09 апреля 2017

Настройки и доменные политики Chrome OS


Настроить ваш персональный компьютер, ноутбук или планшет на Chrome OS можно множеством способов. При этом, в зависимости от требований к безопасности, администратор G Suite может сделать локальные настройки Chrome OS доступными для изменения со стороны пользователя или жёстко определёнными для всех типовых случаев.


В общем случае настройку параметра в операционной системе Chrome OS в режиме пользователя можно осуществить следующими способами:
1) Локально на устройстве Chrome OS с помощью установки локальных предпочтений пользователя в меню настроек;
2) Удалённо из консоли администратора домена G Suite с помощью доменных политик пользователя G Suite. Этот способ не требует дополнительных лицензий, но работает только для пользователей, являющихся членами домена G Suite.
3) Удалённо из консоли администратора домена G Suite с помощью доменных политик устройства G Suite. Этот способ требует покупки дополнительной лицензии на управление устройством на базе Chrome OS, однако работает для всех пользователей на устройстве, как для доменных пользователей G Suite, так и для обычных персональных аккаунтов Google.

При этом, в случае конфликта локальных предпочтений пользователя, доменных пользовательских политик и доменных политик устройств, настройки применяются согласно уровню их приоритета. Если политика верхнего уровня приоритета для настройки определена, то применяется она и другие политики даже не рассматриваются, однако, если политика верхнего уровня не определена, то проверяется политика более нижнего уровня и т.д.

Приоритеты политик для настройки параметров операционной системы Chrome OS:
  • Доменная политика устройства G Suite - высший приоритет
  • Доменная политика пользователя G Suite - средний приоритет
  • Локальное предпочтение пользователя - низший приоритет



Из вышеприведённого перечня приоритетов политик настройки Chrome OS следует, что если для устройства Chrome OS куплена лицензия на управление устройством и оно зарегистрировано в соответствующем домене G Suite, то администратор этого домена G Suite может полностью настроить устройтво, согласно требованиям организации, и пользователь на таком управляемом устройстве своими предпочтениями никак не сможет изменить эти настройки.

Однако, если устройство Chrome OS не зарегистрировано в домене G Suite, как управляемое (не куплена лицензия на управление), то пользователь на нём получает настройки из домена G Suite только, если авторизуется на нём с помощью учётной записи члена домена G Suite, но может полностью настроить устройство под себя, авторизовавшись с помощью своего персонального аккаунта Google.

По этой причине, при использовании G Suite совместно с устройствами на Chrome OS, организации не устанавливающие жёсткие правила безопасности или регламенты по доступу к контенту для своих пользователей, могут спокойно использовать практику BYOD, когда пользователи могут приносить с собой в офис свои неуправляемые устройства и работать на них под доменным аккаунтом, а потом уносить эти устройства домой и работать на них без каких-либо ограничений из под своего персонального аккаунта Google (настройки доменных аккаунтов пользователя и его персональных аккаунтов никак не влияют друг на друга, так как каждый раз применяются только те из них, которые настроены для текущего залогиненного пользователя).

С другой стороны, устройства Chrome OS, используемые организациями с обязательными требованиями по фильтрации доступа к контенту и защите информации самого высшего уровня (гос.учреждения, банки, школы), обязаны быть зарегистрированы в домене G Suite с помощью лицензии на управление, так как только таким способом можно технически ограничить возможность пользователя изменить сетевые настройки на устройстве и подключиться к Интернет в обход сетевого экрана организации, например, для просмотра всяких роликов на YouTube, не имеющих отношение к рабочему или учебному процессу.

Поскольку доменные политики устройства G Suite применяются в приоритетном порядке, независимо от местоположения, вы можете в этом случае настроить устройство Chrome OS таким образом, чтобы даже если пользователь унесёт корпоративное управляемое устройство домой или будет им пользоваться в метро, кафе и прочих местах с бесплатным Wi-Fi, он не сможет скопировать с него никакие конфиденциальные данные (применение политики запрета скачивания конфиденциальных документов) и вообще сможет работать с Интернет только через фильтр на вашем корпоративном сетевом экране (firewall), либо пользоваться устройством только оффлайн за пределами офиса.

Компания Google установила чисто символическую цену на лицензии управления устройствами типа Chromebook для школьных доменов G Suite for Education, однако те же лицензии для обычных коммерческих предприятий уже составляют заметную часть стоимости устройства Chrome OS (но уж точно не дороже потерь, которые предприятие или банк могут понести при утечке в Интернет внутренних документов).
Отправить комментарий