إعداد الشهادات للأجهزة الجوّالة المُدارة وأجهزة ChromeOS

الأجهزة الجوّالة: الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEndpoint Education Upgrade والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

أجهزة ChromeOS: يجب استخدام Chrome Enterprise للحصول على شهادات مستندة إلى الجهاز.

يمكنك التحكّم في وصول المستخدمين إلى شبكات Wi-Fi وإيثرنت والشبكات الافتراضية الخاصة (VPN) والتطبيقات والمواقع الإلكترونية الداخلية لمؤسستك على الأجهزة الجوّالة وأجهزة ChromeOS من خلال توزيع الشهادات من هيئة إصدار الشهادات (CA) داخل الشركة. ‫Google Cloud Certificate Connector هي خدمة تعمل على نظام التشغيل Windows لتوزيع الشهادات ومفاتيح المصادقة بشكلٍ آمن من خادم Simple Sign Enrollment Protocol ‏ (SCEP) إلى الأجهزة الجوَّالة وأجهزة ChromeOS الخاصة بالمستخدمين. لمعرفة التفاصيل، يُرجى الانتقال إلى آلية عمل مصادقة الشهادات عبر Google Cloud Certificate Connector في هذه الصفحة.

بالنسبة إلى أجهزة ChromeOS، يمكنك إعداد الشهادات المستندة إلى المستخدمين أو الأجهزة. تضاف شهادة المستخدم إلى جهاز مستخدم محدّد ويمكن لهذا المستخدم المحدّد الوصول إليها. يتم تخصيص شهادة الجهاز بناءً على الجهاز ويمكن لأي مستخدم سجّل الدخول إلى الجهاز الوصول إليها. لمعرفة التفاصيل، يُرجى الانتقال إلى إدارة شهادات العميل على أجهزة Chrome.

إذا كنت تريد التحكّم في الوصول إلى شبكة Wi-Fi على كل من الأجهزة الجوّالة وأجهزة ChromeOS، ستحتاج إلى إعداد ملفات SCEP شخصية وشبكات Wi-Fi منفصلة لأنّ الأجهزة الجوّالة وأجهزة ChromeOS تتوافق مع أنواع مفاتيح RSA المختلفة.

ملاحظات حول تخزين المفاتيح:

  • بالنسبة إلى الأجهزة الجوّالة، يتم إنشاء المفاتيح الخاصة للشهادات على خوادم Google. تتم إزالة المفاتيح من خوادم Google نهائيًا بعد تثبيت الشهادة على الجهاز أو بعد 24 ساعة، أيهما أقرب.
  • بالنسبة إلى أجهزة ChromeOS، يتم إنشاء مفاتيح خاصة للشهادات على جهاز ChromeOS. يتم تخزين المفتاح العام المقابل مؤقتًا على خوادم Google ويتم إزالته نهائيًّا بعد تثبيت الشهادة.

متطلبات النظام

  • خدمة Microsoft Active Directory Certificate Service لخادم SCEP وخدمة Microsoft Network Device Enrollment Service ‏ (NDES) لتوزيع الشهادات
  • الأجهزة الجوّالة: الأجهزة التي تعمل بنظامَي التشغيل iOS وAndroid ضمن الإدارة المتقدّمة للأجهزة الجوّالة. مزيد من المعلومات حول متطلبات الجهاز
  • أجهزة ChromeOS:
    • شهادات الأجهزة: الإصدار 89 من ChromeOS أو الإصدارات الأحدث، وتتم إدارته من خلال Chrome Enterprise
    • شهادات المستخدمين: الإصدار 86 من ChromeOS أو الإصدارات الأحدث
      ملاحظة: بالنسبة إلى الإصدارات الأقدم من 87، على المستخدمين إعادة تشغيل الجهاز أو الانتظار بضع ساعات حتى يتم نشر شهادة المستخدم.

