התקנה של 'ספק פרטי הכניסה של Google ל-Windows'

אדמינים יכולים להגדיר את ספק פרטי הכניסה של Google ל-Windows ‏ (GCPW) כדי לאפשר למשתמשים להיכנס למכשיר Windows 10 או Windows 11 באמצעות חשבון Google שבו הם משתמשים לעבודה או ללימודים. במכשירים בבעלות החברה, אתם או אנשי IT אחרים בארגון מגדירים את GCPW במכשירים. במכשירים אישיים שלמשתמש יש בהם הרשאות אדמין, אתם יכולים לבקש מהמשתמש להתקין את GCPW.

דרישות

דרישות לגבי רישיונות

  • ‫GCPW (עצמאי) – התכונה הזו נתמכת במהדורות הבאות: Frontline Starter,‏ Frontline Standard ו-Frontline Plus;‏ Business Starter,‏ Business Standard ו-Business Plus;‏ Enterprise Standard ו-Enterprise Plus;‏ Education Fundamentals,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade;‏ Essentials,‏ Enterprise Essentials ו-Enterprise Essentials Plus;‏ G Suite Basic ו-G Suite Business;‏ Cloud Identity Free ו-Cloud Identity Premium. השוואה בין מהדורות
  • ‫GCPW עם ניהול מכשירי Windows – התכונה הזו נתמכת במהדורות הבאות: Frontline Starter,‏ Frontline Standard ו-Frontline Plus,‏ Business Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Enterprise Essentials ו-Enterprise Essentials Plus,‏ Cloud Identity Premium.  השוואה בין מהדורות

דרישות מערכת

  • Windows 10 או 11 Pro,‏ Pro for Workstations,‏ Enterprise או Education (רק גרסאות 32 ביט ו-64 ביט). אין תמיכה במכשירים מבוססי ARM.
  • דפדפן Chrome בגרסה 81 ומעלה (גרסה יציבה), שמותקנת עם הרשאות אדמין.
  • שטח הדיסק הזמין ל-ChromeOS‏ (100MB) ול-GCPW‏ (3MB).
  • כדי להפעיל את קובץ ההתקנה, צריכות להיות לכם הרשאות אדמין במכשיר. לחלופין, אתם יכולים לפרוס את קובץ ההתקנה למכשירים באמצעות כלי פריסת תוכנה.
  • ‫GCPW לא תואם לספקי ניהול מכשירים ניידים של צד שלישי.

לפני שמתחילים – הכנה לפריסה

  1. אם עדיין לא עשיתם זאת, מתכוננים להתקנת GCPW ומתקינים את דפדפן Chrome במכשירים.
  2. אם אתם מתכננים להשתמש ב-Chrome Enterprise Core, אתם צריכים להגדיר אותו לפני שאתם מתקינים את GCPW. פרטים נוספים מופיעים במאמר הגדרה של Chrome Enterprise Core.

שלב 1: הורדה של GCPW

כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

בשלבים הבאים מוסבר איך להגדיר את GCPW באופן ידני. אפשר גם להשתמש בכלי להפצת אפליקציות או בסקריפט של Microsoft PowerShell כדי להפיץ ולהתקין את GCPW. מידע נוסף זמין בדוגמה של סקריפט PowerShell.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזWindows.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. לוחצים על הגדרת ספק פרטי הכניסה של Google ל-Windows ואזהורדת GCPW.
  3. מורידים את קובץ ההתקנה של GCPW בגרסת 64 ביט או 32 ביט ומפיצים אותו למכשירים.

שלב 2: הגדרת דומיינים מורשים של GCPW והגדרות אופציונליות

משתמשים בשיטת ההגדרה שמתאימה ליעדים שלכם:

  • כדי להחיל את אותן הגדרות על כל מכשירי Windows בארגון, הדרך הכי קלה היא להשתמש במסוף Admin.
  • כדי להחיל הגדרות שונות על מכשירים שונים, משאירים את ההגדרות במסוף Admin במצב לא הוגדר ועורכים את הגדרות הרישום בכל מכשיר.

הערה: אם מוגדרות גם הגדרות במסוף Admin וגם הגדרות ברישום, ההגדרות במסוף Admin מבטלות את ההגדרות ברישום.

