Instalowanie Dostawcy danych uwierzytelniających Google do systemów Windows

Jako administrator możesz skonfigurować Dostawcę danych uwierzytelniających Google do systemów Windows (GCPW), aby umożliwić użytkownikom logowanie się na urządzeniach z systemem Windows 10 lub 11 za pomocą konta Google, którego używają w pracy lub szkole. W przypadku urządzeń należących do firmy usługę GCPW na urządzeniach możecie skonfigurować Ty lub inny specjalista IT. Użytkownicy z urządzeniami osobistymi, na których mają uprawnienia administratora, mogą sami instalować GCPW.

Wymagania

Wymagania dotyczące licencji

GCPW (samodzielna wersja) – Ta funkcja jest dostępna w Cloud Identity Free i Cloud Identity Premium. Porównanie wersji
GCPW z zarządzaniem urządzeniami z systemem Windows – Ta funkcja jest dostępna w Cloud Identity Premium. Porównanie wersji

Wymagania systemowe

Windows 10 lub 11 (Pro, Pro for Workstations, Enterprise lub Education).
Przeglądarka Chrome w wersji 81 lub nowszej (wersja stabilna) zainstalowana z uprawnieniami administratora.
Dostępne miejsce na dysku na potrzeby Google Chrome (100 MB) i funkcji GCPW (3 MB).
Do uruchomienia na urządzeniu programu instalacyjnego potrzebne są uprawnienia administratora. Możesz to też zrobić za pomocą narzędzi do wdrażania oprogramowania.
Usługa GCPW nie jest zgodna z zewnętrznymi dostawcami usług zarządzania urządzeniami mobilnymi.

Zanim zaczniesz – przygotuj się do wdrożenia

Przygotuj się do instalacji GCPW i przeglądarki Chrome (jeśli nie masz jeszcze tego kroku za sobą).
Jeśli zamierzasz używać funkcji zarządzania przeglądarką Chrome w chmurze, skonfiguruj ją przed zainstalowaniem GCPW. Więcej informacji znajdziesz w artykule Konfigurowanie funkcji zarządzania przeglądarką Chrome w chmurze.

Krok 1. Pobierz GCPW

Poniżej znajdziesz opis ręcznego konfigurowania GCPW. Funkcję tę możesz również rozpowszechnić i zainstalować przy użyciu narzędzia do dystrybucji aplikacji lub skryptu PowerShell. Zobacz przykładowy skrypt PowerShell.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej otwórz Menu Urządzenia Urządzenia mobilne i punkty końcowe Ustawienia Windows.
Kliknij Konfiguracja dostawcy danych uwierzytelniających Google do systemów Windows (GCPW) Pobierz GCPW.
Pobierz plik instalacyjny GCPW (w wersji 64-bitowej lub 32-bitowej) i rozpowszechnij go na urządzeniach.

Krok 2. Ustaw opcjonalne ustawienia i dozwolone domeny GCPW

Użyj metody konfiguracji, która odpowiada Twoim potrzebom:

Aby zastosować te same ustawienia na wszystkich urządzeniach z systemem Windows w organizacji, najlepiej skorzystaj z konsoli administracyjnej.
Aby zastosować różne ustawienia na różnych urządzeniach, pozostaw w konsoli administracyjnej wartość Nie skonfigurowano i edytuj ustawienia rejestru na każdym urządzeniu.

Uwaga: w przypadku użycia obu metod ustawienia rejestru będą zastąpione ustawieniami w konsoli administracyjnej.

Konfigurowanie ustawień GCPW w konsoli administracyjnej (zalecane)

Aby korzystać z GCPW, musisz skonfigurować dozwolone domeny. Aby możliwe było ustawienie dozwolonych domen w konsoli administracyjnej, urządzenie musi obsługiwać token rejestracji. Istnieje kilka sposobów na skonfigurowanie tokena:

Jeśli usługa GCPW została pobrana z konsoli administracyjnej, token jest automatycznie ustawiony przez plik instalacyjny – możesz kontynuować.
Jeśli tokeny rejestracji zostały wcześniej skonfigurowane do zarządzania przeglądarką Chrome w chmurze, umożliwią Ci one również zarządzanie ustawieniami GCPW w konsoli administracyjnej.
Jeśli narzędzie GCPW zostało pobrane z klasycznej strony pobierania (https://tools.google.com/dlpage/gcpw/), plik instalacyjny nie zawiera tokena. Bez tokena nie możesz zmieniać dozwolonych domen w konsoli administracyjnej, ale możesz edytować ustawienia, otwierając UrządzeniaUrządzenia mobilne i punkty końcoweUstawieniaUstawienia systemu WindowsUstawienia GCPW. W razie potrzeby ustaw token GCPW na urządzeniach.

