取得 Google 管理控制台存取權後,請依照以下說明註冊可讓您管理 Chrome 瀏覽器的裝置。只要使用者在已註冊的裝置上開啟 Chrome 瀏覽器,您就可以強制執行政策。
步驟 1:產生註冊權杖
授權合作夥伴:您的客戶必須先接受《Chrome Enterprise 基本版授權協議》,才能產生註冊權杖
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
依序點選「選單」圖示
「裝置」>「Chrome」>「受管理的瀏覽器」。
必須有行動裝置管理服務的管理員權限。
如果您已註冊 Chrome Enterprise 基本版,請依序點選「選單」圖示
「Chrome 瀏覽器」>「受管理的瀏覽器」。
- (選用) 在左側選取頂層機構。或者您也可以選取要為哪個機構單位產生權杖,以便直接將瀏覽器註冊至該特定機構單位。詳情請參閱「新增機構單位」。
- 按一下畫面頂端的「註冊」。
注意:如果您是第一次註冊瀏覽器,系統會提示您接受《Chrome Enterprise 基本版服務條款》。 - 按一下「將註冊權杖複製到剪貼簿」圖示
。
- 按一下「完成」。
步驟 2:使用註冊權杖為瀏覽器進行註冊
在 Windows 上註冊瀏覽器方法 1:使用群組原則管理編輯器
事前準備:如果貴機構並非使用行動裝置管理 (MDM) 工具來部署設定,請考慮使用下方所述的方法 2:編輯登錄檔。
使用 Windows Server Manager 存取群組原則管理編輯器,並前往下列位置,將您在上述步驟中複製的註冊權杖值新增到 CloudManagementEnrollmentToken 政策:
-
Administrative templates
Google
如要進一步瞭解如何安裝及設定政策範本,請參閱「為受管理的電腦設定 Chrome 瀏覽器政策」。
方法 2:編輯登錄檔
將 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome 下的 CloudManagementEnrollmentToken 設為您在上述步驟中產生並複製的權杖。
使用以下登錄機碼清除現有的註冊狀態 (如有的話):
-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Enrollment
-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment
(選用) 根據預設,如果註冊程序失敗 (例如註冊權杖無效或遭到撤銷),Chrome 會以未受管理的狀態啟動。如果要讓 Chrome 瀏覽器不在註冊程序失敗時啟動,請將 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome 之下的 CloudManagementEnrollmentMandatory 設為 true。
注意:
- 註冊權杖必須在本機電腦層級中設定,因為權杖無法在使用者層級運作。如果您要將先前已在 Chrome Enterprise 基本版中註冊的現有電腦另作他用,必須移除其中的管理權杖。詳情請參閱停止管理 Chrome 瀏覽器。
- 如果您註冊的電腦都使用同一個 Microsoft Windows 來源映像檔,請務必搭配使用
/generalize選項與 Microsoft 系統準備工具 (Sysprep),讓註冊的每部電腦都能取得專屬 ID。請注意,MachineGUID 不得重複,這樣 Chrome Enterprise 基本版才會將每部裝置視為個別的電腦。
您可以在登錄檔中查看 MachineGuid 的值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid
方法 3:下載 reg 檔案
請按一下 [下載 .reg 檔案]。下載的 .reg 檔案執行後,即可自動新增該權杖並清除現有的註冊狀態。
使用 reg 檔案時,Chrome 瀏覽器仍會遵循方法 1 中的 CloudManagementEnrollmentMandatory 政策,並在註冊程序失敗時禁止 Chrome 瀏覽器啟動。如果您註冊的電腦都使用同一個 Windows 來源映像檔,請參閱上方的注意事項。
方法 4:在 VMware Workspace One 中部署註冊權杖