כדי להשתמש ב-GCPW, צריך להגדיר דומיינים מורשים. כדי להגדיר דומיינים מותרים במסוף Admin, צריך שיהיה במכשיר אסימון רישום. יש כמה דרכים להגדיר אסימון:

  • אם הורדתם את GCPW ממסוף Admin, קובץ ההתקנה מגדיר את האסימון באופן אוטומטי ואפשר להמשיך.
  • אם הגדרתם בעבר אסימוני רישום ל-Chrome Enterprise Core, תוכלו להשתמש באסימונים האלה גם כדי לנהל את ההגדרות של GCPW ממסוף Admin.
  • אם הורדתם את GCPW מדף ההורדה הקלאסי (https://tools.google.com/dlpage/gcpw/), קובץ ההתקנה לא כולל טוקן. בלי הטוקן, אי אפשר לשנות את הדומיינים המורשים במסוף Admin, אבל אפשר לערוך את ההגדרות במכשירים ואזניידים ונקודות קצה and thenהגדרות and thenהגדרות Windows ואזהגדרות GCPW. במקרה הצורך, מגדירים את טוקן GCPW במכשירים.

עריכת ההגדרות במסוף Admin

כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזWindows.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. לוחצים על ספק פרטי הכניסה של Google להתקנת ‏Windows ‏ (GCPW) ואזדומיינים מורשים.
  3. מזינים את הדומיינים שמותרים לכניסה באמצעות GCPW. אם לא מוסיפים דומיינים, אף משתמש לא יכול להיכנס באמצעות GCPW.
  4. לוחצים על שמירה. יכול להיות שיעברו עד שעה עד שהדומיינים המורשים יסונכרנו עם המכשירים.

    ההגדרה היחידה שחובה להגדיר היא 'דומיינים מורשים'. כדי להגדיר הגדרות אחרות של GCPW, עוברים לשלבים הבאים.

  5. בראש הדף, בנתיב הניווט, לוחצים על הגדרות Windows.
  6. לוחצים על הגדרות GCPW.
  7. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  8. לוחצים על אחת מההגדרות הבאות ומעדכנים אותה לפי הצורך:
    הגדרה תיאור והגדרה
    עדכון אוטומטי של GCPW

    כדי להתקין באופן אוטומטי גירסאות חדשות של GCPW במכשירי Windows, מסמנים את התיבה עדכון אוטומטי של GCPW (היא מסומנת כברירת מחדל).

    כדי לאפשר עדכונים רק עד גרסה מסוימת, מסמנים את התיבה השבתה של עדכונים אחרי גרסה מסוימת ומזינים את הגרסה האחרונה שמותרת. אפשר להשתמש באפשרות הזו אם רוצים לבדוק את הגרסה העדכנית לפני שפורסים אותה לכל המשתמשים.

    הערה: תצטרכו לעדכן את ההגדרה הזו כשאתם מאשרים גרסאות, כדי שהמשתמשים לא ייחסמו מקבלת תכונות חדשות ועדכוני אבטחה. אם מזינים גרסה שקודמת לגרסה שמותקנת במכשיר, GCPW לא חוזר לגרסה הזו.

    כדי להשבית את העדכונים האוטומטיים של GCPW (לא מומלץ), מבטלים את הסימון בתיבה עדכון אוטומטי של GCPW.
    ניהול של כמה חשבונות

    כדי לאפשר כניסה ליותר מחשבון Google Workspace אחד למכשיר באמצעות GCPW, בוחרים באפשרות מופעל. אם אתם משתמשים בניהול מכשירי Windows, גם אם אתם מאפשרים כמה חשבונות ל-GCPW, רק משתמש אחד יכול להירשם לניהול מכשירי Windows לכל מכשיר.

    כדי לאפשר כניסה למכשיר באמצעות GCPW רק דרך חשבון Google Workspace אחד, בוחרים באפשרות מושבת.

    אם המדיניות מוגדרת ללא הוגדרה, אפשר להיכנס ליותר מחשבון Google Workspace אחד במכשיר, אלא אם הגדרת הרישום enable_multi_user_login מוגדרת ל0 במכשיר.
    רישום לניהול מכשירים

    אם הארגון שלכם משתמש בניהול מכשירי Windows, אתם יכולים להגדיר שהמכשירים יירשמו אוטומטית כשמשתמש נכנס לחשבון בפעם הראשונה דרך GCPW.

