開啟或關閉端點驗證功能

透過端點驗證功能，管理員可以針對存取機構資料的裝置 (搭載 Chrome 作業系統或 Chrome 瀏覽器) 查看詳細資訊。舉例來說，無論是使用者的個人裝置，還是機構擁有的裝置，您都可以查看 OS、裝置本身以及使用者的資訊。您也可以使用情境感知存取權 (CAA)，根據裝置的所在位置、安全性狀態或其他屬性，控管裝置的資料存取權。舉例來說，您可以規定裝置必須通過核准，然後建立 CAA 政策，禁止「待審核」或「已封鎖」狀態的裝置存取資料。

支援的電腦

Apple Mac OS X El Capitan (10.11) 以上版本
搭載 ChromeOS 的裝置
Linux Debian 和 Ubuntu
注意：CPU 必須支援 AES 指令。
Microsoft Windows 7、8、8.1、10 與 11

設定端點驗證

全部展開 | 全部收合

步驟 1：在管理控制台中開啟端點驗證功能

端點驗證功能通常預設為開啟。如果您已將其關閉，請重新開啟這項功能。

事前準備：如要為特定使用者套用設定，請將他們的帳戶加入同一個機構單位。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「裝置」「行動裝置和端點」「設定」「通用設定」。
依序按一下「資料存取權」「端點驗證」。
如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位。
勾選 [監控哪些裝置能存取機構資料] 方塊。
按一下 [儲存]。如果您已設定某個子機構單位，您或許可以「沿用」或「覆寫」其上層機構單位的設定。

步驟 2：安裝端點驗證擴充功能

方法 1：讓使用者自行安裝擴充功能

對於 Linux、Mac 和 Windows 裝置，使用者可以自行安裝擴充功能。如需詳細資訊和使用者步驟，請參閱在電腦上設定端點驗證。

方法 2：在管理控制台中強制安裝擴充功能

事前準備：如要為特定使用者套用設定，請將他們的帳戶加入同一個機構單位。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「裝置」「Chrome」「應用程式和擴充功能」「使用者和瀏覽器」。
如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位。
依序按一下「新增」圖示「使用 ID 新增 Chrome 應用程式或擴充功能」圖示。
在「擴充功能 ID」欄位中輸入 callobklhcbilhphinckomhgkigmfocg。請直接複製這組代碼，以免手動輸入的內容有誤。
將「從 Chrome 線上應用程式商店新增」保持選取狀態，然後按一下「儲存」。
在隨即開啟的應用程式選項面板中，前往「憑證管理」部分：
1. 點選「允許存取金鑰」旁邊的「開啟」圖示。
2. 點選「允許驗證企業金鑰」旁邊的「開啟」圖示。
3. 關閉面板。
在應用程式清單中，按一下「端點驗證」列中的向下箭頭，然後選擇安裝政策：
- 如要強制安裝擴充功能，並將擴充功能固定在 ChromeOS 裝置的工具列，請選取「強制安裝並且固定顯示」。
- 如要強制安裝擴充功能，請選取 [強制安裝]。
- 如要讓使用者自行安裝擴充功能，請選取 [允許安裝]。
按一下 [儲存]。如果您已設定某個子機構單位，您或許可以「沿用」或「覆寫」其上層機構單位的設定。

變更最多可能需要 24 小時才會生效，但通常不會這麼久。瞭解詳情

方法 3：透過政策將擴充功能新增至受管理的裝置

Mac、Windows 和 Linux 裝置

瞭解如何為受管理的電腦設定 Chrome 瀏覽器政策。

步驟 3：視需要安裝輔助應用程式 (僅限 Mac、Windows 和 Linux)

如果想在下列系統上使用端點驗證功能，就必須安裝輔助應用程式：

搭載 Chrome 瀏覽器 79 以下版本的 Windows 和 Mac 電腦。為了回報 Mac 裝置的密碼狀態，系統會要求使用者安裝輔助應用程式，但不會要求搭載 Chrome 80 以上版本的電腦安裝輔助應用程式。
搭載任何 Chrome 瀏覽器版本的 Linux 電腦

