Уведомление

Готовитесь к возвращению сотрудников в офис? Узнайте, как Chrome OS поможет вам организовать эффективную работу.

Как ограничить доступ к сетям и сетевым интерфейсам

Статья предназначена для администраторов, управляющих устройствами ChromeOS в организациях или учебных заведениях.

В консоли администратора Google вы можете настроить правила для устройств, чтобы ограничить возможности подключения к сети, например:

  • Разрешить устройствам, зарегистрированным в организационном подразделении, подключаться только к сети Ethernet.
  • Запретить сотрудникам подключаться к точкам доступа Wi-Fi на личных смартфонах.
  • Разрешить пользователям подключаться к сетям без управления, когда устройства находятся вне зоны действия управляемых сетей. Как только управляемая сеть станет доступна, устройство автоматически переключится на нее. Таким образом, устройства, используемые в организациях и учебных заведениях, должны подключаться к управляемой сети, а личные устройства могут подключаться к сети без управления.
  • Если в вашей организации есть рабочая и гостевая сети, вы можете запретить устройствам доступ к гостевой сети и разрешить сотрудникам, работающим удаленно, доступ к рабочей сети с личных устройств. Таким образом, вы сможете запретить доступ к определенным SSID в сети Wi-Fi.

Примечания

  • Эти правила применяются на уровне устройств и распространяются как на управляемых пользователей, так и на тех, управление которыми не включено. Настроенные вами правила также применяются к управляемым гостевым сеансам и киоск-приложениям.
  • Настройка Автоподключение действует только для сетей Wi-Fi и Ethernet на устройствах с ChromeOS.
  • Настройка Блокировка SIM-карт имеет следующие особенности:
    • Если вы настраиваете ограничение, а для SIM-карты пользователя уже включена блокировка, пользователь получит уведомление с просьбой отключить ее. Если SIM-карта заблокирована с помощью PUK-кода, вы должны вручную ввести код, чтобы разблокировать ее и отключить настройку. После этого новый PIN-код по умолчанию будет иметь значение 1111.
    • Если пользователь трижды вводит неправильный PIN-код, SIM-карта блокируется с помощью PUK-кода. Чтобы разблокировать ее, нужно ввести правильный PUK-код. Как правило, при разблокировке карты с помощью PUK-кода пользователю необходимо указать новый PIN-код. В случае разблокировки с помощью PUK-кода, когда нельзя использовать PIN-код, новый PIN-код автоматически имеет значение 1111. Таким образом, требуется только правильный PUK-код.
  • Как отмечено ниже, эти правила оказывают некоторое влияние на развертывание устройств Chromebook.
Последствия неправильной настройки правил

Если допустить ошибку при настройке правил, устройства могут остаться без подключения к интернету и не смогут получать обновления правил. Например, если вы разрешили устройствам подключаться только к сети Wi-Fi с определенными настройками, а затем сменили SSID сетевого устройства, то пользователи не смогут подключиться к этой сети. При этом вы не сможете отправить новые сетевые правила на эти устройства из-за отсутствия у них подключения к интернету.

Чтобы свести к минимуму проблемы с развертыванием, ограничение сетевых подключений применяется к устройствам только после того, как пользователи выполнили на них вход в систему. На экране входа принудительное применение настроенных ограничений не выполняется. Поэтому, если при настройке правила допущена ошибка, пользователь сможет выйти из системы, подключиться к другой сети на экране входа, а затем вернуться к текущему сеансу. Подключение к разрешенной сети позволит скачать на устройство обновленную версию соответствующего правила.

Рекомендуем настроить разрешенную сеть, к которой все устройства смогут автоматически подключаться через экран входа. Таким образом, даже если при развертывании правил была допущена ошибка, пользователи смогут выйти из своих аккаунтов, после чего их устройства автоматически подключатся к этой сети.

Поэтапная настройка

Рекомендуем выполнять настройку правил поэтапно – от одного организационного подразделения к другому. Таким образом, если при настройке правил будет допущена ошибка, она затронет лишь небольшое количество пользователей.

Использование рабочих устройств за пределами организации

Эти правила применяются на уровне устройств. Пользователи могут не иметь возможности использовать корпоративные устройства в домашних сетях из-за несоответствия сетевых настроек установленным ограничениям. Например, настройки домашней сети Wi-Fi могут отличаться от настроек рабочей сети или в кофейне, где пользователь хотел бы поработать, может отсутствовать сеть Ethernet.