    אם התיבה רישום אוטומטי לניהול מכשירים לא מסומנת והארגון שלכם משתמש בניהול מכשירי Windows, אתם צריכים לרשום את המכשירים באופן ידני, אלא אם הגדרתם את מפתח הרישום enable_dm_enrollment לערך 1 במכשיר.
    גישה אופליין

    כדי להגביל את משך הזמן שבו משתמשים יכולים להיכנס למכשירים שלהם דרך GCPW במצב אופליין, משנים את הערך למופעל ומגדירים את מספר הימים.

    כשהמגבלה מסתיימת, המשתמש לא יכול להיכנס למכשיר עד שהוא מתחבר לאינטרנט.

    אם ההגדרה היא לא הוגדרה, המשתמש יכול להיכנס למערכת במצב אופליין ללא הגבלת זמן, אלא אם הגדרת הרישום validity_period_in_days מוגדרת במכשיר.
  9. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

ההגדרות של GCPW מסתנכרנות עם המכשירים כל שעה, ולכן יכול להיות שיעברו עד שעה מרגע ההגדרה ועד שהמשתמש יוכל להיכנס לחשבון באמצעות GCPW.

הגדרת GCPW באמצעות הגדרות הרישום של המכשיר

אם אתם לא מנהלים את GCPW באמצעות ההגדרות במסוף Admin, או אם אתם רוצים להגדיר ערכים להגדרות שלא מוגדרות במסוף Admin, אתם יכולים להגדיר אותם ברישום של כל מכשיר.

בהוראות הבאות מוסבר איך להגדיר מפתחות רישום באופן ידני, אבל אתם או משתמש עם הרשאות אדמין יכולים גם להגדיר מפתחות באמצעות סקריפט PowerShell.

הערה: אם מגדירים את GCPW במסוף Admin וברישום של מכשיר, ההגדרות במסוף Admin מבטלות את ההגדרות ברישום.

  1. מגדירים את מפתח הרישום הנדרש שמאפשר למשתמשים בדומיינים שצוינו להיכנס באמצעות GCPW, וכל מפתח רישום אחר שהארגון צריך.
    הגדרה התנהגות ברירת מחדל והגדרה ידנית

    חובה: מציינים את הדומיינים שיכולים להיכנס לחשבון באמצעות GCPW.

    הערה: משתמשים לא יכולים להיכנס באמצעות GCPW עד שמגדירים את מפתח הרישום הזה.

    ברירת מחדל: אין דומיינים שיכולים להיכנס לחשבון באמצעות GCPW

    הגדרה

    1. בתפריט ההתחלה של Windows, לוחצים על הפעלה.
    2. בתיבה 'הפעלה', מקלידים regedit.
    3. ב-Registry Editor, עוברים אל HKEY_LOCAL_MACHINE\Software\Google, לוחצים לחיצה ימנית על Google ולוחצים על New (חדש) ואזKey (מפתח) כדי ליצור תיקייה.
    4. נותנים לתיקייה את השם GCPW.
    5. לוחצים לחיצה ימנית על התיקייה GCPW ואז לוחצים על New (חדש) ואז String Value (ערך מחרוזת).
    6. בשדה השם, מזינים domains_allowed_to_login.
    7. לוחצים פעמיים על השם ובתיבה Value data (נתוני ערך) מזינים רשימה של שמות דומיינים מותרים, מופרדים באמצעות פסיקים. לדוגמה: example.com, example.org, example.net.
    8. לוחצים על אישור.
    השבתה של רישום אוטומטי לניהול מכשירי Windows

    ברירת מחדל: 1 (רישום אוטומטי של מכשירים)

    הגדרה

    1. ב-Registry Editor, לוחצים לחיצה ימנית על התיקייה GCPW ולוחצים על New (חדש) ואז DWORD.
    2. בשדה השם, מזינים enable_dm_enrollment.
    3. לוחצים פעמיים על השם ובתיבה Value data (נתוני ערך) מזינים 0. אם רוצים לאפס את המפתח כדי לאפשר הרשמה אוטומטית, משנים את הערך ל-1.
    4. לוחצים על אישור.
    דרישה מהמשתמשים להיכנס לחשבון אונליין אחרי שהמכשיר היה במצב אופליין למשך זמן מוגדר

    ברירת מחדל: לא מוגדר ערך (הכניסה אונליין לא נאכפת)

    הגדרה

    1. ב-Registry Editor, לוחצים לחיצה ימנית על התיקייה GCPW ולוחצים על New (חדש) ואז DWORD.
    2. בשדה השם, מזינים validity_period_in_days.
    3. לוחצים פעמיים על השם ובתיבה Value data (נתוני ערך) מזינים את מספר הימים בין הכניסות ל-GCPW באינטרנט.

