Thiết lập chứng chỉ cho thiết bị di động và thiết bị ChromeOS được quản lý

Thiết bị di động: Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard, Education Plus và Endpoint Education Upgrade; Cloud Identity Premium. So sánh phiên bản của bạn

Thiết bị ChromeOS: Bạn phải có Chrome Enterprise để sử dụng chứng chỉ dựa trên thiết bị.

Bạn có thể kiểm soát quyền truy cập của người dùng vào mạng Wi-Fi và Ethernet, Mạng riêng ảo (VPN), cũng như các ứng dụng và trang web nội bộ của tổ chức trên thiết bị di động và thiết bị ChromeOS bằng cách phân phối chứng chỉ từ Tổ chức phát hành chứng chỉ (CA) tại cơ sở của bạn. Google Cloud Certificate Connector là một dịch vụ của Windows, giúp phân phối chứng chỉ và khoá xác thực một cách an toàn từ máy chủ Giao thức đăng ký chứng chỉ đơn giản (SCEP) đến thiết bị di động và thiết bị ChromeOS của người dùng. Để biết thông tin chi tiết, hãy xem phần Cách hoạt động của quy trình xác thực bằng chứng chỉ thông qua Trình kết nối chứng chỉ của Google Cloud trên trang này.

Đối với thiết bị ChromeOS, bạn có thể thiết lập chứng chỉ dựa trên người dùng hoặc dựa trên thiết bị. Chứng chỉ người dùng được thêm vào thiết bị cho một người dùng cụ thể và chỉ người dùng đó mới có thể truy cập. Giấy chứng nhận thiết bị được chỉ định dựa trên thiết bị và mọi người dùng đã đăng nhập vào thiết bị đều có thể truy cập vào giấy chứng nhận này. Để biết thông tin chi tiết, hãy xem bài viết Quản lý chứng chỉ máy khách trên thiết bị Chrome.

Nếu muốn kiểm soát quyền truy cập vào mạng Wi-Fi cho cả thiết bị di động và thiết bị ChromeOS, bạn cần thiết lập các hồ sơ SCEP và mạng Wi-Fi riêng biệt vì thiết bị di động và thiết bị ChromeOS hỗ trợ các loại khoá RSA khác nhau.

Lưu ý về bộ nhớ khoá:

  • Đối với thiết bị di động, khoá riêng tư cho các chứng chỉ được tạo trên máy chủ của Google. Các khoá sẽ bị xoá khỏi máy chủ của Google sau khi chứng chỉ được cài đặt trên thiết bị hoặc sau 24 giờ, tuỳ theo thời điểm nào đến trước.
  • Đối với thiết bị ChromeOS, khoá riêng tư cho các chứng chỉ được tạo trên thiết bị ChromeOS. Khoá công khai tương ứng được lưu trữ tạm thời trên các máy chủ của Google và sẽ bị xoá sau khi chứng chỉ được cài đặt.

Yêu cầu hệ thống

  • Microsoft Active Directory Certificate Service cho máy chủ SCEP và Microsoft Network Device Enrollment Service (NDES) để phân phối chứng chỉ.
  • Thiết bị di động: Thiết bị iOS và Android trong chế độ quản lý thiết bị di động nâng cao. Tìm hiểu thêm về các yêu cầu đối với thiết bị.
  • Thiết bị ChromeOS:
    • Chứng chỉ thiết bị: ChromeOS phiên bản 89 trở lên và được quản lý bằng Chrome Enterprise
    • Chứng chỉ người dùng: ChromeOS phiên bản 86 trở lên.
      Lưu ý: Đối với các phiên bản trước phiên bản 87, người dùng phải khởi động lại thiết bị hoặc đợi vài giờ để chứng chỉ người dùng được triển khai.

