ตั้งค่าใบรับรองสำหรับอุปกรณ์เคลื่อนที่และ ChromeOS ที่มีการจัดการ

อุปกรณ์เคลื่อนที่: รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

อุปกรณ์ ChromeOS: ต้องใช้ Chrome Enterprise สำหรับใบรับรองที่อิงตามอุปกรณ์

คุณสามารถควบคุมการเข้าถึงของผู้ใช้ไปยังเครือข่าย Wi-Fi และอีเทอร์เน็ต, เครือข่ายส่วนตัวเสมือน (VPN) รวมถึงแอปและเว็บไซต์ภายในขององค์กรได้ในมือถือและอุปกรณ์ ChromeOS ด้วยการกระจายใบรับรองจากผู้ออกใบรับรอง (CA) ภายในองค์กร ซึ่ง Google Cloud Certificate Connector เป็นบริการของ Windows ที่กระจายใบรับรองและคีย์การตรวจสอบสิทธิ์จากเซิร์ฟเวอร์ Simple Certificate Enrollment Protocol (SCEP) ไปยังมือถือและอุปกรณ์ ChromeOS ของผู้ใช้อย่างปลอดภัย โปรดดูรายละเอียดที่หัวข้อวิธีการตรวจสอบสิทธิ์ใบรับรองผ่าน Google Cloud Certificate Connector ในหน้านี้

สำหรับอุปกรณ์ ChromeOS คุณจะตั้งค่าใบรับรองตามผู้ใช้หรือตามอุปกรณ์ได้ ระบบจะเพิ่มใบรับรองผู้ใช้ลงในอุปกรณ์ให้กับผู้ใช้คนใดคนหนึ่ง และผู้ใช้รายนั้นจะเข้าถึงได้ หรือระบบจะมอบหมายใบรับรองอุปกรณ์ตามอุปกรณ์ และผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์ดังกล่าวจะเข้าถึงได้ โปรดดูรายละเอียดที่หัวข้อจัดการใบรับรองไคลเอ็นต์ในอุปกรณ์ Chrome

หากต้องการควบคุมการเข้าถึงเครือข่าย Wi-Fi สำหรับทั้งมือถือและอุปกรณ์ ChromeOS คุณจะต้องตั้งค่าโปรไฟล์ SCEP และเครือข่าย Wi-Fi แยกกัน เนื่องจากมือถือและอุปกรณ์ ChromeOS รองรับคีย์ RSA คนละประเภท

หมายเหตุเกี่ยวกับพื้นที่เก็บข้อมูลคีย์:

  • สำหรับอุปกรณ์เคลื่อนที่ ระบบจะสร้างคีย์ส่วนตัวสำหรับใบรับรองในเซิร์ฟเวอร์ของ Google โดยจะลบคีย์ออกจากเซิร์ฟเวอร์ของ Google อย่างถาวรหลังจากติดตั้งใบรับรองในอุปกรณ์หรือหลังผ่านไป 24 ชั่วโมง ขึ้นอยู่กับว่ากิจกรรมใดจะเกิดก่อน
  • สำหรับอุปกรณ์ ChromeOS ระบบจะสร้างคีย์ส่วนตัวสำหรับใบรับรองในอุปกรณ์ ChromeOS โดยจะจัดเก็บคีย์สาธารณะที่เกี่ยวข้องไว้ชั่วคราวในเซิร์ฟเวอร์ของ Google และจะลบถาวรหลังจากติดตั้งใบรับรอง

ข้อกำหนดของระบบ

  • Microsoft Active Directory Certificate Service สำหรับเซิร์ฟเวอร์ SCEP และ Microsoft Network Device Enrollment Service (NDES) ในการกระจายใบรับรอง
  • อุปกรณ์เคลื่อนที่: อุปกรณ์ iOS และ Android ที่อยู่ภายใต้การจัดการอุปกรณ์เคลื่อนที่ขั้นสูง ดูข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดของอุปกรณ์
  • อุปกรณ์ ChromeOS:
    • ใบรับรองอุปกรณ์: ChromeOS เวอร์ชัน 89 ขึ้นไปและจัดการด้วย Chrome Enterprise
    • ใบรับรองผู้ใช้: ChromeOS เวอร์ชัน 86 ขึ้นไป
      หมายเหตุ: สำหรับเวอร์ชันที่เก่ากว่า 87 ผู้ใช้จะต้องรีสตาร์ทอุปกรณ์หรือรอ 2-3 ชั่วโมงเพื่อให้ใบรับรองผู้ใช้ใช้งานได้

