Installare Provider di credenziali Google per Windows

In qualità di amministratore, puoi configurare Provider di credenziali Google per Windows (GCPW) per consentire agli utenti di accedere a un dispositivo Windows 10 o 11 con l'Account Google che utilizzano al lavoro o a scuola. Per i dispositivi di proprietà dell'azienda, tu o altri professionisti IT della tua organizzazione potete configurare GCPW sui dispositivi. Per i dispositivi personali per i quali l'utente dispone dei privilegi di amministratore, puoi chiedere all'utente di installare GCPW.

Requisiti

Requisiti relativi alle licenze

GCPW (standalone) - Versioni supportate per questa funzionalità: Frontline Starter, Frontline Standard e Frontline Plus; Business Starter, Business Standard e Business Plus; Enterprise Standard ed Enterprise Plus; Education Fundamentals, Education Standard, Education Plus ed Endpoint Education Upgrade; Essentials, Enterprise Essentials ed Enterprise Essentials Plus; G Suite Basic e G Suite Business; Cloud Identity Free e Cloud Identity Premium. Confronta la tua versione
GCPW con la gestione dei dispositivi Windows— Versioni supportate per questa funzionalità: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Enterprise Essentials ed Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Requisiti di sistema

Windows 10 o 11 Pro, Pro for Workstations, Enterprise o Education (solo versioni a 32 e 64 bit). I dispositivi basati su ARM non sono supportati.
Browser Chrome versione 81 o successiva (versione stabile), installato con privilegi di amministratore
Spazio su disco disponibile per ChromeOS (100 MB) e GCPW (3 MB).
Per eseguire il programma di installazione, devi disporre dei privilegi di amministratore sul dispositivo; in alternativa, puoi distribuire il programma sui dispositivi utilizzando gli strumenti di deployment del software.
GCPW non è compatibile con fornitori di servizi di gestione dei dispositivi mobili di terze parti.

Prima di iniziare: preparati per il deployment

Se non lo hai già fatto, preparati a installare GCPW e installa il browser Chrome sui dispositivi.
Se prevedi di utilizzare Chrome Enterprise Core, configuralo prima di installare GCPW. Per maggiori dettagli, vedi Configurare Chrome Enterprise Core.

Passaggio 1: scarica GCPW

Per questa attività, devi aver eseguito l'accesso come super amministratore.

I seguenti passaggi spiegano come configurare manualmente GCPW. Puoi anche utilizzare uno strumento di distribuzione app o uno script di Microsoft PowerShell per distribuire e installare GCPW. Per maggiori dettagli, vedi l'esempio di script di PowerShell.

Nella Console di amministrazione Google, vai a Menu Dispositivi Dispositivi mobili ed endpoint Impostazioni Windows.

Vai a Windows

Per questa attività, devi aver eseguito l'accesso come super amministratore.
Fai clic su Configurazione di Provider di credenziali Google per Windows (GCPW) Scarica GCPW.
Scarica il file di installazione GCPW a 64 bit o a 32 bit e distribuiscilo ai dispositivi.

Passaggio 2: configura i domini consentiti di GCPW e le impostazioni facoltative

Utilizza il metodo di configurazione appropriato in base ai tuoi obiettivi:

Per applicare le stesse impostazioni a tutti i dispositivi Windows della tua organizzazione, il modo più semplice è utilizzare la Console di amministrazione.
Per applicare impostazioni diverse per dispositivi diversi, lascia le impostazioni della Console di amministrazione su Non configurato e modifica le impostazioni del Registro di sistema su ogni dispositivo.

Nota:se entrambe le impostazioni sono configurate, quelle della Console di amministrazione hanno la priorità rispetto a quelle del Registro di sistema.

Configurare le impostazioni di GCPW nella Console di amministrazione (consigliato)

Per utilizzare GCPW, devi specificare i domini consentiti. Per impostare i domini consentiti nella Console di amministrazione, è necessario che sul dispositivo sia presente un token di registrazione. Esistono diversi modi per impostare un token:

Se hai scaricato GCPW dalla Console di amministrazione, il token viene impostato automaticamente dal file di installazione, quindi puoi procedere senza intervenire.
Se in precedenza hai impostato token di registrazione per Chrome Enterprise Core, questi token ti consentono anche di gestire le impostazioni di GCPW dalla Console di amministrazione.
Se hai scaricato GCPW dalla pagina di download classica (https://tools.google.com/dlpage/gcpw/), il file di installazione non include un token. Senza il token non puoi cambiare i domini consentiti dalla Console di amministrazione, ma puoi modificare le impostazioni in Dispositivi Dispositivi mobili ed endpoint Impostazioni Impostazioni di Windows Impostazioni GCPW. Se necessario, imposta il token GCPW sui dispositivi.

