Gestire i dispositivi Chrome con Active Directory

Se la tua organizzazione ha Chrome Education Upgrades, utilizza invece Google Cloud Directory Sync.

I dispositivi con Chrome OS possono essere integrati con un server Microsoft® Active Directory®. L'integrazione comporta l'aggiunta al dominio dei dispositivi, che diventano visibili nei controller di dominio. Grazie all'integrazione, puoi anche gestire le sessioni e inviare criteri a utenti e dispositivi. Non è necessario sincronizzare i nomi utente sui server Google. Gli utenti possono eseguire l'accesso utilizzando le proprie credenziali di Active Directory. Al momento, l'utilizzo di dispositivi come kiosk, per sessioni ospite gestite o per segnaletica digitale con l'integrazione di Active Directory non è supportato.

Prima di iniziare

  • Verifica se i dispositivi sono supportati. Per utilizzare Active Directory per la gestione dei dispositivi Chrome è necessario Chrome OS versione 61 o successive; inoltre, i Chromebook devono essere eseguiti su una piattaforma basata su Intel ® o AMD. I Chromebook con chipset ARM, come il Samsung® Chromebook Plus, non sono supportati. Per verificare se un dispositivo è supportato, vai a chrome://system e scorri fino a visualizzare la riga CPU. Se nella riga è presente Intel o AMD, il dispositivo è supportato.
  • Questa funzionalità consente di integrare dispositivi Chrome OS con server il cui utilizzo è regolato da termini di servizio diversi. L'elaborazione di dati eseguita da tali server non rientra nell'ambito dei termini che regolano l'utilizzo di Chrome Enterprise.
  • Per avviare la procedura di configurazione descritta di seguito, devi avere un account con accesso alla Console di amministrazione Google su un dominio gestito con licenze Chrome Enterprise.
  • È necessario un abbonamento a Chrome Enterprise Upgrade per ogni dispositivo Chrome autonomo che si desidera gestire oppure è necessario utilizzare i dispositivi Chromebook Enterprise. L'integrazione con Active Directory non è supportata per i dispositivi con Chrome Education Upgrade o Chrome Nonprofit Upgrade.

Configurare il dominio e i dispositivi

Per gestire i dispositivi integrati, imposta il criterio per attivare l'integrazione di Chrome Enterprise Active Directory nella Console di amministrazione Google.

Dopo aver attivato l'integrazione con Active Directory, potrai gestire i dispositivi solo tramite Active Directory. Non potrai più utilizzare la Console di amministrazione Google per gestire i dispositivi Chrome. Inoltre, non visualizzerai più la pagina Impostazioni dispositivo nella Console di amministrazione Google.

Prima di poter gestire i dispositivi con Active Directory, devi cancellare e poi registrare di nuovo tutti i dispositivi esistenti nel dominio (vedi il passaggio 2 di seguito). L'attivazione di Active Directory disattiva la nuova iscrizione forzata per facilitare questo processo.

Passaggio 1: configura i dispositivi per Active Directory

Sono necessari i privilegi di super amministratore

  1. Accedi alla Console di amministrazione Google utilizzando l'account del dominio Chrome Enterprise.
  2. Fai clic su Gestione dispositivi quindi Gestione di Chrome.
  3. Fai clic su Impostazioni dell'integrazione di Microsoft Active Directory.
  4. Seleziona Consenti la gestione dei Chromebook tramite il servizio Active Directory.
  5. Leggi la nota e fai clic su Attiva l'integrazione di Active Directory.
Passaggio 2: registra i dispositivi Chrome

Importante: la procedura di registrazione di un dispositivo Chrome prevede due passaggi. Innanzitutto, occorre registrare il dispositivo sui server Google, quindi è necessario aggiungere il dispositivo al dominio Active Directory. I due passaggi devono essere completati senza che il dispositivo sia riavviato. Questo significa che devi completare entrambi i passaggi per poter eseguire il deployment del dispositivo a un utente.

  1. Accedi alla Console di amministrazione Google utilizzando l'account del dominio Chrome Enterprise.
  2. Fai clic su Gestione dispositivi quindi Dispositivi Chrome.
  3. Verifica di disporre degli upgrade disponibili per i dispositivi autonomi.
  4. Per registrare ciascun dispositivo con i server Google, segui la procedura descritta nell'articolo Registrare i dispositivi Chrome.
Passaggio 3: aggiungi i dispositivi Chrome al dominio

Dopo aver registrato un dispositivo con i server Google, ti verrà richiesto di aggiungerlo al dominio Active Directory.

Nota: per aggiungere il dispositivo Chrome al dominio e per eseguire l'autenticazione iniziale è necessario che il controller di dominio sia facilmente accessibile ad amministratori e utenti.

  1. Inserisci un nome che identifichi il dispositivo nel server Active Directory.
  2. Inserisci il tuo nome utente e la password di Active Directory.
  3. Sul computer Microsoft® Windows Server®:
    1. Apri Utenti e computer di Active Directory.
    2. Verifica che il dispositivo Chrome sia presente nel dominio di Chrome.
    3. Per assicurare che al dispositivo vengano applicate le impostazioni corrette, spostalo nell'organizzazione appropriata.

A questo punto, su ciascun dispositivo dovrebbe essere visualizzata una schermata di accesso che consente agli utenti di accedere direttamente con nome utente e password di Active Directory.

Configurare il dominio e i dispositivi per gli utenti

Passaggio 4: configura gli oggetti Criteri di gruppo per gestire utenti e dispositivi

Per informazioni sui criteri che puoi utilizzare con i dispositivi Chrome, vedi la documentazione dell'elenco dei criteri.

  1. Scarica i modelli ADMX per Chrome OS.
  2. Apri la Console Gestione Criteri di gruppo.
  3. Crea gli oggetti Criteri di gruppo necessari e inviali alle organizzazioni e ai gruppi appropriati per gli utenti e i dispositivi.
Passaggio 5: configura il dominio affinché sia possibile accedere alla versione gestita di Google Play Store.
  1. Attiva le app Android per il tuo dominio:
    1. Accedi alla Console di amministrazione Google.
    2. Vai a Gestione dispositivi quindi Gestione di Chrome quindi Impostazioni app Android.
    3. Seleziona la casella Abilita la gestione delle app Android tramite la Console di amministrazione.
  2. Configura l'attendibilità del componente su Microsoft Windows Server.

    Nota: prima di eseguire questo passaggio, accertati che sia stato configurato un server AD FS (Active Directory Federation Server).

    1. Nella console di gestione AD FS, vai a AD FS quindi Relazioni di trust quindi Attendibilità del componente.
    2. Seleziona Aggiungi attendibilità componente e fai clic su Avvia.
    3. Seleziona Importa dati sul componente pubblicati online o in una rete locale.
    4. Imposta il campo Indirizzo metadati federativi su https://m.google.com/devicemanagement/data/api/SAML2.

    5. Quando richiesto, fai clic su Avanti, quindi fai clic su Chiudi.
    6. Nella casella Modifica regole attestazione, fai clic su Aggiungi regola.
    7. Accertati che l'opzione Inviare attributi LDAP come attestazioni sia selezionata e fai clic su Avanti.
    8. In Archivio attributi, seleziona Active Directory.
    9. In Attributo LDAP, inserisci objectGUID.
    10. In Tipo di attestazione in uscita, seleziona ID nome.
    11. Fai clic su Fine e poi su OK.

      Per ulteriori informazioni sulla configurazione dell'attendibilità del componente, visita il sito web di Microsoft.

  3. Configura le impostazioni SAML nella Console di amministrazione Google:
    1. Scarica il file dei metadati di AD FS (federationmetadata.xml) dal server. Il file si trova in questa posizione sul tuo server:
      https://your_ADFS_server_name/federationmetadata/2007-06/federationmetadata.xml.
    2. Accedi alla Console di amministrazione Google.
    3. Vai a Gestione dispositivi quindi Gestione di Chrome quindi Impostazioni dell'integrazione di Microsoft Active Directory.
    4. Per caricare il file dei metadati di AD FS, fai clic su Carica i metadati del provider di identità.

    Gli utenti dovranno eseguire l'autenticazione sull'endpoint SAML prima di poter iniziare a utilizzare la versione gestita di Google Play Store sui propri dispositivi.

Passaggio 3: configura le app Android per gli utenti

Tutte le app approvate per il dominio saranno automaticamente visualizzate nella versione gestita di Google Play Store per tutti gli utenti.

Per approvare e configurare le app per gli utenti:

  1. Accedi alla versione gestita di Google Play.
  2. Approva le app per gli utenti. Per informazioni dettagliate, vedi Gestire le app sui dispositivi mobili.
  3. Per attivare l'accesso a Google Play Store da parte degli utenti, imposta il criterio Attiva ARC (ArcEnabled) su true.
  4. Per forzare l'installazione di app sui dispositivi degli utenti e per applicare configurazioni gestite su di essi, imposta il criterio Configura ARC (ArcPolicy) su true.
  5. Utilizza il criterio App fissate (PinnedLauncherApps) per fissare le app Android, nonché le app di Chrome, su Avvio app.

Argomenti correlati

È stato utile?
Come possiamo migliorare l'articolo?