Massen-Deployment über Google Workspace

Erzwingen Sie die Installation der Zeuslock-Chrome-Erweiterung und verteilen Sie den Desktop-Agenten an verwaltete Macs direkt aus der Google Admin Console.

Was Sie ausrollen

Diese Anleitung führt Google-Workspace-Superadministratoren durch das Ausrollen von Zeuslock auf jedem verwalteten Endpunkt der Organisation — in zwei Teilen:

  1. Die Zeuslock-Chrome-Erweiterung, zwangsweise installiert und in der Symbolleiste angeheftet, per Chrome Enterprise Core.
  2. Der Zeuslock-Desktop-Agent auf verwalteten Macs, ausgeliefert über Google Endpoint Management.

Chromebooks sind allein durch die Erweiterung abgedeckt: ChromeOS lässt keine Netzwerkfilter Dritter zu, ein separater Agent wird daher weder ausgeliefert noch benötigt.

Voraussetzungen

  • Google Workspace Enterprise (Standard oder Plus). Die Business-Tarife stellen die Richtlinien zur erzwungenen Chrome-Erweiterungsinstallation nicht bereit.
  • Chrome-Browser eingebunden in Chrome Enterprise Core (kostenlos bei jeder Workspace-Lizenz; Anmeldung unter chromeenterprise.google.com/enrollment).
  • Das ausrollende Konto muss die Rolle Super Admin besitzen oder eine benutzerdefinierte Rolle mit den Berechtigungen Dienste → Chrome-Verwaltung und Verwaltung mobiler Geräte.
  • Ihr Zeuslock-Organisations-Pairing-Token, kopiert aus der Operator Console unter Einstellungen → Organisation → Deployment-Tokens.

Wenn Sie zusätzlich Windows-Endpunkte verwalten, verteilen Sie den Agenten dort per GPO oder Intune — Google Endpoint Management spielt nichts auf Windows aus. Siehe die dedizierten Intune- und GPO-Anleitungen.

Teil 1 — Chrome-Erweiterung erzwingen

1. Die Richtlinienoberfläche öffnen

  1. Melden Sie sich bei admin.google.com an.
  2. Navigieren Sie zu Geräte → Chrome → Apps und Erweiterungen → Nutzer und Browser.
  3. Wählen Sie im linken Baum die Organisationseinheit (OU), auf die Sie zielen. Beginnen Sie mit einer kleinen Pilot-OU — das Security-Team ist typischerweise die erste Welle.

2. Zeuslock per Erweiterungs-ID hinzufügen

  1. Klicken Sie unten rechts auf das gelbe + und wählen Sie Chrome-App oder -Erweiterung per ID hinzufügen.
  2. Fügen Sie die Zeuslock-Erweiterungs-ID ein: iicgcadhcgbckmpapjihechjpgcdamhd. Gleichen Sie sie mit dem Wert in Ihrer Operator Console ab — IDs unterscheiden sich zwischen Dev- und Produktions-Builds.
  3. Lassen Sie als Quelle Chrome Web Store stehen und klicken Sie auf Speichern.

3. Installationsrichtlinie setzen

  1. Klicken Sie auf die soeben erschienene Zeuslock-Zeile.
  2. Wählen Sie unter Installationsrichtlinie die Option Installation erzwingen + an Symbolleiste anheften. Das schlichte „Installation erzwingen“ funktioniert ebenfalls, blendet aber das Icon aus, was sichtbare Status-Checks erschwert.
  3. Belassen Sie unter Update-URL die Voreinstellung (Chrome Web Store).

4. Pairing-Konfiguration einspeisen

Öffnen Sie Richtlinie für Erweiterungen — den JSON-Editor im selben Bereich. Fügen Sie ein:

{
  "organization_token": {
    "Value": "ZL_org_pairing_token_here"
  }
}

Ersetzen Sie den Platzhalter durch das Token aus der Operator Console. Speichern. Chrome verteilt die Richtlinie innerhalb weniger Minuten an alle eingebundenen Browser der gewählten OU — ohne Neustart durch die Nutzer.

Teil 2 — Desktop-Agent auf verwaltete Macs verteilen

Wenn Ihre Flotte Macs umfasst, die in Google Endpoint Management eingebunden sind, liefern Sie das .pkg des Zeuslock-Agenten wie jede andere verwaltete App aus.

