安裝 Google 憑證提供者 Windows 版

管理員可以設定 Google 憑證提供者 Windows 版 (GCPW),讓使用者透過公司或學校的 Google 帳戶登入 Windows 10 或 11 裝置。如果是公司擁有的裝置,您或貴機構的其他 IT 專業人員須在裝置上設定 GCPW;如果是使用者本身具備管理員權限的個人裝置,您可以請他們自行安裝 GCPW。

需求條件

執照規定

  • GCPW (獨立版) - 支援這項功能的版本:Frontline Starter、Frontline Standard 和 Frontline Plus;Business Starter、Business Standard 和 Business Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard、Education Plus 和 Endpoint Education Upgrade;Essentials、Enterprise Essentials 和 Enterprise Essentials Plus;G Suite Basic 和 G Suite Business;Cloud Identity 免費版和 Cloud Identity 進階版。 版本比較
  • 透過 GCPW 管理 Windows 裝置— 支援這項功能的版本:Frontline Starter、Frontline Standard 和 Frontline Plus;Business Plus;Enterprise Standard 和 Enterprise Plus;Education Standard、Education Plus 和 Endpoint Education Upgrade;Enterprise Essentials 和 Enterprise Essentials Plus;Cloud Identity 進階版。  版本比較

系統需求

  • Windows 10 或 11 專業版、工作站專業版、企業版或教育版 (僅限 32 位元和 64 位元版本)。不支援 ARM 裝置。
  • Chrome 81 以上版本 (穩定版) 的瀏覽器,須具備管理員權限才能安裝。
  • 足夠的磁碟空間,可安裝 ChromeOS (100 MB) 和 GCPW (3 MB)。
  • 您必須具備裝置的管理員權限才能執行安裝程式,或者,您也可以使用軟體部署工具將安裝程式部署至裝置。
  • GCPW 與行動裝置管理服務的第三方供應商不相容。

事前準備 - 準備部署作業

  1. 如果還沒開始,請先準備安裝 GCPW,並在裝置上安裝 Chrome 瀏覽器。
  2. 如果您打算使用 Chrome Enterprise 基本版,請先設定該服務,再安裝 GCPW。詳情請參閱「設定 Chrome Enterprise 基本版」。

步驟 1:下載 GCPW

您必須以超級管理員的身分登入,才能執行這項工作。

下列步驟說明如何手動設定 GCPW。不過您也可以使用應用程式發布工具或 Microsoft PowerShell 指令碼來發布及安裝 GCPW。詳情請參閱 PowerShell 範例指令碼

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「行動裝置和端點」接下來「設定」接下來「Windows」

    您必須以超級管理員的身分登入,才能執行這項工作。

  2. 按一下「設定 Google 憑證提供者 Windows 版」 接下來「下載 GCPW」
  3. 下載 64 位元或 32 位元 GCPW 安裝檔,然後發布到裝置上。

步驟 2:指定 GCPW 允許的網域和選用設定

請根據您的目的採用適合的設定方式:

  • 如要將相同設定套用到貴機構的所有 Windows 裝置,最簡單的做法是使用管理控制台。
  • 如要對不同裝置套用不同設定,請將管理控制台設定維持在「未設定」狀態,然後分別編輯每部裝置的登錄設定。

注意:如果同時設置管理控制台設定和登錄檔設定,前者會覆寫後者的設定。

如要使用 GCPW,您必須先設定允許的網域。如要在管理控制台中設定允許的網域,裝置上必須有註冊權杖。您可以透過下列幾種方式設定權杖:

  • 如果您是從管理控制台下載 GCPW,那麼安裝檔會自動設定權杖,您可以直接進行後續作業。
  • 如果您先前已設定 Chrome Enterprise 基本版的註冊權杖,這類權杖同樣能讓您從管理控制台管理 GCPW 設定。
  • 如果您是從傳統下載頁面 (https://tools.google.com/dlpage/gcpw/) 下載 GCPW,則安裝檔不含權杖。在沒有權杖的情況下,您無法透過管理控制台更改允許網域,但是仍能編輯相關設定,方法是依序點選「裝置」接下來「行動裝置和端點」接下來「設定」接下來「Windows 設定」接下來「GCPW 設定」。必要時,您可以在裝置上設定 GCPW 權杖

