อุปกรณ์เคลื่อนที่: รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
อุปกรณ์ ChromeOS: ต้องใช้ Chrome Enterprise สำหรับใบรับรองที่อิงตามอุปกรณ์
คุณสามารถควบคุมการเข้าถึงของผู้ใช้ไปยังเครือข่าย Wi-Fi และอีเทอร์เน็ต, เครือข่ายส่วนตัวเสมือน (VPN) รวมถึงแอปและเว็บไซต์ภายในขององค์กรได้ในมือถือและอุปกรณ์ ChromeOS ด้วยการกระจายใบรับรองจากผู้ออกใบรับรอง (CA) ภายในองค์กร ซึ่ง Google Cloud Certificate Connector เป็นบริการของ Windows ที่กระจายใบรับรองและคีย์การตรวจสอบสิทธิ์จากเซิร์ฟเวอร์ Simple Certificate Enrollment Protocol (SCEP) ไปยังมือถือและอุปกรณ์ ChromeOS ของผู้ใช้อย่างปลอดภัย โปรดดูรายละเอียดที่หัวข้อวิธีการตรวจสอบสิทธิ์ใบรับรองผ่าน Google Cloud Certificate Connector ในหน้านี้
สำหรับอุปกรณ์ ChromeOS คุณจะตั้งค่าใบรับรองตามผู้ใช้หรือตามอุปกรณ์ได้ ระบบจะเพิ่มใบรับรองผู้ใช้ลงในอุปกรณ์ให้กับผู้ใช้คนใดคนหนึ่ง และผู้ใช้รายนั้นจะเข้าถึงได้ หรือระบบจะมอบหมายใบรับรองอุปกรณ์ตามอุปกรณ์ และผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์ดังกล่าวจะเข้าถึงได้ โปรดดูรายละเอียดที่หัวข้อจัดการใบรับรองไคลเอ็นต์ในอุปกรณ์ Chrome
หากต้องการควบคุมการเข้าถึงเครือข่าย Wi-Fi สำหรับทั้งมือถือและอุปกรณ์ ChromeOS คุณจะต้องตั้งค่าโปรไฟล์ SCEP และเครือข่าย Wi-Fi แยกกัน เนื่องจากมือถือและอุปกรณ์ ChromeOS รองรับคีย์ RSA คนละประเภท
หมายเหตุเกี่ยวกับพื้นที่เก็บข้อมูลคีย์:
- สำหรับอุปกรณ์เคลื่อนที่ ระบบจะสร้างคีย์ส่วนตัวสำหรับใบรับรองในเซิร์ฟเวอร์ของ Google โดยจะลบคีย์ออกจากเซิร์ฟเวอร์ของ Google อย่างถาวรหลังจากติดตั้งใบรับรองในอุปกรณ์หรือหลังผ่านไป 24 ชั่วโมง ขึ้นอยู่กับว่ากิจกรรมใดจะเกิดก่อน
- สำหรับอุปกรณ์ ChromeOS ระบบจะสร้างคีย์ส่วนตัวสำหรับใบรับรองในอุปกรณ์ ChromeOS โดยจะจัดเก็บคีย์สาธารณะที่เกี่ยวข้องไว้ชั่วคราวในเซิร์ฟเวอร์ของ Google และจะลบถาวรหลังจากติดตั้งใบรับรอง
ข้อกำหนดของระบบ
- Microsoft Active Directory Certificate Service สำหรับเซิร์ฟเวอร์ SCEP และ Microsoft Network Device Enrollment Service (NDES) ในการกระจายใบรับรอง
- อุปกรณ์เคลื่อนที่: อุปกรณ์ iOS และ Android ที่อยู่ภายใต้การจัดการอุปกรณ์เคลื่อนที่ขั้นสูง ดูข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดของอุปกรณ์
- อุปกรณ์ ChromeOS:
- ใบรับรองอุปกรณ์: ChromeOS เวอร์ชัน 89 ขึ้นไปและจัดการด้วย Chrome Enterprise