قبل البدء

  • إذا كنت تريد أن يستخدم اسم "موضوع" الشهادة أسماء المستخدمين المُدرجة في Active Directory، يجب مزامنة دليل Active Directory ودليل Google مع أداة مزامنة دليل Google Cloud‏ (GCDS). لذا، يمكنك إعداد "أداة مزامنة دليل Google Cloud" إذا لزم الأمر.
  • إذا لم يسبق لك تحميل شهادة CA في "وحدة تحكّم المشرف في Google"، يمكنك إضافة شهادة.
  • يُرجى مراجعة المشاكل المعروفة لتجنُّب أي سلوك غير متوقع.

المشاكل المعروفة

  • لا يمكن إبطال الشهادات بعد تثبيتها على الجهاز.
  • لا تتيح ملفات SCEP الشخصية الاختبارات الديناميكية.
  • يمكن أن يتوقف اكتساب ملف SCEP الشخصي بين الوحدات التنظيمية في بعض الحالات. مثلاً، في حال ضبط ملف SCEP شخصي لوحدة تنظيمية وتغيير ملف SCEP شخصي لوحدة تنظيمية فرعية، لا يمكن للوحدة التنظيمية الفرعية اكتسابأي من ملفات SCEP الشخصية للوحدة التنظيمية الأساسية مرة أخرى.
  • بالنسبة إلى الأجهزة الجوّالة، لا يمكن تطبيق ملفات SCEP الشخصية على إعدادات الشبكة الافتراضية الخاصة أو شبكة إيثرنت، بل على شبكة Wi-Fi فقط.
  • بالنسبة إلى أجهزة ChromeOS، لا يمكن تطبيق ملفات SCEP الشخصية مباشرةً على إعدادات الشبكة الافتراضية الخاصة أو شبكة إيثرنت. لتطبيق ملف SCEP شخصي بشكل غير مباشر على إعدادات الشبكة الافتراضية الخاصة أو شبكة إيثرنت، يمكنك استخدام نمط جهة الإصدار أو نمط الموضوع لاختيار الشهادة التي تريد استخدامها تلقائيًا.
  • بالنسبة إلى مستخدمي أجهزة ChromeOS، لا يمكن نشر الشهادات إلا للمستخدمين الذين سجّلوا الدخول إلى جهاز مُدَار. يجب أن ينتمي المستخدم والجهاز إلى النطاق نفسه.

الخطوة 1: تنزيل Google Cloud Certificate Connector

نفِّذ الخطوات التالية على خادم SCEP أو جهاز كمبيوتر يعمل بنظام التشغيل Windows باستخدام حساب يمكنه تسجيل الدخول كخدمة على خادم SCEP. واحرص على توفّر بيانات اعتماد الحساب.

إذا كانت مؤسستك تستخدم عدّة خوادم، يمكنك استخدام وكيل مُوصِّل الشهادات نفسه عليها جميعًا. نزّل ملف التثبيت وملف الإعداد وملف المفتاح وثبِّتها على جهاز كمبيوتر واحد كما هو موضح في الخطوات التالية. ثم انسخ هذه الملفات الثلاثة إلى جهاز الكمبيوتر الآخر واتّبِع إرشادات الإعداد على ذلك الكمبيوتر.

ملاحظة: نزّل Google Cloud Certificate Connector ومكوناته مرة واحدة فقط، وذلك عند إعداد الشهادات في مؤسستك لأول مرة. ويمكن لشهاداتك وملفاتك الشخصية على SCEP مشاركة مُوصِّل شهادات واحد.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزة ثمالشبكات

    يتطلب الحصول على امتيازات المشرف إعدادات جهاز مشترك.