Edytowanie ustawień w konsoli administracyjnej

Zanim zaczniesz: jeśli musisz skonfigurować dział lub zespół dla tego ustawienia, przeczytaj artykuł Dodawanie jednostki organizacyjnej.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej otwórz Menu Urządzenia Urządzenia mobilne i punkty końcowe Ustawienia Windows.
Kliknij Konfiguracja dostawcy danych uwierzytelniających Google do systemów Windows (GCPW) Dozwolone domeny.
Wpisz domeny, z których użytkownicy mogą logować się za pomocą GCPW. Jeśli nie dodasz co najmniej 1 domeny, żadni użytkownicy nie będą mogli logować się przez GCPW.
Kliknij Zapisz. Zsynchronizowanie dozwolonych domen na urządzeniach może potrwać do godziny.
Dozwolone domeny to jedyne wymagane ustawienie. Aby skonfigurować inne ustawienia GCPW, przejdź do następnych kroków.
U góry strony w menu nawigacyjnym kliknij Ustawienia systemu Windows.
Kliknij Ustawienia GCPW.
(Opcjonalnie) Aby zastosować ustawienie do działu lub zespołu, z boku wybierz jednostkę organizacyjną. Pokaż mi, jak to zrobić

Kliknij i w razie potrzeby zaktualizuj dowolne z tych ustawień:

Ustawienie	Opis i konfiguracja
Automatycznie aktualizuj GCPW	Aby automatycznie instalować nowe wersje GCPW na urządzeniach z systemem Windows, zaznacz pole Automatycznie aktualizuj GCPW (jest to ustawienie domyślne). Aby zezwolić na aktualizacje tylko do określonej wersji, zaznacz pole Zablokuj aktualizowanie powyżej określonej wersji i wpisz najnowszą dopuszczalną wersję. Warto użyć tej opcji, aby przetestować najnowszą wersję przed wdrożeniem jej u wszystkich użytkowników. Uwaga: musisz aktualizować to ustawienie po zatwierdzeniu określonej wersji, aby użytkownicy mogli otrzymywać nowe funkcje i aktualizacje zabezpieczeń. Jeśli wpiszesz wersję starszą niż wersja zainstalowana na urządzeniu, starsza wersja GCPW nie zostanie przywrócona. Aby wyłączyć automatyczne aktualizacje GCPW (niezalecane), odznacz pole Automatycznie aktualizuj GCPW.
Zarządzanie wieloma kontami	Aby zezwolić na logowanie się na urządzeniu przez GCPW przy użyciu kilku kont Google Workspace, wybierz Włączone.Jeśli korzystasz z zarządzania urządzeniami z systemem Windows, tylko jeden użytkownik danego urządzenia może zarejestrować się w tej usłudze, nawet jeśli zezwalasz na kilka kont w przypadku GCPW. Aby zezwolić na logowanie się na urządzeniu przez GCPW przy użyciu tylko jednego konta Google Workspace, wybierz Wyłączone. Gdy ustawienie ma wartość Nie skonfigurowano, do logowania się na urządzeniu można używać kilku kont Google Workspace, chyba że ustawienie rejestru `enable_multi_user_login` ma wartość 0.
Rejestrowanie w usłudze zarządzania urządzeniami	Jeśli Twoja organizacja korzysta z zarządzania urządzeniami z systemem Windows, możesz skonfigurować automatyczne rejestrowanie urządzeń podczas pierwszego logowania się przez GCPW. Jeśli pole Automatycznie rejestruj w usłudze zarządzania urządzeniami nie jest zaznaczone, a w Twojej organizacji jest używane zarządzanie urządzeniami z systemem Windows, musisz ręcznie rejestrować urządzenia, chyba że ustawisz na urządzeniu klucz rejestru `enable_dm_enrollment` na 1.
Dostęp w trybie offline	Aby określić, jak długo użytkownicy mogą logować się na swoje urządzenia przez GCPW w trybie offline, zmień wartość na Włączone i ustaw liczbę dni. Po upływie tego czasu użytkownik nie będzie mógł zalogować się na urządzeniu, dopóki nie połączy się z internetem. Gdy ustawienie ma wartość Nie skonfigurowano, użytkownik może logować się w trybie offline bez ograniczeń czasowych, chyba że na urządzeniu jest skonfigurowane ustawienie rejestru `validity_period_in_days`.

