启用或停用端点验证

如果有运行 Chrome 操作系统或 Chrome 浏览器的设备访问贵单位的数据,管理员可以通过端点验证来获取相应设备的详细信息。举例来说,您可以获取以下方面的信息:操作系统、设备以及个人设备和单位自有设备的用户。此外,您还可以根据设备的位置、安全状态或其他属性,利用情境感知访问权限 (CAA) 来控制是否允许设备访问数据。例如,您可以选择要求设备获得批准,然后创建 CAA 政策,以在设备状态为待审批已屏蔽时禁止设备访问数据。

支持的计算机

  • Apple Mac OS X El Capitan (10.11) 及更高版本
  • 运行 Chrome 操作系统的设备
  • Linux Debian 和 Ubuntu
  • Microsoft Windows 7 和 10

设置端点验证

展开所有部分   |   收起所有部分

第 1 步:在管理控制台中启用端点验证

通常情况下,端点验证功能会默认处于启用状态。如果您停用了此功能,请重新启用。

准备工作:如果要将设置应用于部分用户,请将这些用户的帐号归入单独的单位部门
  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备
  3. 点击左侧的设置 接着点击 通用设置
  4. 点击数据访问权限 接着点击 端点验证
  5. 要将设置应用于所有人,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  6. 勾选监控有哪些设备在访问单位数据对应的复选框。
  7. 点击保存。如果您配置了下级单位部门,则或许可以继承覆盖上级单位部门的设置。
第 2 步:安装端点验证扩展程序

方法 1:让用户自行安装该扩展程序

对于 Linux、Mac 和 Windows 设备,用户可以自行安装该扩展程序。有关详情和用户操作步骤,请参阅在计算机上设置端点验证

方法 2:在管理控制台中强制安装该扩展程序

准备工作:如果要将设置应用于部分用户,请将这些用户的帐号归入单独的单位部门
  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备
  3. 点击 Chrome 接着点击 应用和扩展程序 接着点击 用户和浏览器
  4. 要将设置应用于所有人,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  5. 点击“添加”图标 "" 接着点击“按 ID 添加 Chrome 应用或扩展程序”图标 ""
  6. 扩展程序 ID 字段中输入 callobklhcbilhphinckomhgkigmfocg。请复制该代码,以免出错。
  7. 来自 Chrome 网上应用店保持为选中状态,然后点击保存
  8. 系统会随即打开应用选项面板,请在其中的证书管理部分执行以下操作:
    1. 点击允许访问密钥旁边的“启用”图标 ""
    2. 点击允许使用企业验证功能旁边的“启用”图标 ""
    3. 关闭面板。
  9. 在应用列表中,点击“Endpoint Verification”行中的向下箭头 "",然后选择安装政策:
    • 要在运行 Chrome 操作系统的设备上强制安装该扩展程序并将其固定到工具栏上,请选择强制安装 + 任务栏固定
    • 要强制安装该扩展程序,请选择强制安装
    • 要允许用户自行安装该扩展程序,请选择允许安装
  10. 点击保存。如果您配置了下级单位部门,则或许可以继承覆盖上级单位部门的设置。

更改通常会在几分钟内生效,但最长可能需要 24 小时。有关详情,请参阅更改如何在 Google 服务中生效。  

方法 3:使用政策将该扩展程序添加到受管理的设备

Mac、Windows 和 Linux 设备

了解如何为受管理的 PC 设置 Chrome 浏览器政策

第 3 步:必要时,安装帮助程序应用(仅适用于 Mac、Windows 和 Linux)

要在以下系统上使用端点验证功能,则必须安装帮助程序应用:

  • 运行 Chrome 79 及更早版本 Chrome 的 Windows 和 Mac
  • 运行任何 Chrome 浏览器版本的 Linux

如果用户安装 Endpoint Verification 扩展程序的同时还需安装帮助程序应用,那么系统会自动提示他们安装该应用。有关详情,请参阅在计算机上设置端点验证

注意:如果设备已注册端点验证且不需要帮助程序应用,请勿安装此应用。因为此设置会阻止设备向服务器报告数据。如果设备未报告数据,请卸载帮助程序应用

如要在您自己或他人的计算机上安装帮助程序应用,请执行以下操作:

  1. 下载适用于 MacWindowsLinux 的帮助程序应用。
  2. 使用第三方软件管理工具安装此应用。
第 4 步:(可选)设置设备审批功能
如要查看访问贵单位数据的各个端点验证设备,您需要管理员批准才能访问移动设备。您可以将这些设备标记为已批准或已屏蔽,还可以将标记用作 CAA 级别中的条件。注意:如果您未设置 CAA 级别,则处于“待审批”或“已屏蔽”状态的设备仍然可以访问工作数据。

端点验证问题排查

如果用户遇到问题,他们或许可以自行解决。有关详情,请参阅面向用户的端点验证问题排查

如果文中的解决方案均不起作用,您可以联系 Google 支持团队。在与支持团队联系之前,我们建议您先让用户下载端点验证日志,以便支持专家可以更快地帮助他们解决问题。

找出未使用端点验证的用户

如果有用户未在设备上安装端点验证扩展程序,您可以获取相应用户的名单。如有需要,您可以发送电子邮件让他们安装。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备
  3. 点击端点
  4. 在设备列表的顶部,点击添加过滤条件
  5. 选择排除:端点验证
  6. 要向未使用端点验证的用户发送电子邮件,请执行以下操作:
    1. 勾选每台设备旁边的复选框。
    2. 点击“向用户发送电子邮件”图标 ""

      系统会打开新的电子邮件窗口,其中的收件人字段会显示您选择的用户。

    3. 撰写电子邮件,然后点击发送

停用端点验证

管理控制台中不会显示您停用端点验证后添加的设备。不过,您仍然可以查看之前监控的设备,但设备信息不会更新。

准备工作:如果要将设置应用于部分用户,请将这些用户的帐号归入单独的单位部门
  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备
  3. 点击左侧的设置 接着点击 通用设置
  4. 点击数据访问权限 接着点击 端点验证
  5. 要将设置应用于所有人,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  6. 取消选中监控有哪些设备在访问单位数据对应的复选框。
  7. 点击保存。如果您配置了下级单位部门,则或许可以继承覆盖上级单位部门的设置。

删除设备

设备一经删除,便不再同步工作数据,但系统不会从中移除任何信息。除非有情境感知访问权限政策屏蔽了访问权限,否则下次同步后,系统会将设备重新添加到列表中。在这种情况下,设备可能需要获得批准才能重新同步数据。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备
  3. 点击端点
  4. 选择您要移除的设备,然后点击删除

 


“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?
您有什么改进建议?