Использование личного устройства на рабочем месте

Если сетевые ограничения применены к управляемым аккаунтам, то возможность использовать личные устройства в рабочих сетях может отсутствовать. Но в силу того, что правила подключения к сети применяются на уровне устройств, а не пользователей, последние все же смогут войти в свои управляемые аккаунты с личных устройств. Ограничения, настроенные вами в отношении сетевых подключений, к устройству не применяются.

Перенос устройств с профилями eSIM

При переносе таких устройств в другое организационное подразделение, примите во внимание следующее:

  • Если вы хотите сохранить на устройствах существующие профили eSIM, убедитесь, что в организационном подразделении есть конфигурация мобильной сети с таким же URL SM-DP+, что и в исходном подразделении.
  • Если вы хотите удалить с устройств профили eSIM, то прежде чем переносить их, нажмите Сбросить настройки eSIM. Подробнее о том, как посмотреть сведения об устройстве Chrome OS
  • Если вы перенесете устройства в организационное подразделение, в котором нет подходящей конфигурации сети, профили eSIM на устройствах перестанут быть управляемыми. Это означает, что к ним не будут применяться заданные вами сетевые правила.

Как ограничить подключение к сети

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемСети.
  3. Нажмите Общие настройки (только для устройств Chromebook).
  4. Чтобы применить параметр к отделу или команде, выберите сбоку организационное подразделение. Инструкции
  5. Если нужно, чтобы устройства автоматически подключались только к управляемым сетям:
    1. Нажмите Автоподключение.
    2. Установите флажок Разрешить пользователям подключаться автоматически только к управляемым сетям.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

  6. Чтобы разрешить пользователям подключаться только к сетям Wi-Fi, которые настроены для выбранного организационного подразделения:
    1. Нажмите Сети Wi-Fi.
    2. В списке Разрешить пользователям подключаться только к тем сетям Wi-Fi, которые настроены для данного организационного подразделения выберите параметр:
      • Ограничить доступ. Блокирует подключение ко всем сетям без управления независимо от того, доступна ли какая-либо управляемая сеть.
      • Ограничивать возможности подключения только при наличии доступной управляемой сети Wi-Fi. Позволяет подключаться к сетям без управления, когда управляемые сети недоступны, например если пользователь находится дома.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

  7. Чтобы разрешить пользователям подключаться только к мобильным сетям, которые настроены для выбранного организационного подразделения:
    1. Нажмите Мобильные сети.
    2. Установите флажок Разрешить пользователям подключаться только к тем мобильным сетям, которые настроены для данного организационного подразделения (ChromeOS 100 или более поздней версии).
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

  8. Чтобы запретить пользователям блокировать SIM-карты на устройствах с помощью PIN-кода:
    1. Нажмите Блокировка SIM-карт.
    2. Установите флажок Запретить пользователям блокировать SIM-карты на устройстве с помощью PIN-кода (Chrome 108 или более поздней версии).
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

    Если нужно, чтобы пользователи могли подключаться только к определенным сетевым интерфейсам:
    1. Нажмите Разрешенные сетевые интерфейсы.
    2. Отметьте сетевые интерфейсы, которые хотите разрешить. Выберите один или несколько из следующих вариантов: Wi-Fi, Ethernet, Мобильная сеть, VPN.
      Примечание. Параметр VPN применяется только к сетям VPN, интегрированным в ChromeOS. Чтобы разрешить или запретить доступ к VPN-приложениям, использующим этот сетевой интерфейс, задайте для них соответствующие правила.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

  9. Чтобы запретить пользователям подключаться к определенным сетям WI-FI:
    1. Нажмите Заблокированные сети Wi-Fi.
    2. Введите SSID сетей, которые нужно заблокировать, по одному в строке.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

  10. Чтобы запретить на устройствах текстовые сообщения на SIM-карте по мобильной сети:
    1. Нажмите Текстовые сообщения на SIM-карте.
    2. В разделе Разрешить устройствам показывать текстовые сообщения выберите нужный вариант:
      • Предоставить выбор пользователю. Это значение задано по умолчанию. Оно позволяет пользователям настраивать параметр Показывать текстовые сообщения на своих устройствах для каждой сети.
      • Не ограничивать. Пользователи получают текстовые сообщения для всех мобильных сетей. Они не могут изменить настройку Показывать текстовые сообщения на своих устройствах.
      • Ограничить. Все текстовые сообщения для всех сетей блокируются. Пользователи не могут изменить настройку Показывать текстовые сообщения на своих устройствах.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
15352472308285925771
true
Поиск по Справочному центру
true
true
true
true
true
410864
false
false