您拥有 Google 管理控制台访问权限之后,可以按照以下步骤注册用户的设备,以便管理他们设备上的 Chrome 浏览器。注册后,您就可以针对在经过注册的设备上打开 Chrome 浏览器的所有用户强制执行政策。
第 1 步:生成注册令牌
授权合作伙伴:要生成注册令牌,您的客户首先需要接受《Chrome 企业核心版许可协议》。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
设备 > Chrome > 受管理的浏览器。
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome Enterprise 核心版,请依次点击“菜单”图标
Chrome 浏览器 > 受管理的浏览器。
- (可选)在左侧选择顶级组织。或者,选择您要生成令牌的组织部门,以便将浏览器直接注册到该组织部门。有关详情,请参阅添加组织部门。
- 点击顶部的注册。
注意:如果这是您第一次注册浏览器,系统会提示您接受《Chrome 企业核心版服务条款》。 - 点击“将注册令牌复制到剪贴板”图标
。
- 点击完成。
第 2 步:使用注册令牌注册浏览器
在 Windows 上注册浏览器方法 1:使用组策略管理编辑器
准备工作:如果贵组织不使用移动设备管理 (MDM) 工具部署配置设置,请考虑使用方法 2:修改注册表文件(如下所述)。
使用 Windows Server Management 访问组策略管理编辑器,将您在上述步骤中复制的注册令牌值添加到以下位置的 CloudManagementEnrollmentToken 策略:
-
管理模板
Google
Google 要详细了解如何安装和配置政策模板,请参阅为受管理的 PC 设置 Chrome 浏览器政策。
方法 2:修改注册表文件
将 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome 下的 CloudManagementEnrollmentToken 设为您在上述步骤复制的令牌。
如果当前已有注册,请使用下面的命令清除当前注册:
-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Enrollment
-HKEY_LOCAL_MACHINE\Software\WOW6432Node\ Google\Enrollment
(可选)默认情况下,如果注册失败(例如注册令牌无效或遭到撤消时),Chrome 会以非受管状态启动。如果您希望在注册失败时阻止 Chrome 浏览器启动,请将 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome 下的 CloudManagementEnrollmentMandatory 设为 true
注意:
- 由于令牌无法在用户层级使用,因此您必须在本地计算机层级设置令牌。如果您要将已在 Chrome 企业核心版中注册的现有计算机改作他用,则需要移除该计算机上的管理令牌。有关详情,请参阅停止 Chrome 浏览器的受管理状态。
- 如果您要注册的各台计算机采用同一 Microsoft Windows 映像来源,请确保您使用了 Microsoft 系统准备工具 (Sysprep) 且启用
/generalize选项,这样每台注册的计算机都有一个唯一标识符。请确保 MachineGUID 具有唯一性,这样 Chrome 企业核心版才能将每台设备识别为不同的计算机。
您可以在注册表中检查 MachineGuid 的值,其位置如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid
方法 3:下载 reg 文件
点击下载 .reg 文件。下载的 .reg 文件在运行时会自动添加令牌并清除当前注册。
当您使用 reg 文件时,Chrome 浏览器仍会遵循方法 1 中的 CloudManagementEnrollmentMandatory 政策(如果注册失败,该政策会阻止浏览器启动)。如果您注册的各台计算机采用同一 Windows 映像来源,请参阅上文说明。
方法 4:在 VMware Workspace One 中部署注册令牌
您可以使用 VMware Workspace ONE 生成 Chrome 企业核心版注册令牌并注册您的 Chrome 浏览器。请参阅使用 VMware Workspace One 注册浏览器(针对 Windows 和 macOS)。
方法 1:使用政策
准备工作:如果贵组织不使用移动设备管理 (MDM) 工具部署配置设置,请考虑使用方法 2:下载文本文件(如下所述)。
设置一项名为 CloudManagementEnrollmentToken 的政策,使用该政策将令牌推送到浏览器。要在 Apple Mac 设备上设置政策,您必须使用移动设备管理软件,如 Apple 描述文件管理器、Jamf、Workspace ONE 等等。
注意:如果选择手动设置政策,那么 macOS 会在您每次登录时删除政策文件。请参阅快速入门指南和帮助中心,详细了解如何在 Mac 上设置政策。
(可选)默认情况下,如果注册失败(例如注册令牌无效或遭到撤消时),Chrome 会以非受管状态启动。如果您希望在注册失败时阻止 Chrome 浏览器启动,请将 CloudManagementEnrollmentMandatory 设为 true
方法 2:下载文本文件