您可以使用 VMware Workspace ONE 產生 Chrome Enterprise 基本版註冊權杖,並註冊 Chrome 瀏覽器。詳情請參閱「使用 VMware Workspace One 為瀏覽器進行註冊 (Windows 和 macOS)」。
方法 1:使用政策
事前準備:如果貴機構並非使用行動裝置管理 (MDM) 工具來部署設定,請考慮使用下方所述的方法 2:下載文字檔。
請以名為 CloudManagementEnrollmentToken 的政策形式將權杖推送至瀏覽器。如要在 Apple Mac 裝置上設定政策,您必須使用行動管理服務軟體 (例如 Apple Profile Manager、Jamf、Workspace ONE 等)。
注意:如果您選擇要手動設定政策,請留意 macOS 會在每次登入時刪除政策檔案。請瀏覽快速入門指南和說明中心,進一步瞭解如何在 Mac 上設定政策。
(選用) 根據預設,如果註冊程序失敗 (例如註冊權杖無效或遭到撤銷),Chrome 會以未受管理的狀態啟動。如果要讓 Chrome 瀏覽器不在註冊程序失敗時啟動,請將 CloudManagementEnrollmentMandatory 設為 true。
方法 2:下載文字檔
按一下 [下載檔案]。如有需要,請在裝置上建立 /Library/Google/Chrome/ 資料夾,然後將檔案放在 /Library/Google/Chrome/ 之下。您必須在裝置層級新增該文字檔。如果您在使用者層級新增文字檔,就無法正常下載。
(選用) 根據預設,如果註冊程序失敗 (例如註冊權杖無效或遭到撤銷),Chrome 會以未受管理的狀態啟動。如果要讓 Chrome 瀏覽器不在註冊程序失敗時啟動,請建立一個名稱為 CloudManagementEnrollmentOptions 的檔案,然後放在 /Library/Google/Chrome/ 資料夾內,並標示 Mandatory 文字 (區分大小寫)。這個檔案必須以純文字 (.txt) 檔案格式編碼,但不得含有 .txt 副檔名。
如果您同時使用上述兩種方法推送權杖,Chrome 會使用政策中現有的值,並忽略這個檔案。註冊權杖會存放在使用者 Mac 主目錄之下的目錄中,每位 macOS 使用者都必須分別進行註冊。
方法 3:在 Jamf Pro 中部署註冊權杖
您可以使用 Jamf Pro 10.19 以上版本來產生 Chrome Enterprise 基本版註冊權杖,並為 Chrome 瀏覽器進行註冊。詳情請參閱「使用 Jamf Pro 為瀏覽器進行註冊 (macOS)」。
方法 4:在 VMware Workspace One 中部署註冊權杖
您可以使用 VMware Workspace ONE 產生 Chrome Enterprise 基本版註冊權杖,並註冊 Chrome 瀏覽器。詳情請參閱「使用 VMware Workspace One 為瀏覽器進行註冊 (Windows 和 macOS)」。
您可以建立名為 CloudManagementEnrollmentToken 的文字檔,並放在 /etc/opt/chrome/policies/enrollment 路徑之下,藉此推送權杖。這個檔案只能包含權杖。您也可以按 [下載檔案 (Mac 及 Linux)]。
(選用) 根據預設,如果註冊程序失敗 (例如註冊權杖無效或遭到撤銷),Chrome 會以未受管理的狀態啟動。如果要讓 Chrome 瀏覽器不在註冊程序失敗時啟動,請建立名稱為 CloudManagementEnrollmentOptions 的檔案,然後放在 /etc/opt/chrome/policies/enrollment/ 路徑之下,並標示 Mandatory 文字 (區分大小寫)。這個檔案必須以純文字 (.txt) 檔案格式編碼,但不得含有 .txt 副檔名。
注意事項:為確保註冊和回報作業正常運作,每一部電腦上都必須包含不重複的 /etc/machine-id。
如要進一步瞭解如何在 Android 裝置上管理 Chrome 瀏覽器,請參閱「設定 Android 版 Chrome Enterprise 基本版」。
如要進一步瞭解如何在 iOS 裝置上管理 Chrome 瀏覽器,請參閱「設定 iOS 版 Chrome Enterprise 基本版」。
步驟 3:確認註冊狀態