- ใบรับรองผู้ใช้: ChromeOS เวอร์ชัน 86 ขึ้นไป
หมายเหตุ: สำหรับเวอร์ชันที่เก่ากว่า 87 ผู้ใช้จะต้องรีสตาร์ทอุปกรณ์หรือรอ 2-3 ชั่วโมงเพื่อให้ใบรับรองผู้ใช้ใช้งานได้
ก่อนเริ่มต้น
- หากต้องการชื่อเรื่องของใบรับรองเพื่อใช้ชื่อผู้ใช้ Active Directory คุณต้องซิงค์ Active Directory และ Google Directory ด้วย Google Cloud Directory Sync (GCDS) หากจำเป็น ให้ตั้งค่า GCDS
- หากยังไม่ได้อัปโหลดใบรับรอง CA ในคอนโซลผู้ดูแลระบบของ Google ให้เพิ่มใบรับรอง
- ดูปัญหาที่ทราบเพื่อหลีกเลี่ยงการทำงานที่ไม่คาดคิด
ปัญหาที่ทราบ
- คุณจะเพิกถอนใบรับรองหลังจากที่ติดตั้งในอุปกรณ์แล้วไม่ได้
- โปรไฟล์ SCEP ไม่รองรับคำถามแบบไดนามิก
- การรับค่าของโปรไฟล์ SCEP ระหว่างหน่วยขององค์กรจะแจกแจงได้ในบางกรณี เช่น หากคุณตั้งค่าโปรไฟล์ SCEP ให้กับหน่วยขององค์กรและเปลี่ยนโปรไฟล์ SCEP ของหน่วยขององค์กรย่อย โปรไฟล์ SCEP ของหน่วยขององค์กรระดับบนสุดจะรับค่ามาจากหน่วยขององค์กรย่อยได้อีกครั้ง
- สำหรับมือถือ โปรไฟล์ SCEP จะใช้กับการกำหนดค่า VPN หรืออีเทอร์เน็ตไม่ได้ และจะใช้ได้กับ Wi-Fi เท่านั้น
- สำหรับอุปกรณ์ ChromeOS โปรไฟล์ SCEP จะใช้กับการกำหนดค่า VPN หรืออีเทอร์เน็ตโดยตรงไม่ได้ หากต้องการใช้โปรไฟล์ SCEP กับการกำหนดค่า VPN หรืออีเทอร์เน็ตโดยอ้อม ให้ใช้รูปแบบผู้ออกและหัวเรื่องเพื่อเลือกใบรับรองที่จะใช้โดยอัตโนมัติ
- สำหรับผู้ใช้อุปกรณ์ ChromeOS ใบรับรองจะใช้ได้สำหรับผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์ที่มีการจัดการเท่านั้น ผู้ใช้และอุปกรณ์ต้องอยู่ในโดเมนเดียวกัน
ขั้นตอนที่ 1: ดาวน์โหลด Google Cloud Certificate Connector
ทำตามขั้นตอนต่อไปนี้ในเซิร์ฟเวอร์ SCEP หรือในคอมพิวเตอร์ที่ใช้ Windows ซึ่งมีบัญชีที่ลงชื่อเข้าใช้เป็นบริการอย่างหนึ่งในเซิร์ฟเวอร์ SCEP ได้ โดยเตรียมข้อมูลเข้าสู่ระบบของบัญชีให้พร้อมใช้งาน
หากองค์กรมีหลายเซิร์ฟเวอร์ คุณจะใช้ตัวแทนเครื่องมือเชื่อมต่อใบรับรองเดียวกันกับเซิร์ฟเวอร์ทั้งหมดได้ โดยดาวน์โหลดและติดตั้งไฟล์การติดตั้ง ไฟล์การกำหนดค่า และไฟล์คีย์ในคอมพิวเตอร์เครื่องหนึ่งตามที่อธิบายไว้ในขั้นตอนต่อไปนี้ จากนั้นคัดลอกทั้ง 3 ไฟล์ไปยังคอมพิวเตอร์เครื่องอื่นและทำตามวิธีการตั้งค่าในคอมพิวเตอร์เครื่องนั้น
หมายเหตุ: ให้ดาวน์โหลด Google Cloud Certificate Connector และคอมโพเนนต์ต่างๆ เพียงครั้งเดียวเท่านั้นเมื่อตั้งค่าใบรับรองสำหรับองค์กรครั้งแรก โดยใบรับรองและโปรไฟล์ SCEP จะใช้เครื่องมือเชื่อมต่อใบรับรองเดียวกันได้
