Konfigurowanie certyfikatów dla zarządzanych urządzeń mobilnych i urządzeń z ChromeOS

Urządzenia mobilne: Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard, Education Plus i Endpoint Education Upgrade; Cloud Identity Premium. Porównanie wersji

Urządzenia z ChromeOS: certyfikaty urządzenia wymagają Chrome Enterprise.

Możesz kontrolować dostęp użytkowników do sieci Wi-Fi i Ethernet, wirtualnych sieci prywatnych (sieci VPN) oraz wewnętrznych aplikacji i witryn Twojej organizacji na urządzeniach mobilnych i urządzeniach z ChromeOS, rozpowszechniając certyfikaty z lokalnego urzędu certyfikacji. Google Cloud Certificate Connector (oprogramowanie sprzęgające certyfikaty) to usługa systemu Windows, która bezpiecznie rozpowszechnia certyfikaty i klucze uwierzytelniające z serwera Simple Certificate Enrollment Protocol (SCEP) na urządzeniach mobilnych i urządzeniach z ChromeOS użytkowników. Więcej informacji znajdziesz w sekcji Jak działa uwierzytelnianie za pomocą Google Cloud Certificate Connector na tej stronie.

W przypadku urządzeń z ChromeOS możesz skonfigurować certyfikaty użytkownika lub urządzenia. Certyfikat użytkownika jest dodawany do urządzenia dla określonego użytkownika. Tylko on ma do niego dostęp. Certyfikat urządzenia jest przypisywany do urządzenia. Każdy zalogowany na tym urządzeniu użytkownik ma do niego dostęp. Więcej informacji znajdziesz w artykule Zarządzanie certyfikatami klienta na urządzeniach z Chrome.

Jeśli chcesz kontrolować dostęp do sieci Wi-Fi zarówno na urządzeniach mobilnych, jak i na urządzeniach z ChromeOS, musisz skonfigurować oddzielne profile SCEP i sieci Wi-Fi, ponieważ urządzenia mobilne i urządzenia z ChromeOS obsługują różne typy kluczy RSA.

Uwagi na temat przechowywania kluczy:

  • W przypadku urządzeń mobilnych klucze prywatne certyfikatów są generowane na serwerach Google. Klucze są usuwane z serwerów Google po zainstalowaniu certyfikatu na urządzeniu lub po 24 godzinach, w zależności od tego, co nastąpi wcześniej.
  • W przypadku urządzeń z ChromeOS klucze prywatne certyfikatów są generowane na urządzeniach. Odpowiedni klucz publiczny jest tymczasowo przechowywany na serwerach Google i usuwany po zainstalowaniu certyfikatu.

Wymagania systemowe

  • Usługi certyfikatów Microsoft Active Directory dla serwera SCEP i usługi rejestracji urządzeń sieciowych (NDES) firmy Microsoft w celu rozpowszechniania certyfikatów.
  • Urządzenia mobilne: urządzenia z iOS i Androidem objęte zaawansowanymi funkcjami zarządzania urządzeniami mobilnymi. Dowiedz się więcej o wymaganiach dotyczących urządzeń.
  • Urządzenia z ChromeOS:
    • Certyfikaty urządzeń: ChromeOS w wersji 89 lub nowszej, zarządzane w Chrome Enterprise
    • Certyfikaty użytkownika: ChromeOS w wersji 86 lub nowszej.
      Uwaga: w przypadku wersji starszych niż 87 użytkownicy muszą ponownie uruchomić urządzenie lub poczekać kilka godzin na wdrożenie certyfikatu.

Zanim zaczniesz

  • Jeśli chcesz, żeby nazwa podmiotu certyfikatu zawierała nazwy użytkowników Active Directory, musisz zsynchronizować Active Directory i Katalog Google przy użyciu Google Cloud Directory Sync (GCDS). W razie potrzeby skonfiguruj GCDS.
  • Jeśli certyfikat CA nie został jeszcze przesłany w konsoli administracyjnej Google, dodaj certyfikat.
  • Zapoznaj się ze znanymi problemami, aby uniknąć nieoczekiwanego działania.

Znane problemy

  • Certyfikatów nie można unieważnić po ich zainstalowaniu na urządzeniach.
  • Profile SCEP nie obsługują dynamicznych testów zabezpieczających logowanie.
  • Dziedziczenie profilu SCEP między jednostkami organizacyjnymi może czasem przestać działać. Jeśli na przykład skonfigurujesz profil SCEP dla jednostki organizacyjnej i zmienisz profil SCEP podrzędnej jednostki organizacyjnej, żadne profile SCEP nadrzędnej jednostki podrzędnej nie będą mogły być dziedziczone przez podrzędną jednostkę organizacyjną.
  • W przypadku urządzeń mobilnych profili SCEP nie można stosować do konfiguracji sieci VPN ani Ethernet – tylko do Wi-Fi.
  • W przypadku urządzeń z ChromeOS profili SCEP nie można stosować bezpośrednio do konfiguracji VPN ani Ethernet. Aby pośrednio zastosować profil SCEP do konfiguracji VPN lub Ethernet, skorzystaj z wzorców wydawców lub podmiotów, aby automatycznie wybrać certyfikat do użycia.
  • W przypadku urządzeń z ChromeOS certyfikaty mogą być wdrażane tylko dla użytkowników zalogowanych na urządzeniach zarządzanych. Użytkownik i urządzenie muszą być w tej samej domenie.

Krok 1. Pobierz Google Cloud Certificate Connector

Wykonaj następujące czynności na serwerze SCEP lub na komputerze z systemem Windows z użyciem konta, na którym można zalogować się jako usługa na serwerze SCEP. Przygotuj dane logowania do konta.

Jeśli Twoja organizacja ma kilka serwerów, możesz używać na wszystkich tego samego agenta oprogramowania sprzęgającego certyfikaty. Pobierz i zainstaluj plik instalacyjny, plik konfiguracji i plik klucza na jednym komputerze zgodnie z poniższą procedurą. Następnie skopiuj te 3 pliki na inny komputer i postępuj zgodnie z instrukcjami konfiguracji na tym komputerze.

Uwaga: oprogramowanie Google Cloud Certificate Connector i jego komponenty pobiera się tylko raz podczas pierwszego konfigurowania certyfikatów w organizacji. Certyfikaty i profile SCEP mogą używać jednego oprogramowania sprzęgającego certyfikaty.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Urządzenia a potemSieci

    Wymaga uprawnień administratora Ustawienia urządzeń udostępnionych.

  2. Kliknij Bezpieczne profile SCEP a potemPobierz oprogramowanie sprzęgające.
  3. W sekcji Instalowanie Google Cloud Certificate Connector kliknij Pobierz.
  4. Na stronie Google Cloud Certificate Connector kliknij Pobierz, aby pobrać plik connector_installer.exe.
  5. Zamknij stronę Dziękujemy za pobranie Google Cloud Certificate Connector.
  6. W konsoli administracyjnej w sekcji Pobierz plik konfiguracji oprogramowania sprzęgającego kliknij Pobierz, aby pobrać plik config.json.
  7. W sekcji Pobierz klucz do konta usługi kliknij Wygeneruj klucz, aby pobrać plik key.json.
  8. Uruchom plik connector_installer.exe jako administrator.
    Uwaga: instalator rejestruje usługę oprogramowania sprzęgającego z domyślnymi danymi logowania (LocalService). Później możesz zmienić usługę, aby działała jako inne konto usługi. Aby to zrobić, przejdź do katalogu instalacyjnego oprogramowania sprzęgającego i uruchom configtool.exe, aby otworzyć ConfigTool.
  9. Przenieś pliki konfiguracji i klucza (config.json i key.json) do folderu Google Cloud Certificate Connector utworzonego podczas instalacji. Zazwyczaj jest to folder C:\Program Files\Google Cloud Certificate Connector.
  10. Otwórz usługę Google Cloud Certificate Connector:
    1. Otwórz Usługi systemu Windows.
    2. Z listy usług wybierz Google Cloud Certificate Connector.
    3. Kliknij Uruchom, aby uruchomić usługę. Upewnij się, że stan zmieni się na Uruchomiono. Usługa automatycznie uruchomi się jeszcze raz po ponownym uruchomieniu komputera.

Jeśli później pobierzesz nowy klucz konta usługi, ponownie uruchom usługę, aby go zastosować.

Krok 2. Dodaj profil SCEP

Profil SCEP definiuje certyfikat, który umożliwia użytkownikom dostęp do sieci Wi-Fi lub Ethernet albo VPN. Profil przypisujesz określonym użytkownikom, dodając go do jednostki organizacyjnej. Możesz skonfigurować kilka profili SCEP do zarządzania dostępem według jednostki organizacyjnej i typu urządzenia. Zalecamy ustawienie osobnego profilu SCEP dla każdej jednostki organizacyjnej, do której chcesz go zastosować.

Zanim zaczniesz: jeśli musisz skonfigurować dział lub zespół dla tego ustawienia, przeczytaj artykuł Dodawanie jednostki organizacyjnej.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Urządzenia a potemSieci

    Wymaga uprawnień administratora Ustawienia urządzeń udostępnionych.

  2. (Opcjonalnie) Aby zastosować ustawienie na potrzeby działu lub zespołu, z boku wybierz jednostkę organizacyjną.
  3. W sekcji Bezpieczny protokół SCEP kliknij Utwórz bezpieczny profil SCEP. Jeśli masz już utworzony profil SCEP, kliknij Bezpieczny SCEP a potemDodaj bezpieczny profil SCEP.

  4. Wpisz szczegóły konfiguracji profilu. Jeśli urząd certyfikacji wystawi konkretny szablon, dopasuj do niego szczegóły profilu.

    • Platformy, do których ten profil ma zastosowanie – platformy urządzeń, które używają tego profilu SCEP. W przypadku urządzeń z ChromeOS zaznacz opcję Chromebook (użytkownik), Chromebook (urządzenie) lub oba te typy, w zależności od typu certyfikatu, który chcesz wdrożyć.
    • Nazwa profilu SCEP – opisowa nazwa profilu. Nazwa jest wyświetlana na liście profili i w sekcji wyboru profilu w konfiguracji sieci Wi-Fi.
    • Format nazwy podmiotu – wybierz, jak chcesz identyfikować właściciela certyfikatu. Jeśli wybierzesz Pełna nazwa wyróżniająca, nazwa domeny w certyfikacie (wspólna nazwa) będzie nazwą użytkownika.

    • Alternatywna nazwa podmiotu – podaj alternatywną nazwę podmiotu. Wartość domyślna to Brak. W przypadku urządzeń z ChromeOS możesz zdefiniować alternatywne nazwy podmiotu określane na podstawie atrybutów użytkownika i urządzenia. Aby użyć niestandardowego żądania podpisania certyfikatu, w urzędzie certyfikacji musisz też skonfigurować szablon certyfikatu, który obsługuje określone wartości podmiotu i pozwala wygenerować na ich podstawie certyfikat. Wymagane jest podanie wartości CommonName podmiotu.
      Obsługiwane są wartości zastępcze opisane poniżej. Wszystkie wartości są opcjonalne.

      • ${DEVICE_DIRECTORY_ID} – identyfikator katalogu urządzenia,
      • ${USER_EMAIL} – adres e-mail zalogowanego użytkownika,
      • ${USER_EMAIL_DOMAIN} – nazwa domeny zalogowanego użytkownika,
      • ${DEVICE_SERIAL_NUMBER} – numer seryjny urządzenia,
      • ${DEVICE_ASSET_ID} – identyfikator zasobu przypisany do urządzenia przez administratora,
      • ${DEVICE_ANNOTATED_LOCATION} – lokalizacja urządzenia przypisana przez administratora,
      • ${USER_EMAIL_NAME} – pierwsza część adresu e-mail zalogowanego użytkownika (przed „@”).

      Jeśli wartość zastępcza nie jest dostępna, zastępuje ją pusty ciąg.

    • Algorytm podpisywania – funkcja skrótu używana do szyfrowania klucza autoryzacji. Dostępna jest tylko funkcja SHA256 z kluczem RSA.

    • Użycie klucza – opcje użycia klucza, szyfrowania i podpisywania klucza. Możesz wybrać więcej niż jedną.

    • Rozmiar klucza (w bitach) – rozmiar klucza RSA. W przypadku urządzeń z ChromeOS wybierz 2048.

    • W sekcji Zabezpieczenia wybierz typ atestu, który będzie wymagany w przypadku połączonych urządzeń. To ustawienie nie dotyczy urządzeń mobilnych.

    • W sekcji Atrybuty serwera SCEP skonfiguruj wartości i preferencje serwera SCEP.

      • URL serwera SCEP – URL serwera SCEP.
      • Okres ważności certyfikatu (w latach) – jak długo certyfikat urządzenia jest ważny. Wpisz liczbę.
      • Odnów przed wygaśnięciem (w dniach) – ile czasu przed wygaśnięciem certyfikatu urządzenia podjąć próbę odnowienia certyfikatu.
      • Rozszerzone użycie klucza – sposób użycia klucza. Możesz wybrać więcej niż jedną wartość.
      • Sposób weryfikacji tożsamości – aby wymagać od Google podania określonej frazy zabezpieczającej logowanie w przypadku żądania certyfikatu z serwera SCEP, wybierz Statyczny i wpisz frazę. Jeśli wybierzesz opcję Brak, serwer nie będzie wymagać tego sprawdzenia.
      • Nazwa szablonu – nazwa szablonu używanego przez serwer NDES.
      • Urząd certyfikacji – nazwa certyfikatu przesłanego do użycia jako urząd certyfikacji.
      • Typ sieci, do której profil ma zastosowanie – typ sieci używających tego profilu SCEP.
  5. Kliknij Zapisz. Możesz też kliknąć Zastąp w przypadku jednostki organizacyjnej.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz.

Po dodaniu profilu jest on wyświetlany wraz z nazwą i platformami, dla których jest włączony. W kolumnie Platforma niebieska ikona oznacza, że profil jest włączony na danej platformie, a ikona szara – że jest wyłączony. Aby edytować profil, najedź na wiersz i kliknij Edytuj .

Profil SCEP jest automatycznie rozpowszechniany do użytkowników w jednostce organizacyjnej.

Krok 3. Skonfiguruj magazyn kluczy Google Cloud Certificate Connector

Pomiń ten krok, jeśli certyfikat jest wydany przez zaufany urząd certyfikacji lub jeśli adres URL serwera SCEP zaczyna się od HTTP.

Jeśli certyfikat nie został wydany przez zaufany urząd certyfikacji, np. jest to certyfikat podpisany samodzielnie, musisz zaimportować go do magazynu kluczy Google Cloud Certificate Connector. W przeciwnym razie certyfikat urządzenia nie może być udostępniony, a urządzenie nie może się połączyć.

  1. Zaloguj się w urzędzie certyfikacji.
  2. Jeśli nie masz jeszcze zainstalowanego środowiska Java JRE, zainstaluj je, aby korzystać z keytool.exe.
  3. Otwórz wiersz polecenia.

  4. Wyeksportuj certyfikat CA i przekonwertuj go na plik PEM przy użyciu tych poleceń:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Zaimportuj certyfikat CA do magazynu kluczy. Z poziomu podkatalogu folderu Google Cloud Certificate Connector utworzonego podczas instalacji (zwykle jest to C:\Program Files\Google Cloud Certificate Connector) użyj tego polecenia i zastąp java-home-dir ścieżką do środowiska JRE w folderze Google Cloud Certificate Connector, a cert-export-dir ścieżką do certyfikatu wyeksportowanego w kroku 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

Krok 4. Skonfiguruj sieci tak, aby wymagały profilu SCEP (opcjonalnie)

W zależności od typu sieci możesz skonfigurować ją tak, aby wymagała profilu SCEP.

Wymagaj profilu SCEP w przypadku sieci Wi-Fi

Aby kontrolować dostęp do sieci Wi-Fi zarówno na urządzeniach mobilnych, jak i na urządzeniach z ChromeOS, skonfiguruj oddzielne sieci Wi-Fi dla obu typów urządzeń. Na przykład skonfiguruj jedną sieć Wi-Fi dla urządzeń mobilnych i przypisz do niej profil SCEP dla urządzeń mobilnych. Następnie skonfiguruj inną sieć Wi-Fi dla urządzeń z ChromeOS i przypisz do niej profil SCEP dla urządzeń z ChromeOS.

Zanim zaczniesz: jeśli musisz skonfigurować dział lub zespół dla tego ustawienia, przeczytaj artykuł Dodawanie jednostki organizacyjnej.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Urządzenia a potemSieci

    Wymaga uprawnień administratora Ustawienia urządzeń udostępnionych.

  2. (Opcjonalnie) Aby zastosować ustawienie na potrzeby działu lub zespołu, z boku wybierz jednostkę organizacyjną.
  3. W sekcji Wi-Fi kliknij Utwórz sieć Wi-Fi. Jeśli masz już skonfigurowaną sieć Wi-Fi, kliknij Wi-Fi Dodaj sieć Wi-Fi.a potem
  4. W sekcji Dostęp do platformy zaznacz odpowiednie pola: Android, iOS, Chromebooki (wg zasad dotyczących użytkowników), Chromebooki (wg zasad dotyczących urządzeń) lub Sprzęt do Google Meet.
  5. W sekcji Szczegóły:
    1. Wpisz nazwę i identyfikator SSID sieci Wi-Fi.
    2. W sekcji Ustawienia zabezpieczeń wybierz WPA/WPA2 Enterprise (802.1X) lub Dynamic WEP (802.1X).
    3. W polu Extensible Authentication Protocol (Protokół Extensible Authentication Protocol) wybierz EAP-TLS lub EAP-TTLS.
    4. Jeśli wybierzesz EAP-TLS, w sekcji Typ obsługi administracyjnej wybierz Profil SCEP lub Wzorzec certyfikatu, a następnie wybierz opcję:
      • W polu Profil SCEP wybierz profil SCEP, który został dodany w kroku 2.
      • W sekcji Wzorzec certyfikatu wpisz wartość w polu URL-e rejestracji klientów oraz co najmniej 1 wartość w polu Wzorzec wystawcy lub Wzorzec tematu.
    5. Wpisz wartości lub wybierz opcje dla innych potrzebnych szczegółów sieci Wi-Fi.
  6. Kliknij Zapisz.
  7. Udostępnij użytkownikom informacje o łączeniu się z siecią:
    • Urządzenie musi dostarczać certyfikat za każdym razem, gdy użytkownik spróbuje połączyć się z siecią Wi-Fi.
    • W przypadku urządzeń z Androidem i ChromeOS certyfikat odpowiadający profilowi SCEP użytkownika oraz sieć są wpisywane automatycznie, więc wystarczy, że kliknie on Połącz.
    • W iOS użytkownik wybiera certyfikat, którego ma używać, a następnie klika Połącz.

Wymagaj profilu SCEP w przypadku sieci Ethernet

Możesz kontrolować dostęp do sieci Ethernet na urządzeniach z ChromeOS. Skonfiguruj sieć dla urządzeń, a następnie przypisz do niej profil SCEP.

Zanim zaczniesz: jeśli musisz skonfigurować dział lub zespół dla tego ustawienia, przeczytaj artykuł Dodawanie jednostki organizacyjnej.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Urządzenia a potemSieci

    Wymaga uprawnień administratora Ustawienia urządzeń udostępnionych.

  2. (Opcjonalnie) Aby zastosować ustawienie na potrzeby działu lub zespołu, z boku wybierz jednostkę organizacyjną.
  3. W sekcji Ethernet kliknij Utwórz sieć Ethernet. Jeśli masz już skonfigurowaną sieć Ethernet, kliknij Ethernet Dodaj sieć Ethernet.a potem
  4. W sekcji Dostęp do platformy zaznacz odpowiednie pola: Chromebooki (wg zasad dotyczących użytkowników), Chromebooki (wg zasad dotyczących urządzeń) lub Sprzęt do Google Meet.
  5. W sekcji Szczegóły:
    1. Wpisz nazwę sieci Ethernet.
    2. W sekcji Uwierzytelnianie wybierz Enterprise (802.1X).
    3. W polu Extensible Authentication Protocol (Protokół Extensible Authentication Protocol) wybierz EAP-TLS lub EAP-TTLS.
    4. Jeśli wybierzesz EAP-TLS, w sekcji Typ obsługi administracyjnej wybierz Profil SCEP lub Wzorzec certyfikatu, a następnie wybierz opcję:
      • W polu Profil SCEP wybierz profil SCEP, który został dodany w kroku 2.
      • W sekcji Wzorzec certyfikatu wpisz wartość w polu URL-e rejestracji klientów oraz co najmniej 1 wartość w polu Wzorzec wystawcy lub Wzorzec tematu.
    5. Wpisz wartości lub wybierz opcje dla innych potrzebnych szczegółów dotyczących sieci Ethernet.
  6. Kliknij Zapisz.
  7. Udostępnij użytkownikom informacje o łączeniu się z siecią:
    • Urządzenie musi dostarczać certyfikat za każdym razem, gdy użytkownik spróbuje połączyć się z siecią Ethernet.
    • Certyfikat odpowiadający profilowi SCEP i sieć są automatycznie wpisywane na urządzeniu z ChromeOS, więc użytkownik musi tylko kliknąć Połącz.

Wymagaj profilu SCEP w przypadku sieci VPN

Możesz kontrolować dostęp do VPN na urządzeniach z ChromeOS. Skonfiguruj sieć dla urządzeń, a następnie przypisz do niej profil SCEP.

Zanim zaczniesz: jeśli musisz skonfigurować dział lub zespół dla tego ustawienia, przeczytaj artykuł Dodawanie jednostki organizacyjnej.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Urządzenia a potemSieci

    Wymaga uprawnień administratora Ustawienia urządzeń udostępnionych.

  2. (Opcjonalnie) Aby zastosować ustawienie na potrzeby działu lub zespołu, z boku wybierz jednostkę organizacyjną.
  3. W sekcji VPN kliknij Utwórz sieć VPN. Jeśli masz już skonfigurowaną sieć VPN, kliknij VPN a potemDodaj sieć VPN.
  4. W sekcji Dostęp do platformy zaznacz odpowiednie pola: Chromebooki (wg zasad dotyczących użytkowników) lub Chromebooki (wg zasad dotyczących urządzeń).
  5. W sekcji Szczegóły:
    1. Wpisz nazwę i zdalnego hosta sieci VPN.
    2. W sekcji Typ sieci VPN wybierz typ sieci VPN, którego chcesz używać, i wpisz szczegóły tego typu.
    3. Jeśli wybierzesz OpenVPN i zaznaczysz pole Użyj certyfikatu klienta, w sekcji Typ obsługi administracyjnej wybierz Profil SCEP lub Wzorzec certyfikatu, a następnie wybierz opcję:
      • W polu Profil SCEP wybierz profil SCEP, który został dodany w kroku 2.
      • W sekcji Wzorzec certyfikatu wpisz wartość w polu URL-e rejestracji klientów oraz co najmniej 1 wartość w polu Wzorzec wystawcy lub Wzorzec tematu.
    4. Wpisz wartości lub wybierz opcje dla innych szczegółów sieci VPN, których potrzebujesz.
  6. Kliknij Zapisz.
  7. Udostępnij użytkownikom informacje o łączeniu się z siecią:
    • Za każdym razem, gdy użytkownik spróbuje połączyć się z siecią VPN, urządzenie musi dostarczyć certyfikat.
    • Certyfikat odpowiadający profilowi SCEP i sieć są automatycznie wpisywane na urządzeniu z ChromeOS, więc użytkownik musi tylko kliknąć Połącz.

Jak działa uwierzytelnianie za pomocą Google Cloud Certificate Connector

Google Cloud Certificate Connector to usługa systemu Windows, która ustanawia wyłączne połączenie między serwerem SCEP i usługą Google. Usługę oprogramowania sprzęgającego certyfikaty konfiguruje się i zabezpiecza za pomocą pliku konfiguracji i pliku klucza, które są przeznaczone tylko dla Twojej organizacji.

Certyfikaty przypisuje się do urządzeń i użytkowników za pomocą profili SCEP. Aby przypisać profil, wybierz jednostkę organizacyjną i dodaj do niej profil. Profil zawiera urząd certyfikacji, które wystawia certyfikaty urządzeń. Gdy użytkownik zarejestruje urządzenie mobilne lub urządzenie z ChromeOS w systemie zarządzania, zarządzanie punktami końcowymi Google pobiera profil SCEP tego użytkownika i instaluje certyfikat na urządzeniu. W przypadku urządzeń z ChromeOS certyfikat urządzenia jest instalowany przed zalogowaniem się użytkownika, a certyfikat użytkownika – po zalogowaniu. Jeśli urządzenie jest już zarejestrowane, certyfikat jest instalowany w ramach zwykłego cyklu synchronizacji.

Gdy użytkownik spróbuje połączyć się z Twoją siecią, zostanie poproszony o dostarczenie certyfikatu. Na urządzeniach z Androidem certyfikat jest wybierany automatycznie, a użytkownik klika Połącz. Na urządzeniach z iOS użytkownik musi wybrać certyfikat ręcznie, a następnie nawiązać połączenie. Urządzenie uzyskuje dostęp do sieci organizacji przy użyciu klucza wynegocjowanego przez Google za pośrednictwem oprogramowania sprzęgającego certyfikaty. Google tymczasowo przechowuje klucz podczas negocjowania zabezpieczeń, ale usuwa go po zainstalowaniu na urządzeniu lub po upływie 24 godzin.


Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.