使用步驟 2 的其中一個方法設定註冊權杖後,在受管理的裝置上將 Chrome 瀏覽器關閉 (如已開啟),接著再次啟動 Chrome 瀏覽器。您可以透過管理控制台確認註冊是否成功。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
依序點選「選單」圖示
必須有行動裝置管理服務的管理員權限。
如果您已註冊 Chrome Enterprise 基本版,請依序點選「選單」圖示
- (選用) 在左側選取機構單位。根據預設,系統會顯示所有瀏覽器。
- (選用) 如要查看其他詳細資料,只要點選電腦名稱即可。
注意事項:
- 如果您在單一裝置上安裝多個 Chrome 瀏覽器,瀏覽器清單將只顯示一個受管理的瀏覽器。
- 您只能在執行註冊程序時使用註冊權杖。註冊完成後,您可以透過管理控制台撤銷註冊權杖。不過,已註冊的瀏覽器仍會維持已註冊狀態。
- Windows 僅支援系統安裝,這是因為 Chrome 瀏覽器需要管理員權限才能進行註冊。
註冊剛完成時,顯示的欄位資訊並不多。您必須啟用瀏覽器報告才能存取詳細報告資訊。詳情請參閱步驟 3:啟用 Chrome 瀏覽器報告。
管理權杖與裝置
每個機構單位只會有一個有效的註冊權杖。如果需要暫停註冊程序,您可以永久撤銷特定機構單位的權杖,然後重新產生新的權杖。接著,您就可以用新權杖註冊新的瀏覽器,而原先使用已撤銷權杖註冊的裝置,仍會保持有效且已註冊的狀態。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
依序點選「選單」圖示
必須有行動裝置管理服務的管理員權限。
如果您已註冊 Chrome Enterprise 基本版,請依序點選「選單」圖示
- (選用) 在左側選取機構單位。根據預設,系統會顯示所有瀏覽器。
- 按一下畫面頂端的「註冊」。
- 按一下「撤銷並重新產生權杖」。
- 按一下「複製」圖示
,複製新的註冊權杖。
- 按一下「完成」。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
依序點選「選單」圖示
必須有行動裝置管理服務的管理員權限。
如果您已註冊 Chrome Enterprise 基本版,請依序點選「選單」圖示
- (選用) 在左側選取機構單位。根據預設,系統會顯示所有瀏覽器。
- 按一下畫面頂端的「註冊」。
- 按一下 [查看憑證記錄]。
透過 Chrome Enterprise 基本版取消註冊瀏覽器時,系統會移除裝置上的雲端政策,並在 Chrome 下次開啟或嘗試與 Chrome Enterprise 基本版通訊時,將其裝置權杖設為無效。平台政策以及雲端使用者政策則不會受到影響。透過 Chrome Enterprise 基本版取消註冊裝置時,系統也會刪除已上傳至管理控制台的資料。
您可以使用UnenrollBrowser 範例指令碼,自動執行 Chrome Enterprise 基本版取消註冊程序。
如要取消註冊 Chrome 瀏覽器,請按照下列指示操作:
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
依序點選「選單」圖示
必須有行動裝置管理服務的管理員權限。
如果您已註冊 Chrome Enterprise 基本版,請依序點選「選單」圖示
- (選用) 在左側選取機構單位。根據預設,系統會顯示所有瀏覽器。
- 找出要刪除的瀏覽器,並勾選旁邊的方塊。
- 依序點按畫面頂端的「更多」圖示
「刪除」。
修改檔案或權杖前,請務必完全關閉裝置上的所有 Chrome 瀏覽器執行個體。
如果您需要查看或手動修改 Chrome 瀏覽器的註冊權杖,可以在下列位置找到這個權杖:
- Windows:前往 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome 並查看 CloudManagementEnrollmentToken。
- Mac:前往 /Library/Google/Chrome/CloudManagementEnrollmentToken。如果您當初是使用組態設定檔部署這個註冊權杖,那麼您也可以使用自己偏好的行動裝置管理工具來加以存取。
- Linux:前往 /etc/opt/chrome/policies/enrollment 並查看CloudManagementEnrollmentToken。
如果您需要查看或手動修改 Chrome 瀏覽器的裝置權杖,可以在下列位置找到這個權杖:
- Windows:裝置權杖會寫入下列兩個位置,且兩者應相符。如要查看值,請前往 HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment 或 HKEY_LOCAL_MACHINE\Software\Google\Chrome\Enrollment,並查看 dmtoken。
- Mac:前往 ~/Library/Application Support/Google/Chrome Cloud Enrollment 或 /Library/Application Support/Google/CloudManagement。裝置權杖的檔案名稱為裝置序號的雜湊值,因此有時可能難以辨別。
- Linux:前往 $user_data_dir/policy/Enrollment。裝置權杖的檔案名稱為 DeviceID 中列出的 DeviceID。
注意:如要查看裝置權杖所在的使用者資料目錄 ($user_data_dir),請前往 chrome://version 尋找 [設定檔路徑],刪去最後一個路徑元件後,即為使用者資料目錄。例如,~/.config/google-chrome/Default 中設定檔的使用者資料目錄為 ~/.config/google-chrome。
注意:如果您保留註冊權杖,但刪除裝置權杖,則 Chrome 瀏覽器會在下次重新啟動時自行重新註冊。
如果您不小心在管理控制台中刪除了某個裝置,可以重新註冊該裝置。
在受管理的裝置上:
- 關閉所有 Chrome 瀏覽器執行個體。
- 刪除裝置權杖。
- Windows:前往 HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment 將 dmtoken 刪除。接著,前往 HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Enrollment 將 dmtoken 刪除。
- Mac:前往 ~/Library/Application Support/Google/Chrome Cloud Enrollment 和 /Library/Application Support/Google/CloudManagement。裝置權杖的檔案名稱為裝置序號的雜湊值,因此有時可能難以辨別。
- Linux:前往 $user_data_dir/policy/Enrollment。裝置權杖的檔案名稱為 DeviceID 中列出的 DeviceID。
注意:如要查看裝置權杖所在的使用者資料目錄 ($user_data_dir),請前往 chrome://version 尋找 [設定檔路徑],刪去略最後一個路徑元件後,即為使用者資料目錄。例如,~/.config/google-chrome/Default 中設定檔的使用者資料目錄為 ~/.config/google-chrome。
- 開啟 Chrome 瀏覽器。
注意:請勿刪除受管理裝置的註冊權杖。
問題
什麼時候可使用註冊權杖?
您只能在執行註冊程序時使用註冊權杖。您可以在註冊完成後撤銷註冊權杖,但已註冊的瀏覽器仍會維持已註冊的狀態。如需註冊權杖的詳細資訊,請參閱「Chrome Enterprise 基本版白皮書」。
這個權杖註冊程序是否需要 Windows 的管理員權限?
是的,Windows 僅支援系統安裝。
Chrome 瀏覽器在進行註冊程序時會上傳哪些資訊?
進行註冊程序時,Chrome 瀏覽器會上傳下列資訊:
- 裝置 ID
- 註冊憑證
- 電腦名稱
- OS 平台
- 作業系統版本
- Windows BIOS 序號
為什麼我的管理控制台未顯示 [Chrome 管理服務] 部分?
如果您是使用免費的舊版 G Suite,該版的管理控制台目前尚不支援 Chrome 管理服務。我們日後將會為舊版 (免費版) 推出這項服務。
系統映像檔是否應包含裝置權杖?
否,您設定的每部裝置都必須使用專屬裝置權杖。如果您使用系統映像檔來部署 Chrome 瀏覽器,請確定該映像檔不含裝置權杖,否則每部裝置都會嘗試使用映像檔中的值,進而造成部署作業失敗。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。