Modificare le impostazioni nella Console di amministrazione

Per questa attività, devi aver eseguito l'accesso come super amministratore.

Prima di iniziare:se devi configurare un reparto o un team per questa impostazione, vedi Aggiungere un'unità organizzativa.

Nella Console di amministrazione Google, vai a Menu Dispositivi Dispositivi mobili ed endpoint Impostazioni Windows.

Vai a Windows

Per questa attività, devi aver eseguito l'accesso come super amministratore.
Fai clic su Configurazione di Provider di credenziali Google per Windows (GCPW) Domini consentiti.
Inserisci i domini autorizzati ad accedere con GCPW. Se non aggiungi alcun dominio, nessun utente potrà accedere tramite GCPW.
Fai clic su Salva. La sincronizzazione dei domini consentiti con i dispositivi può richiedere fino a un'ora.
I domini consentiti sono l'unica impostazione obbligatoria. Per configurare altre impostazioni di GCPW, vai ai passaggi successivi.
Nella parte superiore della pagina nel breadcrumb, fai clic su Impostazioni di Windows.
Fai clic su Impostazioni GCPW.
(Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.

Fai clic su una delle seguenti impostazioni e aggiornale, se necessario:

Impostazione	Descrizione e configurazione
Aggiorna automaticamente GCPW	Per installare automaticamente le nuove versioni di GCPW sui dispositivi Windows, seleziona la casella Aggiorna automaticamente GCPW (selezionata per impostazione predefinita). Per consentire gli aggiornamenti solo fino a una versione specifica, seleziona la casella Impedisci gli aggiornamenti dopo una versione specifica e inserisci l'ultima versione consentita. Ti consigliamo di utilizzare questa opzione se vuoi provare l'ultima versione prima di eseguirne il deployment a tutti gli utenti. Nota:dovrai aggiornare questa impostazione quando approvi le versioni per consentire agli utenti di ricevere nuove funzionalità e aggiornamenti della sicurezza. Se inserisci una versione precedente a quella installata su un dispositivo, GCPW non esegue il rollback a quella versione. Per disattivare gli aggiornamenti automatici per GCPW (sconsigliato), deseleziona la casella Aggiorna automaticamente GCPW.
Gestire più account	Per consentire a più di un Account Google Workspace di accedere a un dispositivo tramite GCPW, seleziona Attivato. Se utilizzi la gestione dei dispositivi Windows, potrai registrare a questa gestione solo un utente per dispositivo anche se consenti più account per GCPW. Per consentire a un solo Account Google Workspace di accedere a un dispositivo tramite GCPW, seleziona Disattivato. Se l'impostazione è Non configurato, più di un Account Google Workspace può accedere a un dispositivo, a meno che l'impostazione del Registro di sistema `enable_multi_user_login` non sia impostata su 0 nel dispositivo.
Registra nella gestione dei dispositivi	Se la tua organizzazione utilizza la gestione dei dispositivi Windows, puoi fare in modo che i dispositivi si registrino automaticamente quando un utente accede per la prima volta tramite GCPW. Se la casella Registra automaticamente nella gestione dei dispositivi non è selezionata e la tua organizzazione utilizza la gestione dei dispositivi Windows, devi registrare manualmente i dispositivi, a meno che non imposti l'opzione `enable_dm_enrollment` della chiave del Registro di sistema su 1 nel dispositivo.
Accesso offline	Per limitare il periodo di tempo in cui gli utenti possono accedere ai propri dispositivi tramite GCPW quando sono offline, modifica il valore in Attivato e imposta il numero di giorni. Alla scadenza del tempo specificato, l'utente non sarà in grado di accedere al proprio dispositivo fino a quando non si connette a internet. Se l'opzione è impostata su Non configurato, l'utente può accedere in modalità offline per un tempo indeterminato a meno che l'impostazione del Registro di sistema `validity_period_in_days` non sia configurata sul dispositivo.

Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.
Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita.

La sincronizzazione delle impostazioni di GCPW con i dispositivi viene eseguita ogni ora, quindi può essere necessario attendere fino a un'ora perché le impostazioni vengano applicate e l'utente possa accedere tramite GCPW.

Configurare GCPW con le impostazioni del Registro di sistema del dispositivo

Se non gestisci GCPW dalle impostazioni della Console di amministrazione o vuoi configurare dei valori per impostazioni che non sono controllate dalla Console di amministrazione, puoi configurarli nel Registro di sistema di ciascun dispositivo.

Le seguenti istruzioni descrivono come configurare manualmente le chiavi del Registro di sistema, ma tu o un utente con privilegi amministrativi potete anche configurarle con uno script di PowerShell.

