הגדרת אישורים למכשירים ניידים ולמכשירי ChromeOS מנוהלים

מכשירים ניידים: התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Cloud Identity Premium. השוואה בין מהדורות

מכשירי ChromeOS: נדרש Chrome Enterprise לאישורים מבוססי-מכשיר.

אתם יכולים לשלוט בגישת המשתמשים לרשתות Wi-Fi ואתרנט של הארגון, לרשתות וירטואליות פרטיות (VPN) ולאפליקציות ולאתרים פנימיים במכשירים ניידים ובמכשירי ChromeOS. לשם כך, אתם צריכים להפיץ אישורים מרשות אישורים (CA) מקומית. מחבר האישורים של Google Cloud הוא שירות של Windows שמפיץ בצורה מאובטחת אישורים ומפתחות אימות משרת פרוטוקול ההרשמה הפשוט לאישורים (SCEP) למכשירים ניידים ולמכשירי ChromeOS של משתמשים. לפרטים, אפשר לעבור אל איך פועל אימות באמצעות אישורים דרך מחבר האישורים של Google Cloud בדף הזה.

במכשירי ChromeOS, אפשר להגדיר אישורים שמבוססים על משתמשים או על מכשירים. אישור משתמש נוסף למכשיר עבור משתמש ספציפי, ורק המשתמש הספציפי הזה יכול לגשת אליו. אישור למכשיר מוקצה על סמך המכשיר, וכל משתמש שמחובר למכשיר יכול לגשת אליו. פרטים נוספים מופיעים במאמר בנושא ניהול אישורי לקוח במכשירי Chrome.

אם רוצים לשלוט בגישה לרשת Wi-Fi גם במכשירים ניידים וגם במכשירי ChromeOS, צריך להגדיר פרופילי SCEP נפרדים ורשתות Wi-Fi נפרדות, כי מכשירים ניידים ומכשירי ChromeOS תומכים בסוגים שונים של מפתחות RSA.

הערות לגבי אחסון מפתחות:

  • במכשירים ניידים, המפתחות הפרטיים של האישורים נוצרים בשרתי Google. המפתחות נמחקים מהשרתים של Google אחרי שהאישור מותקן במכשיר או אחרי 24 שעות, לפי המוקדם מביניהם.
  • במכשירי ChromeOS, המפתחות הפרטיים של האישורים נוצרים במכשיר ChromeOS. המפתח הציבורי התואם מאוחסן באופן זמני בשרתי Google ונמחק אחרי התקנת האישור.

דרישות מערכת

  • שירות האישורים של Microsoft Active Directory לשרת SCEP, ושירות ההרשמה למכשירים ברשת של מיקרוסופט (NDES) להפצת אישורים.
  • מכשירים ניידים: מכשירי iOS ו-Android במסגרת ניהול מתקדם של מכשירים ניידים. מידע נוסף על דרישות המכשיר
  • מכשירי ChromeOS:
    • אישורי מכשיר: ChromeOS גרסה 89 ואילך, ומנוהל באמצעות Chrome Enterprise
    • אישורים של משתמשים: ChromeOS מגרסה 86 ואילך.
      הערה: בגרסאות קודמות לגרסה 87, המשתמשים צריכים להפעיל מחדש את המכשיר או לחכות כמה שעות עד שאישור המשתמש יופעל.

לפני שמתחילים

  • אם אתם צריכים ששם הנושא של האישור ישתמש בשמות משתמשים של Active Directory, אתם צריכים לסנכרן את Active Directory ואת ספריית Google באמצעות Google Cloud Directory Sync‏ (GCDS). אם צריך, מגדירים את GCDS.
  • אם עדיין לא העליתם אישור CA במסוף Google Admin, מוסיפים אישור.
  • כדאי לעיין בבעיות הידועות כדי להימנע מהתנהגות לא צפויה.

