Прежде чем устанавливать Google Credential Provider for Windows (GCPW) на устройства, необходимо определить, как будут синхронизироваться пароли между Google и Windows, предоставить вашей службе поддержки доступ к устройствам и решить, как вы хотите обрабатывать существующие профили Windows.
Примечание: GCPW не поддерживает USB-ключи безопасности. Если вы используете ключи безопасности, пользователи по-прежнему могут входить в систему с помощью встроенных ключей безопасности Android и iOS. Или, когда появится запрос на двухфакторную аутентификацию, они могут нажать «Попробовать другой способ» и использовать другой метод двухфакторной аутентификации, если таковой доступен. Если другой метод недоступен, пользователи не смогут войти в систему. Чтобы изменить методы двухфакторной аутентификации, перейдите к руководству по настройке двухфакторной аутентификации .
После выполнения этих предварительных шагов настройки вы сможете установить GCPW на устройства под управлением Windows.
Шаг 1. Определитесь со стратегией управления паролями.
При установке GCPW на устройство с Windows 10 или 11 пользователь входит в систему, используя пароль от своей учетной записи Google. Затем GCPW автоматически входит в профиль пользователя в Windows и браузер Chrome. Для корректной работы автоматического входа пароль от учетной записи Google и пароль от Windows должны быть синхронизированы.
Синхронизировать пароли можно двумя способами: использовать Google (рекомендуется) или воспользоваться инструментом синхронизации, который будет передавать обновления паролей из Active Directory, Microsoft Entra ID или других сторонних инструментов в Google.
При любом подходе пользователи управляют только паролем от Google . Они не могут сбросить свой пароль через экран Ctrl+Alt+Delete на своем устройстве, поскольку GCPW блокирует эту функцию.
Если некоторым пользователям, например студентам, запрещено самостоятельно управлять своими паролями, необходимо сбросить и обновить пароль пользователя в консоли администратора.
Консоль администратора Google для управления паролями
Рекомендуется при связывании локальных профилей Windows с учетными записями Google.
Если вы используете консоль администратора Google для управления паролями , и пользователи меняют свои пароли в учетной записи Google , никаких действий не требуется. GCPW автоматически синхронизирует пароль учетной записи Google с паролем Windows. Синхронизация происходит, когда пользователь входит в систему на своем устройстве с новым паролем, подключенном к интернету.
Примечание:
- Если у пользователей есть профили Windows, связанные с учетными записями Microsoft, например, @outlook.com и hotmail.com, GCPW не сможет синхронизировать пароли между учетной записью Microsoft и учетной записью Google. При изменении пароля учетной записи Microsoft пользователю необходимо вручную изменить пароль учетной записи Google. В противном случае возникнут ошибки синхронизации паролей.
- Если у пользователей есть профили Windows, поддерживаемые Active Directory, синхронизация паролей этим методом может не произойти, если устройство не сможет подключиться к серверу AD. Мы рекомендуем использовать следующий метод.
Active Directory, Entra ID или сторонние инструменты для управления паролями.
Рекомендуется при связывании профилей Windows, использующих Active Directory, с учетными записями Google.
Если вы используете Active Directory, Entra ID или другие инструменты для управления паролями на устройствах Windows, синхронизируйте пароли учетных записей Google и пароли Windows с помощью G Suite Password Sync (GSPS) или другого инструмента.
Примечание: При таком подходе пользователям по-прежнему следует управлять своими паролями в учетной записи Google. Мы рекомендуем использовать консоль администратора Google, а не Active Directory или другие инструменты, когда требуется сбросить пароль пользователя. Вы можете использовать Active Directory или другие инструменты, но пользователю придется сначала сбросить свой пароль Microsoft, а затем сбросить пароль Google, чтобы он соответствовал предыдущему.
Если некоторым пользователям запрещено самостоятельно менять свои пароли, необходимо сбросить их пароли в консоли администратора . Если вы сбросите пароль в Active Directory или других инструментах, пользователи не смогут избежать ошибок типа «Неверный пароль», поскольку не смогут изменить пароль своей учетной записи Google.
Шаг 2. Обеспечьте совместимость уровней сложности паролей.