如果使用者安裝的端點驗證擴充功能需要搭配輔助應用程式使用，系統就會在安裝時自動提示他們安裝該應用程式。詳情請參閱「在電腦上設定端點驗證」。

重要事項：

除了 Mac 裝置以外，如果裝置已經註冊端點驗證，而且不必使用輔助應用程式，請勿安裝輔助應用程式，因為這會導致裝置無法向伺服器回報。如果裝置並未回報，請解除安裝輔助應用程式。
如果您使用的是用戶端憑證驗證，請確認裝置是使用正確的憑證連線至受保護的服務，例如內部網站。端點驗證輔助應用程式會建立自行簽署憑證，可透過 Chrome 瀏覽器供內部使用。如果將自行簽署憑證用於用戶端憑證要求，系統會拒絕連線。您可以同時使用以下兩種方法，也可以擇一使用：
1. 在伺服器上，為用戶端憑證要求設定有效的 CA 名稱清單。
2. 設定 AutoSelectCertificateForUrls Chrome 政策，以便選取信任的憑證。

安裝輔助應用程式

如何在自己或他人電腦上安裝輔助應用程式：

下載 Mac、Windows 或 Linux 的輔助應用程式。
透過第三方軟體管理工具安裝該應用程式。

步驟 4：(選用) 設定裝置核准功能

如要對存取機構資料的每部端點驗證裝置進行審查，您可以規定管理員必須核准行動裝置存取權。您也可以將裝置標記為已核准或已封鎖，並將這類標記當做 CAA 層級中的條件。注意：如果您不設定 CAA 層級，待審核或已封鎖的裝置仍然可以存取工作資料。

排解端點驗證問題

如果使用者遇到問題，或許可以自行解決。詳情請參閱使用者專用的排解端點驗證問題說明。

如果 Mac 裝置不會回報管理控制台中的密碼狀態，請確認已安裝端點驗證輔助應用程式。

如果裝置已安裝輔助應用程式，但無法在 Chrome 瀏覽器中存取受保護的網站，請確認裝置使用正確的憑證進行連線。您可以同時使用以下兩種方法，也可以擇一使用：

在伺服器上，為用戶端憑證要求設定有效的 CA 名稱清單。
設定 AutoSelectCertificateForUrls Chrome 政策，以便選取信任的憑證。

如果這些方法都無法解決問題，請與 Google 支援團隊聯絡。與支援團隊聯絡之前，建議您先請使用者下載端點驗證記錄，以利支援專員盡快為他們解決問題。

找出未使用端點驗證的使用者

您可以查看裝置上未安裝端點驗證的使用者名單，還可以視需要傳送電子郵件，要求對方進行安裝。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
依序點選「選單」圖示「裝置」「總覽」。
按一下 [端點]。
按一下裝置清單頂端的「新增篩選器」。
選取「排除：端點驗證」。
如要傳送電子郵件給未安裝端點驗證的使用者，請按照以下步驟操作：
1. 勾選每部裝置旁邊的方塊。
2. 按一下「傳送電子郵件給使用者」圖示。
  系統隨即會開啟電子郵件視窗，並在 [收件者] 欄位中填入所選使用者的電子郵件地址。
3. 撰寫電子郵件，然後按一下 [傳送]。

關閉端點驗證

管理控制台不會顯示您關閉端點驗證後所新增的裝置。您仍會看到之前受監控的裝置，但裝置資訊將停止更新。

事前準備：如要為特定使用者套用設定，請將他們的帳戶加入同一個機構單位。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「裝置」「行動裝置和端點」「設定」「通用設定」。
依序按一下「資料存取權」「端點驗證」。
如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位。
取消勾選 [監控哪些裝置能存取機構資料] 方塊。
按一下 [儲存]。如果您已設定某個子機構單位，您或許可以「沿用」或「覆寫」其上層機構單位的設定。

刪除裝置

裝置一旦遭到刪除，就會停止同步處理工作資料，不過其中已儲存的資訊仍會保留。一般來說，系統會在下次進行同步處理時將這個裝置重新加入清單，不過如果存取權遭到情境感知存取權政策封鎖，裝置就可能要先取得核准才能再次同步處理資料。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
依序點選「選單」圖示「裝置」「總覽」。
按一下 [端點]。
選取您要移除的裝置，然後按一下 [刪除]。

_{Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。}

這對您有幫助嗎？

我們應如何改進呢？