בעיות מוכרות

  • אי אפשר לבטל אישורים אחרי שהם מותקנים במכשיר.
  • פרופילי SCEP לא תומכים באתגרים דינמיים.
  • במקרים מסוימים, יכול להיות שפרופיל SCEP לא יועבר בירושה בין יחידות ארגוניות. לדוגמה, אם מגדירים פרופיל SCEP ליחידה ארגונית ומשנים את פרופיל ה-SCEP של יחידת צאצא ארגונית, אף אחד מפרופילי ה-SCEP של יחידת ההורה הארגונית לא יכול לעבור בירושה ליחידת הצאצא הארגונית שוב.
  • במכשירים ניידים, אי אפשר להחיל פרופילים של SCEP על הגדרות של VPN או אתרנט, אלא רק על Wi-Fi.
  • במכשירי ChromeOS, אי אפשר להחיל פרופילי SCEP ישירות על הגדרות של VPN או אתרנט. כדי להחיל פרופיל SCEP באופן עקיף על הגדרות VPN או Ethernet, משתמשים בתבניות של מנפיק או נושא כדי לבחור באופן אוטומטי את האישור שבו רוצים להשתמש.
  • במכשירי ChromeOS, אפשר לפרוס אישורים רק למשתמשים שמחוברים למכשיר מנוהל. המשתמש והמכשיר צריכים להיות שייכים לאותו דומיין.

שלב 1: הורדת מחבר האישורים של Google Cloud

מבצעים את השלבים הבאים בשרת ה-SCEP או במחשב עם מערכת Windows שיש בו חשבון שאפשר להיכנס איתו בתור שירות בשרת ה-SCEP. ודאו שיש לכם את פרטי הכניסה לחשבון.

אם לארגון שלכם יש כמה שרתים, אתם יכולים להשתמש באותו סוכן של מחבר האישורים בכולם. מורידים ומתקינים במחשב אחד את קובץ ההתקנה, קובץ התצורה וקובץ המפתח, כמו שמתואר בשלבים הבאים. לאחר מכן, מעתיקים את שלושת הקבצים האלה למחשב השני ופועלים לפי הוראות ההגדרה במחשב הזה.

הערה: מורידים את מחבר האישורים של Google Cloud ואת הרכיבים שלו רק פעם אחת, כשמגדירים אישורים לארגון בפעם הראשונה. האישורים ופרופילי ה-SCEP יכולים לחלוק מחבר אישורים יחיד.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואזרשתות

    כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

  2. לוחצים על Secure SCEP (פרופילי SCEP מאובטחים) ואזDownload Connector (הורדת המחבר).
  3. בקטע Install Google Cloud certificate connector (התקנת מחבר האישורים של Google Cloud), לוחצים על Download (הורדה).
  4. בדף Google Cloud Certificate Connector, לוחצים על Download כדי להוריד את הקובץ connector_installer.exe.
  5. סוגרים את הדף תודה שהורדת את מחבר האישורים של Google Cloud!.
  6. במסוף Admin, בקטע Download the connector configuration file (הורדת קובץ התצורה של המחבר), לוחצים על Download (הורדה) כדי להוריד את הקובץ config.json.
  7. בקטע טעינת מפתח לחשבון שירות, לוחצים על יצירת מפתח כדי להוריד את הקובץ key.json.
  8. מריצים את connector_installer.exe כאדמין.
    הערה: תוכנת ההתקנה רושמת את שירות המחבר עם פרטי כניסה שמוגדרים כברירת מחדל (LocalService). בהמשך, תוכלו לשנות את השירות כך שיפעל כחשבון שירות אחר. כדי לעשות זאת, עוברים לספריית ההתקנה של המחבר ומריצים את configtool.exe כדי לפתוח את ConfigTool.
  9. מעבירים את קובצי התצורה והמפתח (config.json ו-key.json) לתיקייה של Google Cloud Certificate Connector שנוצרה במהלך ההתקנה, בדרך כלל: C:\Program Files\Google Cloud Certificate Connector.
  10. פותחים את השירות Google Cloud Certificate Connector:
    1. פותחים את Windows Services.
    2. ברשימת השירותים, בוחרים באפשרות Google Cloud Certificate Connector.
    3. כדי להפעיל את השירות, לוחצים על התחלה. מוודאים שהסטטוס משתנה לפועל. השירות מופעל מחדש באופן אוטומטי אם המחשב מופעל מחדש.

אם תורידו בהמשך מפתח חדש של חשבון שירות, תצטרכו להפעיל מחדש את השירות כדי להחיל אותו.