ก่อนเริ่มต้น

  • หากต้องการชื่อเรื่องของใบรับรองเพื่อใช้ชื่อผู้ใช้ Active Directory คุณต้องซิงค์ Active Directory และ Google Directory ด้วย Google Cloud Directory Sync (GCDS) หากจำเป็น ให้ตั้งค่า GCDS
  • หากยังไม่ได้อัปโหลดใบรับรอง CA ในคอนโซลผู้ดูแลระบบของ Google ให้เพิ่มใบรับรอง
  • ดูปัญหาที่ทราบเพื่อหลีกเลี่ยงการทำงานที่ไม่คาดคิด

ปัญหาที่ทราบ

  • คุณจะเพิกถอนใบรับรองหลังจากที่ติดตั้งในอุปกรณ์แล้วไม่ได้
  • โปรไฟล์ SCEP ไม่รองรับคำถามแบบไดนามิก
  • การรับค่าของโปรไฟล์ SCEP ระหว่างหน่วยขององค์กรจะแจกแจงได้ในบางกรณี เช่น หากคุณตั้งค่าโปรไฟล์ SCEP ให้กับหน่วยขององค์กรและเปลี่ยนโปรไฟล์ SCEP ของหน่วยขององค์กรย่อย โปรไฟล์ SCEP ของหน่วยขององค์กรระดับบนสุดจะรับค่ามาจากหน่วยขององค์กรย่อยได้อีกครั้ง
  • สำหรับมือถือ โปรไฟล์ SCEP จะใช้กับการกำหนดค่า VPN หรืออีเทอร์เน็ตไม่ได้ และจะใช้ได้กับ Wi-Fi เท่านั้น
  • สำหรับอุปกรณ์ ChromeOS โปรไฟล์ SCEP จะใช้กับการกำหนดค่า VPN หรืออีเทอร์เน็ตโดยตรงไม่ได้ หากต้องการใช้โปรไฟล์ SCEP กับการกำหนดค่า VPN หรืออีเทอร์เน็ตโดยอ้อม ให้ใช้รูปแบบผู้ออกและหัวเรื่องเพื่อเลือกใบรับรองที่จะใช้โดยอัตโนมัติ
  • สำหรับผู้ใช้อุปกรณ์ ChromeOS ใบรับรองจะใช้ได้สำหรับผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์ที่มีการจัดการเท่านั้น ผู้ใช้และอุปกรณ์ต้องอยู่ในโดเมนเดียวกัน

ขั้นตอนที่ 1: ดาวน์โหลด Google Cloud Certificate Connector

ทำตามขั้นตอนต่อไปนี้ในเซิร์ฟเวอร์ SCEP หรือในคอมพิวเตอร์ที่ใช้ Windows ซึ่งมีบัญชีที่ลงชื่อเข้าใช้เป็นบริการอย่างหนึ่งในเซิร์ฟเวอร์ SCEP ได้ โดยเตรียมข้อมูลเข้าสู่ระบบของบัญชีให้พร้อมใช้งาน

หากองค์กรมีหลายเซิร์ฟเวอร์ คุณจะใช้ตัวแทนเครื่องมือเชื่อมต่อใบรับรองเดียวกันกับเซิร์ฟเวอร์ทั้งหมดได้ โดยดาวน์โหลดและติดตั้งไฟล์การติดตั้ง ไฟล์การกำหนดค่า และไฟล์คีย์ในคอมพิวเตอร์เครื่องหนึ่งตามที่อธิบายไว้ในขั้นตอนต่อไปนี้ จากนั้นคัดลอกทั้ง 3 ไฟล์ไปยังคอมพิวเตอร์เครื่องอื่นและทำตามวิธีการตั้งค่าในคอมพิวเตอร์เครื่องนั้น

หมายเหตุ: ให้ดาวน์โหลด Google Cloud Certificate Connector และคอมโพเนนต์ต่างๆ เพียงครั้งเดียวเท่านั้นเมื่อตั้งค่าใบรับรองสำหรับองค์กรครั้งแรก โดยใบรับรองและโปรไฟล์ SCEP จะใช้เครื่องมือเชื่อมต่อใบรับรองเดียวกันได้