  2. انقر على SCEP آمن ثمتنزيل Connector.
  3. في قسم تثبيت Google Cloud Certificate Connector، انقر على تنزيل.
  4. في صفحة Google Cloud Certificate Connector، انقر على تنزيل لتنزيل الملف connector_installer.exe.
  5. أغلِق صفحة شكرًا على تنزيل Google Cloud Certificate Connector.
  6. في "وحدة تحكّم المشرف"، في القسم تنزيل ملف إعداد الموصِّل، انقر على تنزيل لتنزيل ملف config.json.
  7. في القسم الحصول على مفتاح حساب الخدمة، انقر على إنشاء مفتاح لتنزيل ملف key.json.
  8. شغِّل connector_installer.exe بصفتك مشرفًا.
    ملاحظة: تسجِّل أداة التثبيت خدمة الموصل باستخدام بيانات الاعتماد التلقائية (LocalService). يمكنك لاحقًا تغيير الخدمة لتشغيلها كحساب خدمة مختلف. لإجراء ذلك، يُرجى الانتقال إلى دليل التثبيت الخاص بأداة الربط وتشغيل configtool.exe لفتح ConfigTool.
  9. انقِل ملفي الإعداد والمفتاح (config.json وkey.json) إلى مجلد Google Cloud Certificate Connector الذي تم إنشاؤه أثناء التثبيت: C:\Program Files\Google Cloud Certificate Connector.
  10. افتح خدمة Google Cloud Certificate Connector:
    1. افتح "خدمات Windows".
    2. اختَر Google Cloud Certificate Connector في قائمة الخدمات.
    3. انقر على بدء لبدء الخدمة. تأكَّد من أن الحالة تتغير إلى قيد التشغيل. ستتم إعادة تشغيل الخدمة تلقائيًا في حالة إعادة تشغيل الكمبيوتر.

إذا نزّلت مفتاح حساب خدمة جديدًا في وقت لاحق، أعِد تشغيل الخدمة لتطبيقه.

الخطوة 2: إضافة ملف شخصي في خادم SCEP

يحدد ملف SCEP الشخصي الشهادة التي تتيح للمستخدمين الدخول إلى شبكة Wi-Fi أو الإيثرنت أو شبكة VPN التابعة لك. يمكنك تخصيص الملف الشخصي لمستخدمين محدّدين من خلال إضافته إلى وحدة تنظيمية. ويمكنك أيضًا إعداد ملفات شخصية متعددة في خادم SCEP لإدارة الوصول حسب الوحدة التنظيمية ونوع الجهاز. ننصحك بإعداد ملف SCEP شخصي منفصل لكل وحدة تنظيمية تريد تطبيق الملف الشخصي عليها.

قبل البدء: إذا كنت بحاجة إلى إعداد قسم أو فريق لهذا الإعداد، يمكنك الانتقال إلى إضافة وحدة تنظيمية.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزة ثمالشبكات

    يتطلب الحصول على امتيازات المشرف إعدادات جهاز مشترك.

  2. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة.
  3. بالنسبة إلى SCEP آمن، انقر على إنشاء ملف SCEP آمن. إذا سبق لك إنشاء ملف SCEP شخصي، انقر على بروتوكول SCEP الآمن ثمإضافة ملف SCEP آمن شخصي.

  4. أدخِل تفاصيل الإعداد للملف الشخصي. إذا كان مرجع التصديق يصدر نموذجًا معينًا، طابق تفاصيل الملف الشخصي بالنموذج.

    • الأنظمة الأساسية التي ينطبق عليها هذا الملف الشخصي: هي الأنظمة الأساسية للأجهزة التي تستخدم ملف SCEP الشخصي. بالنسبة إلى أجهزة ChromeOS، احرِص على وضع علامة في المربع Chromebook (المستخدم) أو Chromebook (الجهاز) أو كليهما، حسب نوع الشهادة التي تريد نشرها.
    • اسم ملف SCEP الشخصي: اسم وصفي للملف الشخصي. يُعرَض الاسم في قائمة الملفات الشخصية وفي أداة اختيار الملف الشخصي في إعداد شبكة Wi-Fi.
    • تنسيق اسم الموضوع: اختَر كيفية تعريف مالك الشهادة. إذا اخترت الاسم المميز بالكامل، سيكون "الاسم الشائع" للشهادة هو اسم المستخدم للشخص.

    • اسم بديل للموضوع: أدخِل الاسم البديل للموضوع (SAN). القيمة التلقائية هي بدون. بالنسبة إلى أجهزة ChromeOS، يمكنك تحديد أسماء بديلة للموضوع بناءً على سمات المستخدم والجهاز. لاستخدام طلب توقيع شهادة مخصَّص (CSR)، يمكنك ضبط نموذج الشهادة في مرجع التصديق لتوقُّع شهادة وإنشائها باستخدام قيم الموضوع المُحدَّدة في الطلب نفسه. وعليك توفير قيمة CommonName على الأقل للموضوع.
      يمكنك استخدام العناصر النائبة التالية. جميع القيم اختيارية.

