Installeer Google Credential Provider voor Windows

Als beheerder kunt u Google Credential Provider voor Windows (GCPW) instellen, zodat gebruikers zich kunnen aanmelden bij een Windows 10- of 11-apparaat met het Google-account dat ze voor werk of school gebruiken. Voor apparaten die eigendom zijn van het bedrijf, kunt u of andere IT-professionals binnen uw organisatie GCPW op de apparaten instellen. Voor persoonlijke apparaten waarop de gebruiker beheerdersrechten heeft, kunt u de gebruiker GCPW laten installeren.

Vereisten

Licentievereisten

  • GCPW (zelfstandig) — Ondersteunde edities voor deze functie: Frontline Starter, Frontline Standard en Frontline Plus; Business Starter, Business Standard en Business Plus; Enterprise Standard en Enterprise Plus; Education Fundamentals, Education Standard, Education Plus en Endpoint Education Upgrade; Essentials, Enterprise Essentials en Enterprise Essentials Plus; G Suite Basic en G Suite Business; Cloud Identity Free en Cloud Identity Premium. Vergelijk uw editie
  • GCPW met Windows-apparaatbeheer — Ondersteunde edities voor deze functie: Frontline Starter, Frontline Standard en Frontline Plus; Business Plus; Enterprise Standard en Enterprise Plus; Education Standard, Education Plus en Endpoint Education Upgrade; Enterprise Essentials en Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Systeemvereisten

  • Windows 10 of 11 Pro, Pro voor werkstations, Enterprise of Education (alleen 32-bits en 64-bits versies). Apparaten met een ARM-processor worden niet ondersteund.
  • Chrome-browser versie 81 of later (stabiele versie), geïnstalleerd met beheerdersrechten.
  • Beschikbare schijfruimte voor ChromeOS (100 MB) en GCPW (3 MB).
  • U hebt beheerdersrechten op het apparaat nodig om het installatieprogramma uit te voeren, of u kunt het installatieprogramma naar apparaten distribueren met behulp van software-implementatietools.
  • GCPW is niet compatibel met externe aanbieders van oplossingen voor het beheer van mobiele apparaten.

Voordat je begint – bereid je voor op je uitzending.

  1. Als je dat nog niet hebt gedaan, zorg er dan voor dat je GCPW installeert en installeer de Chrome-browser op de apparaten.
  2. Als u van plan bent Chrome Enterprise Core te gebruiken, moet u dit instellen voordat u GCPW installeert. Zie Chrome Enterprise Core instellen voor meer informatie.

Stap 1: Download GCPW

Voor deze taak moet u zijn aangemeld als superbeheerder .

De volgende stappen beschrijven hoe u GCPW handmatig kunt instellen. U kunt ook een app-distributietool of een Microsoft PowerShell-script gebruiken om GCPW te distribueren en te installeren. Zie het voorbeeld-PowerShell-script voor meer informatie.

  1. Ga in de Google Admin-console naar Menu. en dan Apparaten en dan Mobiel & eindpunten en dan Instellingenen dan Windows .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik op Google Credential Provider voor Windows-installatie en dan Download GCPW .
  3. Download het 64-bits of 32-bits GCPW-installatiebestand en distribueer het naar de apparaten.

Stap 2: Stel de door GCPW toegestane domeinen en optionele instellingen in.

Gebruik de configuratiemethode die het beste aansluit bij uw doelstellingen:

  • Om dezelfde instellingen op alle Windows-apparaten in uw organisatie toe te passen, kunt u het beste de beheerdersconsole gebruiken.
  • Om verschillende instellingen voor verschillende apparaten toe te passen, laat u de instellingen in de beheerdersconsole op ' Niet geconfigureerd' staan ​​en bewerkt u de registerinstellingen op elk apparaat.

Let op: Instellingen in de beheerdersconsole hebben voorrang op registerinstellingen als beide geconfigureerd zijn.