  1. Laden Sie Zeuslock-Agent-macOS.pkg in der Operator Console unter Einstellungen → Deployment → macOS herunter.
  2. Gehen Sie in der Admin Console zu Geräte → Mobilgeräte und Endpunkte → Einstellungen → Apple → Apple-Geräteverwaltung → Apps.
  3. Klicken Sie auf App hinzufügen, laden Sie das .pkg hoch und zielen Sie auf dieselbe OU, auf der Sie die Erweiterung pilotiert haben.
  4. Provisionieren Sie das Organisations-Token vorab, indem Sie das preflight-Skript des Pakets anpassen: Der Agent registriert sich beim ersten Start ohne Nutzerinteraktion. Das Skript-Template liegt dem .pkg bei.

Chromebooks: nichts zu tun. ChromeOS verbietet Netzwerkfilter Dritter, die Browser-Erweiterung deckt diese Nutzer Ende zu Ende ab.

Rollout pro OU

Spielen Sie nicht am ersten Tag an alle OUs aus. Empfohlene Kadenz:

  1. Woche 1 — Pilot-OU: nur Security und IT. Beobachten Sie in der Operator Console laute Detektoren gegen Ihren echten Traffic.
  2. Woche 2 — wohlgesinnte OUs: Early-Adopter-Teams. Richtlinien im Modus Monitor.
  3. Wochen 3–5 — breitere OUs: stellen Sie hochsignalige Detektoren (api_key, credit_card, password) auf Anonymize.
  4. Ab Woche 6: dieselben Detektoren auf Block heben, organisationsweit.

Da OUs die Richtlinie der Eltern-OU erben, lassen Sie eine Wurzel-OU auf Monitor als Sicherheitsnetz, während die Kind-OUs vorrücken.

Deployment verifizieren

Auf einem verwalteten Chrome-Browser der Ziel-OU:

  1. Öffnen Sie chrome://extensions. Zeuslock sollte mit dem Badge Von Ihrem Administrator installiert erscheinen, an die Symbolleiste angeheftet, mit übereinstimmender Erweiterungs-ID.
  2. Öffnen Sie chrome://policy und klicken Sie auf Richtlinien neu laden. Suchen Sie nach ExtensionInstallForcelist — die Zeuslock-ID muss gelistet sein. Suchen Sie nach ExtensionSettings — Ihr JSON-Block inkl. organization_token muss sichtbar sein.
  3. Das Zeuslock-Symbol wird innerhalb von rund 30 Sekunden nach dem ersten Browserstart grün, sobald es sich mit der Operator Console gekoppelt hat.
  4. In der Operator Console unter Geräte erscheint der neue Endpunkt mit Hostname, Chrome-Version und zugewiesener OU.

Häufige Stolpersteine bei Google Workspace

  • Tippfehler in der Erweiterungs-ID. Ein einziges falsches Zeichen, und es wird stillschweigend nichts installiert. Aus der Operator Console kopieren statt abtippen.
  • „Installation erzwingen“ ohne Anheften. Nutzer schließen daraus, dass nichts installiert wurde, weil sie kein Icon sehen. Immer Installation erzwingen + anheften verwenden.
  • Konflikt von Allow-/Blocklisten. Steht Zugelassene Chrome-Apps und -Erweiterungen auf einer geschlossenen Liste, müssen Sie Zeuslock dort ebenfalls eintragen — sonst neutralisieren sich die erzwungene Installation und die Allowlist und die Erweiterung bleibt deaktiviert.
  • Überraschungen beim OU-Erbe. Eine Kind-OU im Modus „Überschreiben“ erbt Änderungen der Eltern-OU nicht. Prüfen Sie die Kennzeichnungen Geerbt vs. Überschrieben neben jeder Einstellung.
  • Token-Wiederverwendung. Jeder Workspace-Tenant sollte ein eigenes Pairing-Token ziehen. Wird ein Token zwischen Tenants geteilt, mischen sich deren Geräte in der Operator Console.

Sobald der Rollout stabil läuft, sperren Sie die Richtlinie auf der Wurzel-OU und entfernen Sie das „Überschreiben“-Flag bei den Kind-OUs. So bleibt die Konfiguration zentral auditierbar und driftet nicht auseinander.