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
อุปกรณ์
เครือข่าย
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์
- คลิก SCEP ที่ปลอดภัย
ดาวน์โหลดเครื่องมือเชื่อมต่อ
- คลิกดาวน์โหลดในส่วนติดตั้ง Google Cloud Certificate Connector
- ในหน้า Google Cloud Certificate Connector ให้คลิกดาวน์โหลดเพื่อดาวน์โหลดไฟล์ connector_installer.exe
- ปิดหน้าขอขอบคุณที่ดาวน์โหลด Google Cloud Certificate Connector
- ในคอนโซลผู้ดูแลระบบ ในส่วนดาวน์โหลดไฟล์การกำหนดค่าเครื่องมือเชื่อมต่อ ให้คลิกดาวน์โหลดเพื่อดาวน์โหลดไฟล์ config.json
- ในส่วนดาวน์โหลดคีย์บัญชีบริการ ให้คลิกสร้างคีย์เพื่อดาวน์โหลดไฟล์ key.json
- เรียกใช้ connector_installer.exe ในฐานะผู้ดูแลระบบ
หมายเหตุ: โปรแกรมติดตั้งจะลงทะเบียนบริการเครื่องมือเชื่อมต่อด้วยข้อมูลเข้าสู่ระบบเริ่มต้น (LocalService) จากนั้นคุณจะเปลี่ยนบริการให้ทำงานเป็นบัญชีบริการอื่นได้ โดยไปที่ไดเรกทอรีการติดตั้งสำหรับเครื่องมือเชื่อมต่อ แล้วเรียกใช้ configtool.exe เพื่อเปิด ConfigTool - ย้ายไฟล์การกำหนดค่าและคีย์ (config.json และ key.json) ไปยังโฟลเดอร์ Google Cloud Certificate Connector ที่สร้างระหว่างการติดตั้ง โดยทั่วไปจะอยู่ที่ C:\Program Files\Google Cloud Certificate Connector
- เปิดบริการ Google Cloud Certificate Connector ดังนี้
- เปิดบริการของ Windows
- เลือก Google Cloud Certificate Connector ในรายการบริการ
- คลิกเริ่มเพื่อเริ่มบริการ ตรวจสอบว่าสถานะเปลี่ยนเป็นกำลังทำงาน โดยบริการจะรีสตาร์ทโดยอัตโนมัติหากคอมพิวเตอร์รีบูต
หากคุณดาวน์โหลดคีย์บัญชีบริการใหม่ในภายหลัง ให้รีสตาร์ทบริการใหม่เพื่อใช้งานคีย์นั้น
ขั้นตอนที่ 2: เพิ่มโปรไฟล์ SCEP
โปรไฟล์ SCEP จะกำหนดใบรับรองซึ่งให้ผู้ใช้เข้าถึงเครือข่าย Wi-Fi หรืออีเทอร์เน็ต หรือ VPN ของคุณได้ คุณจะให้สิทธิ์โปรไฟล์กับผู้ใช้บางรายได้โดยการเพิ่มโปรไฟล์นั้นลงในหน่วยขององค์กร โดยตั้งค่าโปรไฟล์ SCEP หลายโปรไฟล์เพื่อจัดการการเข้าถึงได้ตามหน่วยขององค์กรและตามประเภทอุปกรณ์ เราขอแนะนำให้คุณตั้งค่าโปรไฟล์ SCEP แยกกันสำหรับหน่วยขององค์กรแต่ละหน่วยที่ต้องการใช้โปรไฟล์ดังกล่าว
ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
อุปกรณ์
เครือข่าย
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์
- (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