      לדוגמה, אם מזינים 5, המשתמש צריך להיכנס לחשבון אונליין אחרי שהמכשיר שלו היה במצב אופליין במשך 5 ימים. אם מזינים 0, המשתמש צריך להיכנס לחשבון אונליין מיד אחרי שהמכשיר מתנתק מהאינטרנט.

    4. לוחצים על אישור.
    אפשר לאפשר רק למשתמש אחד להיכנס למכשיר באמצעות חשבון Google

    ברירת מחדל: כמה משתמשים יכולים להיכנס למכשיר עם חשבון Google שלהם. אם אתם משתמשים בניהול מכשירי Windows, גם אם אתם מאפשרים כמה חשבונות ל-GCPW, רק משתמש אחד יכול להירשם לניהול מכשירי Windows לכל מכשיר.

    הגדרה

    1. ב-Registry Editor, לוחצים לחיצה ימנית על התיקייה GCPW ולוחצים על New (חדש) ואז DWORD.
    2. בשדה השם, מזינים enable_multi_user_login.
    3. לוחצים פעמיים על השם ובתיבה Value data (נתוני ערך) מזינים 0. אם רוצים לאפס את המפתח כדי לאפשר שימוש אוטומטי בכמה חשבונות במכשיר, משנים את הערך ל-1.
    4. לוחצים על אישור.
    מאפשר למשתמש להיכנס באמצעות GCPW בפעם הראשונה עם פרופיל Windows מקומי קיים (בלי ללחוץ על הוספת חשבון לצורכי עבודה)

    ברירת מחדל: הכניסה באמצעות GCPW לא משתמשת בפרופיל המקומי הקיים. בכניסה הראשונה, המשתמשים צריכים ללחוץ על הוספת חשבון לצורכי עבודה.

    הגדרה

    1. ב-Registry Editor, לוחצים לחיצה ימנית על התיקייה GCPW ואז לוחצים על New (חדש) ואז Key (מפתח).
    2. נותנים למפתח את השם Users.
    3. לוחצים לחיצה ימנית על התיקייה Users ואז לוחצים על New (חדש) ואזKey (מפתח).
    4. נותנים למפתח את ה-SID (מזהה האבטחה) של חשבון Windows של המשתמש. כדי למצוא את ה-SID של משתמש, אפשר לעיין במסמכי העזרה של מיקרוסופט.
    5. לוחצים לחיצה ימנית על התיקייה SID ולוחצים על New (חדש) ואזString Value (ערך מחרוזת).
    6. בשדה השם, מזינים email.
    7. לוחצים פעמיים על השם ובתיבה Value data מזינים את החשבון לצורכי עבודה שרוצים לשייך לחשבון Windows המקומי של המשתמש. משתמשים בכתובת האימייל המלאה של המשתמש, כמו user@your-company.com.
    8. לוחצים על אישור.
    להגדיר את GCPW כך שייצור שם חדש לחשבון Windows שכולל רק את החלק של שם המשתמש בכתובת האימייל של המשתמש בעבודה או בבית הספר

    ברירת מחדל: כש-GCPW יוצר פרופיל Windows למשתמש בכניסה הראשונה (אם לא משייכים חשבונות Google לפרופילי Windows קיימים או אם לא קיים פרופיל Windows), שם החשבון נוצר מכתובת האימייל של המשתמש בפורמט username_domain.

    הגדרה

    1. ב-Registry Editor, לוחצים לחיצה ימנית על התיקייה GCPW ולוחצים על New (חדש) ואז DWORD.
    2. בשדה השם, מזינים use_shorter_account_name.
    3. לוחצים פעמיים על השם ובתיבה Value data (נתוני ערך) מזינים 1.
    4. לוחצים על אישור.
  2. מפעילים מחדש את המכשיר.