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้นเครือข่าย 

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์

  2. คลิก SCEP ที่ปลอดภัย จากนั้นดาวน์โหลดเครื่องมือเชื่อมต่อ
  3. คลิกดาวน์โหลดในส่วนติดตั้ง Google Cloud Certificate Connector
  4. ในหน้า Google Cloud Certificate Connector ให้คลิกดาวน์โหลดเพื่อดาวน์โหลดไฟล์ connector_installer.exe
  5. ปิดหน้าขอขอบคุณที่ดาวน์โหลด Google Cloud Certificate Connector
  6. ในคอนโซลผู้ดูแลระบบ ในส่วนดาวน์โหลดไฟล์การกำหนดค่าเครื่องมือเชื่อมต่อ ให้คลิกดาวน์โหลดเพื่อดาวน์โหลดไฟล์ config.json
  7. ในส่วนดาวน์โหลดคีย์บัญชีบริการ ให้คลิกสร้างคีย์เพื่อดาวน์โหลดไฟล์ key.json
  8. เรียกใช้ connector_installer.exe ในฐานะผู้ดูแลระบบ
    หมายเหตุ: โปรแกรมติดตั้งจะลงทะเบียนบริการเครื่องมือเชื่อมต่อด้วยข้อมูลเข้าสู่ระบบเริ่มต้น (LocalService) จากนั้นคุณจะเปลี่ยนบริการให้ทำงานเป็นบัญชีบริการอื่นได้ โดยไปที่ไดเรกทอรีการติดตั้งสำหรับเครื่องมือเชื่อมต่อ แล้วเรียกใช้ configtool.exe เพื่อเปิด ConfigTool
  9. ย้ายไฟล์การกำหนดค่าและคีย์ (config.json และ key.json) ไปยังโฟลเดอร์ Google Cloud Certificate Connector ที่สร้างระหว่างการติดตั้ง โดยทั่วไปจะอยู่ที่ C:\Program Files\Google Cloud Certificate Connector
  10. เปิดบริการ Google Cloud Certificate Connector ดังนี้
    1. เปิดบริการของ Windows
    2. เลือก Google Cloud Certificate Connector ในรายการบริการ
    3. คลิกเริ่มเพื่อเริ่มบริการ ตรวจสอบว่าสถานะเปลี่ยนเป็นกำลังทำงาน โดยบริการจะรีสตาร์ทโดยอัตโนมัติหากคอมพิวเตอร์รีบูต

หากคุณดาวน์โหลดคีย์บัญชีบริการใหม่ในภายหลัง ให้รีสตาร์ทบริการใหม่เพื่อใช้งานคีย์นั้น

ขั้นตอนที่ 2: เพิ่มโปรไฟล์ SCEP

โปรไฟล์ SCEP จะกำหนดใบรับรองซึ่งให้ผู้ใช้เข้าถึงเครือข่าย Wi-Fi หรืออีเทอร์เน็ต หรือ VPN ของคุณได้ คุณจะให้สิทธิ์โปรไฟล์กับผู้ใช้บางรายได้โดยการเพิ่มโปรไฟล์นั้นลงในหน่วยขององค์กร โดยตั้งค่าโปรไฟล์ SCEP หลายโปรไฟล์เพื่อจัดการการเข้าถึงได้ตามหน่วยขององค์กรและตามประเภทอุปกรณ์ เราขอแนะนำให้คุณตั้งค่าโปรไฟล์ SCEP แยกกันสำหรับหน่วยขององค์กรแต่ละหน่วยที่ต้องการใช้โปรไฟล์ดังกล่าว

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้นเครือข่าย 

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์

  2. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
  3. สำหรับ SCEP ที่ปลอดภัย ให้คลิกสร้างโปรไฟล์ SCEP ที่ปลอดภัย หากสร้างโปรไฟล์ SCEP แล้ว ให้คลิก SCEP ที่ปลอดภัย จากนั้นเพิ่มโปรไฟล์ SCEP ที่ปลอดภัย