Kliknij Zapisz. Możesz też kliknąć Zastąp przy jednostkę organizacyjną.
Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz.

Ustawienia GCPW są synchronizowane na urządzeniach co godzinę, więc zastosowanie zmian oraz proces umożliwiania użytkownikowi zalogowania się przez GCPW mogą potrwać do godziny.

Konfigurowanie GCPW przy użyciu ustawień rejestru urządzenia

Jeśli nie zarządzasz GCPW w ramach ustawień w konsoli administracyjnej lub jeśli chcesz określić wartości ustawień, które nie są w niej konfigurowane, możesz ustawić je w rejestrze danego urządzenia.

Poniżej znajduje się instrukcja ręcznego konfigurowania kluczy rejestru. Jednak Ty lub użytkownik z uprawnieniami administratora możecie wykonać ten proces również za pomocą skryptu PowerShell.

Uwaga: jeśli skonfigurujesz GCPW w konsoli administracyjnej oraz rejestrze urządzenia, ustawienia z konsoli administracyjnej zastąpią ustawienia rejestru.

Skonfiguruj wymagany klucz rejestru umożliwiający użytkownikom w określonych domenach na logowanie się przy użyciu GCPW, a także inne klucze rejestru, które są potrzebne w przypadku Twojej organizacji.

Uwaga: poniżej znajduje się instrukcja ręcznego konfigurowania kluczy rejestru. Jednak Ty lub inny użytkownik możecie wykonać ten proces również za pomocą skryptu PowerShell.

