安装 Windows 版 Google 凭据提供程序

作为管理员,您可以设置 Windows 版 Google 凭据提供程序 (GCPW),让用户使用工作或学校的 Google 账号登录 Windows 10 或 11 设备。对于公司自有设备,您或您组织中的其他 IT 专业人员需要在这些设备上设置 GCPW。对于用户拥有管理员权限的个人设备,您可以让用户安装 GCPW。

要求

执照要求

  • GCPW(独立版)- 支持此功能的版本:Frontline Starter、Frontline Standard 和 Frontline Plus;Business Starter、Business Standard 和 Business Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard、Education Plus 和 Endpoint Education Upgrade;Essentials、Enterprise Essentials 和 Enterprise Essentials Plus;G Suite 基本版和 G Suite 商务版;Cloud Identity 免费版和 Cloud Identity 专业版。 比较您的版本
  • 支持 Windows 设备管理的 GCPW - 支持此功能的版本:一线员工新手版、一线员工标准版和一线员工 Plus 版;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和端点教育升级版;企业基本功能版和企业基本功能 Plus 版;Cloud Identity 专业版。  版本对比

系统要求

  • Windows 10 或 11 专业版、工作站专业版、企业版或教育版(仅限 32 位和 64 位版本)。不支持基于 ARM 的设备。
  • Chrome 浏览器 81 版或更高版本(稳定版),安装时已获得管理员权限。
  • ChromeOS (100 MB) 和 GCPW (3 MB) 的可用磁盘空间。
  • 您需要设备的管理员权限才能运行安装程序,您也可以使用软件部署工具将安装程序部署到设备。
  • GCPW 与移动设备管理的第三方提供商不兼容。

准备工作 - 为部署做好准备

  1. 如果您尚未安装,请准备安装 GCPW 并在设备上安装 Chrome 浏览器。
  2. 如果您打算使用 Chrome 企业核心版,请先设置它,然后再安装 GCPW。如需了解详情,请参阅设置 Chrome 企业核心版

第 1 步:下载 GCPW

您必须以超级用户身份登录,才能执行此任务。

以下步骤介绍了如何手动设置 GCPW。您也可以使用应用分发工具或 Microsoft PowerShell 脚本分发和安装 GCPW。有关详情,请参阅 PowerShell 示例脚本

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后移动设备和端点 然后设置 然后Windows

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Windows 版 Google 凭据提供程序设置 然后下载 GCPW
  3. 下载 64 位或 32 位 GCPW 安装文件并将其分发到设备。

第 2 步:设置 GCPW 允许的网域和可选设置

根据您的目标,使用对应的配置方法:

  • 要将相同的设置应用到贵组织中的所有 Windows 设备,最简单的方法就是使用管理控制台。
  • 要将不同的设置应用到不同的设备,请将管理控制台中的设置保留为未配置,然后在每台设备上修改注册表设置。

注意:如果您同时配置了管理控制台中的设置,则管理控制台设置会覆盖注册表设置。

要使用 GCPW,您必须设置允许的网域。要在管理控制台中设置允许的网域,设备必须拥有注册令牌。设置令牌有几种方式:

  • 如果您从管理控制台下载了 GCPW,您的安装文件会自动设置令牌,您可以继续操作。
  • 如果您之前为 Chrome 企业核心版设置了注册令牌,则您可以通过这些令牌在管理控制台中管理 GCPW 设置。
  • 如果您是通过传统下载页面 (https://tools.google.com/dlpage/gcpw/) 下载的 GCPW,则您的安装文件不包含令牌。如果没有令牌,您将无法在管理控制台中更改允许的网域,但可以修改以下位置的设置:设备 然后移动设备和端点 然后设置 然后Windows 设置 然后GCPW 设置。如果需要,请在设备上设置 GCPW 令牌

在管理控制台中修改设置

您必须以超级用户身份登录,才能执行此任务。

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后移动设备和端点 然后设置 然后Windows

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Windows 版 Google 凭据提供程序 (GCPW) 设置 然后允许的网域
  3. 输入允许使用 GCPW 登录的网域。如果您不添加任何网域,则所有用户都无法通过 GCPW 登录。
  4. 点击保存。最长可能需要一小时允许的网域的设置才会同步至设备。

    “允许的网域”是唯一一个必填的设置。如需配置其他 GCPW 设置,请接着执行后续步骤。

  5. 在页面顶部的面包屑导航中,点击 Windows 设置
  6. 点击 GCPW 设置
  7. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  8. 点击以下任一设置并根据需要进行更新:
    设置 说明和设置
    自动更新 GCPW

