Chrome OS
Endpoint Management 对 Chrome OS 设备的支持包括在公共会话中运行 Chrome OS 设备的功能。公共会话不需要用户登录,也没有永久数据。公共会话对于图书馆、公立学校和其他会话数据不是永久数据的情况非常有用。您还可以在展台模式下配置 Chrome OS 设备。展台模式锁定每个用户的设备。
为管理 Chrome OS 设备,Endpoint Management 使用安装在 Chrome 设备浏览器中的 Secure Hub 扩展。在 Endpoint Management 中注册 Chrome OS 设备之前,请将 G Suite 配置为在设备上安装 Secure Hub 扩展。然后,将 Google Workspace 连接到 Endpoint Management。
Endpoint Management 将 Chrome OS 设备注册到 MDM 中。Endpoint Management 不支持对 Chrome OS 设备使用仅 MAM 注册。Endpoint Management 在 Chrome OS 设备上支持用户名和密码身份验证。
启动 Chrome OS 设备管理的一般工作流程如下:
-
完成登录流程。请参阅载入和资源设置和准备注册设备并交付资源。
-
选择并配置注册方法。请参阅支持的注册方法。
-
在 Google Workspace 中注册 Chrome OS 设备,然后在 Endpoint Management 中注册 Chrome 设备。
有关支持的操作系统,请参阅支持的设备操作系统。
支持的注册方法
下表显示了 Endpoint Management 支持的 Chrome OS 设备的注册方法:
| 方法 | 支持 |
|---|---|
| 批量注册 | 否 |
| 手动注册 | 是(仅限用户名 + 密码) |
| 注册邀请 | 否 |
有关详细信息,请参阅本文中的“Google Workspace 配置”部分。
配置 Google Workspace 以在 Chrome OS 设备上安装 Secure Hub
配置 Secure Hub 扩展在 Chrome OS 设备上的强制安装,并阻止禁用或删除该扩展。
- 转至 Google Admin site(Google 管理站点)并登录您的 Google Workspace 帐户。
- 确认您已完成启用对您的 Google Workspace 域中的设备和用户的合作伙伴访问权限中所述的配置。
- 在 Google 管理员控制台中,选择 Devices(设备)> Chrome > Settings(设置)> Users & Browsers(用户和浏览器)。
-
在 User & Browsers(用户和浏览器)设置页面中,搜索“Client certificates”(客户端证书)。添加以下模式:
{"pattern": "https://[*.]xm.cloud.com", "filter": {}}将此模式添加到客户端证书时,将自动选择从 Endpoint Management 推送到设备的设备证书。系统不会提示用户选择证书。
- 单击保存。
- 单击“Device Settings”(设备设置)选项卡【Devices(设备)> Chrome > Settings(设置)> Device(设备)】。在“Device settings”(设备设置)页面中:
- 搜索经过验证的访问。
- 选择 Enable for content protection(启用内容保护)的选项。
- 在“Verified Mode”(经过验证的模式)选项中,选择 Require verified mode boot for verified access(需要对经过验证的访问使用经过验证的模式引导)选项。
-
添加以下具有完全访问权限的服务的电子邮件地址。
citrixchromeverifiedaccessacco@citrix-verified-access.iam.gserviceaccount.com
将地址添加到“Verified Mode”(经过验证的模式)时,该地址将满足 Citrix Endpoint Management 能够启用经过验证的访问以实现设备安全性的要求。
(经过验证的模式) -
导航到 Devices(设备)> Chrome > Apps & Extensions(应用程序和扩展)> Users & browsers(用户和浏览器)。单击 + 并选择 Add Chrome app or extension by ID(按 ID 添加 Chrome 应用程序或扩展),如下图所示。
- 在“Add Chrome app or extension by ID”(按 ID 添加 Chrome 应用程序或扩展)弹出菜单中,在 Extension ID(扩展 ID)字段中输入
cnkimbgkdakemjcipljhmoplehfcjban并单击 Save(保存)。 -
将 Citrix Secure Hub 扩展的安装策略更改为 Force Install(强制安装)。
-
单击“Citrix SecureHub”行,打开右侧的“Secure Hub”对话框。在 Certificate management(证书管理)下,启用 Allow enterprise challenge(允许企业质询)。
(允许企业质询) - 单击保存。
将 Endpoint Management 连接到 Google Workspace
-
在 Endpoint Management 控制台中,单击右上角的齿轮图标,然后单击设置 > Google Chrome。
-
单击连接。此时将显示 Google 帐户登录窗口。
-
使用您的 Google 帐户凭据登录,然后单击下一步。
-
Endpoint Management 将填写您的 Google Workspace 域和 Google Workspace 帐户管理员名称。连接按钮已更改为断开连接。Endpoint Management 已连接到 Google Workspace。
配置 Chrome OS 设备策略
使用这些策略可配置 Endpoint Management 与运行 Chrome OS 的设备的交互方式。这些设备策略适用于 Chrome OS 设备。
在 Google Workspace 中注册 Chrome OS 设备
在 Google Workspace 域中注册设备是在 Endpoint Management 中注册 Chrome OS 设备的必备条件。有关 Google Workspace 域注册的信息,请参阅注册 Chrome 设备。
在 Endpoint Management 中注册 Chrome 设备
在 Endpoint Management 中注册 Chrome OS 设备时,必须创建 Citrix PIN。Citrix PIN 与 Endpoint Management 通行码分开保存。Citrix PIN 保护来自 Endpoint Management 服务器的证书安全。此 PIN 不能重置。如果用户忘记了此 PIN,则必须取消注册或重新注册 Chrome OS 设备。
-
使用您的 Google Workspace 凭据登录 Chrome OS 设备。
-
单击 Chrome 中的 Secure Hub 扩展。Secure Hub 扩展在您的浏览器地址栏旁边显示为灰色,如下图所示:
-
此时将显示 Secure Hub 注册窗口。单击注册。
-
键入您的企业凭据,例如 Endpoint Management 服务器名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步。
-
如果提示,请键入您的公司用户名。键入贵公司的密码。然后单击 Sign In(登录)。
-
创建 Citrix PIN。此 PIN 的长度必须为 6 个字符。只能包含字母和数字。键入您的 Citrix PIN 两次,然后单击完成。
注册完成时,Secure Hub 扩展图标将处于活动状态。
登录已注册的 Chrome OS 设备
要登录到在 Endpoint Management 中注册的 Chrome OS 设备,请执行以下操作:
-
使用 Google Workspace 凭据登录。
-
提示时,输入您的 Citrix PIN。此 PIN 是在 Endpoint Management 中注册设备时创建的。
如果未键入您的 Citrix PIN 码:
- 系统将每分钟提示您键入 Citrix PIN 一次,直至键入 PIN。
- 5 分钟后,将阻止访问除 google.com、citrix.com、gotomeeting.com、cloud.com 的所有 Web 站点。
- 如果尝试访问任何其他 Web 站点,则将显示一条消息,提示您使用 Citrix PIN 登录。
取消注册和重新注册 Chrome OS 设备
要从 Endpoint Management 中取消注册 Chrome OS 设备,用户需要删除其帐户。
- 在 Chrome 浏览器中,单击 Secure Hub 扩展图标。
- 在 Secure Hub 注册窗口中,单击删除。
-
单击是,删除确认删除。
Secure Hub 注册窗口将关闭,并且 Secure Hub 扩展图标灰显。
要重新注册,请执行以下操作:
- 注销 Chrome OS 设备并使用您的 Google Workspace 凭据重新登录。
- 单击 Enroll(注册)并按照提示重新注册。
安全操作
Chrome OS 不支持安全操作。