appareils Chrome avec Active Directory

Pour les Chromebooks gérés et les autres appareils équipés de Chrome OS.

Vous pouvez intégrer vos appareils équipés de Chrome OS sur un serveur Microsoft® Active Directory®. Cette intégration associe les appareils à votre domaine afin que vous puissiez les voir dans vos contrôleurs de domaine et dans la console d'administration Google basée sur le cloud. Vous devez utiliser la stratégie de groupe Windows, et non votre console d'administration, pour gérer les appareils intégrés et définir des règles à distance pour les comptes utilisateur et les appareils. Les utilisateurs se connectent aux appareils avec leurs identifiants Active Directory. Vous n'avez pas à synchroniser les noms d'utilisateur sur les serveurs Google.

Vous pouvez continuer à utiliser votre console d'administration pour configurer des règles et gérer les appareils qui ne sont pas intégrés à Active Directory. Les utilisateurs ne peuvent pas se connecter aux appareils gérés dans le cloud avec leurs identifiants Active Directory. Vous devez donc synchroniser les données de votre domaine Google avec Active Directory.

Avant de commencer

  • Cette fonctionnalité n'est pas disponible si votre organisation dispose d'une licence Chrome Education Upgrade. Dans ce cas, utilisez Google Cloud Directory Sync pour synchroniser les comptes utilisateur à partir d'Active Directory. Vous pouvez également utiliser G Suite Password Sync pour synchroniser les mots de passe utilisateur. Gérez ensuite les règles relatives aux appareils Chrome à l'aide de la console d'administration cloud de Google. En savoir plus
  • Vous ne pouvez pas utiliser les appareils gérés avec Active Directory en tant que kiosques ou supports de signalétique numérique, ni pour des sessions Invité gérées. Utilisez plutôt votre console d'administration pour configurer des règles et gérer les appareils.
  • Vérifiez la compatibilité de votre appareil. Afin d'utiliser Active Directory pour gérer les appareils Chrome, vous devez disposer de Chrome OS 61 ou d'une version ultérieure, et vos Chromebooks doivent être basés sur une plate-forme Intel® ou AMD. Les Chromebooks équipés de puces ARM ne sont pas compatibles. Pour vérifier la compatibilité de votre appareil, accédez à chrome://system et faites défiler la page jusqu'à la ligne du processeur. Si Intel ou AMD apparaît sur cette ligne, cela signifie que votre appareil est compatible.
  • Les appareils équipés de Chrome OS interagissent avec des serveurs soumis à leurs propres conditions d'utilisation. Tout traitement de données effectué par ces serveurs ne relève pas des conditions d'utilisation de Chrome Enterprise.
  • Vous devez être abonné à Chrome Enterprise Upgrade pour chaque appareil Chrome autonome que vous souhaitez gérer. Sinon, vous devez utiliser des appareils Chromebook Enterprise. L'intégration d'Active Directory n'est pas disponible pour les appareils équipés de Chrome Education Upgrade ou de Chrome Nonprofit Upgrade.

Mettre en place et configurer votre domaine

Étape 1 : Activez l'intégration d'Active Directory

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à la page Appareils puis Gestion de Chrome.
  3. Cliquez sur ParamètrespuisUtilisateurs et navigateurs.
  4. Sélectionnez l'unité organisationnelle racine.
  5. Accédez à "Paramètres d'inscription".
  6. À côté de Microsoft® Active Directory®, sélectionnez Activer la gestion Active Directory.
  7. Cliquez sur Enregistrer.
Étape 2 : (Facultatif) Configurez l'accès à la plate-forme Google Play d'entreprise au sein de votre domaine