      • ${DEVICE_DIRECTORY_ID}: معرّف دليل الجهاز
      • ${USER_EMAIL}: عنوان البريد الإلكتروني التابع للمستخدم الذي سجّل الدخول
      • ${USER_EMAIL_DOMAIN}: اسم نطاق المستخدم الذي سجّل الدخول
      • ‫${DEVICE_SERIAL_NUMBER}: الرقم التسلسلي للجهاز
      • ${DEVICE_ASSET_ID}: رقم تعريف الأصل الذي منحه المشرف للجهاز
      • ${DEVICE_ANNOTATED_LOCATION}: الموقع الجغرافي الذي حدّده المشرف للجهاز
      • ${USER_EMAIL_NAME}: الجزء الأول (قبل العلامة @) من عنوان البريد الإلكتروني الخاص بالمستخدم الذي سجّل الدخول

      إذا لم تكن قيمة العنصر النائب متوفّرة، يتم استبدالها بسلسلة فارغة.

    • خوارزمية التوقيع: هي وظيفة التجزئة المستخدَمة لتشفير مفتاح المصادقة. تتوفر SHA256 with RSA فقط.

    • استخدام المفتاح: خيارات تحدد كيفية استخدام المفتاح وترميز المفتاح والتوقيع. يمكنك اختيار أكثر من خيار واحد.

    • حجم المفتاح (بوحدة البت): هو حجم مفتاح RSA. بالنسبة إلى أجهزة ChromeOS، اختَر 2048.

    • بالنسبة إلى الأمان، اختَر نوع الشهادة الذي سيكون مطلوبًا للأجهزة المتصلة. لا ينطبق هذا الإعداد على الأجهزة الجوّالة.

    • في قسم سمات خادم SCEP، اضبط القيم والإعدادات المفضّلة لخادم SCEP.

      • عنوان URL لخادم SCEP: هو عنوان URL الخاص بخادم SCEP.
      • فترة صلاحية الشهادة (بالسنوات): المدة التي تظل فيها شهادة الجهاز صالحة. يجب إدخالها كرقم.
      • التجديد خلال أيام: المدة التي تسبق انتهاء صلاحية شهادة الجهاز ويمكن خلالها محاولة تجديد الشهادة.
      • استخدام المفتاح الموسَّع: كيفية استخدام المفتاح. يمكنك اختيار أكثر من قيمة واحدة.
      • نوع الاختبار: يُستخدَم لإلزام Google بتقديم عبارة اختبار محددة عندما يطلب شهادة من خادم SCEP، اختَر ثابت وأدخِل العبارة. إذا اخترت بدون، لا يتطلب الخادم هذا الفحص.
      • اسم النموذج: اسم النموذج الذي يستخدمه خادم NDES.
      • مرجع التصديق: اسم الشهادة التي حمّلتَها لاستخدامها كمرجع تصديق.
      • نوع الشبكة الذي ينطبق عليه هذا الملف الشخصي: هو نوع الشبكات التي تستخدم ملف SCEP الشخصي.
  5. انقر على حفظ. أو يمكنك النقر على تجاوز لوحدة تنظيمية.

    لاستعادة القيمة المكتسَبة لاحقًا، انقر على اكتساب.

بعد إضافة ملف شخصي، يتم عرضه مع اسمه والأنظمة الأساسية التي تم تفعيله عليها. في عمود النظام الأساسي، يكون الملف الشخصي مفعَّلاً للأنظمة الأساسية ذات الرموز الزرقاء، وغير مفعَّل للأنظمة الأساسية ذات الرموز الرمادية. لتعديل ملف شخصي، أشِر إلى الصف وانقر على رمز التعديل .

يتم توزيع ملف SCEP الشخصي تلقائيًا على المستخدمين في الوحدة التنظيمية.