  4. ป้อนรายละเอียดการกำหนดค่าสำหรับโปรไฟล์ หาก CA ของคุณออกเทมเพลตที่เฉพาะเจาะจง ให้จับคู่รายละเอียดของโปรไฟล์กับเทมเพลตนั้น

    • แพลตฟอร์มที่ใช้กับโปรไฟล์นี้ - แพลตฟอร์มอุปกรณ์ที่ใช้โปรไฟล์ SCEP สำหรับอุปกรณ์ ChromeOS ให้เลือก Chromebook (ผู้ใช้), Chromebook (อุปกรณ์) หรือทั้ง 2 อย่าง ขึ้นอยู่กับประเภทของใบรับรองที่คุณต้องการใช้งาน
    • ชื่อโปรไฟล์ SCEP - ชื่อที่สื่อความหมายถึงโปรไฟล์นั้น ชื่อนี้จะปรากฏในรายการโปรไฟล์และในตัวเลือกโปรไฟล์ในการกำหนดค่าเครือข่าย Wi-Fi
    • รูปแบบของชื่อเรื่อง - เลือกวิธีที่คุณต้องการระบุเจ้าของใบรับรอง หากเลือกชื่อเฉพาะแบบเต็ม ชื่อจริงของใบรับรองจะเป็นชื่อผู้ใช้

    • ชื่อเรื่องอื่น - ให้ระบุ SAN โดยค่าเริ่มต้นจะเป็นไม่มี สำหรับอุปกรณ์ ChromeOS คุณสามารถกำหนดชื่อเรื่องอื่นตามแอตทริบิวต์ของผู้ใช้และอุปกรณ์ได้ หากต้องการใช้คำขอลงชื่อใบรับรอง (CSR) ที่กำหนดเอง ให้กำหนดค่าเทมเพลตใบรับรองใน CA เพื่อให้ได้ใบรับรองที่มีค่าเรื่องตามที่กำหนดไว้ในคำขอ และอย่างน้อยต้องระบุค่าเรื่องเป็น CommonName
      คุณจะใช้ตัวยึดตำแหน่งต่อไปนี้ได้ โดยจะใส่หรือไม่ใส่ก็ได้

      • ${DEVICE_DIRECTORY_ID} - รหัสไดเรกทอรีของอุปกรณ์
      • ${USER_EMAIL} - อีเมลของผู้ใช้ที่ลงชื่อเข้าใช้
      • ${USER_EMAIL_DOMAIN} - ชื่อโดเมนของผู้ใช้ที่ลงชื่อเข้าใช้
      • ${DEVICE_SERIAL_NUMBER} - หมายเลขซีเรียลของอุปกรณ์
      • ${DEVICE_ASSET_ID} - รหัสเนื้อหาของอุปกรณ์ที่ผู้ดูแลระบบกำหนดไว้
      • ${DEVICE_ANNOTATED_LOCATION} - สถานที่ตั้งของอุปกรณ์ที่ผู้ดูแลระบบกำหนดไว้
      • ${USER_EMAIL_NAME} - ส่วนแรก (ส่วนที่อยู่ก่อน @) ของอีเมลที่ผู้ใช้ลงชื่อเข้าใช้

      หากค่าตัวยึดตำแหน่งใช้ไม่ได้ ระบบจะนำสตริงที่เป็นค่าว่างมาแทนที่

    • อัลกอริทึมสำหรับการเซ็นชื่อ - ฟังก์ชันแฮชที่ใช้ในการเข้ารหัสคีย์การให้สิทธิ์ มีเฉพาะ SHA256 ที่มี RSA เท่านั้น

    • การใช้คีย์ - ตัวเลือกสำหรับวิธีใช้คีย์ การเข้ารหัสคีย์ และการเซ็นชื่อ โดยจะเลือกได้มากกว่า 1 รายการ

    • ขนาดของคีย์ (บิต) - ขนาดของคีย์ RSA สำหรับอุปกรณ์ ChromeOS ให้เลือก 2048

    • สำหรับความปลอดภัย ให้เลือกประเภทเอกสารรับรองที่จะต้องใช้สำหรับอุปกรณ์ที่เชื่อมต่อ การตั้งค่านี้ไม่มีผลกับอุปกรณ์เคลื่อนที่

