לפני שמתקינים את ספק פרטי הכניסה של Google ל-Windows (GCPW) במכשירים, צריך להחליט איך הסיסמאות יסונכרנו בין Google ל-Windows, לתת לצוות התמיכה גישה למכשירים ולקבוע איך רוצים לטפל בפרופילים קיימים של Windows.
הערה: GCPW לא תומך במפתחות אבטחה מסוג USB. אם אתם אוכפים שימוש במפתחות אבטחה, המשתמשים עדיין יכולים להיכנס למכשיר שלהם באמצעות מפתחות אבטחה מובנים ב-Android וב-iOS. או, כשהם מתבקשים לבצע אימות דו-שלבי, הם יכולים ללחוץ על 'אני רוצה לנסות שיטה אחרת' ולהשתמש בשיטת אימות דו-שלבי אחרת, אם יש כזו. אם אין שיטה אחרת זמינה, המשתמשים לא יכולים להיכנס למכשיר. כדי לשנות את שיטות האימות הדו-שלבי, אפשר לעיין במדריך להגדרת אימות דו-שלבי.
אחרי שתשלימו את שלבי ההגדרה המקדימים האלה, תוכלו להתקין את GCPW במכשירי Windows.
שלב 1. קביעת אסטרטגיה לניהול סיסמאות
כשמתקינים את GCPW במכשיר Windows 10 או Windows 11, המשתמש נכנס באמצעות הסיסמה של חשבון Google שלו. לאחר מכן, GCPW יכניס את המשתמש אוטומטית לפרופיל Windows ולדפדפן Chrome. כדי שהכניסה האוטומטית הזו תפעל, הסיסמה של חשבון Google והסיסמה של Windows צריכות להישאר מסונכרנות.
יש שתי דרכים לסנכרן סיסמאות: להשתמש ב-Google (מומלץ) או להשתמש בכלי סנכרון כדי להעביר עדכוני סיסמאות מ-Active Directory, מ-Microsoft Entra ID או מכלי צד שלישי אחר אל Google.
בכל אחת מהגישות האלה, המשתמשים מנהלים רק את הסיסמה לחשבון Google. הם לא יכולים לאפס את הסיסמה שלהם ממסך Ctrl+Alt+Delete במכשיר שלהם כי GCPW חוסם את התכונה הזו.
אם יש משתמשים שלא מורשים לנהל את הסיסמה שלהם, כמו תלמידים, אתם צריכים לאפס ולעדכן את הסיסמה של המשתמש במסוף Admin.
מסוף Google Admin לניהול סיסמאות
מומלץ כשמשייכים פרופילים מקומיים של Windows לחשבונות Google
אם אתם משתמשים במסוף Google Admin כדי לנהל סיסמאות והמשתמשים משנים את הסיסמאות שלהם בחשבון Google, לא נדרשת פעולה. GCPW מסנכרן באופן אוטומטי את הסיסמה לחשבון Google עם הסיסמה ל-Windows. הסנכרון מתבצע כשהמשתמשים נכנסים למכשיר עם הסיסמה החדשה כשהוא מחובר לאינטרנט.
הערה:
- אם למשתמשים יש פרופילי Windows שמשויכים לחשבונות מיקרוסופט, כמו @outlook.com ו-hotmail.com, GCPW לא יכול לסנכרן סיסמאות בין חשבון מיקרוסופט לחשבון Google. כשמשתמש משנה את הסיסמה של חשבון Microsoft שלו, הוא צריך לשנות את הסיסמה של חשבון Google שלו באופן ידני. אם הם לא יעשו את זה, הם יקבלו שגיאות בסנכרון הסיסמאות.
- אם למשתמשים יש פרופילים של Windows שמגובים על ידי AD, יכול להיות שהסנכרון של הסיסמאות בשיטה הזו לא יקרה אם המכשיר לא יוכל להתחבר לשרת AD. מומלץ להשתמש בשיטה הבאה במקום זאת.
Active Directory, Entra ID או כלים של צד שלישי לניהול סיסמאות
מומלץ כשמשייכים פרופילים של Windows עם גיבוי של AD לחשבונות Google
אם אתם משתמשים ב-Active Directory, ב-Entra ID או בכלים אחרים לניהול סיסמאות במכשירי Windows, אתם יכולים לסנכרן את הסיסמאות בחשבון Google ואת הסיסמאות ב-Windows באמצעות GSPS או כלי אחר.
הערה: בגישה הזו, המשתמשים עדיין צריכים לנהל את הסיסמאות שלהם בחשבון Google. מומלץ להשתמש במסוף Google Admin ולא ב-AD או בכלים אחרים כשנדרש איפוס סיסמה של משתמש. עדיין אפשר להשתמש ב-AD או בכלים אחרים, אבל המשתמש יצטרך לאפס את הסיסמה שלו ב-Microsoft ואז לאפס את הסיסמה שלו ב-Google כך שתהיה זהה.
אם חלק מהמשתמשים לא יכולים לשנות את הסיסמאות שלהם בעצמם, אתם צריכים לאפס את הסיסמאות שלהם בשבילם במסוף Admin. אם מאפסים את הסיסמה שלהם ב-AD או בכלים אחרים, המשתמשים לא יכולים לעבור את השגיאות 'הסיסמה שגויה' כי הם לא יכולים לשנות את הסיסמה לחשבון Google.