الخطوة 3: ضبط ملف تخزين المفاتيح في Google Cloud Certificate Connector

في حال كانت الشهادة صادرة من مرجع تصديق موثوق به أو كان عنوان URL لخادم SCEP يبدأ ببروتوكول HTTP، يمكنك تخطي هذه الخطوة.

إذا لم يتم إصدار الشهادة من مرجع تصديق موثوق به، مثل شهادة موقعة ذاتيًا، عليك استيراد الشهادة إلى ملف تخزين المفاتيح في Google Cloud Certificate Connector. وبخلاف ذلك، لا يمكن توفير شهادة الجهاز ولا يمكن للجهاز الاتصال.

  1. سجِّل الدخول إلى حسابك على "هيئة إصدار الشهادات (CA)".
  2. إذا لم يسبق لك تثبيت لغة البرمجة Java JRE، يمكنك تثبيتها حتى يمكنك استخدام keytool.exe.
  3. افتح موجِّه الأوامر.

  4. يمكنك تصدير شهادة CA وتحويلها إلى ملف PEM من خلال تشغيل الأوامر التالية:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. يمكنك استيراد شهادة CA إلى ملف تخزين المفاتيح. من الدليل الفرعي لمجلد Google Cloud Certificate Connector الذي تم إنشاؤه أثناء التثبيت، عادةً C:\Program Files\Google Cloud Certificate Connector، شغِّل الأمر التالي واستبدِل java-home-dir بمسار JRE في مجلد Google Cloud Certificate Connector وcert-export-dir بمسار الشهادة التي صدرتها في الخطوة 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

الخطوة 4: إعداد الشبكات لطلب ملف SCEP الشخصي (اختياري)

استنادًا إلى نوع الشبكة، يمكنك إعدادها لطلب ملف SCEP الشخصي.

طلب ملف SCEP الشخصي لشبكات Wi-Fi

للتحكّم في الوصول إلى شبكة Wi-Fi على كل من الأجهزة الجوّالة وأجهزة ChromeOS، يمكنك إعداد شبكات Wi-Fi منفصلة لكل منها. على سبيل المثال، يمكنك إعداد شبكة Wi-Fi واحدة للأجهزة الجوّالة وتخصيص ملف SCEP شخصي للأجهزة الجوّالة عليها. بعد ذلك، يمكنك إعداد شبكة Wi-Fi أخرى لأجهزة ChromeOS وتخصيص ملف SCEP لأجهزة ChromeOS.

قبل البدء: إذا كنت بحاجة إلى إعداد قسم أو فريق لهذا الإعداد، يمكنك الانتقال إلى إضافة وحدة تنظيمية.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزة ثمالشبكات

    يتطلب الحصول على امتيازات المشرف إعدادات جهاز مشترك.

  2. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة.
  3. بالنسبة إلى Wi-Fi، انقر على إنشاء شبكة Wi-Fi. إذا سبق لك إعداد شبكة Wi-Fi، انقر على Wi-Fi ثمإضافة شبكة Wi-Fi.
  4. في قسم الوصول إلى النظام الأساسي، ضَع علامة في المربّعات التالية حسب الحاجة: Android أو iOS أو أجهزة Chromebook (حسب المستخدم) أو أجهزة Chromebook (حسب الجهاز) أو أجهزة Google Meet.
  5. في قسم التفاصيل:
    1. أدخِل اسمًا ومعرّف SSID لشبكة Wi-Fi.
    2. بالنسبة إلى إعدادات الأمان، اختَر WPA/WPA2 Enterprise (802.1X) أو Dynamic WEP (802.1X).
    3. بالنسبة إلى بروتوكول المصادقة القابلة للتوسيع، اختَر EAP-TLS أو EAP-TTLS.
    4. إذا اخترت EAP-TLS، حدِّد ملف تعريف SCEP أو نمط الشهادة في نوع الإدارة، ثم حدِّد خيارًا:
      • بالنسبة إلى ملف SCEP الشخصي، اختَر ملف SCEP الشخصي الذي أضفته في الخطوة 2.
      • في حقل نمط الشهادة، أدخِل قيمة في حقل عناوين URL لتسجيل العميل وقيمة واحدة أو أكثر في حقل نمط جهة الإصدار أو نمط الموضوع.
    5. أدخِل قيمًا أو اختَر خيارات لأي تفاصيل أخرى عن شبكة Wi-Fi تحتاج إليها.
  6. انقر على حفظ.
  7. احرص على مشاركة المعلومات التالية مع المستخدمين حول الاتصال بالشبكة:
    • يجب أن يوفّر الجهاز الشهادة في كل مرة يحاول فيها الاتصال بشبكة Wi-Fi.
    • بالنسبة إلى أجهزة Android وChromeOS، يتم تلقائيًا إدخال الشهادة المتوافقة مع ملف SCEP الشخصي للمستخدم والشبكة، لذا ما على المستخدم سوى النقر على اتصال.
    • بالنسبة إلى أجهزة iOS، يختار المستخدم الشهادة المراد استخدامها، ثم ينقر على اتصال.