    • ในส่วนแอตทริบิวต์เซิร์ฟเวอร์ SCEP ให้กำหนดค่าและค่ากำหนดสำหรับเซิร์ฟเวอร์ SCEP

      • URL ของเซิร์ฟเวอร์ SCEP - URL ของเซิร์ฟเวอร์ SCEP
      • ระยะเวลาที่ใช้งานใบรับรองได้ (ปี) - ใบรับรองอุปกรณ์ใช้ได้นานเท่าใด ป้อนในรูปแบบตัวเลข
      • จำนวนวันที่ต่ออายุได้ - คุณจะลองต่ออายุใบรับรองอุปกรณ์ได้ก่อนจะหมดอายุกี่วัน
      • การใช้คีย์แบบขยาย - วิธีที่คุณใช้คีย์ได้ เลือกได้มากกว่า 1 ค่า
      • ประเภทคำถาม - หากต้องการให้ Google แสดงวลีคำถามที่กำหนดเมื่อขอใบรับรองจากเซิร์ฟเวอร์ SCEP ให้เลือกคงที่ และป้อนวลี หากเลือกไม่มี เซิร์ฟเวอร์จะไม่ต้องใช้การตรวจสอบนี้
      • ชื่อเทมเพลต - ชื่อของเทมเพลตที่เซิร์ฟเวอร์ NDES ใช้งาน
      • ผู้ออกใบรับรอง - ชื่อของใบรับรองที่คุณอัปโหลดเพื่อใช้เป็นผู้ออกใบรับรอง
      • ประเภทเครือข่ายที่ใช้กับโปรไฟล์นี้ - ประเภทเครือข่ายที่ใช้โปรไฟล์ SCEP
  5. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

    หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

หลังจากที่เพิ่มโปรไฟล์แล้ว ระบบจะแสดงโปรไฟล์นั้นพร้อมด้วยชื่อและแพลตฟอร์มที่เปิดให้ใช้งาน ในคอลัมน์แพลตฟอร์ม ระบบจะเปิดใช้โปรไฟล์ดังกล่าวสำหรับแพลตฟอร์มที่มีไอคอนสีน้ำเงินและจะปิดใช้สำหรับแพลตฟอร์มที่มีไอคอนสีเทา หากต้องการแก้ไขโปรไฟล์ ให้ชี้ไปที่แถวที่ต้องการ แล้วคลิกแก้ไข

โปรไฟล์ SCEP จะกระจายไปยังผู้ใช้ในหน่วยขององค์กรโดยอัตโนมัติ

ขั้นตอนที่ 3: กำหนดค่าคีย์สโตร์ของ Google Cloud Certificate Connector

หากใบรับรองออกโดย CA ที่เชื่อถือได้ หรือ URL ของเซิร์ฟเวอร์ SCEP ของคุณเริ่มต้นด้วย HTTP ให้ข้ามขั้นตอนนี้ไป

หากใบรับรองไม่ได้ออกโดย CA ที่เชื่อถือได้ เช่น ใบรับรองแบบ Self-signed คุณต้องนำเข้าใบรับรองไปที่คีย์สโตร์ของ Google Cloud Certificate Connector ไม่เช่นนั้นจะจัดสรรใบรับรองอุปกรณ์และเชื่อมต่ออุปกรณ์ไม่ได้

  1. ลงชื่อเข้าใช้ CA
  2. หากยังไม่ได้ติดตั้ง Java JRE ให้ติดตั้งเพื่อให้สามารถใช้ keytool.exe ได้
  3. เปิด Command Prompt

  4. ส่งออกใบรับรอง CA และแปลงเป็นไฟล์ PEM โดยใช้คำสั่งต่อไปนี้

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. นำเข้าใบรับรอง CA ไปยังคีย์สโตร์ จากไดเรกทอรีย่อยของโฟลเดอร์ Google Cloud Certificate Connector ที่สร้างขึ้นระหว่างการติดตั้ง โดยทั่วไปจะอยู่ที่ C:\Program Files\Google Cloud Certificate Connector ให้เรียกใช้คำสั่งต่อไปนี้และแทนที่ java-home-dir ด้วยเส้นทางไปยัง JRE ในโฟลเดอร์ Google Cloud Certificate Connector และ cert-export-dir ด้วยเส้นทางไปยังใบรับรองที่ส่งออกในขั้นตอนที่ 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