Om GCPW te gebruiken, moet u toegestane domeinen instellen. Om toegestane domeinen in de beheerdersconsole in te stellen, moet het apparaat een inschrijvingstoken hebben. Er zijn verschillende manieren om een ​​token in te stellen:

  • Als je GCPW via de beheerdersconsole hebt gedownload, stelt je installatiebestand het token automatisch in en kun je verdergaan.
  • Als u eerder inschrijvingstokens voor Chrome Enterprise Core hebt ingesteld, kunt u met deze tokens ook de GCPW-instellingen beheren vanuit de beheerdersconsole.
  • Als u GCPW hebt gedownload via de klassieke downloadpagina ( https://tools.google.com/dlpage/gcpw/ ), bevat uw installatiebestand geen token. Zonder token kunt u uw toegestane domeinen niet wijzigen via de beheerdersconsole, maar u kunt de instellingen wel bewerken in Apparaten. en dan Mobiel & eindpunten en dan Instellingen en dan Windows-instellingen en dan GCPW-instellingen . Stel indien nodig het GCPW-token in op de apparaten .

Bewerk de instellingen in uw beheerdersconsole.

Voor deze taak moet u zijn aangemeld als superbeheerder .

Voordat u begint: Als u een afdeling of team voor deze instelling wilt aanmaken, gaat u naar Een organisatie-eenheid toevoegen .

  1. Ga in de Google Admin-console naar Menu. en dan Apparaten en dan Mobiel & eindpunten en dan Instellingenen dan Windows .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik op Google Credential Provider voor Windows (GCPW) instellen en dan Toegestane domeinen .
  3. Voer de domeinen in die mogen inloggen met GCPW. Als u geen domeinen toevoegt, kunnen gebruikers niet inloggen via GCPW.
  4. Klik op Opslaan . Het kan tot een uur duren voordat de toegestane domeinen met de apparaten zijn gesynchroniseerd.

    Alleen de instelling 'Toegestane domeinen' is verplicht. Om andere GCPW-instellingen te configureren, ga je verder met de volgende stappen.

  5. Klik bovenaan de pagina in het kruimelpad op Windows-instellingen .
  6. Klik op GCPW-instellingen .
  7. (Optioneel) Om de instelling op een afdeling of team toe te passen, selecteert u aan de zijkant een organisatie-eenheid .
  8. Klik op een van de volgende instellingen en werk deze indien nodig bij:
    Instelling Beschrijving en installatie
    GCPW automatisch bijwerken

    Om nieuwe versies van GCPW automatisch op Windows-apparaten te installeren, vinkt u het vakje 'GCPW automatisch bijwerken' aan (dit is standaard aangevinkt).

    Om updates tot een specifieke versie toe te staan, vinkt u het vakje 'Updates na een specifieke versie voorkomen' aan en voert u de laatst toegestane versie in. Deze optie is bijvoorbeeld handig als u de nieuwste versie wilt testen voordat u deze voor al uw gebruikers beschikbaar stelt.

    Let op: u moet deze instelling bijwerken wanneer u versies goedkeurt, zodat gebruikers nieuwe functies en beveiligingsupdates kunnen blijven ontvangen. Als u een versie invoert die ouder is dan de versie die op een apparaat is geïnstalleerd, wordt GCPW niet teruggezet naar die versie.

    Om automatische updates voor GCPW uit te schakelen (niet aanbevolen), vinkt u het vakje 'GCPW automatisch bijwerken' uit.

      Beheer meerdere accounts

      Om meer dan één Google Workspace-account toegang te geven tot een apparaat via GCPW, selecteert u 'Ingeschakeld' . Als u Windows-apparaatbeheer gebruikt, kan er, zelfs als u meerdere accounts voor GCPW toestaat, slechts één gebruiker per apparaat worden ingeschreven voor Windows-apparaatbeheer.

      Om slechts één Google Workspace-account tegelijk te laten inloggen op een apparaat via GCPW, selecteer je Uitgeschakeld .