طلب ملف SCEP الشخصي لشبكات الإيثرنت

يمكنك التحكّم في إمكانية الوصول إلى شبكة Ethernet على أجهزة ChromeOS. يجب إعداد الشبكة للأجهزة ثم تخصيص ملف SCEP شخصي لها.

قبل البدء: إذا كنت بحاجة إلى إعداد قسم أو فريق لهذا الإعداد، يمكنك الانتقال إلى إضافة وحدة تنظيمية.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزة ثمالشبكات

    يتطلب الحصول على امتيازات المشرف إعدادات جهاز مشترك.

  2. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة.
  3. بالنسبة إلى إيثرنت، انقر على إنشاء شبكة إيثرنت. إذا سبق لك إعداد شبكة إيثرنت، انقر على إيثرنت ثمإضافة شبكة إيثرنت.
  4. في قسم الوصول إلى النظام الأساسي، ضَع علامة في المربّعات التالية حسب الحاجة: أجهزة Chromebook (حسب المستخدم) أو أجهزة Chromebook (حسب الجهاز) أو أجهزة Google Meet.
  5. في قسم التفاصيل:
    1. أدخِل اسمًا لشبكة Ethernet.
    2. بالنسبة إلى المصادقة، اختَر Enterprise (802.1X).
    3. بالنسبة إلى بروتوكول المصادقة القابلة للتوسيع، اختَر EAP-TLS أو EAP-TTLS.
    4. إذا اخترت EAP-TLS، حدِّد ملف تعريف SCEP أو نمط الشهادة في نوع الإدارة، ثم حدِّد خيارًا:
      • بالنسبة إلى ملف SCEP الشخصي، اختَر ملف SCEP الشخصي الذي أضفته في الخطوة 2.
      • في حقل نمط الشهادة، أدخِل قيمة في حقل عناوين URL لتسجيل العميل وقيمة واحدة أو أكثر في حقل نمط جهة الإصدار أو نمط الموضوع.
    5. أدخِل قيمًا أو اختَر خيارات لأي تفاصيل أخرى تحتاج إليها بشأن شبكة إيثرنت.
  6. انقر على حفظ.
  7. احرص على مشاركة المعلومات التالية مع المستخدمين حول الاتصال بالشبكة:
    • يجب أن يوفّر الجهاز الشهادة في كل مرة يحاول فيها الاتصال بشبكة إيثرنت.
    • يتم تلقائيًا إدخال الشهادة المتوافقة مع ملف SCEP الشخصي والشبكة على جهاز ChromeOS، لذا ما على المستخدم سوى النقر على اتصال.

طلب ملف SCEP الشخصي لشبكات VPN

يمكنك التحكّم في إمكانية الوصول إلى الشبكة الافتراضية الخاصة (VPN) على أجهزة ChromeOS. يجب إعداد الشبكة للأجهزة ثم تخصيص ملف SCEP شخصي لها.

قبل البدء: إذا كنت بحاجة إلى إعداد قسم أو فريق لهذا الإعداد، يمكنك الانتقال إلى إضافة وحدة تنظيمية.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزة ثمالشبكات

    يتطلب الحصول على امتيازات المشرف إعدادات جهاز مشترك.