    如需在 Windows 设备上自动安装新版本的 GCPW,请勾选自动更新 GCPW 对应的复选框(默认情况下处于选中状态)。

    要仅允许更新到特定版本,请勾选更新到特定版本后,禁止继续更新对应的复选框,然后输入允许更新的最新版本。如果您想先测试最新版本然后再为所有用户部署,则建议您采用此方法。

    注意:您必须在批准版本后更新此设置,用户才能获得新功能和安全更新。如果您输入的版本早于设备上安装的版本,系统不会将 GCPW 回滚到旧版本。

    如要停用 GCPW 自动更新功能(不推荐),请取消选中自动更新 GCPW 对应的复选框。
    管理多个账号

    要允许多个 Google Workspace 账号通过 GCPW 登录设备,请选择已启用。如果您使用 Windows 设备管理,即使您允许多个账号使用 GCPW,每台设备也只能有一位用户注册 Windows 设备管理。

    要仅允许单个 Google Workspace 账号通过 GCPW 登录设备,请选择已停用

    如果将该值设置为尚未配置,除非您在设备上将 enable_multi_user_login 注册表设置设为 0,否则系统将允许多个 Google Workspace 账号登录设备。
    注册设备管理服务

    如果贵组织使用 Windows 设备管理服务,您可以让设备在用户首次通过 GCPW 登录时自动注册。

    如果您未勾选自动注册设备管理服务对应的复选框,而贵组织使用了 Windows 设备管理服务,除非您在设备上将 enable_dm_enrollment 注册表项设为 1,否则就必须手动注册设备
    离线访问

    如要限制用户能够通过 GCPW 离线登录其设备的时长,请将该值更改为已启用,然后设置天数。

    设置的期限到期后,用户必须连接到互联网才能登录设备。

    如果将该值设置为尚未配置,除非您在设备上设置了 validity_period_in_days 注册表设置,否则用户可以无限期离线登录。
  9. 点击保存。或者,您也可以针对组织部门点击覆盖

    如果之后要恢复继承的值,请点击继承

系统会每隔 1 小时将 GCPW 设置同步到设备上,因此最长可能需要 1 小时您的设置才能应用于设备,用户才能通过 GCPW 登录。

使用设备的注册表设置配置 GCPW

如果您不是通过管理控制台中的设置管理 GCPW,或者想为不是在管理控制中配置的设置设定值,您可以在每台设备上的注册表中设置。

以下说明介绍了如何手动设置注册表项,但您或拥有管理员权限的用户也可以使用 PowerShell 脚本设置注册表项。

注意:如果您在管理控制台和设备的注册表中配置了 GCPW,则管理控制台设置会覆盖注册表设置。

  1. 配置允许指定网域中的用户使用 GCPW 登录的必需注册表项,以及贵组织所需的任何其他注册表项。
    设置 默认行为和手动设置

    必需:指定允许使用 GCPW 登录的网域。

    注意:设置此注册表项后,用户才能使用 GCPW 登录。

    默认:不允许任何网域使用 GCPW 登录

    设置

    1. 在 Windows 的“开始”菜单中,点击运行
    2. 在“运行”对话框中,输入 regedit
    3. 在注册表编辑器中,前往 HKEY_LOCAL_MACHINE\Software\Google,右键点击 Google,然后点击新建 然后以创建文件夹。
    4. 将文件夹命名为 GCPW
    5. 右键点击 GCPW 文件夹,然后点击新建 然后字符串值
    6. 对于名称,请输入 domains_allowed_to_login
    7. 双击该名称,然后在数值数据框中输入允许的域名(以英文逗号分隔)。例如:example.com, example.org, example.net
    8. 点击确定
    在 Windows 设备管理中关闭自动注册

    默认值:1(自动注册设备)

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 然后DWORD
    2. 对于名称,请输入 enable_dm_enrollment
    3. 双击该名称,然后在数值数据框中输入 0。如果您想要重置该项以允许自动注册,请将值更改为 1
    4. 点击确定
    要求用户在设备离线一段时间后在线登录

    默认:没有值(不强制要求在线登录)

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 然后DWORD
    2. 对于名称,请输入 validity_period_in_days
    3. 双击该名称,然后在数值数据框中输入两次使用 GCPW 在线登录之间间隔的天数。

      例如,如果您输入 5,则用户需要在设备离线 5 天后在线登录。如果您输入 0,则用户在设备与互联网断开连接后便需立即在线登录。

    4. 点击确定
    仅允许一位用户使用 Google 账号登录设备

    默认:允许多位用户使用自己的 Google 账号登录设备。如果您使用 Windows 设备管理,即使您允许多个账号使用 GCPW,每台设备也只能有一位用户注册 Windows 设备管理。