在管理控制台中編輯設定

您必須以超級管理員的身分登入,才能執行這項工作。

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「行動裝置和端點」接下來「設定」接下來「Windows」

    您必須以超級管理員的身分登入,才能執行這項工作。

  2. 依序按一下「設定 Google 憑證提供者 Windows 版 (GCPW)」 接下來「允許網域」
  3. 輸入允許透過 GCPW 登入的網域。如果您未新增任何網域,使用者都將一律無法透過 GCPW 登入。
  4. 按一下 [儲存]。允許網域的設定會在一小時內同步到裝置上。

    允許網域是唯一的必要設定。如要調整其他 GCPW 設定,請進行後續步驟。

  5. 在頁面頂端的導覽標記中,按一下「Windows 設定」
  6. 按一下「GCPW 設定」
  7. (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」
  8. 點選下列任一設定,然後視需求進行更新:
    設定 說明與設定
    自動更新 GCPW

    如要在 Windows 裝置上自動安裝新版 GCPW,請勾選「自動更新 GCPW」方塊 (系統會預設勾選這個方塊)。

    如果只要允許更新至特定版本,請勾選「只更新到特定版本為止」方塊,然後輸入允許的最新版本。假使您想先測試最新版本再為使用者部署,建議您採用這種做法。

    注意:您必須在核准版本後更新這項設定,使用者才能取得新功能和安全性更新。如果您輸入的版本比裝置安裝的版本還舊,系統不會將 GCPW 復原為舊版本。

    如要關閉 GCPW 自動更新功能 (不建議),請取消勾選「自動更新 GCPW」方塊。
    管理多個帳戶

    如要允許多個 Google Workspace 帳戶透過 GCPW 登入裝置,請選取「已啟用」。如果您使用 Windows 裝置管理服務,即便您允許多個帳戶使用 GCPW,每部裝置仍將只有一位使用者可以註冊 Windows 裝置管理服務。

    如果只要允許單一 Google Workspace 帳戶透過 GCPW 登入裝置,請選取「已停用」

    當設定狀態為「未設定」時,除非您在裝置上將 enable_multi_user_login 登錄檔設定設為 0,否則裝置將開放多個 Google Workspace 帳戶登入。
    註冊裝置管理服務

    如果貴機構使用 Windows 裝置管理服務,您可以讓裝置在使用者首次透過 GCPW 登入時自動註冊。

    如果未勾選「自動註冊裝置管理服務」方塊,且貴機構使用 Windows 裝置管理服務,除非您在裝置上將 enable_dm_enrollment 登錄機碼設為 1,否則就必須手動註冊裝置
    離線存取

    如要限制使用者可透過 GCPW 離線登入裝置的時間長度,請將值變更為「已啟用」,然後設定天數。

    期限屆滿後,使用者將須連上網際網路才能登入裝置。

    當設定狀態為「未設定」時,除非您在裝置上指定 validity_period_in_days 登錄檔設定,否則使用者可以無限期離線登入裝置。
  9. 按一下「儲存」。如果是機構單位,您也可以按一下「覆寫」