ขั้นตอนที่ 4: กำหนดค่าเครือข่ายเพื่อกำหนดให้ใช้โปรไฟล์ SCEP (ไม่บังคับ)

คุณตั้งค่าเครือข่ายให้กำหนดให้ใช้โปรไฟล์ SCEP ได้ ทั้งนี้ขึ้นอยู่กับประเภทเครือข่าย

กำหนดให้ใช้โปรไฟล์ SCEP สำหรับเครือข่าย Wi-Fi

หากต้องการควบคุมการเข้าถึงเครือข่าย Wi-Fi สำหรับทั้งมือถือและอุปกรณ์ ChromeOS ให้ตั้งค่าเครือข่าย Wi-Fi แยกกันสำหรับอุปกรณ์แต่ละเครื่อง เช่น ตั้งค่าเครือข่าย Wi-Fi เดียวสำหรับมือถือและกำหนดโปรไฟล์ SCEP สำหรับมือถือ จากนั้นตั้งค่าเครือข่าย Wi-Fi อีกเครือข่ายสำหรับอุปกรณ์ ChromeOS และกำหนดโปรไฟล์ SCEP สำหรับอุปกรณ์ ChromeOS

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้นเครือข่าย 

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์

  2. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
  3. ในส่วน Wi-Fi ให้คลิกสร้างเครือข่าย Wi-Fi หากตั้งค่าเครือข่าย Wi-Fi แล้ว ให้คลิก Wi-Fi จากนั้นเพิ่ม Wi-Fi
  4. ในส่วนการเข้าถึงแพลตฟอร์ม ให้เลือกช่องต่อไปนี้ตามต้องการ ได้แก่ Android, iOS, Chromebook (ตามผู้ใช้), Chromebook (ตามอุปกรณ์) หรือฮาร์ดแวร์ของ Google Meet
  5. ในส่วนรายละเอียด ให้ทำดังนี้
    1. ป้อนชื่อและ SSID สำหรับเครือข่าย Wi-Fi
    2. สำหรับการตั้งค่าความปลอดภัย ให้เลือก WPA/WPA2 Enterprise (802.1X) หรือ Dynamic WEP (802.1X)
    3. สำหรับโปรโตคอลการตรวจสอบสิทธิ์ที่ขยายได้ ให้เลือก EAP-TLS หรือ EAP-TTLS
    4. หากเลือก EAP-TLS สำหรับประเภทการจัดสรร ให้เลือกโปรไฟล์ SCEP หรือรูปแบบใบรับรอง แล้วเลือกตัวเลือกต่อไปนี้
      • สำหรับโปรไฟล์ SCEP ให้เลือกโปรไฟล์ SCEP ที่คุณเพิ่มในขั้นตอนที่ 2
      • สำหรับรูปแบบใบรับรอง ให้ป้อนค่าสำหรับ URL การลงทะเบียนไคลเอ็นต์ และค่าอย่างน้อย 1 ค่าสำหรับรูปแบบผู้ออกหรือรูปแบบหัวเรื่อง
    5. ป้อนค่าหรือเลือกตัวเลือกสำหรับรายละเอียด Wi-Fi อื่นๆ ที่คุณต้องการ
  6. คลิกบันทึก
  7. แชร์ข้อมูลกับผู้ใช้เกี่ยวกับการเชื่อมต่อเครือข่าย
    • อุปกรณ์ของผู้ใช้จะต้องแสดงใบรับรองทุกครั้งที่พยายามเชื่อมต่อกับเครือข่าย Wi-Fi
    • สำหรับอุปกรณ์ Android และ ChromeOS ระบบจะป้อนใบรับรองที่สอดคล้องกับโปรไฟล์ SCEP ของผู้ใช้และเครือข่ายโดยอัตโนมัติ ผู้ใช้จึงเพียงคลิกเชื่อมต่อ
    • หากใช้อุปกรณ์ iOS ผู้ใช้ต้องเลือกใบรับรองที่จะใช้ แล้วคลิกเชื่อมต่อ

กำหนดให้ใช้โปรไฟล์ SCEP สำหรับเครือข่ายอีเทอร์เน็ต

คุณสามารถควบคุมการเข้าถึงเครือข่ายอีเทอร์เน็ตสำหรับอุปกรณ์ ChromeOS ได้ โดยตั้งค่าเครือข่ายสำหรับอุปกรณ์ แล้วกำหนดโปรไฟล์ SCEP ให้กับอุปกรณ์นั้น