Установите требования к сложности паролей для учетных записей Google пользователей на уровне или выше, чем требования к паролям Active Directory или Windows. Если требования к паролям Google ниже, пользователь может изменить свой пароль на пароль, не соответствующий требованиям Windows. Он не сможет получить доступ к своей учетной записи Windows, пока снова не изменит свой пароль Google в соответствии с требованиями Windows.
Шаг 3. Определите, как управлять настройками GCPW.
При настройке GCPW пользователи не смогут войти в систему через GCPW, пока вы не укажете, каким доменам разрешен вход. Вы также можете отключить автоматическую регистрацию в управлении устройствами Windows, управлять автоматическими обновлениями и требовать онлайн-входа через заданное время. Этими настройками можно управлять в консоли администратора или в параметрах реестра на каждом устройстве.
- Консоль администратора — используйте этот подход, если у всех сотрудников вашей организации будут одинаковые разрешенные домены. Вы можете установить другие параметры для каждого подразделения организации. Этот подход позволяет легко проверить настройки GCPW. Он также позволяет более эффективно изменять настройки, поскольку они автоматически передаются на все устройства.
- Настройки реестра — используйте этот подход, если хотите разрешить использование разных доменов для разных устройств. Вы не сможете просмотреть настройки устройств из консоли администратора, поэтому вам потребуется вести собственные записи. Если вам нужно обновить или добавить настройку, вам придется обновить каждое устройство отдельно.
Шаг 4. Свяжите учетные записи Google пользователей с существующими профилями Windows.
Если на устройстве Windows уже настроен профиль Windows для рабочей учетной записи пользователя, вы можете настроить GCPW таким образом, чтобы связать существующий профиль с его учетной записью Google.
Если вы не свяжете профиль Windows с учетной записью Google, GCPW создаст новый профиль Windows для входа через Google. Пользователи с локальными профилями по-прежнему смогут входить в систему через другой профиль, но пользователи Active Directory не смогут получить к нему доступ. Узнайте, как пользователи входят в существующие профили Windows с помощью GCPW .
Узнайте, как связать учетные записи Google с существующими профилями Windows .
Шаг 5. Если вы используете управление устройствами Windows, предоставьте вашей службе поддержки доступ к устройствам.
Убедитесь, что ваши группы поддержки (пользователи Active Directory, группы Active Directory и локальные пользователи) имеют необходимые локальные административные права. Подробнее см. раздел «Управление параметрами учетных записей для устройств Windows 10 или 11» .
Шаг 6. Если вы используете управление устройствами Windows, настройте автоматическую регистрацию.
Если вы развертываете GCPW автоматически, этот шаг можно пропустить.
По умолчанию GCPW автоматически регистрирует первого пользователя, вошедшего в систему на устройстве через GCPW, в системе управления устройствами Windows (если для этого пользователя включена функция управления устройствами Windows). Если в вашей организации развертывание программного обеспечения осуществляется вручную, человек, настраивающий устройство, может не совпадать с пользователем, которого вы хотите управлять с помощью системы управления устройствами Windows. Если этот пользователь войдет в систему через GCPW, он может быть зарегистрирован вместо нужного пользователя. Из-за ограничений системы управления Microsoft Windows в системе управления устройствами Windows можно зарегистрировать только одного пользователя на устройство, поэтому настройки нужного пользователя не будут применяться, если пользователь, настраивающий устройство, уже зарегистрирован.
Вы можете управлять или отключать автоматическую регистрацию пользователя, выполняющего настройку, следующими способами:
- Если пользователь, выполняющий настройку, использует локальную учетную запись администратора вместо входа в систему с помощью своей учетной записи Google, он не будет зарегистрирован в системе управления устройствами Windows.
- Если специалист по настройке входит в систему через GCPW (используя привилегированную учетную запись или свою собственную рабочую учетную запись для настройки устройств), вы можете отключить автоматическую регистрацию подразделения организации с использованием этих учетных записей.
- Если вы разрешите автоматическую регистрацию пользователя, ответственного за настройку, вы сможете отменить регистрацию этого пользователя перед передачей устройства предполагаемому пользователю. Узнайте, как это сделать.
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.