    如要日後還原沿用的值,請按一下「沿用」

GCPW 設定每小時會同步到裝置一次,因此您的設定最多可能要過 1 小時才會生效,屆時使用者才能透過 GCPW 登入。

透過裝置的登錄檔設定來調整 GCPW 設定

如果您不要使用管理控制台中的設定來管理 GCPW,或是想要針對未在管理控制台中配置的設定調整數值,可以在每部裝置的登錄檔中進行設定。

下列指示說明如何手動設定登錄機碼,不過您或具備管理員權限的使用者也可以使用 PowerShell 指令碼設定機碼。

注意:如果分別透過管理控制台和裝置的登錄檔調整 GCPW 設定,前者會覆寫後者的設定。

  1. 設定讓指定網域使用者透過 GCPW 登入的必要登錄機碼,以及貴機構需要的任何其他登錄機碼。
    設定 系統預設行為和手動設定方式

    必要:指定哪些網域可使用 GCPW 登入。

    注意:在設定這個登錄機碼之前,使用者將無法透過 GCPW 登入。

    預設值:一律禁止網域使用 GCPW 登入

    設定方式

    1. 在 Windows「開始」功能表中按一下「執行」
    2. 在「執行」方塊中輸入 regedit
    3. 在登錄編輯程式中前往 HKEY_LOCAL_MACHINE\Software\Google,然後在「Google」上按一下滑鼠右鍵,接著依序點選「新增」 接下來「機碼」來建立資料夾。
    4. 將資料夾命名為「GCPW」GCPW
    5. 在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選「新增」 接下來「字串值」
    6. 輸入 domains_allowed_to_login 做為名稱。
    7. 按兩下名稱,然後在「數值資料」方塊中輸入允許的網域名稱清單 (以半形逗號分隔),例如:example.com、example.org、example.net
    8. 按一下「確定」
    關閉 Windows 裝置管理服務的自動註冊功能

    預設值:1 (自動註冊裝置)

    設定方式

    1. 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選「新增」 接下來「DWORD」
    2. 輸入 enable_dm_enrollment 做為名稱。
    3. 按兩下名稱,然後在「數值資料」方塊中輸入「0」。如果您想重設機碼,允許自動註冊裝置,請將值改為「1」
    4. 按一下「確定」
    要求使用者在裝置離線達到設定天數後執行線上登入

    預設值:沒有數值 (未強制執行線上登入)

    設定方式

    1. 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選「新增」 接下來「DWORD」
    2. 輸入 validity_period_in_days 做為名稱。
    3. 按兩下名稱,然後在「數值資料」方塊中輸入每次 GCPW 線上登入操作的相隔天數。

      舉例來說,如果您輸入的值為 5,使用者就必須在裝置離線 5 天後進行線上登入。如果輸入的值為 0,使用者就必須在裝置的網際網路連線中斷後,立即執行線上登入。

    4. 按一下「確定」
    僅允許一位使用者透過 Google 帳戶登入裝置

    預設值:允許多位使用者透過自己的 Google 帳戶登入裝置。如果您使用 Windows 裝置管理服務,即便您允許多個帳戶使用 GCPW,每部裝置仍將只有一位使用者可以註冊 Windows 裝置管理服務。

    設定方式

    1. 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選「新增」 接下來「DWORD」
    2. 輸入 enable_multi_user_login 做為名稱。
    3. 按兩下名稱,然後在「數值資料」方塊中輸入「0」。如要重設機碼,允許在裝置上自動使用多個帳戶,請將值改為「1」
    4. 按一下「確定」
    讓使用者在首次透過 GCPW 登入時使用現有的本機 Windows 設定檔 (不必點選「新增公司帳戶」)

    預設值:透過 GCPW 登入時不使用現有的本機設定檔。使用者必須在首次登入時按一下「新增公司帳戶」

    設定方式

    1. 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選「新增」 接下來「機碼」
    2. 將機碼命名為 Users
    3. 在「Users」資料夾上按一下滑鼠右鍵,然後依序點選「新增」 接下來「機碼」
    4. 將機碼命名為使用者的 Windows 帳戶 SID (安全性識別碼)。如要尋找使用者的 SID,請參閱 Microsoft 的說明文件。
    5. 在「SID」資料夾上按一下滑鼠右鍵,然後依序點選「新增」接下來「字串值」
    6. 輸入 email 做為名稱。
    7. 按兩下名稱,然後在「數值資料」方塊中輸入要與使用者本機 Windows 帳戶建立關聯的公司帳戶。請輸入使用者的完整電子郵件地址,例如 <使用者>@<貴公司>.comuser@your-company.com
    8. 按一下「確定」
    讓 GCPW 在為使用者設定新的 Windows 帳戶時,僅使用其公司或學校電子郵件地址的使用者名稱部分做為帳戶名稱

    預設值:如果您未將 Google 帳戶與現有 Windows 設定檔建立關聯,或者目前沒有 Windows 設定檔,GCPW 就會為初次登入的使用者建立 Windows 設定檔,並根據對方的電子郵件地址產生帳戶名稱,格式為 <使用者名稱>_<網域>