Nota:se configuri GCPW nella Console di amministrazione e nel Registro di sistema di un dispositivo, le impostazioni della Console di amministrazione prevalgono su quelle del Registro di sistema.

Configura la chiave del Registro di sistema obbligatoria, che consente agli utenti dei domini specificati di accedere con GCPW, e le eventuali altre chiavi del Registro necessarie per l'organizzazione.

Impostazione	Comportamento predefinito e configurazione manuale
Obbligatorio: specifica i domini autorizzati ad accedere con GCPW. Nota:gli utenti non possono accedere con GCPW finché questa chiave del Registro di sistema non è configurata.	Predefinito: nessun dominio è autorizzato ad accedere con GCPW Configurazione Nel menu Start di Windows, fai clic su Esegui. Nella casella Esegui, inserisci regedit. Nell'Editor del Registro di sistema, vai a HKEY_LOCAL_MACHINE\Software\Google, fai clic con il tasto destro del mouse su Google e poi su Nuovo Chiave per creare una cartella. Assegna alla cartella il nome GCPW. Fai clic con il tasto destro del mouse sulla cartella GCPW e scegli Nuovo Valore stringa. Come nome, inserisci `domains_allowed_to_login`. Fai doppio clic sul nome e, nella casella Dati valore, inserisci un elenco separato da virgole di nomi di dominio consentiti. Ad esempio: example.com, example.org, example.net. Fai clic su OK.
Disattivare la registrazione automatica nella gestione dei dispositivi Windows	Predefinito: 1 (registrazione automatica dei dispositivi) Configurazione Nell'Editor del Registro di sistema, fai clic con il tasto destro del mouse sulla cartella GCPW e scegli Nuovo DWORD. Come nome, inserisci `enable_dm_enrollment`. Fai doppio clic sul nome e, nella casella Dati valore, inserisci 0. Se vuoi reimpostare la chiave per consentire la registrazione automatica, cambia il valore in 1. Fai clic su OK.
Richiedi agli utenti di accedere online dopo che il dispositivo è stato offline per un determinato periodo di tempo	Predefinito: nessun valore (l'accesso online non viene imposto) Configurazione Nell'Editor del Registro di sistema, fai clic con il tasto destro del mouse sulla cartella GCPW e scegli Nuovo DWORD. Come nome, inserisci `validity_period_in_days`. Fai doppio clic sul nome e, nella casella Dati valore, inserisci il numero di giorni tra gli accessi online a GCPW. Ad esempio, se inserisci 5, l'utente dovrà accedere online dopo che il dispositivo è stato offline per 5 giorni. Se inserisci 0, l'utente dovrà accedere online subito dopo la disconnessione del dispositivo da internet. Fai clic su OK.
Consenti a un solo utente di accedere al dispositivo con un Account Google	Predefinito: più utenti possono accedere a un dispositivo usando il proprio Account Google. Se utilizzi la gestione dei dispositivi Windows, potrai registrare a questa gestione solo un utente per dispositivo anche se consenti più account per GCPW. Configurazione Nell'Editor del Registro di sistema, fai clic con il tasto destro del mouse sulla cartella GCPW e scegli Nuovo DWORD. Come nome, inserisci `enable_multi_user_login`. Fai doppio clic sul nome e, nella casella Dati valore, inserisci 0. Se vuoi reimpostare la chiave per consentire automaticamente più account sul dispositivo, cambia il valore in 1. Fai clic su OK.
Consente all'utente di accedere con GCPW per la prima volta con il proprio profilo Windows locale esistente, senza fare clic su Aggiungi account di lavoro	Predefinito: l'accesso a GCPW non utilizza il profilo locale esistente. Gli utenti devono fare clic su Aggiungi account di lavoro quando accedono per la prima volta. Configurazione Nell'Editor del Registro di sistema, fai clic con il tasto destro del mouse sulla cartella GCPW e scegli Nuovo Chiave. Assegna alla chiave il nome Users. Fai clic con il tasto destro del mouse sulla cartella Users e scegli Nuovo Chiave. Assegna alla chiave il SID (ID di sicurezza) dell'account Windows dell'utente come nome. Per informazioni su come trovare il SID di un utente, consulta la documentazione Microsoft. Fai clic con il tasto destro del mouse sulla cartella SID e scegli Nuovo Valore stringa. Come nome, inserisci `email`. Fai doppio clic sul nome e, nella casella Dati valore, inserisci l'account di lavoro che vuoi associare all'account Windows locale dell'utente. Utilizza l'indirizzo email completo dell'utente, ad esempio user@your-company.com. Fai clic su OK.
Fai in modo che GCPW configuri un nuovo nome account Windows costituito solo dal nome utente visualizzato nell'indirizzo email di lavoro o della scuola	Predefinito: quando GCPW crea un profilo Windows per l'utente al primo accesso (perché non associ gli Account Google a profili Windows esistenti o non esiste un profilo Windows), il nome dell'account viene generato dall'indirizzo email dell'utente nel formato nomeutente_dominio. Configurazione Nell'Editor del Registro di sistema, fai clic con il tasto destro del mouse sulla cartella GCPW e scegli Nuovo DWORD. Come nome, inserisci `use_shorter_account_name`. Fai doppio clic sul nome e, nella casella Dati valore, inserisci 1. Fai clic su OK.

