管理員可以將 ChromeOS Flex 部署至大量裝置。請注意,在安裝後,每個型號的特定 BIOS/UEFI 設定都會影響 ChromeOS Flex 的安裝作業和裝置安全性。
啟用安全啟動功能
ChromeOS Flex 映像檔皆經過簽署並驗證,因此啟用近期 UEFI 型號的內建安全啟動系統可在啟動期間驗證 ChromeOS Flex 映像檔。安全啟動功能會檢查 ChromeOS Flex 映像檔是否來自已知的來源:Google。
安裝 ChromeOS Flex 之前,Google 建議您啟用 UEFI 和安全啟動功能 (如支援)。這有助於避免未簽署的第三方作業系統在裝置上執行。
只有在我們的認證型號清單的詳細附註資訊指出特定型號,或是安裝所需時,才應停用安全啟動功能。請參閱認證型號清單。
清除並啟用 TPM (如果支援)
部分通過 ChromeOS Flex 認證的型號包括 TPM 安全硬體。只要正確設定,TPM 就能提供用於解鎖使用者帳戶的加密密鑰安全儲存位置。
如果您的認證型號支援 TPM,請在安裝 ChromeOS Flex 前清除並啟用 TPM。這樣一來,您只要在裝置上安裝 ChromeOS Flex 後,就能立即註冊裝置。如果您嘗試註冊裝置,且 TPM 尚未準備就緒,ChromeOS Flex 會顯示訊息。
限制可啟動的媒體和 BIOS 或 UEFI 存取權
ChromeOS Flex 安裝作業通常需要您變更 BIOS 或 UEFI 設定,例如開啟 USB 啟動。在理想情況下,裝置只允許管理員在部署期間變更 BIOS 或 UEFI 設定。
為了在部署後提升 ChromeOS Flex 裝置的安全性和速度,Google 建議您:
- 禁止從外部媒體啟動:如果裝置仍能啟動外部媒體,稍後可能會安裝安全性較低、不需要的 OS。
注意:選項名稱會因原始設備製造商 (OEM) 而異。找出「USB 開機」、「從外部媒體啟動」或類似的設定。 - 設定安全的 BIOS 或 UEFI 管理員密碼:僅將密碼提供給真正需要這些資訊的 IT 管理員和技術支援人員。如此一來,使用者就無法進行變更或啟動其他 OS。
僅部署官方的 ChromeOS Flex 映像檔
確認您和每一位協助 ChromeOS Flex 部署作業的人員,瞭解安裝映像檔的來源。