通过 Active Directory 管理 Chrome 设备

如果您的单位已启用 Chrome 教育版升级,请使用 Google Cloud Directory Sync

您可以将运行 Chrome 操作系统的设备与 Microsoft® Active Directory® 服务器集成。通过集成可将设备添加到您的网域,这样您就可以在网域控制器中查看这些设备了。您还可以管理会话,并将政策推送给用户和设备。您无需将用户名同步到 Google 服务器。用户可以使用自己的 Active Directory 凭据登录设备。目前,Active Directory 集成功能尚不支持将设备用作自助服务终端、受管理的访客会话或数字标牌。

准备工作

  • 确认您的设备是否受支持。要使用 Active Directory 管理 Chrome 设备,您需要使用 61 或更高版本的 Chrome 操作系统,而且 Chromebook 必须搭载 Intel® 或 AMD 平台。使用 ARM 芯片组的 Chromebook(例如 Samsung® Chromebook Plus)不受支持。要确认您的设备是否受支持,请转到 chrome://system,然后滚动到“CPU”行。如果该行显示“Intel”或“AMD”,就表示您的设备受支持。
  • 此功能会将运行 Chrome 操作系统的设备与受不同服务条款约束的服务器集成。通过这些服务器执行的任何数据处理操作均不受 Chrome 企业版的使用条款约束。
  • 要执行以下设置步骤,您的帐号必须有权访问受管理网域的 Google 管理控制台,而且该网域必须要有 Chrome 企业版许可。
  • 您需要为每个要管理的独立 Chrome 设备订阅 Chrome 企业版升级服务,否则将需要使用 Chromebook 企业版设备。 Active Directory 集成功能不支持订阅 Chrome 教育版升级服务或 Chrome 公益版升级服务的设备。

设置网域和设备

要管理集成的设备,您可以在 Google 管理控制台中设置政策,以启用 Chrome 企业版 Active Directory 集成。

启用 Active Directory 集成后,您只能使用 Active Directory 管理设备。您将无法再使用 Google 管理控制台管理 Chrome 设备。同时,您也无法在 Google 管理控制台中查看设备设置页面。

您必须擦除网域中的所有现有设备并重新注册,然后才能通过 Active Directory 管理这些设备(请参阅下方的第 2 步)。为方便执行以下流程,当您启用 Active Directory 后,系统会关闭强制重新注册功能。

第 1 步:针对 Active Directory 设置设备

需要超级用户权限

  1. 使用您的 Chrome 企业版网域帐号登录 Google 管理控制台
  2. 点击设备管理 然后 Chrome 管理。
  3. 点击 Microsoft Active Directory 集成设置
  4. 选择允许通过 Active Directory 服务管理 Chromebook
  5. 阅读说明,然后点击启用 Active Directory 集成功能
第 2 步:注册 Chrome 设备

重要提示:Chrome 设备注册流程包含两个步骤。一是在 Google 服务器中注册设备,二是将设备添加到您的 Active Directory 网域。完成这两个步骤前不得重启设备。这就表示,您必须先完成这两步操作,才能为用户部署设备。

  1. 使用您的 Chrome 企业版网域帐号登录 Google 管理控制台
  2. 点击设备管理 然后 Chrome 设备。
  3. 验证您是否拥有可用的独立设备升级服务。
  4. 按照注册 Chrome 设备中的步骤,在 Google 服务器中注册您的所有设备。
第 3 步:将 Chrome 设备添加到网域

当您将设备注册到 Google 服务器中后,系统会提示您将相应设备添加到 Active Directory 网域。

注意:管理员和用户都必须在网域控制器的控制范围内,才能将 Chrome 设备添加到网域并进行初始身份验证。

  1. 为您的设备输入名称,以便在 Active Directory 服务器中进行标识。
  2. 输入您的 Active Directory 用户名和密码。
  3. 在您的 Microsoft® Windows Server® 计算机上:
    1. 打开“Active Directory 用户和计算机”。
    2. 确认 Chrome 设备列在 Chrome 网域中。
    3. 将设备移至正确的单位,确保对设备应用的设置正确无误。

现在,各台设备应该都会显示登录屏幕,供用户直接使用他们的 Active Directory 用户名和密码登录。

为用户配置网域和设备

第 4 步:配置群组政策对象以管理用户和设备

要查看可用于 Chrome 设备的政策,请参阅政策列表文档

  1. 下载 Chrome 操作系统 ADMX 模板
  2. 打开组政策管理控制台。
  3. 创建组政策对象,并将其推送至您用户和设备所在的相关单位和群组。
第 5 步:配置网域以访问 Google Play 企业版商店
  1. 为您的网域启用 Android 应用:
    1. 登录 Google 管理控制台
    2. 转到设备管理 然后 Chrome 管理 然后 Android 应用设置。
    3. 勾选允许通过管理控制台管理 Android 应用复选框。
  2. 在您的 Microsoft Windows 服务器上配置信赖方信任。

    注意:开始此步骤之前,请确保 Active Directory Federation Services (AD FS) 服务器已设置妥当。

    1. 在 AD FS 管理控制台中,转到 AD FS 然后 信任关系 然后 信赖方信任。
    2. 选择添加信赖方信任,然后点击开始。
    3. 选择导入有关以联机方式或在本地网络中发布的信赖方的数据
    4. 联合元数据地址设为 https://m.google.com/devicemanagement/data/api/SAML2。

    5. 根据需要点击下一步,然后点击关闭。
    6. 编辑声明规则框中,点击添加规则。
    7. 确保您已选择将 LDAP 属性作为声明发送并点击下一步。
    8. 属性存储下选择 Active Directory。
    9. LDAP 属性下输入 objectGUID。
    10. 传出声明类型下选择名称 ID。
    11. 点击完成,然后点击确定。

      要详细了解如何设置信赖方信任,请参阅 Microsoft 网站。

  3. 在 Google 管理控制台中配置 SAML 设置:
    1. 从您的服务器中下载 AD FS 元数据文件 (federationmetadata.xml)。此文件位于您服务器中的以下位置:
      https://your_ADFS_server_name/federationmetadata/2007-06/federationmetadata.xml
    2. 登录 Google 管理控制台
    3. 转到设备管理 然后 Chrome 管理 然后 Microsoft Active Directory 集成设置。
    4. 点击上传身份提供商元数据,然后上传 AD FS 元数据文件。

    用户必须先通过 SAML 端点身份验证,然后才能开始在 Chrome 设备上使用 Google Play 企业版商店。

第 6 步:为用户配置 Android 应用

当用户打开 Google Play 企业版商店时,系统会自动显示您为网域批准的所有应用。

要为用户批准和配置应用,请执行以下操作:

  1. 登录 Google Play 企业版
  2. 为用户批准应用。有关详情,请参阅管理移动设备上的应用
  3. 将“启用 ARC”(ArcEnabled) 政策设为“true”,向用户授予 Google Play 商店访问权限。
  4. 将“配置 ARC”(ArcPolicy) 政策设为强制为用户安装应用并应用托管配置。
  5. 使用“已固定的应用”(PinnedLauncherApps) 政策将 Android 应用(以及 Chrome 应用)固定到应用启动器。

相关主题

该内容对您有帮助吗?
您有什么改进建议?