שלב 3: התקנת GCPW

יש כמה דרכים להתקין את GCPW:

  • באופן ידני, כמו שמתואר בקטע הזה.
  • שימוש בסקריפט PowerShell. מידע נוסף זמין בדוגמה של סקריפט PowerShell.
  • באמצעות כלי להפצת אפליקציות של צד שלישי או כחלק מתמונת המערכת של המחשב.

כדי להתקין את GCPW באופן ידני

  1. במכשיר, מפעילים את תוכנת ההתקנה. אפשר ללחוץ לחיצה כפולה על קובץ ההתקנה או להריץ אותו משורת הפקודה:

    1. פותחים את שורת הפקודה.
    2. כדי להתקין את הלקוח 64-ביט, מריצים את gcpwstandaloneenterprise64.exe כמנהל. כדי להתקין את הלקוח בגרסת 32 ביט, מריצים את gcpwstandaloneenterprise.exe כמנהל. כדי להריץ את מנהל ההתקנה במצב שקט, כוללים את הארגומנטים /silent /install.

    במהלך ההתקנה נוצרים 4 קבצים:

    • C:\Program Files\Google\CredentialProvider<i>version number\Gaia.dll
    • C:\Program Files\Google\CredentialProvider<i>version number\gcp_setup.exe
    • C:\Program Files\Google\CredentialProvider<i>version number\gcp_eventlog_provider.dll
    • C:\Program Files\Google\CredentialProvider<i>version number\extension\gcpw_extension.exe

  2. (אופציונלי) כדי לעזור ל-Google לשפר את GCPW, אפשר להפעיל במכשיר דיווח שגיאות אוטומטי עבור GCPW.

שלב 4: ניהול מכשירי GCPW

חוויית משתמש

ניהול אדמינים

  • אחרי שהמשתמשים נכנסים לחשבון בפעם הראשונה, אתם יכולים לבדוק את פרטי המכשיר במסוף Admin.
  • אם אתם צריכים לאפס סיסמה של משתמש, מומלץ מאוד לאפס את הסיסמה שלו במסוף Admin. אם צריך לאפס את הסיסמה דרך Microsoft Active Directory או כלי אחר, המשתמשים יצטרכו לעדכן את הסיסמה שלהם ב-Windows ואז לעדכן את הסיסמה שלהם בחשבון Google כך שתהיה זהה. משתמשים שלא מורשים לעדכן את הסיסמה שלהם, כמו תלמידים, יינעלו מחוץ לחשבון שלהם.

הגדרת GCPW באמצעות סקריפט PowerShell

אפשר להשתמש בסקריפט PowerShell כדי להוריד את GCPW, להתקין אותו ולהגדיר מפתחות רישום (אופציונלי). מומלץ לנהל את ההגדרות של GCPW באמצעות מסוף Admin.

הערה: Google לא מספקת תמיכה בשימוש בתסריטים לדוגמה. לפני שמשתמשים בסקריפט לדוגמה, צריך להיות ניסיון בשימוש בסקריפטים של PowerShell.

סקריפט לדוגמה

הסקריפט הזה מוריד את GCPW מהאתר הציבורי הקלאסי (לא כולל טוקן ספציפי לארגון) ומתקין אותו, ואז מגדיר את מפתח הרישום הנדרש שמגביל את הכניסה למכשיר לחשבונות בדומיינים ספציפיים. כדי להשתמש בסקריפט, מעתיקים אותו לכלי לעריכת טקסט ומזינים את הדומיינים המותרים בשורה 11. אם רוצים לנהל את ההגדרות של GCPW במסוף Admin, צריך לקבל את הטוקן ממסוף Admin ולהשתמש בסקריפט כדי להגדיר מפתח רישום עם הטוקן.

<# This script downloads Google Credential Provider for Windows from
https://tools.google.com/dlpage/gcpw/, then installs and configures it.
Windows administrator access is required to use the script. #>

<# Set the following key to the domains you want to allow users to sign in from.

For example:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# Check if one or more domains are set #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# Check if the current user is an admin and exit if they aren't. #>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# Choose the GCPW file to download. 32-bit and 64-bit versions have different names #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# Download the GCPW installer. #>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# Run the GCPW installer and wait for the installation to finish #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# Check if installation was successful #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# Set the required registry key with the allowed domains #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

הסרה של Google Credential Provider for Windows


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.