Die Implementierung eines nahtlosen Single Sign-On (SSO) für Google Chrome kann eine effektive Möglichkeit sein, um die Produktivität und Benutzererfahrung in einer Unternehmensumgebung zu verbessern.
Dazu kannst du per Intune entweder die SSO-Extension (Addin Windows Accounts) oder etwas neuer auch die spezifische Google Chrome Einstellung für SSO für das Entra ID (ehem. Azure AD) verteilen.
Table of Contents
Google Chrome - mit vs ohne Single Sign ON
Google Chrome mit Default Einstellungen
In den Default Einstellungen musst du sowohl Benutzer wie auch Passwort beim Logn eingeben. Weder Single Sign on (SSO) noch die Weitergabe deiner Login Adresse von Windows funktioniert:
Ist Single Sign On konfiguriert, verhält sich der Browser beim gleichen Zugriff so:
Google Chrome mit Entra ID / Azure AD SSO
Und so schön kann es sein:
Intune Konfiguration für Google Chrome SSO
The old way
Bei Google Chrome muss für die Übergabe sowie SSO die Extension "Windows Accounts" installiert werden.
Installiert werden kann die Extension manuell pro User Gerät oder viel einfacher via Intune und einem Settings Catalog Profil. Dazu benötigen wir als erstes die Extension ID, welche wir mit dem Öffnen der Extension im "Chrome Web Store" herausfinden. Da ist sie dann in der URL ersichtlich:
Das Profil erstellst du unter:
Devices > Windows > Configuration profiles ... + Create profile (Windows 10 and later, Settings catalog)
Hier vergibst du wieder einen aussagekräftigen Namen und optional eine Beschreibung:
Im nächsten Schritt fügst du das Setting "Configure the list of force-installed apps and extensions" hinzu:
Diese Option aktivierst du und fügst die Extension ID ein: ppnbnpeolgkicgegkbkbjmhlideopiji
Sobald die Extension aktiv ist, wird Google Chrome SSO unterstützen.
Der Login funktioniert dann bei einem eingebundenen Account in Windows so:
Und wenn du mehrere Accounts verbunden hast, so:
The new way 🥳
Mit der Version 111 von Google Chrome wurde der Identity Provider in den Browser und die ADMX integriert. Das Add-on ist also nicht mehr nötig!
Zum aktiveren nach dem "new way" erstelle ein neues Settings Catalog Profil oder ergänze dein bestehendes.
In diesem muss du lediglich die Option "Allow automatic sign-in to Microsoft® cloud identity providers"
--> So mein Wunsch 😉
Stand Juni 2023: Leider müssen wir noch einen kleinen Umweg via ADMX-Import machen.
Die aktuellen Google Chrome ADMX Files findest du hier: 1. Download bundle - Chrome Enterprise and Education Help (google.com)
Hochladen musst du (in dieser Reihenfolge):
- Von deinem/einem lokalen aktuellen Windows 11 (falls nicht schon bereits geschehen)
C:\Windows\PolicyDefinitions\Windows.admx
C:\Windows\PolicyDefinitions\en-US\Windows.adml - Configuration\admx\google.admx
Configuration\admx\en-US\google.adml - Configuration\admx\GoogleUpdate.admx
Configuration\admx\en-US\GoogleUpdate.adml - Configuration\admx\chrome.admx
Configuration\admx\en-US\chrome.adml
Nun können wir eine neue Policy in den Templates mit "Imported Administrative Templates" erstellen:
Hier vergeben wir der Richtlinie wie immer einen Namen und optional die Beschreibung.
Und nun müssten wir nur noch die Option aktivieren und die Richtlinien zuweisen. Dass wars dann schon.
Option: Allow automatic sign-in to Microsoft® cloud identity providers
Zusammenfassung
Das Add-on "Windows Accounts" ist endlich nicht mehr nötig und die Konfiguration kann etwas schöner via ADMX gemacht werden. In lokalen Umgebungen (GPO's), wo die Einstellungen sowieso importiert werden müssen, ist das kein Mehraufwand und super so. Hoffentlich wird das neue Setting auch bald in den Settings Catalog von Intune integriert, so dass man wirklich nur noch einen Klick für die Konfiguration braucht.