שלב 2: מוסיפים פרופיל SCEP

פרופיל ה-SCEP מגדיר את האישור שמאפשר למשתמשים לגשת לרשת ה-Wi-Fi או האתרנט או ל-VPN שלכם. מקצים את הפרופיל למשתמשים ספציפיים על ידי הוספתו ליחידה ארגונית. אתם יכולים להגדיר כמה פרופילי SCEP כדי לנהל את הגישה לפי יחידה ארגונית וסוג מכשיר. מומלץ להגדיר פרופיל SCEP נפרד לכל יחידה ארגונית שרוצים שהפרופיל יחול עליה.

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואזרשתות

    כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  3. בקטע פרופילי SCEP מאובטחים, לוחצים על יצירת פרופיל SCEP מאובטח. אם כבר יצרתם פרופיל SCEP, לוחצים על Secure SCEP (פרופיל SCEP מאובטח) ואזAdd Secure SCEP Profile (הוספת פרופיל SCEP מאובטח).

  4. מזינים את פרטי ההגדרות של הפרופיל. אם רשות האישורים שלכם מנפיקה תבנית מסוימת, צריך להתאים את פרטי הפרופיל לתבנית.

    • הפלטפורמות שעליהן חל הפרופיל הזה – פלטפורמות המכשירים שמשתמשות בפרופיל SCEP. במכשירי ChromeOS, חשוב לסמן את האפשרות Chromebook (user) (Chromebook (משתמש)), את האפשרות Chromebook (device) (Chromebook (מכשיר)) או את שתיהן, בהתאם לסוג האישור שרוצים לפרוס.
    • השם של פרופיל SCEP – שם תיאורי לפרופיל. השם מוצג ברשימת הפרופילים ובבורר הפרופילים בהגדרת רשת ה-Wi-Fi.
    • פורמט שם הנושא – בוחרים איך רוצים לזהות את בעל האישור. אם בוחרים באפשרות שם מובחן מלא, השם הפרטי של האישור הוא שם המשתמש.

    • שם חלופי לנושא – מציינים שם חלופי לנושא (SAN). ברירת המחדל היא ללא. במכשירי ChromeOS, אפשר להגדיר שמות חלופיים לנושא על סמך מאפייני משתמש ומכשיר. כדי להשתמש בבקשת חתימה על אישור (CSR) מותאמת אישית, צריך להגדיר את תבנית האישור ברשות האישורים (CA) כך שתצפה לאישור ותיצור אותו עם ערכי הנושא שמוגדרים בבקשה עצמה. לפחות צריך לספק ערך ל-CommonName של הנושא.
      אפשר להשתמש בערכי ה-placeholder הבאים. כל הערכים הם אופציונליים.

      • ‫${DEVICE_DIRECTORY_ID} – מזהה הספרייה של המכשיר
      • ‫${USER_EMAIL} – כתובת האימייל של המשתמש שמחובר לחשבון
      • ‫${USER_EMAIL_DOMAIN} – שם הדומיין של המשתמש שמחובר לחשבון
      • ‫${DEVICE_SERIAL_NUMBER} – המספר הסידורי של המכשיר
      • ‫${DEVICE_ASSET_ID} – מזהה הנכס שהוקצה למכשיר על ידי האדמין
      • ‫${DEVICE_ANNOTATED_LOCATION} – המיקום שהוקצה למכשיר על ידי האדמין
      • ‫${USER_EMAIL_NAME} – החלק הראשון (החלק שלפני @) של כתובת האימייל של המשתמש שמחובר לחשבון

      אם ערך placeholder לא זמין, הוא מוחלף במחרוזת ריקה.

    • אלגוריתם חתימה – פונקציית הגיבוב שמשמשת להצפנת מפתח ההרשאה. אפשר להשתמש רק ב-SHA256 עם RSA.

    • שימוש במפתח – אפשרויות לשימוש במפתח, להצפנת מפתח ולחתימה. אפשר לבחור יותר מאפשרות אחת.

    • גודל המפתח (ביטים) – הגודל של מפתח ה-RSA. למכשירי ChromeOS, בוחרים באפשרות 2048.

    • בקטע אבטחה, בוחרים את סוג האישור שיידרש למכשירים מחוברים. ההגדרה הזו לא חלה על מכשירים ניידים.