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 然后DWORD
    2. 对于名称,请输入 enable_multi_user_login
    3. 双击该名称,然后在数值数据框中输入 0。如果您想要重置该项以允许在设备上自动支持多个账号,请将值更改为 1
    4. 点击确定
    允许用户在借助 GCPW 首次登录时使用其现有的本地 Windows 配置文件(无需点击添加工作账号

    默认:使用 GCPW 登录时不使用现有的本地配置文件。用户在首次登录时必须点击添加工作账号

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 然后
    2. 将该项命名为 Users
    3. 右键点击 Users 文件夹,然后点击新建 然后
    4. 将该项命名为用户的 Windows 账号 SID(安全标识符)。如需查找用户的 SID,请参阅相关 Microsoft 文档。
    5. 右键点击 SID 文件夹,然后点击新建 然后字符串值
    6. 对于名称,请输入 email
    7. 双击该名称,然后在数值数据框中,输入您要与用户的本地 Windows 账号关联的工作账号。请使用用户的完整电子邮件地址,例如 <用户名>@<您的公司名称>.comuser@your-company.com
    8. 点击确定
    让 GCPW 设置一个新的 Windows 账号名称,该名称仅为相应用户的工作或学校账号的用户名部分。

    默认:在用户首次登录(您未将 Google 账号与现有 Windows 配置文件相关联或者不存在 Windows 配置文件)时,GCPW 会创建 Windows 配置文件,然后系统会采用“用户名_域名”这样的格式从用户电子邮件地址提取账号名称。

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 然后DWORD
    2. 对于名称,请输入 use_shorter_account_name
    3. 双击该名称,然后在数值数据框中输入 1。
    4. 点击确定
  2. 重启设备。

第 3 步:安装 GCPW

您可以通过以下几种方式安装 GCPW:

  • 手动安装,如本部分所述。
  • 使用 PowerShell 脚本。有关详情,请参阅 PowerShell 示例脚本
  • 使用第三方应用分发工具或作为 PC 系统映像的组成部分安装。

手动安装 GCPW

  1. 在设备上,运行安装程序。您可以双击安装文件,也可以通过命令提示符运行该文件:

    1. 打开命令提示符。
    2. 要安装 64 位客户端,请以管理员身份运行 gcpwstandaloneenterprise64.exe。要安装 32 位客户端,请以管理员身份运行 gcpwstandaloneenterprise.exe。如需在静默模式下运行安装程序,请添加参数 /silent /install

    安装过程将创建 4 个文件:

    • C:\Program Files\Google\CredentialProvider<i>版本号\Gaia.dll
    • C:\Program Files\Google\CredentialProvider<i>版本号\gcp_setup.exe
    • C:\Program Files\Google\CredentialProvider<i>版本号\gcp_eventlog_provider.dll
    • C:\Program Files\Google\CredentialProvider<i>版本号\extension\gcpw_extension.exe

  2. (可选)要帮助 Google 改进 GCPW,您可以在设备上为 GCPW 启用自动报错功能

第 4 步:管理 GCPW 设备

用户体验

管理员管理

  • 用户首次登录后,您可以在管理控制台中查看设备详细信息
  • 如果您需要重置用户密码,我们强烈建议您在管理控制台中为用户重置其密码。如果您要求通过 Microsoft Active Directory 或其他工具重置密码,他们就必须更新自己的 Windows 密码,然后再更新 Google 账号密码以使两者相匹配。无权更新自己密码的用户(例如学生)将无法访问自己的账号。

使用 PowerShell 脚本设置 GCPW

您可以使用 PowerShell 脚本下载并安装 GCPW,以及视情况设置注册表项。我们建议您使用管理控制台管理 GCPW 设置。

注意:如果您使用示例脚本,Google 将不会对此提供支持。在使用 PowerShell 示例脚本之前,您应该具备使用该脚本的经验。

示例脚本

此脚本会从传统的公开网站下载并安装 GCPW(不含组织专有令牌),然后配置必需的注册表项(仅允许特定网域中的账号登录设备)。要使用该脚本,请将其复制到文本编辑器中,然后在第 11 行中输入允许的网域。如果您想通过管理控制台管理 GCPW 设置,请从管理控制台获取令牌,然后使用相应脚本来设置包含该令牌的注册表项

<# This script downloads Google Credential Provider for Windows from
https://tools.google.com/dlpage/gcpw/, then installs and configures it.
Windows administrator access is required to use the script. #>

<# Set the following key to the domains you want to allow users to sign in from.

For example:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# Check if one or more domains are set #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# Check if the current user is an admin and exit if they aren't. #>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# Choose the GCPW file to download. 32-bit and 64-bit versions have different names #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# Download the GCPW installer. #>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# Run the GCPW installer and wait for the installation to finish #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# Check if installation was successful #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# Set the required registry key with the allowed domains #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

卸载 Windows 版 Google 凭据提供程序


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。