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Configurez l'approbation par un tiers de confiance sur votre ordinateur Microsoft® Windows Server®.
    Remarque : Avant de suivre cette étape, assurez-vous qu'un serveur AD FS (Active Directory Federation Services) a bien été configuré.
    1. Dans la console de gestion AD FS, accédez à AD FS puisRelations d'approbation puisApprobation de partie de confiance.
    2. Sélectionnez Ajouter une approbation de partie de confiance et cliquez sur Démarrer.
    3. Sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance.
    4. Définissez l'adresse des métadonnées de fédération sur https://m.google.com/devicemanagement/data/api/SAML2.
    5. Cliquez sur Suivant puisFermer.
    6. Dans le champ Modifier les règles de revendication, cliquez sur Ajouter une règle.
    7. Vérifiez que l'option Envoyer les attributs LDAP en tant que revendications est bien sélectionnée, puis cliquez sur Suivant.
    8. Sous Magasin d'attributs, sélectionnez Active Directory.
    9. Sous Attribut LDAP, saisissez objectGUID.
    10. Sous Type de revendication sortante, sélectionnez ID de nom.
    11. Cliquez sur Terminer puisOK.
      Pour savoir comment mettre en place une approbation par un tiers de confiance, consultez le site Web de Microsoft.
  2. Téléchargez le fichier de métadonnées AD FS (federationmetadata.xml) à partir du serveur. Le fichier se trouve sur votre serveur, à l'emplacement suivant :
    https://votre_nom_de_serveur_ADFS/federationmetadata/2007-06/federationmetadata.xml.
  3. Configurez les paramètres SAML dans la console d'administration Google :
    1. Connectez-vous à la Console d'administration Google.

      Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

    2. Sur la page d'accueil de la console d'administration, accédez à la page Appareils puis Gestion de Chrome.
    3. Cliquez sur ParamètrespuisUtilisateurs et navigateurs.
    4. Sélectionnez l'unité organisationnelle racine.
    5. Accédez à Paramètres d'inscriptionpuis Microsoft Active Directory.
    6. Sous "Métadonnées du fournisseur d'identité", cliquez sur Importer.
    7. Accédez au fichier de métadonnées AD FS, puis cliquez sur Ouvrir.
    8. Cliquez sur Enregistrer.

Pour que les utilisateurs puissent utiliser la plate-forme Google Play d'entreprise sur leur appareil Chrome, ils doivent avoir été authentifiés au niveau du point de terminaison SAML.

Étape 3 : (Facultatif) Ajoutez un modèle de configuration de domaine

Un modèle de configuration permet de réduire la quantité d'informations que les utilisateurs doivent saisir lorsqu'ils associent leurs appareils au domaine Active Directory. Ainsi, les utilisateurs qui effectuent l'inscription sont invités à saisir uniquement le nom de la machine Chromebook et à choisir leur configuration (par exemple, ventes ou ingénierie).

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à la page Appareils puis Gestion de Chrome.
  3. Cliquez sur ParamètrespuisUtilisateurs et navigateurs.
  4. Sélectionnez l'unité organisationnelle racine.
  5. Accédez à Paramètres d'inscriptionpuis Microsoft Active Directory.
  6. Sous "Configuration permettant de rejoindre le domaine", cliquez sur Importer.
  7. Accédez au fichier de configuration, puis cliquez sur Ouvrir.
  8. Cliquez sur Enregistrer.

Téléchargez un exemple de fichier de modèle de configuration ici. Vous pouvez le modifier dans un éditeur de texte. Le fichier de modèle de configuration contient des données sensibles. Veillez donc à le chiffrer avec un mot de passe à l'aide de ce script Microsoft PowerShell. Assurez-vous de remplacer l'extension du fichier de sortie par .base64, sinon vous risquez de rencontrer des problèmes lors de l'importation du fichier. Les utilisateurs qui effectuent l'inscription devront saisir ce mot de passe lorsqu'ils associeront les Chromebooks au domaine AD.

L'exemple de fichier de modèle de configuration inclut :

  • Nom de l'appareil : chaîne requise
  • Nom d'utilisateur Active Directory : chaîne facultative
  • Mot de passe Active Directory : chaîne facultative
  • Unité organisationnelle : chaîne facultative
  • Types de chiffrement : chaîne facultative, avec les valeurs strong, all ou legacy
  • Expression de validation du nom de l'ordinateur : chaîne facultative
Étape 4 : Associez des appareils au domaine Active Directory
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à la page Appareils puis Gestion de Chrome.
  3. Cliquez sur ParamètrespuisUtilisateurs et navigateurs.
  4. To apply the setting to all users, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. Accédez à "Paramètres d'inscription".
  6. Pour le mode de gestion des appareils, sélectionnez Active Directory.
  7. (Facultatif) Si vous souhaitez contrôler quels utilisateurs sont autorisés à inscrire des appareils dans votre domaine, accédez à "Autorisations d'inscription" et choisissez une option :
    • Autoriser les utilisateurs de cette organisation à inscrire ou à réinscrire des appareils : les utilisateurs peuvent inscrire un nouvel appareil ou réinscrire un appareil dont la gestion a été annulée. Les utilisateurs peuvent également réinscrire un appareil dont les données ont été effacées ou dont la configuration d'usine a été rétablie.
    • Autoriser les utilisateurs de cette organisation uniquement à réinscrire des appareils (interdiction d'inscrire de nouveaux appareils ou des appareils dont la gestion a été annulée) : les utilisateurs ne peuvent réinscrire que les appareils dont les données ont été effacées ou dont la configuration d'usine a été rétablie. Ils ne peuvent pas inscrire de nouveaux appareils, ni réinscrire des appareils dont la gestion a été annulée.
    • Ne pas autoriser les utilisateurs de cette organisation à inscrire ou à réinscrire des appareils : les utilisateurs ne peuvent ni inscrire ni réinscrire un appareil, y compris via la réinscription forcée.
  8. Cliquez sur Enregistrer.
Étape 5 : Configurez des objets de stratégie de groupe pour gérer les comptes utilisateur et les appareils

Vous devez utiliser la stratégie de groupe pour appliquer des règles aux appareils Chrome intégrés à Active Directory. Les paramètres que vous configurez dans la console d'administration ne s'appliquent pas aux appareils, à l'exception de la réinscription forcée.

Avant de commencer

  • Par défaut, les appareils exécutant Chrome OS nécessitent un chiffrement de type Strong (Advanced Encryption Standard), qui n'est peut-être pas compatible avec votre environnement. Si vous ne parvenez pas à vous connecter avec vos identifiants Active Directory, accédez aux règles DeviceKerberosEncryptionTypes, vérifiez les types de chiffrement compatibles et remplacez le type de chiffrement par All ou Legacy.
  • Pour savoir quelles règles vous pouvez utiliser avec les appareils Chrome, consultez la documentation consacrée à la liste des règles.

Configurer des objets de stratégie de groupe

  1. Téléchargez les modèles ADMX de Chrome OS.
  2. Ouvrez la console de gestion des stratégies de groupe.
  3. Créez les objets de stratégie de groupe nécessaires et ajoutez-les aux unités organisationnelles et aux groupes appropriés pour qu'ils soient appliqués aux comptes utilisateur et aux appareils concernés.
Étape 6 : (Facultatif) Exportez les règles cloud actuelles vers Active Directory

Vous pouvez utiliser la console d'administration pour exporter les règles cloud s'appliquant aux comptes utilisateur et aux appareils sous forme de fichiers de script PowerShell. Vous pouvez ensuite appliquer ces règles aux appareils Chrome que vous gérez à l'aide d'Active Directory.

Dans votre console d'administration :

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à la page Appareils puis Gestion de Chrome.
  3. Cliquez sur Paramètres.
  4. Sélectionnez une page de paramètres : Utilisateurs et navigateurs ou Appareil.
  5. Pour exporter les paramètres configurés pour tous les comptes utilisateur ou appareils, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  6. Tout à droite de la page, cliquez sur Paramètres d'exportation"".
  7. (Facultatif) Si vous avez accès aux pages de paramètres Utilisateurs et navigateurs et Appareil, indiquez si vous souhaitez exporter les paramètres utilisateur, les paramètres de l'appareil ou les deux.
  8. Cliquez sur Exporter. Un script PowerShell se télécharge automatiquement sur votre appareil.

Sur votre ordinateur Microsoft® Windows Server® :

  1. Ouvrez une session PowerShell.
  2. Désactivez la vérification de signature. Tapez :
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
    Pour en savoir plus, consultez la documentation Microsoft.
  3. Exécutez le script PowerShell que vous avez téléchargé.
Étape 7 : (Facultatif) Configurez les applications Android pour les utilisateurs

Toutes les applications que vous approuvez au sein du domaine sont automatiquement visibles par tous vos utilisateurs sur la plate-forme Google Play d'entreprise.