    • בקטע מאפיינים של שרת SCEP, מגדירים ערכים והעדפות לשרת SCEP.

      • כתובת ה-URL של שרת ה-SCEP – כתובת ה-URL של שרת ה-SCEP.
      • פרק זמן לתקפות של אישורים (בשנים) – כמה זמן אישור המכשיר תקף. מזינים מספר.
      • חידוש תוך כמה ימים – כמה זמן לפני פקיעת התוקף של אישור המכשיר צריך לנסות לחדש את האישור.
      • שימוש מורחב במפתח – איך אפשר להשתמש במפתח. אפשר לבחור יותר מערך אחד.
      • סוג האתגר – כדי לדרוש מ-Google לספק משפט אתגר ספציפי כשהיא מבקשת אישור משרת SCEP, בוחרים באפשרות סטטי ומזינים את המשפט. אם בוחרים באפשרות None (ללא), השרת לא דורש את הבדיקה הזו.
      • שם התבנית – שם התבנית שבה נעשה שימוש בשרת NDES.
      • רשות אישורים – השם של אישור שהעליתם לשימוש כרשות אישורים.
      • סוג הרשת שעליו חל פרופיל זה – סוג הרשתות שמשתמשות בפרופיל SCEP.
  5. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

אחרי שמוסיפים פרופיל, הוא מופיע ברשימה עם השם שלו והפלטפורמות שבהן הוא מופעל. בעמודה פלטפורמה, הפרופיל מופעל בפלטפורמות עם סמלים כחולים ומושבת בפלטפורמות עם סמלים אפורים. כדי לערוך פרופיל, מצביעים על השורה ולוחצים על סמל העריכה .

פרופיל ה-SCEP מופץ אוטומטית למשתמשים ביחידה הארגונית.

שלב 3: הגדרת מאגר המפתחות של מחבר האישורים של Google Cloud

אם האישור שלכם הונפק על ידי רשות אישורים מהימנה או שכתובת ה-URL של שרת ה-SCEP מתחילה ב-HTTP, אפשר לדלג על השלב הזה.

אם האישור שלכם לא הונפק על ידי רשות אישורים מהימנה, כמו אישור בחתימה עצמית, אתם צריכים לייבא את האישור למאגר המפתחות של Google Cloud Certificate Connector. אחרת, לא ניתן להקצות את אישור המכשיר והמכשיר לא יכול להתחבר.

  1. נכנסים לחשבון ה-CA.
  2. אם Java JRE עדיין לא מותקן, צריך להתקין אותו כדי שתוכלו להשתמש ב-keytool.exe.
  3. פותחים שורת פקודה.

  4. מייצאים את אישור ה-CA וממירים אותו לקובץ PEM באמצעות הפקודות הבאות:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. מייבאים את אישור ה-CA למאגר המפתחות. מתוך ספריית המשנה של התיקייה Google Cloud Certificate Connector שנוצרה במהלך ההתקנה, בדרך כלל C:\Program Files\Google Cloud Certificate Connector, מריצים את הפקודה הבאה ומחליפים את java-home-dir בנתיב אל JRE בתיקייה Google Cloud Certificate Connector ואת cert-export-dir בנתיב אל האישור שייצאתם בשלב 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

שלב 4: הגדרת רשתות כך שיידרש פרופיל SCEP (אופציונלי)

בהתאם לסוג הרשת, אפשר להגדיר אותה כך שיידרש פרופיל SCEP.

דרישה של פרופיל SCEP לרשתות Wi-Fi

כדי לשלוט בגישה לרשת Wi-Fi גם במכשירים ניידים וגם במכשירי ChromeOS, צריך להגדיר רשתות Wi-Fi נפרדות לכל אחד מהם. לדוגמה, אפשר להגדיר רשת Wi-Fi אחת למכשירים ניידים ולהקצות לה פרופיל SCEP למכשירים ניידים. לאחר מכן, מגדירים רשת Wi-Fi נוספת למכשירי ChromeOS ומקצים פרופיל SCEP למכשירי ChromeOS.