      Als deze optie is ingesteld op ' Niet geconfigureerd' , kunnen meerdere Google Workspace-accounts zich aanmelden bij een apparaat, tenzij de registerinstelling enable_multi_user_login op het apparaat is ingesteld op 0 .

      Meld u aan voor apparaatbeheer

      Als uw organisatie gebruikmaakt van Windows-apparaatbeheer, kunt u ervoor zorgen dat apparaten automatisch worden geregistreerd wanneer een gebruiker zich voor het eerst aanmeldt via GCPW.

      Als het selectievakje 'Automatisch inschrijven voor apparaatbeheer' niet is aangevinkt en uw organisatie Windows-apparaatbeheer gebruikt, moet u apparaten handmatig inschrijven , tenzij u de registerwaarde enable_dm_enrollment op het apparaat op 1 instelt.

      Offline toegang

      Om te beperken hoe lang gebruikers offline via GCPW op hun apparaten ingelogd kunnen blijven, wijzig je de waarde naar 'Ingeschakeld' en stel je het aantal dagen in.

      Wanneer de limiet is bereikt, kan een gebruiker zich niet meer aanmelden op zijn of haar apparaat totdat er een internetverbinding is.

      Indien ingesteld op ' Niet geconfigureerd' , mag een gebruiker zich onbeperkt offline aanmelden, tenzij de registerinstelling validity_period_in_days op het apparaat is ingesteld.

    1. Klik op Opslaan. Of u kunt voor een organisatie-eenheid op Overschrijven klikken.

      Om de overgeërfde waarde later te herstellen, klikt u op Overnemen .

    De GCPW-instellingen worden elk uur gesynchroniseerd met de apparaten. Het kan daarom tot een uur duren voordat uw instellingen zijn toegepast en de gebruiker zich via GCPW kan aanmelden.

    Configureer GCPW met de registerinstellingen van het apparaat.

    Als u GCPW niet beheert via de instellingen in de beheerdersconsole, of als u waarden wilt instellen voor instellingen die niet in de beheerdersconsole zijn geconfigureerd, kunt u deze instellen in het register van elk apparaat.

    De volgende instructies beschrijven hoe u registersleutels handmatig kunt instellen, maar u of een gebruiker met beheerdersrechten kan sleutels ook instellen met een PowerShell-script .

    Let op: als u GCPW configureert in uw beheerdersconsole en in het register van een apparaat, hebben de instellingen in de beheerdersconsole voorrang op de registerinstellingen.

    1. Configureer de verplichte registersleutel waarmee gebruikers in de opgegeven domeinen zich kunnen aanmelden met GCPW, en alle andere registersleutels die uw organisatie nodig heeft.
      Instelling Standaardgedrag en handmatige instelling

      Vereist: Geef de domeinen op die zich mogen aanmelden met GCPW.

      Let op: gebruikers kunnen zich pas aanmelden met GCPW nadat deze registersleutel is ingesteld.

      Standaard: Geen enkel domein mag zich aanmelden bij GCPW.

      Instellen

      1. Klik in het Windows Startmenu op Uitvoeren .
      2. Typ in het vak 'Uitvoeren' het woord 'regedit' .
      3. Open de Register-editor, ga naar HKEY_LOCAL_MACHINE\Software\Google , klik met de rechtermuisknop op Google en klik op Nieuw. en dan Sleutel om een ​​map te maken.
      4. Geef de map de naam GCPW .
      5. Klik met de rechtermuisknop op de map GCPW en klik op Nieuw. en dan Tekenreekswaarde .
      6. Voer bij naam domains_allowed_to_login in.
      7. Dubbelklik op de naam en voer in het vak 'Waardegegevens' een door komma's gescheiden lijst van toegestane domeinnamen in. Bijvoorbeeld: example.com, example.org, example.net .
      8. Klik op OK .
      Schakel automatische inschrijving uit in Windows Apparaatbeheer.