- สำหรับ SCEP ที่ปลอดภัย ให้คลิกสร้างโปรไฟล์ SCEP ที่ปลอดภัย หากสร้างโปรไฟล์ SCEP แล้ว ให้คลิก SCEP ที่ปลอดภัย
เพิ่มโปรไฟล์ SCEP ที่ปลอดภัย
ป้อนรายละเอียดการกำหนดค่าสำหรับโปรไฟล์ หาก CA ของคุณออกเทมเพลตที่เฉพาะเจาะจง ให้จับคู่รายละเอียดของโปรไฟล์กับเทมเพลตนั้น
- แพลตฟอร์มที่ใช้กับโปรไฟล์นี้ - แพลตฟอร์มอุปกรณ์ที่ใช้โปรไฟล์ SCEP สำหรับอุปกรณ์ ChromeOS ให้เลือก Chromebook (ผู้ใช้), Chromebook (อุปกรณ์) หรือทั้ง 2 อย่าง ขึ้นอยู่กับประเภทของใบรับรองที่คุณต้องการใช้งาน
- ชื่อโปรไฟล์ SCEP - ชื่อที่สื่อความหมายถึงโปรไฟล์นั้น ชื่อนี้จะปรากฏในรายการโปรไฟล์และในตัวเลือกโปรไฟล์ในการกำหนดค่าเครือข่าย Wi-Fi
- รูปแบบของชื่อเรื่อง - เลือกวิธีที่คุณต้องการระบุเจ้าของใบรับรอง หากเลือกชื่อเฉพาะแบบเต็ม ชื่อจริงของใบรับรองจะเป็นชื่อผู้ใช้
ชื่อเรื่องอื่น - ให้ระบุ SAN โดยค่าเริ่มต้นจะเป็นไม่มี สำหรับอุปกรณ์ ChromeOS คุณสามารถกำหนดชื่อเรื่องอื่นตามแอตทริบิวต์ของผู้ใช้และอุปกรณ์ได้ หากต้องการใช้คำขอลงชื่อใบรับรอง (CSR) ที่กำหนดเอง ให้กำหนดค่าเทมเพลตใบรับรองใน CA เพื่อให้ได้ใบรับรองที่มีค่าเรื่องตามที่กำหนดไว้ในคำขอ และอย่างน้อยต้องระบุค่าเรื่องเป็น CommonName
คุณจะใช้ตัวยึดตำแหน่งต่อไปนี้ได้ โดยจะใส่หรือไม่ใส่ก็ได้- ${DEVICE_DIRECTORY_ID} - รหัสไดเรกทอรีของอุปกรณ์
- ${USER_EMAIL} - อีเมลของผู้ใช้ที่ลงชื่อเข้าใช้
- ${USER_EMAIL_DOMAIN} - ชื่อโดเมนของผู้ใช้ที่ลงชื่อเข้าใช้
- ${DEVICE_SERIAL_NUMBER} - หมายเลขซีเรียลของอุปกรณ์
- ${DEVICE_ASSET_ID} - รหัสเนื้อหาของอุปกรณ์ที่ผู้ดูแลระบบกำหนดไว้
- ${DEVICE_ANNOTATED_LOCATION} - สถานที่ตั้งของอุปกรณ์ที่ผู้ดูแลระบบกำหนดไว้
- ${USER_EMAIL_NAME} - ส่วนแรก (ส่วนที่อยู่ก่อน @) ของอีเมลที่ผู้ใช้ลงชื่อเข้าใช้
หากค่าตัวยึดตำแหน่งใช้ไม่ได้ ระบบจะนำสตริงที่เป็นค่าว่างมาแทนที่
อัลกอริทึมสำหรับการเซ็นชื่อ - ฟังก์ชันแฮชที่ใช้ในการเข้ารหัสคีย์การให้สิทธิ์ มีเฉพาะ SHA256 ที่มี RSA เท่านั้น
การใช้คีย์ - ตัวเลือกสำหรับวิธีใช้คีย์ การเข้ารหัสคีย์ และการเซ็นชื่อ โดยจะเลือกได้มากกว่า 1 รายการ
ขนาดของคีย์ (บิต) - ขนาดของคีย์ RSA สำหรับอุปกรณ์ ChromeOS ให้เลือก 2048
สำหรับความปลอดภัย ให้เลือกประเภทเอกสารรับรองที่จะต้องใช้สำหรับอุปกรณ์ที่เชื่อมต่อ การตั้งค่านี้ไม่มีผลกับอุปกรณ์เคลื่อนที่
ในส่วนแอตทริบิวต์เซิร์ฟเวอร์ SCEP ให้กำหนดค่าและค่ากำหนดสำหรับเซิร์ฟเวอร์ SCEP
