启用或停用端点验证

Cloud Identity 免费版和专业版均提供此功能。版本对比

如果有运行 ChromeOS 或 Chrome 浏览器的设备访问贵组织的数据,管理员可以通过端点验证来获取相应设备的详细信息,例如个人设备和组织自有设备的操作系统、设备类型以及用户。此外,您还可以根据设备的位置、安全状态或其他属性,利用情境感知访问权限 (CAA) 来控制是否允许设备访问数据。例如,您可以选择设备需要获得批准,然后创建 CAA 政策,在设备状态为待审批已屏蔽时禁止设备访问数据。

支持的计算机

  • Apple Mac OS X El Capitan (10.11) 及更高版本
  • 搭载 ChromeOS 110 及更高版本的设备
  • Linux Debian 和 Ubuntu
    注意:CPU 必须支持 AES 指令。
  • Microsoft Windows 10 和 11

设置端点验证

展开所有部分   |   收起所有部分

第 1 步:在管理控制台中启用端点验证

通常情况下,端点验证功能会默认处于启用状态。如果您停用了此功能,请重新启用。

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击移动设备和端点接着点击设置接着点击通用
  3. 依次点击数据访问权限 接着点击 端点验证
  4. (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门显示具体方法
  5. 勾选监控有哪些设备在访问组织数据复选框。
  6. 点击保存。或者,您也可以针对 组织部门 点击覆盖

    如果之后要恢复继承的值,请点击继承

第 2 步:安装端点验证扩展程序

方法 1:让用户自行安装该扩展程序

对于 Linux、Mac 和 Windows 设备,用户可以自行安装该扩展程序。有关详情和用户操作步骤,请参阅在计算机上设置端点验证

方法 2:在管理控制台中强制安装该扩展程序

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击Chrome接着点击应用和扩展程序接着点击用户和浏览器

    如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标 接着点击 Chrome 浏览器接着点击应用和扩展程序接着点击用户和浏览器

  3. (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门显示具体方法
  4. 点击“添加”图标 接着点击“按 ID 添加 Chrome 应用或扩展程序”图标
  5. 扩展程序 ID 字段中输入 callobklhcbilhphinckomhgkigmfocg。请复制该代码,以免出错。
  6. 来自 Chrome 应用商店保持为选中状态,然后点击保存
  7. 系统会随即打开应用选项面板,请在其中的证书管理部分执行以下操作:
    1. 点击允许访问密钥旁边的“启用”图标
    2. 点击允许使用企业验证功能旁边的“启用”图标
    3. 关闭面板。
  8. 在应用列表中,点击“Endpoint Verification”行中的向下箭头 ,然后选择安装政策:
    • 如要在运行 ChromeOS 的设备上强制安装该扩展程序并将其固定到浏览器工具栏上,请选择强制安装 + 固定到浏览器工具栏
    • 要强制安装该扩展程序,请选择强制安装
    • 要允许用户自行安装该扩展程序,请选择允许安装
  9. 点击保存。或者,您也可以针对 组织部门 点击覆盖

    如果之后要恢复继承的值,请点击继承

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

方法 3:使用政策将该扩展程序添加到受管设备上

Mac、Windows 和 Linux 设备

了解如何为受管理的 PC 设置 Chrome 浏览器政策

第 3 步:必要时,安装帮助程序应用(仅适用于 Linux、Mac 和 Windows)

准备工作

  • (Linux 和 Windows)如果设备已注册端点验证且不需要帮助程序应用,请勿安装此应用。安装该应用可能会阻止设备向服务器报告数据。如果设备未报告数据,请让用户按照相应步骤卸载帮助程序应用,然后前往本页稍后介绍的第 4 步。
  • 如果用户已安装端点验证扩展程序,系统会在需要时自动提示他们安装帮助程序应用。您可以跳过此步骤,直接进入第 4 步。
  • 如果您使用的是客户端证书身份验证,请确保设备用正确的证书连接到受保护的服务,例如内部网站。该帮助程序应用会创建自签名证书,供 Chrome 浏览器内部使用。如果将自签名证书用于客户端证书请求,连接会遭拒绝。请采用以下一种或两种方法:

安装帮助程序应用

您必须安装端点验证帮助程序应用,才能执行以下任务:

  • 设置 CrowdStrike Falcon Zero Trust Assessment (Falcon ZTA) 集成。了解详情
  • 为 Google Cloud 资源设置基于证书的访问权限。了解详情
  • 从使用 Chrome 浏览器 M92 或更低版本的设备收集设备属性。了解详情

如要在您自己或他人的计算机上安装帮助程序应用,请执行以下操作:

  1. 下载适用于 LinuxMac 或 Windows 的帮助程序应用。
  2. 使用第三方软件管理工具安装此应用。
第 4 步:(可选)设置设备审批功能
如要查看访问贵组织数据的各个端点验证设备,您需要管理员批准才能访问设备。您可以将这些设备标记为已批准或已屏蔽,还可以将标记用作 CAA 级别中的条件。如果您未设置 CAA 级别,则处于“待审批”或“已屏蔽”状态的设备仍然可以访问工作数据。

端点验证问题排查

如果用户遇到问题,他们或许可以自行解决。有关详情,请参阅面向用户的端点验证问题排查

如果 Mac 设备未在管理控制台中报告密码状态,请确保已安装端点验证帮助程序应用。

如果安装了帮助程序应用的设备无法在 Chrome 浏览器中访问受到保护的网站,请确保这些设备使用正确的证书进行连接。您可以采用以下任一方法或两种方法并用:

如果文中的解决方案均不起作用,您可以联系 Google 支持团队。在与支持团队联系之前,我们建议您先让用户下载端点验证日志,以便支持专家可以更快地帮助他们解决问题。

查看未使用端点验证的用户名单

您可以获取未在设备上安装端点验证扩展程序的用户名单。如有需要,您可以发送电子邮件让他们进行安装。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 依次点击“菜单”图标 接着点击  设备 接着点击 概览
  3. 点击端点
  4. 在设备列表的顶部,点击添加过滤条件
  5. 选择排除:端点验证
  6. 如要向未使用端点验证的用户发送电子邮件,请执行以下操作:
    1. 勾选每台设备旁边的复选框。
    2. 点击“向用户发送电子邮件”图标

      系统会打开新的电子邮件窗口,其中的收件人字段会显示您选择的用户。

    3. 撰写电子邮件,然后点击发送

停用端点验证

管理控制台中不会显示您停用端点验证后新添加的设备。您仍然可以查看之前监控的设备,但设备信息不会更新。

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击移动设备和端点接着点击设置接着点击通用
  3. 依次点击数据访问权限 接着点击 端点验证
  4. (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门显示具体方法
  5. 取消选中监控有哪些设备在访问组织数据对应的复选框。
  6. 点击保存。或者,您也可以针对 组织部门 点击覆盖

    如果之后要恢复继承的值,请点击继承

删除设备

设备一经删除,便不再同步工作数据,但系统不会从设备中移除任何信息。下次同步后,设备会重新添加到列表中,除非有情境感知访问权限政策的屏蔽。如果访问权限被政策屏蔽,设备可能需要获得批准才能重新同步数据。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 依次点击“菜单”图标 接着点击  设备 接着点击 概览
  3. 点击端点
  4. 选择您要移除的设备,然后点击删除


“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
主菜单
11929767269083128141
true
搜索支持中心
true
true
true
false
false