      Standaardwaarde: 1 (apparaten automatisch registreren)

      Instellen

      1. Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op Nieuw. en dan DWORD .
      2. Voer bij naam enable_dm_enrollment in.
      3. Dubbelklik op de naam en voer in het veld 'Waardegegevens' 0 in. Als u de sleutel wilt resetten om automatische inschrijving mogelijk te maken, wijzig dan de waarde in 1 .
      4. Klik op OK .
      Vereis dat gebruikers online inloggen nadat hun apparaat gedurende een bepaalde tijd offline is geweest.

      Standaardwaarde: Geen waarde (online aanmelden is niet verplicht)

      Instellen

      1. Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op Nieuw. en dan DWORD .
      2. Voer bij naam validity_period_in_days in.
      3. Dubbelklik op de naam en voer in het veld 'Waardegegevens ' het aantal dagen in tussen de online GCPW-aanmeldingen.

        Als u bijvoorbeeld 5 invoert, moet de gebruiker zich online aanmelden nadat het apparaat 5 dagen offline is geweest. Als u 0 invoert, moet de gebruiker zich direct online aanmelden nadat de internetverbinding van het apparaat is verbroken.

      4. Klik op OK .
      Sta slechts één gebruiker toe om met een Google-account op het apparaat in te loggen.

      Standaard: Meerdere gebruikers kunnen zich met hun Google-account aanmelden bij een apparaat. Als u Windows-apparaatbeheer gebruikt, kan er, zelfs als u meerdere accounts voor GCPW toestaat, slechts één gebruiker per apparaat worden geregistreerd voor Windows-apparaatbeheer.

      Instellen

      1. Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op Nieuw. en dan DWORD .
      2. Voer bij de naam enable_multi_user_login in.
      3. Dubbelklik op de naam en voer in het veld 'Waardegegevens' 0 in. Als u de sleutel wilt resetten om automatisch meerdere accounts op het apparaat toe te staan, wijzig dan de waarde in 1 .
      4. Klik op OK .
      Hiermee kan een gebruiker zich voor de eerste keer aanmelden bij GCPW met zijn of haar bestaande lokale Windows-profiel (zonder op 'Werkaccount toevoegen' te klikken).

      Standaard: Aanmelden via GCPW maakt geen gebruik van het bestaande lokale profiel. Gebruikers moeten op 'Werkaccount toevoegen' klikken wanneer ze zich voor het eerst aanmelden.

      Instellen

      1. Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op Nieuw. en dan Sleutel .
      2. Noem de belangrijkste gebruikers .
      3. Klik met de rechtermuisknop op de map Gebruikers en klik op Nieuw. en dan Sleutel .
      4. Geef de sleutel de naam van de SID (beveiligings-ID) van het Windows-account van de gebruiker. Raadpleeg de documentatie van Microsoft om de SID van een gebruiker te vinden.
      5. Klik met de rechtermuisknop op de map SID en klik op Nieuw. en dan Tekenreekswaarde .
      6. Vul bij naam het email in.
      7. Dubbelklik op de naam en voer in het vak Waardegegevens het werkaccount in dat u wilt koppelen aan het lokale Windows-account van de gebruiker. Gebruik het volledige e-mailadres van de gebruiker, bijvoorbeeld user@your-company.com .
      8. Klik op OK .
      Laat GCPW een nieuwe Windows-accountnaam aanmaken die alleen bestaat uit het gebruikersnaamgedeelte van het werk- of school-e-mailadres van de gebruiker.

      Standaard: Wanneer GCPW bij de eerste aanmelding een Windows-profiel voor de gebruiker aanmaakt (als u geen Google-accounts koppelt aan bestaande Windows-profielen of als er geen Windows-profiel bestaat), wordt de accountnaam gegenereerd op basis van het e-mailadres van de gebruiker in het formaat gebruikersnaam_domein.

      Instellen

      1. Klik in de Register-editor met de rechtermuisknop op de map GCPW en klik op Nieuw. en dan DWORD .
      2. Voer bij de naam use_shorter_account_name in.
      3. Dubbelklik op de naam en voer in het veld 'Waardegegevens ' de waarde 1 in.
      4. Klik op OK .
    2. Start het apparaat opnieuw op.