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้นเครือข่าย 

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์

  2. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
  3. สำหรับอีเทอร์เน็ต ให้คลิกสร้างเครือข่ายอีเทอร์เน็ต หากตั้งค่าเครือข่ายอีเทอร์เน็ตแล้ว ให้คลิกอีเทอร์เน็ต จากนั้นเพิ่มอีเทอร์เน็ต
  4. ในส่วนการเข้าถึงแพลตฟอร์ม ให้เลือกช่องต่อไปนี้ตามต้องการ ได้แก่ Chromebook (ตามผู้ใช้), Chromebook (ตามอุปกรณ์) หรือฮาร์ดแวร์ของ Google Meet
  5. ในส่วนรายละเอียด ให้ทำดังนี้
    1. ป้อนชื่อเครือข่ายอีเทอร์เน็ต
    2. สำหรับการตรวจสอบสิทธิ์ ให้เลือก Enterprise (802.1X)
    3. สำหรับโปรโตคอลการตรวจสอบสิทธิ์ที่ขยายได้ ให้เลือก EAP-TLS หรือ EAP-TTLS
    4. หากเลือก EAP-TLS สำหรับประเภทการจัดสรร ให้เลือกโปรไฟล์ SCEP หรือรูปแบบใบรับรอง แล้วเลือกตัวเลือกต่อไปนี้
      • สำหรับโปรไฟล์ SCEP ให้เลือกโปรไฟล์ SCEP ที่คุณเพิ่มในขั้นตอนที่ 2
      • สำหรับรูปแบบใบรับรอง ให้ป้อนค่าสำหรับ URL การลงทะเบียนไคลเอ็นต์ และค่าอย่างน้อย 1 ค่าสำหรับรูปแบบผู้ออกหรือรูปแบบหัวเรื่อง
    5. ป้อนค่าหรือเลือกตัวเลือกสำหรับรายละเอียดอีเทอร์เน็ตอื่นๆ ที่คุณต้องการ
  6. คลิกบันทึก
  7. แชร์ข้อมูลกับผู้ใช้เกี่ยวกับการเชื่อมต่อเครือข่าย
    • อุปกรณ์ของผู้ใช้จะต้องแสดงใบรับรองทุกครั้งที่พยายามเชื่อมต่อกับเครือข่ายอีเทอร์เน็ต
    • ระบบจะป้อนใบรับรองที่สอดคล้องกับโปรไฟล์ SCEP และเครือข่ายโดยอัตโนมัติในอุปกรณ์ ChromeOS ของผู้ใช้ ผู้ใช้จึงเพียงคลิกเชื่อมต่อ

กำหนดให้ใช้โปรไฟล์ SCEP สำหรับ VPN

คุณสามารถควบคุมการเข้าถึง VPN สำหรับอุปกรณ์ ChromeOS ได้ โดยตั้งค่าเครือข่ายสำหรับอุปกรณ์ แล้วกำหนดโปรไฟล์ SCEP ให้กับอุปกรณ์นั้น

