Despliegue masivo mediante Google Workspace

Lo que va a desplegar

Esta guía acompaña a un superadministrador de Google Workspace para distribuir Zeuslock a todos los endpoints gestionados de la organización, en dos partes:

1. La extensión de Chrome de Zeuslock, instalada de forma forzada y fijada en la barra de herramientas mediante Chrome Enterprise Core.
2. El agente de escritorio Zeuslock en los Mac gestionados, entregado mediante Google Endpoint Management.

Los Chromebooks quedan cubiertos sólo con la extensión: ChromeOS aísla los filtros de red de terceros, por lo que no se distribuye (ni hace falta) un agente independiente en esa plataforma.

Requisitos previos

• Google Workspace Enterprise (Standard o Plus). Las ediciones Business no exponen las políticas de instalación forzada de extensiones de Chrome.
• Navegadores Chrome inscritos en Chrome Enterprise Core (gratuito con cualquier licencia de Workspace; inscripción en chromeenterprise.google.com/enrollment).
• La cuenta que realiza el despliegue debe tener el rol de Superadministrador, o un rol personalizado con los privilegios Servicios → Gestión de Chrome y Gestión de dispositivos móviles.
• Su token de emparejamiento de organización de Zeuslock, copiado desde la Consola del Operador en Ajustes → Organización → Tokens de despliegue.

Parte 1 — Forzar la instalación de la extensión de Chrome

1. Abrir la superficie de política

1. Inicie sesión en admin.google.com.
2. Navegue a Dispositivos → Chrome → Aplicaciones y extensiones → Usuarios y navegadores.
3. En el árbol de la izquierda seleccione la unidad organizativa (UO) objetivo. Empiece por una UO piloto reducida; el equipo de seguridad suele ser la primera ola natural.

2. Añadir Zeuslock por ID de extensión

1. Pulse el + amarillo de la esquina inferior derecha y elija Añadir aplicación o extensión de Chrome por ID.
2. Pegue el ID de la extensión de Zeuslock: iicgcadhcgbckmpapjihechjpgcdamhd. Confírmelo contra el valor mostrado en su Consola del Operador: los ID cambian entre las builds de desarrollo y producción.
3. Deje el origen como Chrome Web Store y pulse Guardar.

3. Configurar la política de instalación

1. Pulse la fila de Zeuslock que acaba de aparecer.
2. En Política de instalación elija Forzar instalación + fijar en la barra de herramientas. La opción simple «Forzar instalación» funciona pero oculta el icono, lo que dificulta las comprobaciones visibles para el usuario.
3. En URL de actualización, conserve el valor por defecto (Chrome Web Store).

4. Inyectar la configuración de emparejamiento

Abra Política para extensiones, el editor JSON del mismo panel. Pegue:

{
  "organization_token": {
    "Value": "ZL_org_pairing_token_here"
  }
}

Sustituya el marcador por el token de la Consola del Operador. Guarde. Chrome propaga la política a todos los navegadores inscritos de la UO en unos minutos; los usuarios no necesitan reiniciar Chrome.

Parte 2 — Distribuir el agente de escritorio a los Mac gestionados

Si su parque incluye Mac inscritos en Google Endpoint Management, entregue el .pkg del agente Zeuslock como cualquier otra carga gestionada.

1. Descargue Zeuslock-Agent-macOS.pkg desde Ajustes → Despliegue → macOS en la Consola del Operador.
2. En la Consola de administración vaya a Dispositivos → Móviles y endpoints → Ajustes → Apple → Gestión de dispositivos Apple → Aplicaciones.
3. Pulse Añadir aplicación, suba el .pkg y dirija la entrega a la misma UO con la que pilotó la extensión.
4. Preaprovisione el token de organización editando el script preflight del paquete: el agente se registrará en el primer arranque sin pedir nada al usuario. La plantilla del script se incluye junto al .pkg.

Chromebooks: nada que hacer. ChromeOS no permite filtros de red de terceros; la extensión del navegador cubre a esos usuarios de extremo a extremo.

Despliegue por UO

No empuje a todas las UO el primer día. Una cadencia prudente:

1. Semana 1 — UO piloto: solo seguridad e IT. Vigile la Consola del Operador en busca de detectores ruidosos sobre su tráfico real.
2. Semana 2 — UO amigables: equipos «early adopters». Políticas en modo Monitor.
3. Semanas 3–5 — UO ampliadas: pase los detectores de alta señal (api_key, credit_card, password) a Anonymize.
4. Semana 6+: escale esos mismos detectores a Block en toda la organización.

Como las UO heredan la política del padre, mantenga una UO raíz en Monitor como red de seguridad mientras las UO hijas avanzan.

Verificar el despliegue

En cualquier navegador Chrome gestionado de la UO objetivo:

1. Abra chrome://extensions. Zeuslock debe aparecer con la insignia Instalada por su administrador, fijada en la barra de herramientas y con el ID coincidente.
2. Abra chrome://policy y pulse Recargar políticas. Busque ExtensionInstallForcelist: el ID de Zeuslock debe figurar. Busque ExtensionSettings: su bloque JSON, con organization_token, debe estar visible.
3. El icono de Zeuslock se pone en verde en unos 30 segundos tras el primer arranque del navegador, una vez emparejado con la Consola del Operador.
4. En la Consola del Operador, en Dispositivos, el nuevo endpoint aparece con su nombre de host, versión de Chrome y UO asignada.

Errores frecuentes en Google Workspace

• Errata en el ID de la extensión. Un solo carácter incorrecto y no se instala nada, en silencio. Copie y pegue desde la Consola del Operador, no transcriba a mano.
• «Forzar instalación» sin fijar. Los usuarios concluyen que no se instaló nada porque no ven el icono. Use siempre Forzar instalación + fijar.
• Listas de permitidos/bloqueados en conflicto. Si Aplicaciones y extensiones de Chrome permitidas es una lista cerrada, añada también Zeuslock; de lo contrario, la política de instalación forzada y la lista de permitidos se anulan y la extensión queda desactivada.
• Sorpresas de herencia entre UO. Una UO hija en modo «Sobrescribir» no hereda los cambios del padre. Revise las etiquetas Heredado vs Sobrescrito junto a cada ajuste.
• Reutilización de token. Cada tenant de Workspace debe usar su propio token de emparejamiento. Compartir un token entre tenants fusiona los dispositivos en la Consola del Operador.