    設定方式

    1. 開啟登錄編輯程式,在「GCPW」資料夾上按一下滑鼠右鍵,然後依序點選「新增」 接下來「DWORD」
    2. 輸入 use_shorter_account_name 做為名稱。
    3. 按兩下名稱,然後在「數值資料」方塊中輸入「1」。
    4. 按一下「確定」
  2. 重新啟動裝置。

步驟 3:安裝 GCPW

您可以透過以下幾種方式安裝 GCPW:

  • 手動安裝 (如本節所述)
  • 使用 PowerShell 指令碼。詳情請參閱 PowerShell 範例指令碼
  • 使用第三方應用程式發布工具,或與電腦系統映像檔一併安裝

如何手動安裝 GCPW

  1. 在裝置上執行安裝程式。您可以按兩下安裝檔,也可以透過命令提示字元執行該檔案:

    1. 開啟命令提示字元。
    2. 如要安裝 64 位元用戶端,請以管理員身分執行 gcpwstandaloneenterprise64.exe。如要安裝 32 位元用戶端,請以管理員身分執行 gcpwstandaloneenterprise.exe。如要在無訊息模式中執行安裝程式,請納入以下引數:/silent /install

    安裝作業會建立 4 個檔案:

    • C:\Program Files\Google\CredentialProvider<i>版本號碼\Gaia.dll
    • C:\Program Files\Google\CredentialProvider<i>版本號碼\gcp_setup.exe
    • C:\Program Files\Google\CredentialProvider\<i>版本號碼\gcp_eventlog_provider.dll
    • C:\Program Files\Google\CredentialProvider\<i>版本號碼\extension\gcpw_extension.exe

  2. (選用) 如要協助 Google 改善 GCPW,您可以在裝置上啟用 GCPW 的自動產生錯誤報告功能

步驟 4:管理 GCPW 裝置

使用者體驗

管理員管理

  • 使用者首次登入後,您就能在管理控制台中查看裝置詳細資料
  • 如果您需要重設使用者的密碼,強烈建議您在管理控制台中重設他們的密碼。如需透過 Microsoft Active Directory 或其他工具重設密碼,使用者必須更新 Windows 密碼,並將 Google 帳戶密碼更新為相同的密碼。如果使用者無法自行更新密碼 (例如學生),將無法登入帳戶。

使用 PowerShell 指令碼設定 GCPW

您可以使用 PowerShell 指令碼下載及安裝 GCPW,並視需求設定登錄機碼。建議您透過管理控制台控管 GCPW 設定。

注意:Google 不會提供使用範例指令碼方面的支援服務。建議您只在具備 PowerShell 指令碼使用經驗的情況下使用範例指令碼。

範例指令碼

這個指令碼會從公開網站 (未提供機構專屬的權杖) 下載並安裝 GCPW,然後設定必要的登錄機碼,僅開放特定網域中的帳戶登入裝置。如要使用指令碼,請將指令碼複製到文字編輯器中,然後在第 11 行輸入您要允許的網域。如要透過管理控制台管理 GCPW 設定,請先取得管理控制台中的權杖,然後使用指令碼設定有權杖的登錄機碼

<# This script downloads Google Credential Provider for Windows from
https://tools.google.com/dlpage/gcpw/, then installs and configures it.
Windows administrator access is required to use the script. #>

<# Set the following key to the domains you want to allow users to sign in from.

For example:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# Check if one or more domains are set #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('The list of domains cannot be empty! Please edit this script.', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# Check if the current user is an admin and exit if they aren't. #>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('Please run as administrator!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# Choose the GCPW file to download. 32-bit and 64-bit versions have different names #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# Download the GCPW installer. #>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# Run the GCPW installer and wait for the installation to finish #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# Check if installation was successful #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('Installation failed!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('Installation completed successfully!', 'GCPW', 'OK', 'Info')
}

<# Set the required registry key with the allowed domains #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('Configuration completed successfully!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('Could not write to registry. Configuration was not completed.', 'GCPW', 'OK', 'Error')

}

解除安裝 Google 憑證提供者 Windows 版


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。