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้นเครือข่าย 

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าอุปกรณ์ที่แชร์

  2. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
  3. สำหรับ VPN ให้คลิกสร้างเครือข่าย VPN หากตั้งค่า VPN แล้ว ให้คลิก VPN จากนั้นเพิ่ม VPN
  4. ในส่วนการเข้าถึงแพลตฟอร์ม ให้เลือกช่องต่อไปนี้ตามต้องการ ได้แก่ Chromebook (ตามผู้ใช้) หรือ Chromebook (ตามอุปกรณ์)
  5. ในส่วนรายละเอียด ให้ทำดังนี้
    1. ป้อนชื่อและโฮสต์ระยะไกลสำหรับ VPN
    2. สำหรับประเภท VPN ให้เลือกประเภท VPN ที่ต้องการและป้อนรายละเอียดสำหรับประเภทนั้น
    3. หากเลือก OpenVPN และเลือกช่องใช้ใบรับรองไคลเอ็นต์ ให้เลือกโปรไฟล์ SCEP หรือรูปแบบใบรับรองสำหรับประเภทการจัดสรร แล้วเลือกตัวเลือกต่อไปนี้
      • สำหรับโปรไฟล์ SCEP ให้เลือกโปรไฟล์ SCEP ที่คุณเพิ่มในขั้นตอนที่ 2
      • สำหรับรูปแบบใบรับรอง ให้ป้อนค่าสำหรับ URL การลงทะเบียนไคลเอ็นต์ และค่าอย่างน้อย 1 ค่าสำหรับรูปแบบผู้ออกหรือรูปแบบหัวเรื่อง
    4. ป้อนค่าหรือเลือกตัวเลือกสำหรับรายละเอียด VPN อื่นๆ ที่คุณต้องการ
  6. คลิกบันทึก
  7. แชร์ข้อมูลกับผู้ใช้เกี่ยวกับการเชื่อมต่อเครือข่าย
    • อุปกรณ์ของผู้ใช้จะต้องแสดงใบรับรองทุกครั้งที่พยายามเชื่อมต่อกับ VPN
    • ระบบจะป้อนใบรับรองที่สอดคล้องกับโปรไฟล์ SCEP และเครือข่ายโดยอัตโนมัติในอุปกรณ์ ChromeOS ของผู้ใช้ ผู้ใช้จึงเพียงคลิกเชื่อมต่อ

วิธีการตรวจสอบสิทธิ์ใบรับรองผ่าน Google Cloud Certificate Connector

Google Cloud Certificate Connector เป็นบริการของ Windows ที่สร้างการเชื่อมต่อเฉพาะตัวระหว่างเซิร์ฟเวอร์ SCEP กับ Google ไฟล์การกำหนดค่าและไฟล์คีย์จะกำหนดค่าและรักษาความปลอดภัยให้กับเครื่องมือเชื่อมต่อใบรับรอง โดยทั้ง 2 ไฟล์นี้จะใช้กับองค์กรของคุณเท่านั้น

คุณจะกําหนดใบรับรองอุปกรณ์ให้กับอุปกรณ์และผู้ใช้ที่มีโปรไฟล์ SCEP ได้ หากต้องการให้สิทธิ์โปรไฟล์ ให้เลือกหน่วยขององค์กรและเพิ่มโปรไฟล์ในหน่วยขององค์กรนั้น โดยโปรไฟล์นี้ประกอบด้วยผู้ออกใบรับรองที่ออกใบรับรองอุปกรณ์ เมื่อผู้ใช้ลงทะเบียนมือถือหรือ ChromeOS เพื่อรับการจัดการ การจัดการอุปกรณ์ปลายทางของ Google จะดึงโปรไฟล์ SCEP ของผู้ใช้และติดตั้งใบรับรองในอุปกรณ์ สำหรับอุปกรณ์ ChromeOS ระบบจะติดตั้งใบรับรองอุปกรณ์ก่อนที่ผู้ใช้จะลงชื่อเข้าใช้ ส่วนใบรับรองผู้ใช้จะติดตั้งหลังจากที่ผู้ใช้ลงชื่อเข้าใช้ หากมีการลงทะเบียนอุปกรณ์แล้ว ระบบจะติดตั้งใบรับรองเป็นส่วนหนึ่งของรอบการซิงค์ปกติ

ระบบจะกำหนดให้ผู้ใช้แจ้งใบรับรองเมื่อพยายามเชื่อมต่อกับเครือข่าย ในอุปกรณ์ Android ระบบจะเลือกใบรับรองโดยอัตโนมัติ แล้วให้ผู้ใช้คลิกเชื่อมต่อ ในอุปกรณ์ iOS ผู้ใช้ต้องเลือกใบรับรองด้วยตนเอง จากนั้นจึงเชื่อมต่อ อุปกรณ์จะเข้าถึงเครือข่ายขององค์กรโดยใช้คีย์ที่ Google เจรจาผ่านเครื่องมือเชื่อมต่อใบรับรอง โดย Google จะจัดเก็บคีย์ไว้ชั่วคราวในระหว่างการเจรจาด้านความปลอดภัย แต่จะลบคีย์อย่างถาวรเมื่อติดตั้งคีย์ในอุปกรณ์แล้ว (หรือหลังจาก 24 ชั่วโมง)


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง