Stai pianificando la tua strategia di ritorno al lavoro in ufficio? Scopri come Chrome OS può aiutarti.

Gestire i dispositivi Chrome OS con Active Directory

Nota: la gestione dei dispositivi Chrome OS con Microsoft Active Directory (AD) non è più disponibile per i nuovi utenti. Per i dispositivi Chrome OS in un ambiente AD, consigliamo di utilizzare la gestione di Chrome basata su cloud e Kerberos. Per maggiori dettagli, vedi Gestire i criteri per i dispositivi Chrome OS.

I dispositivi che eseguono Chrome OS possono essere integrati con un server Microsoft Active Directory. L'integrazione aggiunge i dispositivi al tuo dominio affinché tu possa vederli nei controller di dominio e nella Console di amministrazione Google basata su cloud. Per gestire i dispositivi integrati e inviare i criteri agli utenti e ai dispositivi, utilizza i Criteri di gruppo di Windows e non la Console di amministrazione. Gli utenti possono eseguire l'accesso utilizzando le proprie credenziali di Active Directory. Non devi necessariamente sincronizzare i nomi utente sui server Google.

Puoi continuare a utilizzare la Console di amministrazione per configurare i criteri e gestire i dispositivi non integrati con Active Directory. Gli utenti non possono accedere ai dispositivi gestiti su cloud utilizzando le proprie credenziali di Active Directory. Quindi, devi sincronizzare i dati nel tuo dominio Google con Active Directory.

Prima di iniziare

  • Questa funzionalità non è disponibile se la tua organizzazione dispone di Chrome Education Upgrade. Utilizza invece Google Cloud Directory Sync per sincronizzare gli utenti da Active Directory e, facoltativamente, puoi utilizzare Sincronizzazione password per sincronizzare le password degli utenti. Quindi, utilizza la Console di amministrazione Google basata su cloud per gestire i criteri relativi ai dispositivi. Scopri di più
  • Non puoi utilizzare i dispositivi gestiti con Active Directory come kiosk, sessioni Ospite gestite o segnaletica digitale. Utilizza invece la Console di amministrazione per configurare i criteri e gestire i dispositivi.
  • Verifica se il dispositivo è supportato. Per utilizzare Active Directory per la gestione dei dispositivi, è necessario Chrome OS 61 o versioni successive; inoltre, i Chromebook devono essere eseguiti su una piattaforma basata su Intel o AMD. I Chromebook con chipset ARM non sono supportati. Per verificare se un dispositivo è supportato, vai a chrome://system e scorri fino a visualizzare la riga CPU. Se nella riga è presente Intel o AMD, il dispositivo è supportato.
  • I dispositivi che eseguono Chrome OS si integrano con server il cui utilizzo è regolato da termini di servizio diversi. L'elaborazione di dati eseguita da tali server non rientra nell'ambito dei termini che regolano l'utilizzo di Chrome Enterprise.
  • È necessario un abbonamento a Chrome Enterprise Upgrade per ogni dispositivo autonomo da gestire oppure è necessario utilizzare i dispositivi Chromebook Enterprise. L'integrazione con Active Directory non è supportata per i dispositivi con Chrome Education Upgrade o Chrome Nonprofit Upgrade.

Impostare e configurare il dominio

Passaggio 1: attiva l'integrazione di Active Directory

Per questa attività, devi aver eseguito l'accesso come super amministratore.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

  2. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
  3. Fai clic su Impostazionie poiUtenti e browser.
  4. Seleziona l'unità organizzativa di livello superiore.
  5. Vai a Controlli di registrazione.
  6. Accanto a Microsoft Active Directory, seleziona Abilita gestione Active Directory.
  7. Fai clic su Salva.
(Facoltativo) Passaggio 2: configura il dominio affinché sia possibile accedere alla versione gestita di Google Play Store.

Per questa attività, devi aver eseguito l'accesso come super amministratore.

  1. Configura l'attendibilità del componente su Microsoft Windows Server.
    Nota: prima di eseguire questo passaggio, accertati che sia stato configurato un server AD FS (Active Directory Federation Server).
    1. Nella console di gestione AD FS, vai ad AD FSe poiRelazioni di truste poiAttendibilità componente.
    2. Seleziona Aggiungi attendibilità componente e fai clic su Avvia.
    3. Seleziona Importa dati sul componente pubblicati online o in una rete locale.
    4. Imposta il campo Indirizzo metadati federativi su https://m.google.com/devicemanagement/data/api/SAML2.
    5. Fai clic su Avantie poiChiudi.
    6. Nella casella Modifica regole attestazione, fai clic su Aggiungi regola.
    7. Accertati che l'opzione Inviare attributi LDAP come attestazioni sia selezionata e fai clic su Avanti.
    8. In Archivio attributi, seleziona Active Directory.
    9. In Attributo LDAP, inserisci objectGUID.
    10. In Tipo di attestazione in uscita, seleziona ID nome.
    11. Fai clic su Finee poiOK.
      Per ulteriori informazioni sulla configurazione dell'attendibilità del componente, visita il sito web di Microsoft.
  2. Scarica il file dei metadati di AD FS (federationmetadata.xml) dal server. Il file si trova in questa posizione sul tuo server:
    https://nome_server_ADFS/federationmetadata/2007-06/federationmetadata.xml.
  3. Configura le impostazioni SAML nella Console di amministrazione:
    1. Accedi alla Console di amministrazione Google.

      Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

    2. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
    3. Fai clic su Impostazionie poiUtenti e browser.
    4. Seleziona l'unità organizzativa di livello superiore.
    5. Vai a Controlli di registrazionee poiMicrosoft Active Directory.
    6. Nella sezione Metadati del provider di identità, fai clic su Carica.
    7. Individua il file di metadati di AD FS e fai clic su Apri.
    8. Fai clic su Salva.

Gli utenti dovranno eseguire l'autenticazione sull'endpoint SAML prima di poter iniziare a utilizzare la versione gestita di Google Play Store sui dispositivi Chrome OS.

(Facoltativo) Passaggio 3: aggiungi un modello di configurazione del dominio

Puoi utilizzare un modello di configurazione per ridurre al minimo la quantità di informazioni che gli utenti devono inserire quando aggiungono i propri dispositivi al dominio Active Directory. In questo modo, agli utenti che effettuano la registrazione viene chiesto di inserire solo il nome del computer Chromebook e di sceglierne la configurazione, ad esempio vendite o progettazione.

Per questa attività, devi aver eseguito l'accesso come super amministratore.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

  2. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
  3. Fai clic su Impostazionie poiUtenti e browser.
  4. Seleziona l'unità organizzativa di livello superiore.
  5. Vai a Controlli di registrazionee poiMicrosoft Active Directory.
  6. Nella sezione Configurazione dell'aggiunta a un dominio, fai clic su Carica.
  7. Individua il file di configurazione e fai clic su Apri.
  8. Fai clic su Salva.

Scarica un file di esempio modello di configurazione qui. Puoi modificarlo utilizzando un editor di testo. Il file del modello di configurazione contiene dati sensibili, quindi assicurati di criptarlo con una password utilizzando questo script di Microsoft PowerShell. Assicurati di modificare l'estensione del file di output su .base64, altrimenti potresti riscontrare problemi durante il caricamento del file. Gli utenti che si registrano devono inserire questa password quando aggiungono i Chromebook al dominio AD.

Il file di esempio del modello di configurazione include:

  • Nome dispositivo: stringa richiesta
  • Nome utente Active Directory: stringa facoltativa
  • Password di Active Directory: stringa facoltativa
  • Unità organizzativa: stringa facoltativa
  • Tipi di crittografia: stringa facoltativa, con valori strong (forte), all (tutti) o legacy (precedente)
  • Regex di convalida nome computer: stringa facoltativa
Passaggio 4: aggiungi i dispositivi al dominio Active Directory
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
  3. Fai clic su Impostazionie poiUtenti e browser.
  4. To apply the setting to all users, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. Vai a Controlli di registrazione.
  6. Per la modalità di gestione dei dispositivi, seleziona Active Directory.
  7. (Facoltativo) Per controllare quali utenti possono registrare i dispositivi nel tuo dominio, scorri fino ad Autorizzazioni di registrazione e scegli un'opzione:
    • Consenti agli utenti di questa organizzazione di registrare dispositivi nuovi o di registrare nuovamente dispositivi esistenti: gli utenti possono registrare un nuovo dispositivo o registrare di nuovo un dispositivo di cui è stato eseguito il deprovisioning. Gli utenti possono anche registrare di nuovo un dispositivo i cui dati erano stati cancellati o che è stato ripristinato ai dati di fabbrica.
    • Consenti agli utenti di questa organizzazione di registrare di nuovo soltanto dispositivi esistenti (non consentire la registrazione di dispositivi nuovi o di cui è stato eseguito il deprovisioning): gli utenti possono registrare di nuovo solo i dispositivi i cui dati sono stati cancellati o che sono stati ripristinati ai dati di fabbrica. Non possono registrare un nuovo dispositivo o registrarne di nuovo uno di cui è stato eseguito il deprovisioning.
    • Non consentire agli utenti di questa organizzazione di registrare dispositivi nuovi o di registrare nuovamente dispositivi esistenti: gli utenti non possono registrare o registrare di nuovo alcun dispositivo, inclusa la nuova registrazione tramite registrazione forzata.
  8. Fai clic su Salva.
Passaggio 5: configura gli oggetti Criteri di gruppo per gestire utenti e dispositivi

Puoi utilizzare Criteri di gruppo per applicare criteri ai dispositivi Chrome integrati con Active Directory. Le impostazioni configurate nella Console di amministrazione non si applicano ai dispositivi, ad eccezione della nuova registrazione forzata.

Prima di iniziare

  • Per impostazione predefinita, i dispositivi che eseguono Chrome OS richiedono la crittografia Strong, quindi Forte (Advanced Encryption Standard), che potrebbe non essere supportata nel tuo ambiente. Se hai problemi di accesso con le credenziali di Active Directory, vai al criterio DeviceKerberosEncryptionTypes, controlla i tipi di crittografia supportati e, se è richiesta la crittografia RC4, cambia il tipo di crittografia in All (Tutti) o Legacy (Precedente).
  • Per informazioni sui criteri che puoi utilizzare con i dispositivi Chrome OS, vedi la documentazione relativa all'elenco dei criteri.

Configurare gli oggetti Criteri di gruppo

  1. Scarica i modelli ADMX per Chrome OS.
  2. Apri la Console Gestione Criteri di gruppo.
  3. Crea gli oggetti Criteri di gruppo e inviali alle unità organizzative e ai gruppi appropriati per gli utenti e i dispositivi.
(Facoltativo) Passaggio 6: esporta i criteri cloud correnti in Active Directory

Puoi utilizzare la Console di amministrazione per esportare i criteri cloud di utenti e dispositivi come file di script di PowerShell. Quindi, puoi applicare questi criteri ai dispositivi Chrome che gestisci utilizzando Active Directory.

Nota: Google ha recentemente modificato i nomi dei criteri per alcune impostazioni di dispositivi e utenti. I dispositivi continuano a rispettare il vecchio nome del criterio, ma il nuovo nome ha la precedenza, se esportato e impostato.

Nella Console di amministrazione:

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
  3. Fai clic su Impostazioni.
  4. Scegli una pagina delle impostazioni: Utenti e browser o Dispositivo.
  5. Per esportare le impostazioni configurate per tutti gli utenti o i dispositivi, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
  6. All'estrema destra, fai clic su Esporta impostazioni "".
  7. (Facoltativo) Se hai accesso alle pagine delle impostazioni Utenti e browser e Dispositivo, scegli se esportare le impostazioni utente, le impostazioni del dispositivo o entrambe.
  8. Fai clic su Esporta. Uno script PowerShell viene scaricato automaticamente sul dispositivo.

Sulla macchina Microsoft Windows Server:

  1. Apri una sessione di PowerShell.
  2. Disattiva la verifica della firma. Tipo:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
    Per maggiori dettagli, consulta la documentazione Microsoft.
  3. Esegui lo script di PowerShell che hai scaricato.
(Facoltativo) Passaggio 7: configura le app Android per gli utenti

Tutte le app approvate per il dominio saranno automaticamente visualizzate nella versione gestita di Google Play Store per tutti gli utenti.

Per approvare e configurare le app per gli utenti:

  1. Accedi alla versione gestita di Google Play.
  2. Approva le app per gli utenti. Per maggiori dettagli, vedi Configurare le app gestite per i dispositivi Android.
  3. Per attivare l'accesso a Google Play Store da parte degli utenti, imposta il criterio Attiva ARC (ArcEnabled) su true.
  4. Per forzare l'installazione di app sui dispositivi degli utenti e per applicare configurazioni gestite su di essi, imposta il criterio Configura ARC (ArcPolicy) su true.
  5. Utilizza il criterio per le app fissate (PinnedLauncherApps) per fissare le app Android, nonché le app di Chrome, su Avvio app.

Configurare i dispositivi

(Facoltativo) Passaggio 8: registra i dispositivi Chrome e aggiungili al dominio Active Directory

L'integrazione di un dispositivo Chrome con Active Directory è un processo in due passaggi. Innanzitutto, occorre registrare il dispositivo sui server Google, quindi è necessario aggiungerlo al dominio Active Directory. Questi due passaggi devono essere completati senza riavviare il dispositivo. Questo significa che devi completare entrambi i passaggi per poter eseguire il deployment del dispositivo a un utente.

Registrare i dispositivi Chrome

Prima di iniziare a registrare i dispositivi, assicurati che gli utenti che li registrano appartengano a un'unità organizzativa che aggiunge i dispositivi al dominio Active Directory (vedi il Passaggio 4 sopra). Se vuoi modificare la modalità di gestione di un dispositivo attualmente registrato, devi cancellarlo e registrarlo di nuovo.

Per registrare i dispositivi con il server Google, segui la procedura descritta nell'articolo Registrare i dispositivi Chrome.

Aggiungere i dispositivi al dominio Active Directory

Prima di iniziare

  • L'amministratore e gli utenti devono essere in presenza di un controller di dominio per aggiungere il dispositivo Chrome a un dominio e per l'autenticazione iniziale.
  • Per impostazione predefinita, i dispositivi che eseguono Chrome OS richiedono la crittografia Strong, quindi Forte (Advanced Encryption Standard), che potrebbe non essere supportata nel tuo ambiente. Se non riesci a connetterti ad Active Directory quando aggiungi il dispositivo a un dominio, vai a Impostazioni avanzate, controlla i tipi di crittografia supportati e, se è richiesta la crittografia RC4, modifica il tipo di crittografia in All (Tutti) o Legacy (Precedente).

Su ogni dispositivo che hai registrato:

  1. Inserisci il nome di un dispositivo per identificarlo nel server Active Directory.
  2. Se utilizzi un modello di configurazione del dominio:
    1. Inserisci la password utilizzata per crittografare il file del modello di configurazione (Passaggio 3 sopra).
    2. Scegli una configurazione.
  3. Se non utilizzi un modello di configurazione del dominio, inserisci manualmente le informazioni richieste.

Su ogni dispositivo dovrebbe essere visualizzata una schermata di accesso che consente agli utenti di accedere direttamente con il nome utente e la password di Active Directory.

Passaggio 9: verifica che i dispositivi siano registrati

Sulla macchina Microsoft Windows Server:

  1. Apri Utenti e computer di Active Directory.
  2. Verifica che il dispositivo Chrome sia presente nel dominio di Chrome.
  3. Per assicurare che al dispositivo vengano applicate le impostazioni corrette, spostalo nell'organizzazione appropriata.

Nella Console di amministrazione:

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
  3. Fai clic su Dispositivi.
  4. A sinistra, fai clic sull'unità organizzativa a cui appartiene il dispositivo.
  5. Trova il dispositivo.
    Suggerimento: utilizza il filtro Modalità di gestione per elencare i dispositivi integrati con Active Directory.
  6. Verifica che la Modalità di gestione sia Microsoft Active Directory.
  7. (Facoltativo) Sposta il dispositivo nell'unità organizzativa in cui vuoi gestirlo. Per maggiori dettagli, vedi Spostare un dispositivo Chrome in un'unità organizzativa.

Argomenti correlati

Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?
Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
Cerca nel Centro assistenza
true
410864
false