Ustawienie	Domyślne zachowanie i ręczna konfiguracja
Wymagane: określ domeny, które mogą logować się za pomocą GCPW. Uwaga: użytkownicy mogą logować się przy użyciu GCPW dopiero po skonfigurowaniu tego klucza rejestru.	Wartość domyślna: żadne domeny nie mogą logować się za pomocą GCPW Konfiguracja W menu Start systemu Windows kliknij Uruchom. W oknie Uruchamianie wpisz regedit. W edytorze rejestru przejdź do HKEY_LOCAL_MACHINE\Software\Google, potem kliknij prawym przyciskiem myszy Google, a następnie kliknij Nowy Klucz, aby utworzyć folder. Nadaj mu nazwę GCPW. Kliknij prawym przyciskiem myszy folder GCPW, a potem kliknij Nowy Wartość ciągu. Jako nazwę wpisz `domains_allowed_to_login`. Kliknij dwukrotnie nazwę. W polu Dane wartości wpisz listę dozwolonych domen, rozdzielając poszczególne nazwy przecinkami. Przykład: example.com, example.org, example.net. Kliknij OK.
Wyłącz automatyczne rejestrowanie w menedżerze urządzeń Windows	Wartość domyślna: 1 (automatyczne rejestrowanie urządzeń) Konfiguracja W edytorze rejestru kliknij prawym przyciskiem myszy folder GCPW, potem kliknij Nowy Wartość DWORD. Jako nazwę wpisz `enable_dm_enrollment`. Kliknij dwukrotnie nazwę i w polu Dane wartości wpisz 0. Jeśli w przyszłości zechcesz zresetować klucz, by zezwolić na automatyczne rejestrowanie, zmień wartość na 1. Kliknij OK.
Wymagaj od użytkowników logowania się online, jeśli ich urządzenia były offline przez wybrany okres	Wartość domyślna: brak wartości (logowanie online nie jest wymagane) Konfiguracja W edytorze rejestru kliknij prawym przyciskiem myszy folder GCPW, potem kliknij Nowy Wartość DWORD. Jako nazwę wpisz `validity_period_in_days`. Kliknij dwukrotnie nazwę. W polu Dane wartości wpisz liczbę dni między logowaniami online za pomocą GCPW. Jeśli na przykład wpiszesz 5, użytkownik będzie musiał zalogować się w trybie online, gdy urządzenie będzie offline przez 5 dni. Jeśli wpiszesz 0, użytkownik będzie musiał zalogować się w trybie online natychmiast po odłączeniu urządzenia od internetu. Kliknij OK.
Zezwalaj tylko jednemu użytkownikowi na logowanie się na urządzenie za pomocą konta Google	Wartość domyślna: wielu użytkowników może logować się na urządzenie za pomocą swoich kont Google. Jeśli korzystasz z zarządzania urządzeniami z systemem Windows, tylko jeden użytkownik danego urządzenia może zarejestrować się w tej usłudze, nawet jeśli zezwalasz na kilka kont w przypadku GCPW. Konfiguracja W edytorze rejestru kliknij prawym przyciskiem myszy folder GCPW, potem kliknij Nowy Wartość DWORD. Jako nazwę wpisz `enable_multi_user_login`. Kliknij dwukrotnie nazwę i w polu Dane wartości wpisz 0. Jeśli w przyszłości zechcesz zresetować klucz, by automatycznie zezwalać na logowanie się przy użyciu wielu kont na tym samym urządzeniu, zmień wartość na 1. Kliknij OK.
Umożliwia użytkownikowi pierwsze logowanie przez GCPW przy użyciu dotychczasowego lokalnego profilu systemu Windows (bez klikania Dodaj konto służbowe)	Domyślnie: logowanie przez GCPW nie odbywa się przy użyciu dotychczasowego lokalnego profilu. Użytkownicy przy pierwszym logowaniu muszą kliknąć Dodaj konto służbowe. Konfiguracja W edytorze rejestru kliknij prawym przyciskiem myszy folder GCPW, potem kliknij Nowy Klucz. Nadaj kluczowi nazwę Users. Kliknij prawym przyciskiem myszy folder Users, a potem kliknij Nowy Klucz. Nadaj kluczowi nazwę odpowiadającą identyfikatorowi zabezpieczeń (SID) konta Windows użytkownika. Instrukcje, jak znaleźć identyfikator SID użytkownika, znajdziesz w dokumentacji firmy Microsoft. Kliknij prawym przyciskiem myszy folder SID, a potem kliknij Nowy Wartość ciągu. Jako nazwę wpisz `email`. Kliknij dwukrotnie nazwę i w polu Dane wartości wpisz konto służbowe, które chcesz powiązać z lokalnym kontem Windows użytkownika. Użyj pełnego adresu e-mail użytkownika, np. uzytkownik@twoja-firma.com. Kliknij OK.
W GCPW włącz konfigurację nowej nazwy konta Windows (powinna to być tylko nazwa użytkownika ze służbowego lub szkolnego adresu e-mail)	Domyślnie: gdy GCPW tworzy profil systemu Windows przy pierwszym zalogowaniu się użytkownika – i nie jest włączone powiązywanie kont Google z dotychczasowymi profilami systemu Windows lub profil Windows nie istnieje – nazwa konta jest tworzona na podstawie adresu e-mail użytkownika i ma format użytkownik_domena. Konfiguracja W edytorze rejestru kliknij prawym przyciskiem myszy folder GCPW, potem kliknij Nowy Wartość DWORD. Jako nazwę wpisz `use_shorter_account_name`. Kliknij dwukrotnie nazwę i w polu Dane wartości wpisz 1. Kliknij OK.

Uruchom ponownie urządzenie.

Krok 3. Zainstaluj GCPW

GCPW możesz zainstalować na kilka sposobów:

ręcznie, jak opisano w tej sekcji;
za pomocą skryptu PowerShell (zobacz przykładowy skrypt PowerShell);
za pomocą narzędzia do rozpowszechniania aplikacji innej firmy lub w ramach obrazu systemu na komputerze.