Trước khi bắt đầu

  • Nếu cần Tên chủ thể của chứng chỉ để sử dụng tên người dùng Active Directory, bạn phải đồng bộ hoá Active Directory và Google Directory bằng Google Cloud Directory Sync (GCDS). Nếu cần, hãy thiết lập GCDS.
  • Nếu bạn chưa tải chứng chỉ CA lên Bảng điều khiển dành cho quản trị viên của Google, hãy thêm chứng chỉ.
  • Xem xét các vấn đề đã biết để tránh hành vi không mong muốn.

Vấn đề đã biết

  • Bạn không thể thu hồi chứng chỉ sau khi cài đặt trên thiết bị.
  • Hồ sơ SCEP không hỗ trợ các thử thách động.
  • Trong một số trường hợp, chế độ kế thừa cấu hình SCEP giữa các đơn vị tổ chức có thể không hoạt động. Ví dụ: nếu bạn đặt một hồ sơ SCEP cho một đơn vị tổ chức và thay đổi hồ sơ SCEP của một đơn vị tổ chức con, thì đơn vị tổ chức con sẽ không thể kế thừa bất kỳ hồ sơ SCEP nào của đơn vị tổ chức mẹ nữa.
  • Đối với thiết bị di động, bạn không thể áp dụng hồ sơ SCEP cho cấu hình VPN hoặc Ethernet, mà chỉ có thể áp dụng cho Wi-Fi.
  • Đối với thiết bị ChromeOS, bạn không thể áp dụng trực tiếp hồ sơ SCEP cho cấu hình VPN hoặc Ethernet. Để gián tiếp áp dụng hồ sơ SCEP cho cấu hình VPN hoặc Ethernet, hãy sử dụng mẫu của tổ chức phát hành hoặc chủ đề để tự động chọn chứng chỉ cần dùng.
  • Đối với người dùng thiết bị ChromeOS, bạn chỉ có thể triển khai chứng chỉ cho những người dùng đã đăng nhập vào một thiết bị được quản lý. Người dùng và thiết bị phải thuộc cùng một miền.

Bước 1: Tải Trình kết nối chứng chỉ Google Cloud xuống

Thực hiện các bước sau trên máy chủ SCEP hoặc máy tính Windows có tài khoản có thể đăng nhập dưới dạng dịch vụ trên máy chủ SCEP. Chuẩn bị sẵn thông tin đăng nhập tài khoản.

Nếu tổ chức của bạn có nhiều máy chủ, bạn có thể sử dụng cùng một tác nhân trình kết nối chứng chỉ trên tất cả các máy chủ đó. Tải và cài đặt tệp cài đặt, tệp cấu hình và tệp khoá trên một máy tính như mô tả trong các bước sau. Sau đó, hãy sao chép 3 tệp đó sang máy tính khác và làm theo hướng dẫn thiết lập trên máy tính đó.

Lưu ý: Bạn chỉ tải Trình kết nối chứng chỉ Google Cloud và các thành phần của trình kết nối này xuống một lần, khi bạn thiết lập chứng chỉ lần đầu cho tổ chức của mình. Các chứng chỉ và cấu hình SCEP có thể dùng chung một trình kết nối chứng chỉ.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đóMạng

    Bạn phải có đặc quyền của quản trị viên đối với Cài đặt thiết bị dùng chung.

  2. Nhấp vào SCEP bảo mật sau đóTải trình kết nối xuống.
  3. Trong mục Cài đặt trình kết nối chứng chỉ Google Cloud, hãy nhấp vào Tải xuống.
  4. Trên trang Google Cloud Certificate Connector (Trình kết nối chứng chỉ Google Cloud), hãy nhấp vào Tải xuống để tải tệp connector_installer.exe xuống.
  5. Đóng trang Cảm ơn bạn đã tải Trình kết nối chứng chỉ Google Cloud xuống!.
  6. Trong Bảng điều khiển dành cho quản trị viên, trong mục Tải tệp cấu hình trình kết nối xuống, hãy nhấp vào Tải xuống để tải tệp config.json xuống.
  7. Trong phần Tạo một khoá tài khoản dịch vụ, hãy nhấp vào Tạo khoá để tải tệp key.json xuống.
  8. Chạy connector_installer.exe với tư cách quản trị viên.
    Lưu ý: Trình cài đặt đăng ký dịch vụ trình kết nối bằng thông tin đăng nhập mặc định (LocalService). Sau này, bạn có thể thay đổi dịch vụ để chạy dưới dạng một tài khoản dịch vụ khác. Để thực hiện việc này, hãy chuyển đến thư mục cài đặt của trình kết nối rồi chạy configtool.exe để mở ConfigTool.
  9. Di chuyển tệp cấu hình và tệp khoá (config.json và key.json) vào thư mục Google Cloud Certificate Connector được tạo trong quá trình cài đặt, thường là: C:\Program Files\Google Cloud Certificate Connector.
  10. Mở dịch vụ Trình kết nối chứng chỉ Google Cloud:
    1. Mở Windows Services (Dịch vụ Windows).
    2. Chọn Trình kết nối chứng chỉ Google Cloud trong danh sách dịch vụ.
    3. Nhấp vào Bắt đầu để bắt đầu dịch vụ. Đảm bảo trạng thái thay đổi thành Đang chạy. Dịch vụ này sẽ tự động khởi động lại nếu máy tính khởi động lại.

Nếu sau này bạn tải một khoá tài khoản dịch vụ mới xuống, hãy khởi động lại dịch vụ để áp dụng khoá đó.

Bước 2: Thêm hồ sơ SCEP

Hồ sơ SCEP xác định chứng chỉ cho phép người dùng truy cập vào mạng Wi-Fi hoặc Ethernet hoặc VPN của bạn. Bạn chỉ định hồ sơ cho người dùng cụ thể bằng cách thêm hồ sơ đó vào một đơn vị tổ chức. Bạn có thể thiết lập một số hồ sơ SCEP để quản lý quyền truy cập theo đơn vị tổ chức và loại thiết bị. Bạn nên thiết lập một hồ sơ SCEP riêng cho từng đơn vị tổ chức mà bạn muốn áp dụng hồ sơ.

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đóMạng

    Bạn phải có đặc quyền của quản trị viên đối với Cài đặt thiết bị dùng chung.

  2. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
  3. Đối với SCEP bảo mật, hãy nhấp vào Tạo hồ sơ SCEP bảo mật. Nếu bạn đã tạo hồ sơ SCEP, hãy nhấp vào SCEP bảo mật sau đóThêm hồ sơ SCEP bảo mật.

  4. Nhập thông tin chi tiết về cấu hình cho hồ sơ. Nếu CA của bạn phát hành một mẫu cụ thể, hãy đối chiếu thông tin chi tiết của hồ sơ với mẫu đó.

    • Nền tảng áp dụng cấu hình này – Nền tảng thiết bị sử dụng cấu hình SCEP. Đối với thiết bị ChromeOS, hãy nhớ đánh dấu vào Chromebook (người dùng), Chromebook (thiết bị) hoặc cả hai, tuỳ thuộc vào loại chứng chỉ mà bạn muốn triển khai.
    • Tên cấu hình của SCEP – Tên mô tả cho cấu hình. Tên này xuất hiện trong danh sách hồ sơ và trong bộ chọn hồ sơ trong cấu hình mạng Wi-Fi.
    • Định dạng tên chủ đề – Chọn cách bạn muốn xác định chủ sở hữu chứng chỉ. Nếu bạn chọn Tên phân biệt đầy đủ, thì Tên chung của chứng chỉ là tên người dùng của người dùng.

    • Tên thay thế của chủ thể – Cung cấp một SAN. Giá trị mặc định là Không có. Đối với thiết bị ChromeOS, bạn có thể xác định tên thay thế của chủ thể dựa trên thuộc tính của người dùng và thiết bị. Để sử dụng yêu cầu ký chứng chỉ (CSR) tuỳ chỉnh, hãy định cấu hình mẫu chứng chỉ trên CA để dự kiến và tạo chứng chỉ có các giá trị chủ đề được xác định trong chính yêu cầu đó. Ít nhất, bạn cần cung cấp một giá trị cho CommonName của chủ đề.
      Bạn có thể sử dụng các phần giữ chỗ sau. Không bắt buộc phải cung cấp tất cả giá trị.

      • ${DEVICE_DIRECTORY_ID} – Mã nhận dạng thư mục của thiết bị
      • ${USER_EMAIL} – Địa chỉ email của người dùng đã đăng nhập
      • ${USER_EMAIL_DOMAIN} – Tên miền của người dùng đã đăng nhập
      • ${DEVICE_SERIAL_NUMBER} – Số sê-ri của thiết bị
      • ${DEVICE_ASSET_ID} – Mã tài sản do quản trị viên chỉ định cho thiết bị
      • ${DEVICE_ANNOTATED_LOCATION} – Vị trí do quản trị viên chỉ định cho thiết bị
      • ${USER_EMAIL_NAME} – Phần đầu tiên (phần trước dấu @) trong địa chỉ email của người dùng đã đăng nhập

      Nếu không có giá trị của phần giữ chỗ, thì giá trị đó sẽ được thay thế bằng một chuỗi trống.

    • Thuật toán ký – Hàm băm dùng để mã hoá khoá uỷ quyền. Chỉ có SHA256 với RSA.

    • Sử dụng khoá – Các lựa chọn về cách sử dụng khoá, mã hoá khoá và ký. Bạn có thể chọn nhiều mục.

    • Kích thước khoá (bit) – Kích thước của khoá RSA. Đối với thiết bị ChromeOS, hãy chọn 2048.

    • Đối với Bảo mật, hãy chọn loại chứng thực bắt buộc đối với các thiết bị đã kết nối. Chế độ cài đặt này không áp dụng cho thiết bị di động.

    • Trong phần Thuộc tính máy chủ SCEP, hãy định cấu hình các giá trị và lựa chọn ưu tiên cho máy chủ SCEP.

      • URL máy chủ SCEP – URL của máy chủ SCEP.
      • Thời hạn hiệu lực của chứng chỉ (năm) – Thời hạn hiệu lực của chứng chỉ thiết bị. Nhập dưới dạng số.
      • Gia hạn trong vòng vài ngày – Khoảng thời gian trước khi chứng chỉ thiết bị hết hạn để thử gia hạn chứng chỉ.
      • Sử dụng khoá mở rộng – Cách sử dụng khoá. Bạn có thể chọn nhiều giá trị.
      • Loại yêu cầu – Để yêu cầu Google cung cấp một cụm từ yêu cầu cụ thể khi yêu cầu chứng chỉ từ máy chủ SCEP, hãy chọn Tĩnh rồi nhập cụm từ đó. Nếu bạn chọn Không có, thì máy chủ không yêu cầu bước kiểm tra này.
      • Tên mẫu – Tên của mẫu mà máy chủ NDES của bạn sử dụng.
      • Tổ chức phát hành chứng chỉ – Tên của một chứng chỉ mà bạn đã tải lên để sử dụng làm Tổ chức phát hành chứng chỉ.
      • Loại mạng áp dụng cấu hình này – Loại mạng sử dụng hồ sơ SCEP.
  5. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa.

Sau khi bạn thêm một hồ sơ, hồ sơ đó sẽ xuất hiện cùng với tên và các nền tảng mà hồ sơ đó được bật. Trong cột Nền tảng, hồ sơ được bật cho những nền tảng có biểu tượng màu xanh dương và bị tắt cho những nền tảng có biểu tượng màu xám. Để chỉnh sửa một hồ sơ, hãy di chuyển con trỏ đến hàng đó rồi nhấp vào biểu tượng Chỉnh sửa .

Hồ sơ SCEP sẽ tự động được phân phối cho người dùng trong đơn vị tổ chức.

Bước 3: Định cấu hình kho khoá của Trình kết nối chứng chỉ Google Cloud

Nếu chứng chỉ của bạn do một CA đáng tin cậy cấp hoặc URL máy chủ SCEP của bạn bắt đầu bằng HTTP, hãy bỏ qua bước này.

Nếu chứng chỉ của bạn không phải do một CA đáng tin cậy cấp (chẳng hạn như chứng chỉ tự ký), thì bạn cần nhập chứng chỉ đó vào kho khoá của Google Cloud Certificate Connector. Nếu không, chứng chỉ thiết bị sẽ không được cung cấp và thiết bị sẽ không thể kết nối.

  1. Đăng nhập vào CA của bạn.
  2. Nếu chưa cài đặt JRE Java, hãy cài đặt một JRE để bạn có thể dùng keytool.exe.
  3. Mở giao diện nhập dòng lệnh.

  4. Xuất chứng chỉ CA và chuyển đổi chứng chỉ đó thành tệp PEM bằng cách chạy các lệnh sau:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Nhập chứng chỉ CA vào kho khoá. Từ thư mục con của thư mục Google Cloud Certificate Connector được tạo trong quá trình cài đặt (thường là C:\Program Files\Google Cloud Certificate Connector), hãy chạy lệnh sau và thay thế java-home-dir bằng đường dẫn đến JRE trong thư mục Google Cloud Certificate Connector và cert-export-dir bằng đường dẫn đến chứng chỉ mà bạn đã xuất ở bước 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

Bước 4: Định cấu hình các mạng để yêu cầu hồ sơ SCEP (Không bắt buộc)

Tuỳ thuộc vào loại mạng, bạn có thể thiết lập để yêu cầu hồ sơ SCEP.

Yêu cầu hồ sơ SCEP cho mạng Wi-Fi

Để kiểm soát quyền truy cập vào mạng Wi-Fi cho cả thiết bị di động và thiết bị ChromeOS, hãy thiết lập các mạng Wi-Fi riêng biệt cho từng thiết bị. Ví dụ: thiết lập một mạng Wi-Fi cho thiết bị di động và chỉ định một cấu hình SCEP cho thiết bị di động. Sau đó, hãy thiết lập một mạng Wi-Fi khác cho thiết bị ChromeOS và chỉ định một hồ sơ SCEP cho thiết bị ChromeOS.

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đóMạng

    Bạn phải có đặc quyền của quản trị viên đối với Cài đặt thiết bị dùng chung.

  2. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
  3. Đối với Wi-Fi, hãy nhấp vào Tạo mạng Wi-Fi. Nếu bạn đã thiết lập mạng Wi-Fi, hãy nhấp vào Wi-Fi sau đóThêm Wi-Fi.
  4. Trong phần Quyền truy cập vào nền tảng, hãy đánh dấu vào các hộp sau nếu cần: Android, iOS, Chromebook (theo người dùng), Chromebook (theo thiết bị) hoặc Thiết bị Google Meet.
  5. Trong phần Chi tiết:
    1. Nhập tên và SSID cho mạng Wi-Fi.
    2. Đối với Chế độ cài đặt bảo mật, hãy chọn WPA/WPA2 Enterprise (802.1X) hoặc WEP động (802.1X).
    3. Đối với Giao thức xác thực mở rộng, hãy chọn EAP-TLS hoặc EAP-TTLS.
    4. Nếu bạn chọn EAP-TLS, đối với Loại cấp phép, hãy chọn Hồ sơ SCEP hoặc Mẫu chứng chỉ rồi chọn một lựa chọn:
      • Đối với hồ sơ SCEP, hãy chọn hồ sơ SCEP mà bạn đã thêm ở Bước 2.
      • Đối với Mẫu chứng chỉ, hãy nhập một giá trị cho URL đăng ký ứng dụng và một hoặc nhiều giá trị cho Mẫu tổ chức phát hành hoặc Mẫu chủ thể.
    5. Nhập giá trị hoặc chọn các lựa chọn cho mọi thông tin khác về Wi-Fi mà bạn cần.
  6. Nhấp vào Lưu.
  7. Chia sẻ thông tin với người dùng về cách kết nối với mạng:
    • Thiết bị của họ phải cung cấp chứng chỉ mỗi khi họ cố gắng kết nối với mạng Wi-Fi.
    • Đối với các thiết bị Android và ChromeOS, chứng chỉ tương ứng với hồ sơ SCEP của người dùng và mạng sẽ tự động được nhập để họ chỉ cần nhấp vào Kết nối.
    • Đối với thiết bị iOS, người dùng chọn chứng chỉ cần sử dụng rồi nhấp vào Kết nối.

Yêu cầu hồ sơ SCEP cho mạng Ethernet

Bạn có thể kiểm soát quyền truy cập vào mạng Ethernet cho các thiết bị ChromeOS. Bạn thiết lập mạng cho các thiết bị rồi chỉ định một hồ sơ SCEP cho mạng đó.

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đóMạng

    Bạn phải có đặc quyền của quản trị viên đối với Cài đặt thiết bị dùng chung.

  2. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
  3. Đối với Ethernet, hãy nhấp vào Tạo mạng Ethernet. Nếu bạn đã thiết lập mạng Ethernet, hãy nhấp vào Ethernet sau đóThêm Ethernet.
  4. Trong phần Quyền truy cập vào nền tảng, hãy đánh dấu vào các hộp sau nếu cần: Chromebook (theo người dùng), Chromebook (theo thiết bị) hoặc Thiết bị Google Meet.
  5. Trong phần Chi tiết:
    1. Nhập tên cho mạng Ethernet.
    2. Đối với Xác thực, hãy chọn Enterprise (802.1X).
    3. Đối với Giao thức xác thực mở rộng, hãy chọn EAP-TLS hoặc EAP-TTLS.
    4. Nếu bạn chọn EAP-TLS, đối với Loại cấp phép, hãy chọn Hồ sơ SCEP hoặc Mẫu chứng chỉ rồi chọn một lựa chọn:
      • Đối với hồ sơ SCEP, hãy chọn hồ sơ SCEP mà bạn đã thêm ở Bước 2.
      • Đối với Mẫu chứng chỉ, hãy nhập một giá trị cho URL đăng ký ứng dụng và một hoặc nhiều giá trị cho Mẫu tổ chức phát hành hoặc Mẫu chủ thể.
    5. Nhập giá trị hoặc chọn các lựa chọn cho mọi thông tin khác về Ethernet mà bạn cần.
  6. Nhấp vào Lưu.
  7. Chia sẻ thông tin với người dùng về cách kết nối với mạng:
    • Thiết bị của họ phải cung cấp chứng chỉ mỗi khi họ cố gắng kết nối với mạng Ethernet.
    • Chứng chỉ tương ứng với hồ sơ SCEP và mạng của họ sẽ tự động được nhập vào thiết bị ChromeOS, vì vậy, họ chỉ cần nhấp vào Kết nối.

Yêu cầu hồ sơ SCEP cho VPN

Bạn có thể kiểm soát quyền truy cập VPN cho thiết bị ChromeOS. Bạn thiết lập mạng cho các thiết bị rồi chỉ định một hồ sơ SCEP cho mạng đó.

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đóMạng

    Bạn phải có đặc quyền của quản trị viên đối với Cài đặt thiết bị dùng chung.

  2. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
  3. Đối với VPN, hãy nhấp vào Tạo mạng VPN. Nếu bạn đã thiết lập VPN, hãy nhấp vào VPN sau đóThêm VPN.
  4. Trong phần Quyền truy cập vào nền tảng, hãy đánh dấu vào các hộp sau nếu cần: Chromebook (theo người dùng) hoặc Chromebook (theo thiết bị).
  5. Trong phần Chi tiết:
    1. Nhập tên và máy chủ từ xa cho VPN.
    2. Đối với Loại VPN, hãy chọn loại VPN mà bạn muốn rồi nhập thông tin chi tiết cho loại đó.
    3. Nếu bạn chọn OpenVPN và đánh dấu vào hộp Sử dụng chứng chỉ ứng dụng, thì đối với Loại cấp phép, hãy chọn Hồ sơ SCEP hoặc Mẫu chứng chỉ rồi chọn một trong các lựa chọn sau:
      • Đối với hồ sơ SCEP, hãy chọn hồ sơ SCEP mà bạn đã thêm ở Bước 2.
      • Đối với Mẫu chứng chỉ, hãy nhập một giá trị cho URL đăng ký ứng dụng và một hoặc nhiều giá trị cho Mẫu tổ chức phát hành hoặc Mẫu chủ thể.
    4. Nhập giá trị hoặc chọn các lựa chọn cho mọi thông tin chi tiết khác về VPN mà bạn cần.
  6. Nhấp vào Lưu.
  7. Chia sẻ thông tin với người dùng về cách kết nối với mạng:
    • Thiết bị của họ phải cung cấp chứng chỉ mỗi khi họ cố gắng kết nối với VPN.
    • Chứng chỉ tương ứng với hồ sơ SCEP và mạng của họ sẽ tự động được nhập vào thiết bị ChromeOS, vì vậy, họ chỉ cần nhấp vào Kết nối.

Cách hoạt động của tính năng xác thực bằng chứng chỉ thông qua Trình kết nối chứng chỉ Google Cloud

Trình kết nối chứng chỉ Google Cloud là một dịch vụ Windows thiết lập kết nối độc quyền giữa máy chủ SCEP và Google. Trình kết nối chứng chỉ được định cấu hình và bảo mật bằng một tệp cấu hình và một tệp khoá, cả hai đều chỉ dành riêng cho tổ chức của bạn.

Bạn chỉ định chứng chỉ thiết bị cho thiết bị và người dùng bằng Cấu hình SCEP. Để chỉ định một hồ sơ, bạn chọn một đơn vị tổ chức rồi thêm hồ sơ vào đơn vị tổ chức đó. Hồ sơ này bao gồm Cơ quan cấp chứng chỉ cấp chứng chỉ thiết bị. Khi người dùng đăng ký thiết bị di động hoặc thiết bị ChromeOS để quản lý, giải pháp quản lý thiết bị đầu cuối của Google sẽ tìm nạp hồ sơ SCEP của người dùng và cài đặt chứng chỉ trên thiết bị. Đối với thiết bị ChromeOS, chứng chỉ thiết bị được cài đặt trước khi người dùng đăng nhập, trong khi chứng chỉ người dùng được cài đặt sau khi người dùng đăng nhập. Nếu thiết bị đã được đăng ký, thì chứng chỉ sẽ được cài đặt trong một chu kỳ đồng bộ hoá thông thường.

Khi người dùng cố gắng kết nối với mạng của bạn, họ sẽ được nhắc cung cấp chứng chỉ. Trên thiết bị Android, chứng chỉ sẽ được tự động chọn và người dùng nhấp vào Kết nối. Trên thiết bị iOS, người dùng phải chọn chứng chỉ theo cách thủ công rồi kết nối. Thiết bị truy cập vào mạng của tổ chức bạn bằng khoá do Google thương lượng qua trình kết nối chứng chỉ. Google tạm thời lưu trữ khoá trong quá trình thương lượng bảo mật, nhưng sẽ xoá khoá sau khi khoá được cài đặt trên thiết bị (hoặc sau 24 giờ).


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.