- URL ของเซิร์ฟเวอร์ SCEP - URL ของเซิร์ฟเวอร์ SCEP
- ระยะเวลาที่ใช้งานใบรับรองได้ (ปี) - ใบรับรองอุปกรณ์ใช้ได้นานเท่าใด ป้อนในรูปแบบตัวเลข
- จำนวนวันที่ต่ออายุได้ - คุณจะลองต่ออายุใบรับรองอุปกรณ์ได้ก่อนจะหมดอายุกี่วัน
- การใช้คีย์แบบขยาย - วิธีที่คุณใช้คีย์ได้ เลือกได้มากกว่า 1 ค่า
- ประเภทคำถาม - หากต้องการให้ Google แสดงวลีคำถามที่กำหนดเมื่อขอใบรับรองจากเซิร์ฟเวอร์ SCEP ให้เลือกคงที่ และป้อนวลี หากเลือกไม่มี เซิร์ฟเวอร์จะไม่ต้องใช้การตรวจสอบนี้
- ชื่อเทมเพลต - ชื่อของเทมเพลตที่เซิร์ฟเวอร์ NDES ใช้งาน
- ผู้ออกใบรับรอง - ชื่อของใบรับรองที่คุณอัปโหลดเพื่อใช้เป็นผู้ออกใบรับรอง
- ประเภทเครือข่ายที่ใช้กับโปรไฟล์นี้ - ประเภทเครือข่ายที่ใช้โปรไฟล์ SCEP
-
คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร
หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า
หลังจากที่เพิ่มโปรไฟล์แล้ว ระบบจะแสดงโปรไฟล์นั้นพร้อมด้วยชื่อและแพลตฟอร์มที่เปิดให้ใช้งาน ในคอลัมน์แพลตฟอร์ม ระบบจะเปิดใช้โปรไฟล์ดังกล่าวสำหรับแพลตฟอร์มที่มีไอคอนสีน้ำเงินและจะปิดใช้สำหรับแพลตฟอร์มที่มีไอคอนสีเทา หากต้องการแก้ไขโปรไฟล์ ให้ชี้ไปที่แถวที่ต้องการ แล้วคลิกแก้ไข
โปรไฟล์ SCEP จะกระจายไปยังผู้ใช้ในหน่วยขององค์กรโดยอัตโนมัติ
ขั้นตอนที่ 3: กำหนดค่าคีย์สโตร์ของ Google Cloud Certificate Connector
หากใบรับรองออกโดย CA ที่เชื่อถือได้ หรือ URL ของเซิร์ฟเวอร์ SCEP ของคุณเริ่มต้นด้วย HTTP ให้ข้ามขั้นตอนนี้ไป
หากใบรับรองไม่ได้ออกโดย CA ที่เชื่อถือได้ เช่น ใบรับรองแบบ Self-signed คุณต้องนำเข้าใบรับรองไปที่คีย์สโตร์ของ Google Cloud Certificate Connector ไม่เช่นนั้นจะจัดสรรใบรับรองอุปกรณ์และเชื่อมต่ออุปกรณ์ไม่ได้
- ลงชื่อเข้าใช้ CA
- หากยังไม่ได้ติดตั้ง Java JRE ให้ติดตั้งเพื่อให้สามารถใช้ keytool.exe ได้
- เปิด Command Prompt
ส่งออกใบรับรอง CA และแปลงเป็นไฟล์ PEM โดยใช้คำสั่งต่อไปนี้
certutil ‑ca.cert C:\root.cer
certutil ‑encode cacert.cer cacert.pemนำเข้าใบรับรอง CA ไปยังคีย์สโตร์ จากไดเรกทอรีย่อยของโฟลเดอร์ Google Cloud Certificate Connector ที่สร้างขึ้นระหว่างการติดตั้ง โดยทั่วไปจะอยู่ที่ C:\Program Files\Google Cloud Certificate Connector ให้เรียกใช้คำสั่งต่อไปนี้และแทนที่ java-home-dir ด้วยเส้นทางไปยัง JRE ในโฟลเดอร์ Google Cloud Certificate Connector และ cert-export-dir ด้วยเส้นทางไปยังใบรับรองที่ส่งออกในขั้นตอนที่ 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
ขั้นตอนที่ 4: กำหนดค่าเครือข่ายเพื่อกำหนดให้ใช้โปรไฟล์ SCEP (ไม่บังคับ)
คุณตั้งค่าเครือข่ายให้กำหนดให้ใช้โปรไฟล์ SCEP ได้ ทั้งนี้ขึ้นอยู่กับประเภทเครือข่าย
กำหนดให้ใช้โปรไฟล์ SCEP สำหรับเครือข่าย Wi-Fi
หากต้องการควบคุมการเข้าถึงเครือข่าย Wi-Fi สำหรับทั้งมือถือและอุปกรณ์ ChromeOS ให้ตั้งค่าเครือข่าย Wi-Fi แยกกันสำหรับอุปกรณ์แต่ละเครื่อง เช่น ตั้งค่าเครือข่าย Wi-Fi เดียวสำหรับมือถือและกำหนดโปรไฟล์ SCEP สำหรับมือถือ จากนั้นตั้งค่าเครือข่าย Wi-Fi อีกเครือข่ายสำหรับอุปกรณ์ ChromeOS และกำหนดโปรไฟล์ SCEP สำหรับอุปกรณ์ ChromeOS
ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
อุปกรณ์
เครือข่าย
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์
- (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
- ในส่วน Wi-Fi ให้คลิกสร้างเครือข่าย Wi-Fi หากตั้งค่าเครือข่าย Wi-Fi แล้ว ให้คลิก Wi-Fi
เพิ่ม Wi-Fi
- ในส่วนการเข้าถึงแพลตฟอร์ม ให้เลือกช่องต่อไปนี้ตามต้องการ ได้แก่ Android, iOS, Chromebook (ตามผู้ใช้), Chromebook (ตามอุปกรณ์) หรือฮาร์ดแวร์ของ Google Meet
- ในส่วนรายละเอียด ให้ทำดังนี้
- ป้อนชื่อและ SSID สำหรับเครือข่าย Wi-Fi
- สำหรับการตั้งค่าความปลอดภัย ให้เลือก WPA/WPA2 Enterprise (802.1X) หรือ Dynamic WEP (802.1X)
- สำหรับโปรโตคอลการตรวจสอบสิทธิ์ที่ขยายได้ ให้เลือก EAP-TLS หรือ EAP-TTLS
- หากเลือก EAP-TLS สำหรับประเภทการจัดสรร ให้เลือกโปรไฟล์ SCEP หรือรูปแบบใบรับรอง แล้วเลือกตัวเลือกต่อไปนี้
- สำหรับโปรไฟล์ SCEP ให้เลือกโปรไฟล์ SCEP ที่คุณเพิ่มในขั้นตอนที่ 2
- สำหรับรูปแบบใบรับรอง ให้ป้อนค่าสำหรับ URL การลงทะเบียนไคลเอ็นต์ และค่าอย่างน้อย 1 ค่าสำหรับรูปแบบผู้ออกหรือรูปแบบหัวเรื่อง
- ป้อนค่าหรือเลือกตัวเลือกสำหรับรายละเอียด Wi-Fi อื่นๆ ที่คุณต้องการ
- คลิกบันทึก
- แชร์ข้อมูลกับผู้ใช้เกี่ยวกับการเชื่อมต่อเครือข่าย
- อุปกรณ์ของผู้ใช้จะต้องแสดงใบรับรองทุกครั้งที่พยายามเชื่อมต่อกับเครือข่าย Wi-Fi
- สำหรับอุปกรณ์ Android และ ChromeOS ระบบจะป้อนใบรับรองที่สอดคล้องกับโปรไฟล์ SCEP ของผู้ใช้และเครือข่ายโดยอัตโนมัติ ผู้ใช้จึงเพียงคลิกเชื่อมต่อ
- หากใช้อุปกรณ์ iOS ผู้ใช้ต้องเลือกใบรับรองที่จะใช้ แล้วคลิกเชื่อมต่อ
กำหนดให้ใช้โปรไฟล์ SCEP สำหรับเครือข่ายอีเทอร์เน็ต
คุณสามารถควบคุมการเข้าถึงเครือข่ายอีเทอร์เน็ตสำหรับอุปกรณ์ ChromeOS ได้ โดยตั้งค่าเครือข่ายสำหรับอุปกรณ์ แล้วกำหนดโปรไฟล์ SCEP ให้กับอุปกรณ์นั้น
ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
อุปกรณ์
เครือข่าย
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์
- (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
- สำหรับอีเทอร์เน็ต ให้คลิกสร้างเครือข่ายอีเทอร์เน็ต หากตั้งค่าเครือข่ายอีเทอร์เน็ตแล้ว ให้คลิกอีเทอร์เน็ต
เพิ่มอีเทอร์เน็ต
- ในส่วนการเข้าถึงแพลตฟอร์ม ให้เลือกช่องต่อไปนี้ตามต้องการ ได้แก่ Chromebook (ตามผู้ใช้), Chromebook (ตามอุปกรณ์) หรือฮาร์ดแวร์ของ Google Meet
- ในส่วนรายละเอียด ให้ทำดังนี้
- ป้อนชื่อเครือข่ายอีเทอร์เน็ต
- สำหรับการตรวจสอบสิทธิ์ ให้เลือก Enterprise (802.1X)
- สำหรับโปรโตคอลการตรวจสอบสิทธิ์ที่ขยายได้ ให้เลือก EAP-TLS หรือ EAP-TTLS
- หากเลือก EAP-TLS สำหรับประเภทการจัดสรร ให้เลือกโปรไฟล์ SCEP หรือรูปแบบใบรับรอง แล้วเลือกตัวเลือกต่อไปนี้
- สำหรับโปรไฟล์ SCEP ให้เลือกโปรไฟล์ SCEP ที่คุณเพิ่มในขั้นตอนที่ 2
- สำหรับรูปแบบใบรับรอง ให้ป้อนค่าสำหรับ URL การลงทะเบียนไคลเอ็นต์ และค่าอย่างน้อย 1 ค่าสำหรับรูปแบบผู้ออกหรือรูปแบบหัวเรื่อง
- ป้อนค่าหรือเลือกตัวเลือกสำหรับรายละเอียดอีเทอร์เน็ตอื่นๆ ที่คุณต้องการ
- คลิกบันทึก
- แชร์ข้อมูลกับผู้ใช้เกี่ยวกับการเชื่อมต่อเครือข่าย
- อุปกรณ์ของผู้ใช้จะต้องแสดงใบรับรองทุกครั้งที่พยายามเชื่อมต่อกับเครือข่ายอีเทอร์เน็ต
- ระบบจะป้อนใบรับรองที่สอดคล้องกับโปรไฟล์ SCEP และเครือข่ายโดยอัตโนมัติในอุปกรณ์ ChromeOS ของผู้ใช้ ผู้ใช้จึงเพียงคลิกเชื่อมต่อ
กำหนดให้ใช้โปรไฟล์ SCEP สำหรับ VPN
คุณสามารถควบคุมการเข้าถึง VPN สำหรับอุปกรณ์ ChromeOS ได้ โดยตั้งค่าเครือข่ายสำหรับอุปกรณ์ แล้วกำหนดโปรไฟล์ SCEP ให้กับอุปกรณ์นั้น
ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
อุปกรณ์
เครือข่าย
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์
- (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
- สำหรับ VPN ให้คลิกสร้างเครือข่าย VPN หากตั้งค่า VPN แล้ว ให้คลิก VPN
เพิ่ม VPN
- ในส่วนการเข้าถึงแพลตฟอร์ม ให้เลือกช่องต่อไปนี้ตามต้องการ ได้แก่ Chromebook (ตามผู้ใช้) หรือ Chromebook (ตามอุปกรณ์)
- ในส่วนรายละเอียด ให้ทำดังนี้
- ป้อนชื่อและโฮสต์ระยะไกลสำหรับ VPN
- สำหรับประเภท VPN ให้เลือกประเภท VPN ที่ต้องการและป้อนรายละเอียดสำหรับประเภทนั้น
- หากเลือก OpenVPN และเลือกช่องใช้ใบรับรองไคลเอ็นต์ ให้เลือกโปรไฟล์ SCEP หรือรูปแบบใบรับรองสำหรับประเภทการจัดสรร แล้วเลือกตัวเลือกต่อไปนี้
- สำหรับโปรไฟล์ SCEP ให้เลือกโปรไฟล์ SCEP ที่คุณเพิ่มในขั้นตอนที่ 2
- สำหรับรูปแบบใบรับรอง ให้ป้อนค่าสำหรับ URL การลงทะเบียนไคลเอ็นต์ และค่าอย่างน้อย 1 ค่าสำหรับรูปแบบผู้ออกหรือรูปแบบหัวเรื่อง
- ป้อนค่าหรือเลือกตัวเลือกสำหรับรายละเอียด VPN อื่นๆ ที่คุณต้องการ
- คลิกบันทึก
- แชร์ข้อมูลกับผู้ใช้เกี่ยวกับการเชื่อมต่อเครือข่าย
- อุปกรณ์ของผู้ใช้จะต้องแสดงใบรับรองทุกครั้งที่พยายามเชื่อมต่อกับ VPN
- ระบบจะป้อนใบรับรองที่สอดคล้องกับโปรไฟล์ SCEP และเครือข่ายโดยอัตโนมัติในอุปกรณ์ ChromeOS ของผู้ใช้ ผู้ใช้จึงเพียงคลิกเชื่อมต่อ
วิธีการตรวจสอบสิทธิ์ใบรับรองผ่าน Google Cloud Certificate Connector
Google Cloud Certificate Connector เป็นบริการของ Windows ที่สร้างการเชื่อมต่อเฉพาะตัวระหว่างเซิร์ฟเวอร์ SCEP กับ Google ไฟล์การกำหนดค่าและไฟล์คีย์จะกำหนดค่าและรักษาความปลอดภัยให้กับเครื่องมือเชื่อมต่อใบรับรอง โดยทั้ง 2 ไฟล์นี้จะใช้กับองค์กรของคุณเท่านั้น
คุณจะกําหนดใบรับรองอุปกรณ์ให้กับอุปกรณ์และผู้ใช้ที่มีโปรไฟล์ SCEP ได้ หากต้องการให้สิทธิ์โปรไฟล์ ให้เลือกหน่วยขององค์กรและเพิ่มโปรไฟล์ในหน่วยขององค์กรนั้น โดยโปรไฟล์นี้ประกอบด้วยผู้ออกใบรับรองที่ออกใบรับรองอุปกรณ์ เมื่อผู้ใช้ลงทะเบียนมือถือหรือ ChromeOS เพื่อรับการจัดการ การจัดการอุปกรณ์ปลายทางของ Google จะดึงโปรไฟล์ SCEP ของผู้ใช้และติดตั้งใบรับรองในอุปกรณ์ สำหรับอุปกรณ์ ChromeOS ระบบจะติดตั้งใบรับรองอุปกรณ์ก่อนที่ผู้ใช้จะลงชื่อเข้าใช้ ส่วนใบรับรองผู้ใช้จะติดตั้งหลังจากที่ผู้ใช้ลงชื่อเข้าใช้ หากมีการลงทะเบียนอุปกรณ์แล้ว ระบบจะติดตั้งใบรับรองเป็นส่วนหนึ่งของรอบการซิงค์ปกติ
ระบบจะกำหนดให้ผู้ใช้แจ้งใบรับรองเมื่อพยายามเชื่อมต่อกับเครือข่าย ในอุปกรณ์ Android ระบบจะเลือกใบรับรองโดยอัตโนมัติ แล้วให้ผู้ใช้คลิกเชื่อมต่อ ในอุปกรณ์ iOS ผู้ใช้ต้องเลือกใบรับรองด้วยตนเอง จากนั้นจึงเชื่อมต่อ อุปกรณ์จะเข้าถึงเครือข่ายขององค์กรโดยใช้คีย์ที่ Google เจรจาผ่านเครื่องมือเชื่อมต่อใบรับรอง โดย Google จะจัดเก็บคีย์ไว้ชั่วคราวในระหว่างการเจรจาด้านความปลอดภัย แต่จะลบคีย์อย่างถาวรเมื่อติดตั้งคีย์ในอุปกรณ์แล้ว (หรือหลังจาก 24 ชั่วโมง)
Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง