Zarządzanie urządzeniami z Chrome za pomocą Active Directory

Urządzenia z Chrome OS można zintegrować z serwerem Microsoft® Active Directory®. Integracja łączy urządzenia z Twoją domeną, dzięki czemu możesz je zobaczyć w kontrolerach domeny i w konsoli administracyjnej Google w chmurze. Do zarządzania zintegrowanymi urządzeniami i przekazywania zasad użytkownikom oraz urządzeniom będziesz używać zasad grupy systemu Windows, a nie konsoli administracyjnej. Użytkownicy logują się na urządzeniach za pomocą danych logowania do Active Directory. Nie musisz synchronizować nazw użytkowników z serwerami Google.

Nadal możesz używać konsoli administracyjnej do konfigurowania zasad i zarządzania urządzeniami, które nie są zintegrowane z Active Directory. Użytkownicy nie mogą logować się na urządzeniach zarządzanych w chmurze przy użyciu danych logowania Active Directory. Musisz więc zsynchronizować dane w domenie Google z Active Directory.

Zanim zaczniesz

  • Ta funkcja jest niedostępna, jeśli Twoja organizacja ma licencję na Chrome Education. Zamiast niej możesz używać Google Cloud Directory Sync do synchronizowania użytkowników z Active Directory i (opcjonalnie) Password Sync do synchronizowania haseł użytkowników. Później możesz zarządzać zasadami dotyczącymi urządzeń z Chrome za pomocą konsoli administracyjnej Google. Więcej informacji
  • Nie możesz używać urządzeń zarządzanych z Active Directory jako kiosków ani na potrzeby wyświetlania treści informacyjno-reklamowych lub do tworzenia zarządzanych sesji gościa. Zamiast tego możesz konfigurować zasady i zarządzać urządzeniami w konsoli administracyjnej.
  • Sprawdź, czy urządzenie jest obsługiwane. Aby móc zarządzać urządzeniami z Chrome w Active Directory, musisz mieć Chrome OS w wersji 61 lub nowszej, a Twoje Chromebooki muszą pracować na procesorach firmy Intel® lub AMD. Chromebooki z chipsetami ARM nie są obsługiwane. Aby sprawdzić, czy urządzenie jest obsługiwane, wejdź na chrome://system i przewiń stronę do wiersza procesora (CPU). Jeśli zawiera on nazwę Intel lub AMD, urządzenie jest obsługiwane.
  • Urządzenia z Chrome OS można integrować z serwerami podlegającymi innym warunkom korzystania z usługi. Żadne przetwarzanie danych przeprowadzane przez te serwery nie podlega warunkom korzystania z Chrome Enterprise.
  • Musisz mieć wykupioną licencję na Chrome Enterprise dla każdego samodzielnego urządzenia z Chrome, którym chcesz zarządzać. Ewentualnie możesz korzystać z Chromebooków Enterprise. Integracja z Active Directory nie jest obsługiwana na urządzeniach z licencją na Chrome Education ani licencją na Chrome Nonprofit.

Konfigurowanie domeny

Krok 1. Włącz integrację z Active Directory

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  1. Zaloguj się w Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Urządzenia a potem Zarządzanie urządzeniami z Chrome.
  3. Kliknij Ustawienia a potem Użytkownicy i przeglądarki.
  4. Wybierz jednostkę organizacyjną najwyższego poziomu.
  5. Otwórz Opcje rejestracji.
  6. Obok Microsoft® Active Directory® wybierz Włącz zarządzanie przez Active Directory.
  7. Kliknij Zapisz.
Krok 2. (Opcjonalnie) Skonfiguruj dostęp domeny do zarządzanego Sklepu Google Play

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  1. Skonfiguruj zaufanie jednostki uzależnionej w systemie Microsoft® Windows Server®.
    Uwaga: przed rozpoczęciem tego kroku skonfiguruj serwer Active Directory Federation Services (AD FS).
    1. W konsoli zarządzania AD FS otwórz AD FSa potemRelacje zaufaniaa potemZaufanie jednostki uzależnionej.
    2. Wybierz Dodaj zaufanie jednostki uzależnionej i kliknij Start.
    3. Wybierz Importuj dane jednostki uzależnionej opublikowane online lub w sieci lokalnej.
    4. W polu Adres metadanych federacji ustaw wartość https://m.google.com/devicemanagement/data/api/SAML2.
    5. Kliknij Daleja potemZamknij.
    6. W oknie Edycja reguł oświadczeń kliknij Dodaj regułę.
    7. Wybierz Wysyłanie atrybutów LDAP jako oświadczeń i kliknij Dalej.
    8. W obszarze Magazyn atrybutów wybierz Active Directory.
    9. W obszarze Atrybut LDAP wpisz objectGUID.
    10. W obszarze Typ oświadczenia wychodzącego wybierz Identyfikator nazwy.
    11. Kliknij Zakończa potemOK.
      Więcej informacji na temat konfigurowania zaufania jednostki uzależnionej znajdziesz na stronie Microsoftu.
  2. Pobierz z serwera plik metadanych AD FS (federationmetadata.xml). Znajduje się on na serwerze w tej lokalizacji: 
    https://nazwa_Twojego_serwera_ADFS/federationmetadata/2007-06/federationmetadata.xml.
  3. Skonfiguruj ustawienia SAML w konsoli administracyjnej Google:
    1. Zaloguj się w Konsola administracyjna Google.

      Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

    2. Na stronie głównej w konsoli administracyjnej kliknij Urządzenia a potem Zarządzanie urządzeniami z Chrome.
    3. Kliknij Ustawienia a potem Użytkownicy i przeglądarki.
    4. Wybierz jednostkę organizacyjną najwyższego poziomu.
    5. Otwórz Opcje rejestracjia potemMicrosoft Active Directory.
    6. W obszarze Metadane dostawcy tożsamości kliknij Prześlij.
    7. Przejdź do pliku metadanych AD FS i kliknij Otwórz.
    8. Kliknij Zapisz.

Zanim użytkownicy będą mogli zacząć korzystać z zarządzanego Sklepu Google Play na urządzeniach z Chrome, zostaną uwierzytelnieni w punkcie końcowym SAML.

Krok 3. (Opcjonalnie) Dodaj szablon konfiguracji domeny

Za pomocą szablonu konfiguracji można zminimalizować ilość informacji, które użytkownicy muszą podać podczas dołączania urządzeń do domeny Active Directory. Dzięki temu podczas rejestracji użytkownicy będą musieli wpisać tylko nazwę Chromebooka i wybrać konfigurację, na przykład sprzedażową lub programistyczną.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  1. Zaloguj się w Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Urządzenia a potem Zarządzanie urządzeniami z Chrome.
  3. Kliknij Ustawienia a potem Użytkownicy i przeglądarki.
  4. Wybierz jednostkę organizacyjną najwyższego poziomu.
  5. Otwórz Opcje rejestracjia potemMicrosoft Active Directory.
  6. W obszarze Konfiguracja dołączania do domeny kliknij Prześlij.
  7. Przejdź do pliku konfiguracji i kliknij Otwórz.
  8. Kliknij Zapisz.

Pobierz przykładowy plik szablonu konfiguracji tutaj. Możesz go zmodyfikować przy użyciu edytora tekstu. Plik szablonu konfiguracji zawiera poufne dane, więc zabezpiecz go hasłem, korzystając ze tego skryptu Microsoft PowerShell. Pamiętaj, by zmienić rozszerzenie pliku wyjściowego na .base64. W przeciwnym razie mogą wystąpić problemy z jego przesłaniem. Podczas rejestracji użytkownicy muszą wpisać to hasło, gdy dołączają Chromebooki do domeny AD.

Przykładowy plik szablonu konfiguracji zawiera te elementy:

  • Nazwa urządzenia – wymagany ciąg znaków;
  • Nazwa użytkownika Active Directory – opcjonalny ciąg znaków;
  • Hasło Active Directory – opcjonalny ciąg znaków;
  • Jednostka organizacyjna – opcjonalny ciąg znaków;
  • Typy szyfrowania – opcjonalny ciąg znaków z wartościami strong (silne), all (wszystkie) lub legacy (starsze);
  • Wyrażenie regularne weryfikacji nazwy komputera – opcjonalny ciąg znaków.
Krok 4. Dołącz urządzenia do domeny Active Directory
  1. Zaloguj się w Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Urządzenia a potem Zarządzanie urządzeniami z Chrome.
  3. Kliknij Ustawienia a potem Użytkownicy i przeglądarki.
  4. To apply the setting to all users, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. Otwórz Opcje rejestracji.
  6. W obszarze Tryb zarządzania urządzeniami wybierz Active Directory.
  7. (Opcjonalnie) Aby mieć kontrolę nad tym, którzy użytkownicy mogą rejestrować urządzenia w Twojej domenie, przewiń do sekcji Uprawnienia do rejestracji i wybierz opcję:
    • Zezwalaj użytkownikom w tej organizacji na rejestrowanie nowych i ponowne rejestrowanie istniejących urządzeń – użytkownicy mogą rejestrować nowe urządzenia lub ponownie rejestrować wyrejestrowane urządzenia. Użytkownicy mogą też ponownie zarejestrować urządzenie, którego pamięć została wyczyszczona lub ustawienia zostały zresetowane do wartości fabrycznych.
    • Zezwalaj użytkownikom w tej organizacji tylko na ponowne rejestrowanie istniejących urządzeń (nie będą mogli rejestrować nowych ani wyrejestrowanych urządzeń) – użytkownicy mogą ponownie rejestrować tylko te urządzenia, których pamięć została wyczyszczona lub ustawienia zostały zresetowane do wartości fabrycznych. Nie mogą rejestrować nowych ani wyrejestrowanych urządzeń.
    • Nie zezwalaj użytkownikom w tej organizacji na rejestrowanie nowych i ponowne rejestrowanie istniejących urządzeń – użytkownicy nie mogą rejestrować ani ponownie rejestrować żadnych urządzeń, w tym przez wymuszoną ponowną rejestrację.
  8. Kliknij Zapisz.
Krok 5. Skonfiguruj obiekty zasad grupy, by zarządzać użytkownikami i urządzeniami

Za pomocą zasad grupy możesz stosować zasady na urządzeniach z Chrome zintegrowanych z Active Directory. Ustawienia skonfigurowane w konsoli administracyjnej nie mają zastosowania do urządzeń z wyjątkiem wymuszonej ponownej rejestracji.

Zanim zaczniesz

  • Domyślnie urządzenia z Chrome OS wymagają silnego szyfrowania (Advanced Encryption Standard), którego Twoje środowisko może nie obsługiwać. Jeśli masz problemy z zalogowaniem się przy użyciu danych logowania w Active Directory, przejdź do zasad DeviceKerberosEncryptionTypes, przejrzyj obsługiwane typy szyfrowania i jeśli jest wymagane szyfrowanie RC4, zmień typ szyfrowania na All (Wszystkie) lub Legacy (Starsze).
  • Aby wyświetlić zasady, których możesz używać z urządzeniami z Chrome, zapoznaj się z dokumentacją listy zasad.

Konfigurowanie obiektów zasad grupy

  1. Pobierz szablony ADMX Chrome OS.
  2. Otwórz konsolę zarządzania zasadami grupy.
  3. Utwórz odpowiednie obiekty zasad grupy i przekaż je do właściwych jednostek organizacyjnych oraz grup, do których należą użytkownicy i urządzenia.
Krok 6. (Opcjonalnie) Wyeksportuj bieżące zasady dotyczące chmury do Active Directory

Przy użyciu konsoli administracyjnej możesz wyeksportować zasady dotyczące chmury i użytkowników jako pliki skryptu PowerShell. Potem możesz zastosować te zasady do urządzeń z Chrome zarządzanych w Active Directory.

W konsoli administracyjnej:

  1. Zaloguj się w Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Urządzenia a potem Zarządzanie urządzeniami z Chrome.
  3. Kliknij Ustawienia.
  4. Otwórz stronę ustawień i kliknij Użytkownicy i przeglądarki lub Urządzenie.
  5. Aby wyeksportować ustawienia skonfigurowane dla wszystkich użytkowników i urządzeń, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  6. Przy prawej krawędzi kliknij Eksportuj ustawienia "".
  7. (Opcjonalnie) Jeśli masz dostęp do stron ustawień Użytkownicy i przeglądarki oraz Urządzenia, określ, czy chcesz wyeksportować ustawienia użytkowników lub urządzeń albo obejmujące obie te kategorie.
  8. Kliknij Eksportuj. Urządzenie automatycznie pobierze skrypt PowerShell.

Na komputerze z systemem Microsoft® Windows Server®:

  1. Otwórz sesję PowerShell.
  2. Wyłącz weryfikację podpisu. Wpisz:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
    Więcej informacji znajdziesz w dokumentacji firmy Microsoft.
  3. Uruchom pobrany skrypt PowerShell.
Krok 7. (Opcjonalnie) Skonfiguruj aplikacje na Androida dla użytkowników

Wszystkie aplikacje zatwierdzone dla domeny będą automatycznie widoczne dla wszystkich użytkowników po otwarciu zarządzanego Sklepu Google Play.

Aby zatwierdzić i skonfigurować aplikacje dla użytkowników:

  1. Zaloguj się w zarządzanym Sklepie Google Play.
  2. Zatwierdź aplikacje dla użytkowników. Szczegółowe informacje znajdziesz w artykule Konfigurowanie aplikacji zarządzanych na urządzenia z Androidem.
  3. Ustaw wartość „prawda” dla zasady Włączenie ARC (ArcEnabled), aby włączyć dostęp do Sklepu Google Play dla użytkowników.
  4. Skonfiguruj zasadę Konfigurowanie aplikacji ARC (ArcPolicy), aby wymusić u użytkowników instalację aplikacji i zastosować do nich konfiguracje zarządzane.
  5. Za pomocą zasady Przypięte aplikacje (PinnedLauncherApps) przypnij aplikacje na Androida (a także aplikacje Chrome) do Menu z aplikacjami.

Konfigurowanie urządzeń

Krok 8. (Opcjonalnie) Zarejestruj urządzenia z Chrome i połącz je z domeną Active Directory

Integracja urządzenia z Chrome z Active Directory to proces dwuetapowy. Najpierw należy zarejestrować urządzenie na serwerach Google, a następnie połączyć je z domeną Active Directory. Te dwa kroki należy wykonać bez ponownego uruchamiania urządzenia. Oznacza to, że musisz wykonać oba kroki przed udostępnieniem urządzenia użytkownikowi.

Rejestrowanie urządzeń z Chrome

Zanim zaczniesz rejestrować urządzenia, upewnij się, że użytkownicy, którzy je rejestrują, należą do jednostki organizacyjnej, która łączy urządzenia z domeną Active Directory (zobacz krok 4 powyżej). Jeśli chcesz zmienić sposób zarządzania aktualnie zarejestrowanym urządzeniem, musisz wyczyścić jego pamięć i ponownie je zarejestrować.

Wykonaj czynności opisane w artykule Rejestrowanie urządzeń z Chrome, by zarejestrować je na serwerze Google.

Dołączanie urządzeń do domeny Active Directory

Zanim zaczniesz

  • Aby można było dołączyć urządzenie z Chrome do domeny i dokonać w niej wstępnego uwierzytelnienia, administratorzy i użytkownicy muszą być widoczni dla kontrolera domeny.
  • Domyślnie urządzenia z Chrome OS wymagają silnego szyfrowania (Advanced Encryption Standard), którego Twoje środowisko może nie obsługiwać. Jeśli podczas dołączania urządzenia do domeny nie możesz połączyć się z Active Directory, przejdź do Ustawień zaawansowanych, sprawdź obsługiwane typy szyfrowania i jeśli jest wymagane szyfrowanie RC4, zmień typ szyfrowania na All (Wszystkie) lub Legacy (Starsze).

Na każdym zarejestrowanym urządzeniu:

  1. Wpisz nazwę urządzenia, by zidentyfikować je na serwerze Active Directory.
  2. Jeśli używasz szablonu konfiguracji domeny:
    1. Wpisz hasło użyte do zaszyfrowania pliku szablonu konfiguracji (krok 3 powyżej).
    2. Wybierz konfigurację.
  3. Jeśli nie używasz szablonu konfiguracji domeny, ręcznie wprowadź wymagane informacje.

Na każdym urządzeniu powinien pojawić się ekran logowania, który umożliwia użytkownikom zalogowanie się bezpośrednio za pomocą nazw użytkownika i haseł do kont Active Directory.

Krok 9. Sprawdź, czy urządzenia są zarejestrowane

Na komputerze z systemem Microsoft® Windows Server®:

  1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.
  2. Potwierdź, że urządzenie z Chrome znajduje się na liście w domenie Chrome.
  3. Przenieś urządzenie do właściwej organizacji, by zastosować na nim prawidłowe ustawienia.

W konsoli administracyjnej:

  1. Zaloguj się w Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Urządzenia a potem Zarządzanie urządzeniami z Chrome.
  3. Kliknij Urządzenia.
  4. Po lewej stronie kliknij jednostkę organizacyjną, w której znajduje się urządzenie.
  5. Znajdź urządzenie.
    Wskazówka: użyj filtra trybu zarządzania, by wyświetlić listę urządzeń zintegrowanych z Active Directory.
  6. Sprawdź, czy tryb zarządzania to Microsoft Active Directory.
  7. (Opcjonalnie) Przenieś urządzenie do jednostki organizacyjnej, w której chcesz nim zarządzać. Szczegółowe informacje znajdziesz w artykule Przenoszenie urządzenia z Chrome do jednostki organizacyjnej.

Powiązane artykuły

Czy to było pomocne?
Jak możemy ją poprawić?