Aby zainstalować GCPW ręcznie:

Uruchom instalator na urządzeniu. Możesz kliknąć dwukrotnie plik instalacyjny lub uruchomić go z poziomu wiersza poleceń:
1. Otwórz wiersz poleceń.
2. Aby zainstalować klienta 64-bitowego, uruchom jako administrator plik gcpwstandaloneenterprise64.exe. Aby zainstalować klienta 32-bitowego, uruchom jako administrator plik gcpwstandaloneenterprise.exe. Aby uruchomić instalator w trybie cichym, dołącz argumenty /silent /install.
W procesie instalacji zostaną utworzone 4 pliki:
- C:\Program Files\Google\CredentialProvider\numer wersji\Gaia.dll
- C:\Program Files\Google\CredentialProvider\numer wersji\gcp_setup.exe
- C:\Program Files\Google\CredentialProvider\numer wersji\gcp_eventlog_provider.dll
- C:\Program Files\Google\CredentialProvider\numer wersji\extension\gcpw_extension.exe
(Opcjonalnie) Jeśli chcesz nam pomóc w usprawnianiu funkcji GCPW, możesz włączyć na urządzeniu automatyczne raportowanie błędów GCPW.

Krok 4. Zarządzaj urządzeniami GCPW

Interfejs użytkownika

Użytkownik może teraz logować się na urządzeniu za pomocą GCPW. Jeśli jest to dozwolone, może zarządzać swoim hasłem na urządzeniu, zarządzając hasłem do swojego konta Google.
W razie problemów z logowaniem możesz pomóc użytkownikowi, wykonując czynności opisane w artykule Rozwiązywanie problemów z GCPW.

Zarządzanie administracyjne

Możesz sprawdzić szczegóły urządzenia w konsoli administracyjnej, gdy użytkownik zaloguje się po raz pierwszy.
Jeśli chcesz zresetować hasło użytkownika, zdecydowanie zalecamy zresetowanie jego hasła w konsoli administracyjnej. Jeśli wymagasz zresetowania hasła za pomocą Active Directory lub innego narzędzia, należy najpierw zaktualizować hasło użytkownika do systemu Windows, a następnie hasło do konta Google, aby się zgadzały. Użytkownicy, którzy nie mają uprawnień do zmieniania swoich haseł (na przykład uczniowie), utracą dostęp do konta.

Konfigurowanie GCPW przy użyciu skryptu PowerShell

Do pobrania funkcji GCPW, zainstalowania jej i opcjonalnego skonfigurowania kluczy rejestru możesz użyć skryptu PowerShell firmy Microsoft. Ustawieniami GCPW najlepiej zarządzać w konsoli administracyjnej.

Uwaga: Google nie świadczy pomocy związanej z używaniem przykładowych skryptów. Przed użyciem przykładowego skryptu musisz mieć doświadczenie w korzystaniu ze skryptów PowerShell.

Przykładowy skrypt

Ten skrypt pobiera GCPW z klasycznej witryny publicznej (bez określonego tokena organizacji), instaluje go, a następnie konfiguruje wymagany klucz rejestru, który ogranicza logowanie na urządzeniach do kont z określonych domen. Aby użyć tego skryptu, skopiuj go do edytora tekstu i w wierszu 11 wpisz nazwy dozwolonych domen. Jeśli chcesz zarządzać ustawieniami GCPW w konsoli administracyjnej, pobierz z niej token i użyj skryptu, aby ustawić klucz rejestru z tokenem.

<# Ten skrypt pobiera funkcję Dostawcy danych uwierzytelniających Google do systemów Windows ze strony
https://tools.google.com/dlpage/gcpw/, a potem ją instaluje i konfiguruje.
Aby zastosować skrypt, wymagane są uprawnienia administratora w systemie Windows. #>

<# Skonfiguruj ten klucz, by zezwalał na używanie domen, z których mogą logować się użytkownicy,

na przykład:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# Sprawdź, czy domeny są skonfigurowane. #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# Sprawdź, czy bieżący użytkownik jest administratorem. Jeśli nie, zakończ działanie. #>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# Wybierz plik GCPW do pobrania. Wersje 32- i 64-bitowe mają różne nazwy. #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# Pobierz instalator GCPW. #>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# Uruchom instalator GCPW i zaczekaj, aż zakończy on działanie. #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# Sprawdź, czy instalacja się powiodła. #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# Określ wymagany klucz rejestru z dozwolonymi domenami. #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

Powiązane artykuły

_{Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.}

Czy to było pomocne?

Jak możemy ją poprawić?