  2. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة.
  3. بالنسبة إلى شبكة VPN، انقر على إنشاء شبكة VPN. إذا سبق لك إعداد شبكة VPN، انقر على VPN ثمإضافة شبكة VPN.
  4. في قسم الوصول إلى النظام الأساسي، ضَع علامة في المربّعات التالية حسب الحاجة: أجهزة Chromebook (حسب المستخدم) أو أجهزة Chromebook (حسب الجهاز).
  5. في قسم التفاصيل:
    1. أدخِل اسمًا ومضيفًا بعيدًا للشبكة الافتراضية الخاصة (VPN).
    2. في نوع الشبكة الافتراضية الخاصة (VPN)، اختَر نوع الشبكة الافتراضية الخاصة (VPN) الذي تريده وأدخِل تفاصيل هذا النوع.
    3. في حال اختيار OpenVPN ووضع علامة في المربّع استخدام شهادة العميل، اختَر ملف SCEP الشخصي أو نمط الشهادة في نوع الإدارة، ثم حدِّد خيارًا:
      • بالنسبة إلى ملف SCEP الشخصي، اختَر ملف SCEP الشخصي الذي أضفته في الخطوة 2.
      • في حقل نمط الشهادة، أدخِل قيمة في حقل عناوين URL لتسجيل العميل وقيمة واحدة أو أكثر في حقل نمط جهة الإصدار أو نمط الموضوع.
    4. أدخِل قيمًا أو اختَر خيارات لأي تفاصيل أخرى تحتاجها بشأن شبكة VPN.
  6. انقر على حفظ.
  7. احرص على مشاركة المعلومات التالية مع المستخدمين حول الاتصال بالشبكة:
    • يجب أن يوفّر الجهاز الشهادة في كل مرة يحاول فيها الاتصال بشبكة VPN.
    • يتم تلقائيًا إدخال الشهادة المتوافقة مع ملف SCEP الشخصي والشبكة على جهاز ChromeOS، لذا ما على المستخدم سوى النقر على اتصال.

آلية عمل مصادقة الشهادات باستخدام Google Cloud Certificate Connector

‫Google Cloud Certificate Connector هي إحدى خدمات Windows التي تنشئ اتصالاً حصريًا بين خادم SCEP وGoogle. يتم إعداد موصِّل الشهادات وتأمينه من خلال ملف إعداد وملف مفتاح، وكلاهما مخصص لمؤسستك فقط.

يمكنك تخصيص شهادات الأجهزة للأجهزة والمستخدمين الذين لديهم ملفات SCEP شخصية. لتخصيص ملف شخصي، يمكنك اختيار وحدة تنظيمية وإضافة الملف الشخصي إلى تلك الوحدة التنظيمية. يتضمّن الملف الشخصي مرجع التصديق الذي يُصدر شهادات الأجهزة. عندما يسجِّل مستخدم جهازه الجوّال أو جهاز ChromeOS للإدارة، تسترجع "إدارة نقاط النهاية من Google" ملف SCEP الشخصي للمستخدم وتثبِّت الشهادة على الجهاز. بالنسبة إلى أجهزة ChromeOS، يتم تثبيت شهادة الجهاز قبل تسجيل دخول المستخدم، بينما يتم تثبيت شهادة المستخدم بعد تسجيل دخول المستخدم. إذا كان الجهاز مسجّلاً من قبل، يتم تثبيت الشهادة في إطار دورة مزامنة منتظمة.

عندما يحاول مستخدم الاتصال بشبكتك، يُطلب منه تقديم الشهادة. على أجهزة Android، يتم اختيار الشهادة تلقائيًا وينقر المستخدم على اتصال. على أجهزة iOS، يجب أن يختار المستخدم الشهادة يدويًا ثم يتصل بعد ذلك. يمكن للجهاز الوصول إلى شبكة مؤسستك باستخدام مفتاح تفاوضت عليه Google عبر موصِّل الشهادات. تخزِّن Google المفتاح مؤقتًا أثناء تفاوض الأمان، ولكنها تحذف المفتاح بعد تثبيته على الجهاز (أو بعد 24 ساعة).


إنّ Google وGoogle Workspace والعلامات والشعارات المرتبطة بهما هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.