Riavvia il dispositivo.

Passaggio 3: installa GCPW

Puoi installare GCPW in vari modi:

Manualmente, come descritto in questa sezione.
Utilizzando uno script di PowerShell. Per maggiori dettagli, vedi l'esempio di script di PowerShell.
Utilizzando uno strumento di distribuzione delle app di terze parti o come parte dell'immagine di sistema del PC.

Per installare GCPW manualmente

Sul dispositivo, esegui il programma di installazione. Puoi fare doppio clic sul file di installazione o eseguirlo dal prompt dei comandi:
1. Apri il prompt dei comandi.
2. Per installare il client a 64 bit, esegui gcpwstandaloneenterprise64.exe come amministratore. Per installare il client a 32 bit, esegui gcpwstandaloneenterprise.exe come amministratore. Per eseguire il programma di installazione in modalità silenziosa, includi gli argomenti /silent /install.
L'installazione crea quattro file:
- C:\Programmi\Google\CredentialProvider<i>numero di versione\Gaia.dll
- C:\Programmi\Google\CredentialProvider<i>numero di versione\gcp_setup.exe
- C:\Programmi\Google\CredentialProvider<i>numero di versione\gcp_eventlog_provider.dll
- C:\Programmi\Google\CredentialProvider<i>numero di versione\extension\gcpw_extension.exe
(Facoltativo) Per aiutare Google a migliorare GCPW, puoi attivare la segnalazione automatica degli errori per GCPW sul dispositivo.

Passaggio 4: gestisci i dispositivi GCPW

Esperienza utente

Ora l'utente può accedere al dispositivo con GCPW. Se autorizzati, possono gestire la password del dispositivo gestendo la password dell'Account Google.
Se gli utenti hanno problemi di accesso, puoi aiutarli seguendo le istruzioni riportate in Risolvere i problemi relativi a GCPW.

Gestione degli amministratori

Puoi esaminare i dettagli del dispositivo nella Console di amministrazione dopo che gli utenti hanno eseguito l'accesso per la prima volta.
Se devi reimpostare la password di un utente, ti consigliamo vivamente di reimpostarla nella Console di amministrazione. Se richiedi la reimpostazione della password tramite Microsoft Active Directory o un altro strumento, l'utente dovrà aggiornare la propria password di Windows e poi aggiornare la password del proprio Account Google in modo che corrispondano. Gli utenti che non sono autorizzati ad aggiornare la propria password, ad esempio gli studenti, non potranno accedere al loro account.

Configurare GCPW con uno script PowerShell

Puoi utilizzare uno script di PowerShell per scaricare GCPW, installarlo e, in via facoltativa, configurare le chiavi del Registro di sistema. Ti consigliamo di utilizzare la Console di amministrazione per gestire le impostazioni di GCPW.

Nota:Google non fornisce assistenza per l'uso degli script di esempio. Per utilizzare gli script di esempio è necessario avere familiarità con gli script di PowerShell.

Script di esempio

Questo script scarica GCPW dal sito pubblico classico (senza alcun token specifico dell'organizzazione) e lo installa, quindi configura la chiave del Registro di sistema richiesta che limita l'accesso al dispositivo agli account di domini specifici. Per utilizzare lo script, copialo in un editor di testo e inserisci i domini consentiti nella riga 11. Se vuoi gestire le impostazioni di GCPW nella Console di amministrazione, recupera il token dalla Console e utilizza lo script per impostare una chiave del Registro di sistema con il token.

<# This script downloads Google Credential Provider for Windows from
https://tools.google.com/dlpage/gcpw/, then installs and configures it.
Windows administrator access is required to use the script. #>

<# Set the following key to the domains you want to allow users to sign in from.

For example:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# Check if one or more domains are set #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# Check if the current user is an admin and exit if they aren't. #>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# Choose the GCPW file to download. 32-bit and 64-bit versions have different names #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# Download the GCPW installer. #>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# Run the GCPW installer and wait for the installation to finish #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# Check if installation was successful #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# Set the required registry key with the allowed domains #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

Argomento correlato

Disinstallare Provider di credenziali Google per Windows

Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.

Installare Provider di credenziali Google per Windows Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.