שלב 2. התאמה של רמות מורכבות הסיסמה
הגדרת דרישות מורכבות לסיסמאות בחשבונות Google של המשתמשים כך שיהיו זהות לדרישות הסיסמה של Active Directory או Windows, או חזקות יותר. אם דרישות הסיסמה של Google חלשות יותר, משתמש יכול לשנות את הסיסמה שלו לסיסמה שלא עומדת בדרישות הסיסמה של Windows. הם לא יוכלו לגשת לחשבון Windows שלהם עד שהם ישנו שוב את הסיסמה שלהם ב-Google כדי לעמוד בדרישות הסיסמה של Windows.
שלב 3. קביעת אופן הניהול של הגדרות GCPW
כשמגדירים את GCPW, המשתמשים לא יכולים להיכנס לחשבון באמצעות GCPW עד שמגדירים את הדומיינים שמורשים להיכנס. אפשר גם להשבית את הרישום האוטומטי בניהול מכשירי Windows, לנהל עדכונים אוטומטיים ולדרוש כניסה אונליין אחרי פרק זמן מוגדר. אפשר לנהל את ההגדרות האלה במסוף Admin או בהגדרות הרישום בכל מכשיר.
- מסוף Admin – משתמשים בגישה הזו כשרוצים שכל המשתמשים בארגון יוכלו להשתמש באותם דומיינים מותרים. אפשר להגדיר אפשרויות אחרות לפי יחידה ארגונית. הגישה הזו מאפשרת לכם לבדוק בקלות איך GCPW מוגדר. בנוסף, אפשר לשנות הגדרות בצורה יעילה יותר כי ההגדרות מועברות אוטומטית לכל המכשירים.
- הגדרות הרישום – משתמשים בגישה הזו כשרוצים לאפשר דומיינים שונים למכשירים שונים. לא תהיה לכם אפשרות לבדוק את הגדרת המכשירים במסוף Admin, ולכן תצטרכו לשמור את הנתונים בעצמכם. אם צריך לעדכן או להוסיף הגדרה, צריך לעדכן כל מכשיר.
שלב 4. שיוך חשבונות Google של משתמשים לפרופילי Windows קיימים
אם במכשיר Windows כבר מוגדר פרופיל Windows לחשבון העבודה של המשתמש, אפשר להגדיר את GCPW כך שישייך את הפרופיל הקיים לחשבון Google שלו.
אם לא משייכים את פרופיל Windows לחשבון Google, GCPW יוצר פרופיל Windows חדש לכניסה לחשבון Google. משתמשים עם פרופילים מקומיים עדיין יכולים להיכנס לפרופיל השני, אבל משתמשים ב-AD לא יוכלו לגשת לפרופיל השני. איך משתמשים נכנסים לפרופילים קיימים ב-Windows באמצעות GCPW
איך משייכים חשבונות Google לפרופילים קיימים ב-Windows
שלב 5. אם משתמשים בניהול מכשירי Windows, צריך לתת לצוות התמיכה גישה למכשירים
מוודאים שצוותי התמיכה (משתמשי Active Directory, קבוצות Active Directory ומשתמשים מקומיים) מקבלים את הרשאות האדמין המקומיות הנכונות. פרטים נוספים מופיעים במאמר בנושא ניהול הגדרות חשבון במכשירי Windows 10 או Windows 11.
שלב 6. אם משתמשים בניהול מכשירים ב-Windows, כדאי לתכנן הרשמה אוטומטית
אם אתם פורסים את GCPW באופן אוטומטי, אתם יכולים לדלג על השלב הזה.
כברירת מחדל, GCPW רושם אוטומטית את המשתמש הראשון שנכנס למכשיר דרך GCPW בניהול מכשירי Windows (כאשר ניהול מכשירי Windows מופעל עבור אותו משתמש). אם הארגון שלכם פורס תוכנה באופן ידני, יכול להיות שהאדם שמגדיר את המכשיר הוא לא המשתמש שאתם רוצים לנהל באמצעות ניהול מכשירי Windows. אם האדם שמבצע את ההגדרה נכנס לחשבון באמצעות GCPW, יכול להיות שהוא יירשם במקום המשתמש המיועד. בגלל מגבלות בניהול של Microsoft Windows, רק משתמש אחד בכל מכשיר יכול להירשם לניהול מכשירי Windows. לכן, ההגדרות של המשתמש המיועד לא יחולו אם האדם שמבצע את ההגדרה כבר רשום.
יש כמה דרכים לנהל את הרישום האוטומטי של האדם שמגדיר את המכשיר או למנוע אותו:
- אם האדם שמבצע את ההגדרה משתמש בחשבון אדמין מקומי במקום להיכנס לחשבון Google שלו, הוא לא יירשם לניהול מכשירי Windows.
- אם האדם שמבצע את ההגדרה נכנס דרך GCPW (עם חשבון בעל הרשאות או עם החשבון שלו לצורכי עבודה כדי להגדיר מכשירים), אתם יכולים להשבית את ההרשמה האוטומטית ליחידה הארגונית עם החשבונות האלה.
- אם מאפשרים למשתמש שהגדיר את המכשיר להירשם אוטומטית, אפשר לבטל את הרישום של המשתמש הזה לפני שנותנים את המכשיר למשתמש המיועד. איך עושים את זה
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.