点击下载文件。如果需要,请在您的设备上创建一个 /Library/Google/Chrome/ 文件夹。将该文件放在 /Library/Google/Chrome/ 下。您需要按设备添加此文本文件。如果您按用户添加,那么将无法注册浏览器。
(可选)默认情况下,如果注册失败(例如注册令牌无效或遭到撤消时),Chrome 会以非受管状态启动。如果您希望在注册失败时阻止 Chrome 浏览器启动,请在 /Library/Google/Chrome/ 下创建一个名为 CloudManagementEnrollmentOptions 的文件,并在该文件中添加 Mandatory 文本(区分大小写)。此文件必须编码为 .txt 文件,但不得使用 .txt 文件扩展名。
如果您同时使用上述两种方法推送令牌,Chrome 会使用政策中的值,而忽略文件。此令牌存储的目录位于用户的 Mac 主目录下,因此每一位使用 macOS 的用户都必须单独注册。
方法 3:在 Jamf Pro 中部署注册令牌
您可以使用 Jamf Pro 10.19 版或更高版本生成 Chrome 企业核心版注册令牌并注册您的 Chrome 浏览器。请参阅使用 Jamf Pro 注册浏览器(针对 macOS)。
方法 4:在 VMware Workspace One 中部署注册令牌
您可以使用 VMware Workspace ONE 生成 Chrome 企业核心版注册令牌并注册您的 Chrome 浏览器。请参阅使用 VMware Workspace One 注册浏览器(针对 Windows 和 macOS)。
您可以通过在 CloudManagementEnrollmentToken 下创建一个名为 CloudManagementEnrollmentToken 的文本文件来推送令牌。此文件只能包含令牌,不得包含任何其他内容。或者,您也可以点击下载文件(Mac 和 Linux)。
(可选)默认情况下,如果注册失败(例如注册令牌无效或遭到撤消时),Chrome 会以非受管状态启动。如果您希望在注册失败时阻止 Chrome 浏览器启动,请在 /etc/opt/chrome/policies/enrollment/ 下创建一个名为 CloudManagementEnrollmentOptions 的文件,并在该文件中添加 Mandatory 文本(区分大小写)。此文件必须编码为 .txt 文件,但不得使用 .txt 文件扩展名。
注意:为确保注册和报告功能正常运作,每台计算机应该采用唯一的 /etc/machine-id。
如需详细了解如何在 Android 设备上管理 Chrome 浏览器,请参阅为 Android 设备设置 Chrome 企业核心版。
如需详细了解如何在 iOS 设备上管理 Chrome 浏览器,请参阅为 iOS 设备设置 Chrome 企业核心版。
第 3 步:确认注册
使用第 2 步所述的任一方法设置注册令牌后,在受管设备上退出 Chrome 浏览器(如果浏览器处于打开状态),然后重新启动。您可以使用管理控制台确认注册。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome Enterprise 核心版,请依次点击“菜单”图标
- (可选)在左侧选择一个组织部门。默认情况下,系统会显示所有浏览器。
- (可选)要查看其他详细信息,请点击设备的名称。
注意:
- 如果您在一台设备上安装了多个 Chrome 浏览器,这些浏览器会作为单个受管理的浏览器显示在浏览器列表中。
- 注册令牌仅在注册过程中需要。注册完成后,您可以在管理控制台中撤消注册令牌。不过,已注册的浏览器会保持注册状态。
- 在 Windows 上,仅支持系统安装的实例,这是因为 Chrome 浏览器需要管理员权限才能注册。
刚完成注册后,很多字段仍然尚未填充。您需要启用浏览器报告才能查看详细的报告信息。有关详情,请参阅第 4 步:启用 Chrome 浏览器报告功能。
管理令牌和设备
对于每个组织部门,只能有一个有效的注册令牌。如果您需要暂停注册,则可以永久撤消特定组织部门的令牌,然后重新生成一个新令牌。您将使用新令牌注册新的浏览器。之前使用已撤消令牌注册的设备仍然有效,且会保持注册状态。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome Enterprise 核心版,请依次点击“菜单”图标
- (可选)在左侧选择一个组织部门。默认情况下,系统会显示所有浏览器。
- 点击顶部的注册。
- 点击撤消并重新生成令牌。
- 点击“复制”图标
以复制新的注册令牌。
- 点击完成。
以复制新的注册令牌。-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome Enterprise 核心版,请依次点击“菜单”图标
- (可选)在左侧选择一个组织部门。默认情况下,系统会显示所有浏览器。
- 点击顶部的注册。
- 点击查看令牌记录。
如果在 Chrome 企业核心版中取消注册浏览器,那么设备上的云政策就会被移除,而且下次打开 Chrome 或 Chrome 下次尝试联系 Chrome 企业核心版时,设备令牌会被设为无效。平台政策和云端用户政策不会受到影响。在 Chrome 企业核心版中取消注册设备后,已上传到管理控制台的数据也会被删除。
可以考虑使用示例 UnenrollBrowser 脚本自动取消注册 Chrome 企业核心版。
要取消注册 Chrome 浏览器,请执行以下操作:
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome Enterprise 核心版,请依次点击“菜单”图标
- (可选)在左侧选择一个组织部门。默认情况下,系统会显示所有浏览器。
- 勾选您要删除的浏览器旁边的复选框。
- 点击顶部的更多
删除。
在修改文件或令牌之前,请确保设备上的所有 Chrome 浏览器实例均已完全关闭。
如果您需要读取或手动修改 Chrome 浏览器的注册令牌,可以在以下位置找到它:
- Windows:转到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome,并勾选 CloudManagementEnrollmentToken。
- Mac:转到 /Library/Google/Chrome/CloudManagementEnrollmentToken。或者,如果令牌是通过配置文件部署的,请使用您首选的移动设备管理工具访问令牌。
- Linux:转到 /etc/opt/chrome/policies/enrollment,并勾选 CloudManagementEnrollmentToken。
如果您需要读取或手动修改 Chrome 浏览器的设备令牌,可以在以下位置找到此令牌:
- Windows:系统会将设备令牌写入两个位置,且两处的令牌一致。要查看该令牌值,请转到 HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment 或 HKEY_LOCAL_MACHINE\Software\Google\Chrome\Enrollment,然后查看 dmtoken。
- Mac:转到 ~/Library/Application Support/Google/Chrome Cloud Enrollment 或 /Library/Application Support/Google/CloudManagement。此设备令牌文件名是设备序列号的哈希值,有时会难以识别。
- Linux - 转到 $user_data_dir/policy/Enrollment。此设备令牌文件名是 DeviceID,列于 chrome://policy。
注意:要查看包含设备令牌的用户数据目录 ($user_data_dir),请转到 chrome://version,找到配置文件路径,然后移除路径的最后一个部分。举例来说,~/.config/google-chrome/Default 中配置文件的用户数据目录为 ~/.config/google-chrome。
注意:如果您删除设备令牌但保留注册令牌,那么 Chrome 浏览器会在下次重启时自行重新注册。
若您在管理控制台中不小心删除了某台设备,可为其重新注册。
在受管理的设备上,请按以下步骤操作:
- 关闭所有 Chrome 浏览器实例。
- 删除设备令牌。
- Windows:转到 HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment 并删除 dmtoken。然后转到 HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Enrollment 并删除 dmtoken。
- Mac:转到 ~/Library/Application Support/Google/Chrome Cloud Enrollment 和 /Library/Application Support/Google/CloudManagement。此设备令牌文件名是设备序列号的哈希值,有时会难以识别。
- Linux - 转到 $user_data_dir/policy/Enrollment。此设备令牌文件名是 DeviceID,列于 chrome://policy。
注意:要查看包含设备令牌的用户数据目录 ($user_data_dir),请转到 chrome://version,找到配置文件路径,然后移除路径的最后一个部分。举例来说,~/.config/google-chrome/Default 中配置文件的用户数据目录为 ~/.config/google-chrome。
- 打开 Chrome 浏览器。
注意:请勿删除受管理设备上的注册令牌。
问题
何时会用到注册令牌?
注册令牌仅在注册过程中需要。您在完成注册后可以撤消这类令牌,但已注册的浏览器仍会保持注册状态。如需详细了解注册令牌,请参阅 Chrome 企业核心版白皮书。
此令牌注册过程是否需要 Windows 管理员权限?
需要。在 Windows 上,仅支持系统安装的实例。
注册过程中会上传哪些信息?
在注册过程中,Chrome 浏览器会上传以下信息:
- 设备 ID
- 注册令牌
- 机器名称
- 操作系统平台
- 操作系统版本
- Windows BIOS 序列号
我的管理控制台中为什么没有显示“Chrome 管理”部分?
如果您使用的是 G Suite 免费版(旧版),您的管理控制台目前就不会提供“Chrome 管理”功能。我们将来会支持免费版(旧版)。
系统映像是否应包含设备令牌?
不应包含。您设置的每台设备都必须使用唯一的设备令牌。如果您使用系统映像来部署 Chrome 浏览器,请确保该映像不包含设备令牌。否则,每台设备都会尝试使用映像中的值,导致部署失败。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。