Pour approuver et configurer des applications pour vos utilisateurs :

  1. Connectez-vous à la plate-forme Google Play d'entreprise.
  2. Approuvez les applications pour vos utilisateurs. Pour en savoir plus, consultez Configurer des applications gérées pour les appareils Android.
  3. Définissez la règle "Activer ARC" (ArcEnabled) sur "true" (vrai) pour autoriser les utilisateurs à accéder à la plate-forme Google Play.
  4. Configurez la règle "Configurer ARC" (ArcPolicy) de façon à imposer l'installation d'applications sur les appareils des utilisateurs, et à y appliquer les configurations gérées.
  5. Utilisez la règle "Applications épinglées" (PinnedLauncherApps) pour épingler des applications Android (ainsi que des applications Chrome) au lanceur d'applications.

Configurer vos appareils

Étape 8 : (Facultatif) Inscrivez des appareils Chrome et associez-les au domaine Active Directory

L'intégration d'un appareil Chrome à Active Directory s'effectue en deux étapes. Vous devez d'abord inscrire l'appareil sur les serveurs Google, puis dans un second temps l'associer à votre domaine Active Directory. Ces deux étapes doivent être accomplies l'une à la suite de l'autre, sans redémarrer l'appareil entre temps. Vous devez donc réaliser les deux étapes avant de rattacher l'appareil à un compte utilisateur.

Inscrire des appareils Chrome

Assurez-vous que les utilisateurs qui inscriront des appareils appartiennent à une unité organisationnelle qui associe les appareils au domaine Active Directory (voir l'étape 4 ci-dessus). Si vous souhaitez modifier la gestion d'un appareil déjà inscrit, vous devez en effacer les données et le réinscrire.

Suivez cette procédure pour inscrire vos appareils sur le serveur Google.

Associer des appareils au domaine Active Directory

Avant de commencer

  • Les comptes administrateur et les comptes utilisateur doivent être en visibilité directe d'un contrôleur de domaine pour pouvoir associer l'appareil Chrome à un domaine et réaliser la première authentification.
  • Par défaut, les appareils exécutant Chrome OS nécessitent un chiffrement de type Strong (Advanced Encryption Standard), qui n'est peut-être pas compatible avec votre environnement. Si vous ne parvenez pas à vous connecter à Active Directory lorsque vous associez l'appareil à un domaine, accédez à Paramètres avancés, vérifiez les types de chiffrement compatibles et, si le chiffrement RC4 est requis, remplacez le type de chiffrement par All ou Legacy.

Sur chaque appareil que vous avez inscrit :

  1. Saisissez un nom d'appareil pour l'identifier sur le serveur Active Directory.
  2. Si vous utilisez un modèle de configuration de domaine :
    1. Saisissez le mot de passe utilisé pour chiffrer le fichier de modèle de configuration (Étape 3 ci-dessus).
    2. Sélectionnez une configuration.
  3. Si vous n'utilisez pas de modèle de configuration de domaine, saisissez manuellement les informations demandées.

Vous devez voir apparaître sur chaque appareil une fenêtre permettant à l'utilisateur de se connecter directement avec son nom et son mot de passe Active Directory.

Étape 9 : Vérifiez que les appareils sont inscrits

Sur votre ordinateur Microsoft® Windows Server® :

  1. Ouvrez "Utilisateurs et ordinateurs Active Directory".
  2. Vérifiez que l'appareil Chrome est bien répertorié au sein du domaine Chrome.
  3. Placez l'appareil dans l'organisation appropriée de façon que les bons paramètres soient appliqués.

Dans votre console d'administration :

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à la page Appareils puis Gestion de Chrome.
  3. Cliquez sur Appareils.
  4. Sur la gauche, cliquez sur l'unité organisationnelle dans laquelle se trouve l'appareil.
  5. Localisez l'appareil.
    Astuce : Utilisez le filtre "Mode de gestion" pour répertorier les appareils intégrés à Active Directory.
  6. Vérifiez que Mode de gestion est bien défini sur Microsoft Active Directory.
  7. (Facultatif) Déplacez l'appareil vers l'unité organisationnelle dans laquelle vous souhaitez le gérer. Pour en savoir plus, consultez Déplacer un appareil Chrome vers une unité organisationnelle.

Articles associés

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?