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואזרשתות

    כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  3. בקטע Wi-Fi, לוחצים על יצירת רשת Wi-Fi. אם כבר הגדרתם רשת Wi-Fi, לוחצים על Wi-Fi ואזהוספת Wi-Fi.
  4. בקטע גישה לפלטפורמה, מסמנים את התיבות הבאות לפי הצורך: Android,‏ iOS,‏ Chromebooks (לפי משתמש),‏ Chromebooks (לפי מכשיר) או ציוד ל-Google Meet.
  5. בקטע פרטים:
    1. מזינים שם ו-SSID לרשת ה-Wi-Fi.
    2. בהגדרות האבטחה, בוחרים באפשרות WPA/WPA2 Enterprise (802.1X)‎ או באפשרות Dynamic WEP (802.1X)‎.
    3. בשדה פרוטוקול אימות ניתן להרחבה, בוחרים באפשרות EAP-TLS או EAP-TTLS.
    4. אם בחרתם באפשרות EAP-TLS, בשדה Provisioning Type (סוג הקצאת ההרשאות הידנית) בוחרים באפשרות SCEP profile (פרופיל SCEP) או Certificate pattern (תבנית אישורים) ואז בוחרים באחת מהאפשרויות הבאות:
      • בקטע פרופיל SCEP, בוחרים את פרופיל ה-SCEP שהוספתם בשלב 2.
      • בקטע תבנית אישור, מזינים ערך בכתובות URL להרשמה של לקוחות וערך אחד או יותר בתבנית מנפיק או בתבנית נושא.
    5. מזינים ערכים או בוחרים אפשרויות לפרטי Wi-Fi אחרים שצריך.
  6. לוחצים על שמירה.
  7. שיתוף מידע עם המשתמשים על התחברות לרשת:
    • המכשיר שלהם צריך לספק את האישור בכל פעם שהם מנסים להתחבר לרשת ה-Wi-Fi.
    • במכשירי Android ו-ChromeOS, האישור שמתאים לפרופיל ה-SCEP של המשתמש ולרשת מוזן אוטומטית, כך שהמשתמשים צריכים רק ללחוץ על התחברות.
    • במכשירי iOS, המשתמש בוחר את האישור שבו הוא רוצה להשתמש ואז לוחץ על Connect (קישור).

דרישה של פרופיל SCEP לרשתות Ethernet

אתם יכולים לשלוט בגישה לרשת Ethernet במכשירי ChromeOS. מגדירים את הרשת למכשירים ואז מקצים לה פרופיל SCEP.

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואזרשתות

    כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  3. בקטע Ethernet, לוחצים על יצירת רשת Ethernet. אם כבר הגדרתם רשת Ethernet, לוחצים על Ethernet (אתרנט) ואזAdd Ethernet (הוספת Ethernet).
  4. בקטע גישה לפלטפורמה, מסמנים את התיבות הבאות לפי הצורך: מכשירי Chromebook (לפי משתמש), מכשירי Chromebook (לפי מכשיר) או ציוד ל-Google Meet.
  5. בקטע פרטים:
    1. הזנת שם עבור רשת ה-Ethernet.
    2. בקטע אימות, בוחרים באפשרות Enterprise (802.1X)‎.
    3. בשדה פרוטוקול אימות ניתן להרחבה, בוחרים באפשרות EAP-TLS או EAP-TTLS.
    4. אם בחרתם באפשרות EAP-TLS, בשדה Provisioning Type (סוג הקצאת ההרשאות הידנית) בוחרים באפשרות SCEP profile (פרופיל SCEP) או Certificate pattern (תבנית אישורים) ואז בוחרים באחת מהאפשרויות הבאות:
      • בקטע פרופיל SCEP, בוחרים את פרופיל ה-SCEP שהוספתם בשלב 2.
      • בקטע תבנית אישור, מזינים ערך לכתובות URL להרשמה של לקוחות וערך אחד או יותר לתבנית מנפיק או לתבנית נושא.
    5. מזינים ערכים או בוחרים אפשרויות לפרטים אחרים של Ethernet שצריך.
  6. לוחצים על שמירה.
  7. שיתוף מידע עם המשתמשים על התחברות לרשת:
    • המכשיר שלהם צריך לספק את האישור בכל פעם שהם מנסים להתחבר לרשת האתרנט.
    • האישור שמתאים לפרופיל ה-SCEP ולרשת מוזן אוטומטית במכשיר ChromeOS, כך שהמשתמשים צריכים רק ללחוץ על Connect (התחברות).

דרישת פרופיל SCEP לרשתות VPN

אתם יכולים לשלוט בגישה ל-VPN במכשירי ChromeOS. מגדירים את הרשת למכשירים ואז מקצים לה פרופיל SCEP.

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואזרשתות

    כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  3. בקטע VPN, לוחצים על יצירה של רשת VPN. אם כבר הגדרתם VPN, לוחצים על VPN ואזהוספת VPN.
  4. בקטע גישה לפלטפורמה, מסמנים את התיבות הבאות לפי הצורך: מכשירי Chromebook (לפי משתמש) או מכשירי Chromebook (לפי מכשיר).
  5. בקטע פרטים:
    1. מזינים שם ומארח מרוחק ל-VPN.
    2. בקטע סוג ה-VPN, בוחרים את סוג ה-VPN הרצוי ומזינים את הפרטים של הסוג הזה.
    3. אם בחרתם באפשרות OpenVPN וסימנתם את התיבה Use client certificate (שימוש באישור לקוח), בסוג הקצאת ההרשאות בוחרים באפשרות פרופיל SCEP או תבנית אישור ואז בוחרים באחת מהאפשרויות הבאות:
      • בקטע פרופיל SCEP, בוחרים את פרופיל ה-SCEP שהוספתם בשלב 2.
      • בקטע תבנית אישור, מזינים ערך בכתובות URL להרשמה של לקוחות וערך אחד או יותר בתבנית מנפיק או בתבנית נושא.
    4. מזינים ערכים או בוחרים אפשרויות לפרטים אחרים של ה-VPN שאתם צריכים.
  6. לוחצים על שמירה.
  7. שיתוף מידע עם המשתמשים על התחברות לרשת:
    • המכשיר שלהם צריך לספק את האישור בכל פעם שהם מנסים להתחבר ל-VPN.
    • האישור שמתאים לפרופיל ה-SCEP ולרשת מוזן אוטומטית במכשיר ChromeOS, כך שהמשתמשים צריכים רק ללחוץ על Connect (התחברות).

איך פועל אימות האישורים באמצעות מחבר האישורים של Google Cloud

מחבר האישורים של Google Cloud הוא שירות Windows שיוצר חיבור בלעדי בין שרת ה-SCEP שלכם לבין Google. מחבר האישורים מוגדר ומאובטח באמצעות קובץ תצורה וקובץ מפתח, שניהם מיועדים לארגון שלכם בלבד.

אתם מקצים אישורי מכשיר למכשירים ולמשתמשים באמצעות פרופילי SCEP. כדי להקצות פרופיל, בוחרים יחידה ארגונית ומוסיפים את הפרופיל ליחידה הארגונית הזו. הפרופיל כולל את רשות האישורים שמנפיקה אישורים למכשירים. כשמשתמש רושם את המכשיר הנייד או מכשיר ChromeOS לניהול, ניהול נקודות קצה ב-Google מאחזר את פרופיל ה-SCEP של המשתמש ומתקין את האישור במכשיר. במכשירי ChromeOS, אישור מכשיר מותקן לפני שהמשתמש נכנס לחשבון, ואילו אישור משתמש מותקן אחרי שהמשתמש נכנס לחשבון. אם המכשיר כבר רשום, האישור מותקן כחלק ממחזור סנכרון רגיל.

כשמשתמש מנסה להתחבר לרשת שלכם, הוא מתבקש לספק את האישור. במכשירי Android, האישור נבחר באופן אוטומטי והמשתמש לוחץ על Connect (התחברות). במכשירי iOS, המשתמש צריך לבחור את האישור באופן ידני ואז להתחבר. המכשיר ניגש לרשת של הארגון באמצעות מפתח ש-Google ניהלה לגביו משא ומתן דרך מחבר האישורים. ‫Google מאחסנת את המפתח באופן זמני במהלך המשא ומתן על האבטחה, אבל מוחקת אותו אחרי שהוא מותקן במכשיר (או אחרי 24 שעות).


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.