    Stap 3: Installeer GCPW

    Je kunt GCPW op verschillende manieren installeren:

    • Handmatig, zoals beschreven in dit gedeelte.
    • Met behulp van een PowerShell-script. Zie het voorbeeld-PowerShell-script voor meer informatie.
    • Door gebruik te maken van een tool van derden voor app-distributie of als onderdeel van uw pc-systeemimage.

    Om GCPW handmatig te installeren

    1. Voer het installatieprogramma uit op het apparaat. U kunt dubbelklikken op het installatiebestand of het uitvoeren via de opdrachtprompt:

      1. Open de opdrachtprompt.
      2. Om de 64-bits client te installeren, voert u gcpwstandaloneenterprise64.exe uit als beheerder. Om de 32-bits client te installeren, voert u gcpwstandaloneenterprise.exe uit als beheerder. Om het installatieprogramma in stille modus uit te voeren, voegt u de argumenten /silent /install toe.

      De installatie creëert 4 bestanden:

      • C:\Program Files\Google\CredentialProvider<i>versienummer\Gaia.dll
      • C:\Program Files\Google\CredentialProvider<i>versienummer\gcp_setup.exe
      • C:\Program Files\Google\CredentialProvider<i>versienummer\gcp_eventlog_provider.dll
      • C:\Program Files\Google\CredentialProvider<i>versienummer\extensie\gcpw_extensie.exe

    2. (Optioneel) Om Google te helpen GCPW te verbeteren, kunt u op het apparaat automatische foutrapportage voor GCPW inschakelen .

    Stap 4: GCPW-apparaten beheren

    Gebruikerservaring

    Administratief beheer

    • Je kunt de apparaatdetails bekijken in je beheerdersconsole nadat gebruikers zich voor de eerste keer hebben aangemeld.
    • Als u het wachtwoord van een gebruiker moet resetten, raden we u ten zeerste aan dit via de beheerdersconsole te doen . Als u een wachtwoordreset via Microsoft Active Directory of een andere tool nodig hebt, moet de gebruiker eerst zijn Windows-wachtwoord bijwerken en vervolgens zijn Google-accountwachtwoord aanpassen. Gebruikers die hun eigen wachtwoord niet mogen wijzigen, zoals studenten, worden buitengesloten van hun account.

    GCPW instellen met een PowerShell-script

    Je kunt een PowerShell-script gebruiken om GCPW te downloaden, te installeren en eventueel registerinstellingen aan te passen. We raden echter aan om de beheerdersconsole te gebruiken om de GCPW-instellingen te beheren.

    Let op: Google biedt geen ondersteuning voor het gebruik van voorbeeldscripts. Je moet ervaring hebben met het gebruik van PowerShell-scripts voordat je het voorbeeldscript gebruikt.

    Voorbeeldscript

    Dit script downloadt GCPW van de klassieke openbare website (zonder organisatiespecifiek token) en installeert het. Vervolgens configureert het de benodigde registersleutel die aanmeldingen op apparaten beperkt tot accounts in specifieke domeinen. Om het script te gebruiken, kopieert u het naar een teksteditor en voert u de toegestane domeinen in op regel 11. Als u de GCPW-instellingen wilt beheren in de beheerdersconsole, haalt u het token op uit de beheerdersconsole en gebruikt u het script om een ​​registersleutel met dat token in te stellen .

    <# This script downloads Google Credential Provider for Windows from
https://tools.google.com/dlpage/gcpw/, then installs and configures it.
Windows administrator access is required to use the script. #>

<# Set the following key to the domains you want to allow users to sign in from.

For example:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# Check if one or more domains are set #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# Check if the current user is an admin and exit if they aren't. #>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# Choose the GCPW file to download. 32-bit and 64-bit versions have different names #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# Download the GCPW installer. #>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# Run the GCPW installer and wait for the installation to finish #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# Check if installation was successful #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# Set the required registry key with the allowed domains #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

    Verwijder Google Credential Provider voor Windows


    Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.