Déploiement de masse via Google Workspace

Forcez l'installation de l'extension Chrome Zeuslock et poussez l'agent desktop sur les Mac gérés depuis la console d'administration Google — sans intervention utilisateur.

Ce que vous allez déployer

Ce guide accompagne un super administrateur Google Workspace dans le déploiement de Zeuslock sur l'ensemble du parc géré, en deux temps :

  1. L'extension Chrome Zeuslock, installée de force et épinglée à la barre d'outils via Chrome Enterprise Core.
  2. L'agent desktop Zeuslock sur les Mac gérés, distribué par Google Endpoint Management.

Les Chromebooks sont couverts par la seule extension : ChromeOS interdit les filtres réseau tiers, donc aucun agent séparé n'est livré (ni nécessaire) sur cette plateforme.

Prérequis

  • Google Workspace Enterprise (Standard ou Plus). Les éditions Business n'exposent pas les politiques d'installation forcée d'extensions Chrome.
  • Navigateurs Chrome enrôlés dans Chrome Enterprise Core (gratuit avec toute licence Workspace — inscription sur chromeenterprise.google.com/enrollment).
  • Le compte qui réalise le déploiement doit posséder le rôle Super administrateur, ou un rôle personnalisé incluant les privilèges Services → Gestion Chrome et Gestion des appareils mobiles.
  • Votre jeton d'appairage d'organisation Zeuslock, copié depuis la console Opérateur sous Paramètres → Organisation → Jetons de déploiement.

Si vous gérez aussi des postes Windows, déployez l'agent via GPO ou Intune — Google Endpoint Management ne pousse rien sur Windows. Voir les guides Intune et GPO dédiés.

Partie 1 — Forcer l'installation de l'extension Chrome

1. Ouvrir la surface de politique

  1. Connectez-vous à admin.google.com.
  2. Allez dans Appareils → Chrome → Applications et extensions → Utilisateurs et navigateurs.
  3. Dans l'arborescence de gauche, sélectionnez l'unité organisationnelle (UO) cible. Commencez par une UO pilote restreinte — l'équipe sécurité est la cible naturelle de la première vague.

2. Ajouter Zeuslock par ID d'extension

  1. Cliquez sur le + jaune en bas à droite et choisissez Ajouter une application ou extension Chrome par ID.
  2. Collez l'ID de l'extension Zeuslock : iicgcadhcgbckmpapjihechjpgcdamhd. Vérifiez la valeur dans votre console Opérateur — les ID changent entre les builds de dev et de production.
  3. Laissez la source sur Chrome Web Store et cliquez sur Enregistrer.

3. Définir la politique d'installation

  1. Cliquez sur la ligne Zeuslock qui vient d'apparaître.
  2. Dans Stratégie d'installation, choisissez Forcer l'installation + épingler à la barre d'outils. La simple option « Forcer l'installation » fonctionne mais masque l'icône, ce qui rend les vérifications utilisateur plus difficiles.
  3. Dans URL de mise à jour, conservez la valeur par défaut (Chrome Web Store).

4. Injecter la configuration d'appairage

Ouvrez Stratégie pour les extensions — l'éditeur JSON du même panneau. Collez :

{
  "organization_token": {
    "Value": "ZL_org_pairing_token_here"
  }
}

Remplacez le placeholder par le jeton récupéré dans la console Opérateur. Enregistrez. Chrome propage la politique à tous les navigateurs enrôlés de l'UO en quelques minutes — aucun redémarrage utilisateur requis.

Partie 2 — Pousser l'agent desktop sur les Mac gérés

Si votre parc inclut des Mac inscrits à Google Endpoint Management, livrez le .pkg de l'agent Zeuslock comme n'importe quelle charge applicative gérée.

  1. Téléchargez Zeuslock-Agent-macOS.pkg depuis Paramètres → Déploiement → macOS dans la console Opérateur.
  2. Dans la console d'administration, allez dans Appareils → Mobiles et points de terminaison → Paramètres → Apple → Gestion des appareils Apple → Applications.
  3. Cliquez sur Ajouter une application, téléversez le .pkg, et ciblez l'UO sur laquelle vous avez piloté l'extension.
  4. Pré-provisionnez le jeton d'organisation en éditant le script preflight du package : l'agent s'enregistre alors au premier lancement, sans saisie utilisateur. Le modèle de script est livré à côté du .pkg.

Chromebooks : rien à faire. ChromeOS n'autorise pas les filtres réseau tiers, l'extension navigateur couvre ces utilisateurs de bout en bout.

Déploiement par UO

Ne poussez pas à toutes les UO le jour J. Une cadence prudente :

  1. Semaine 1 — UO pilote : sécurité et IT uniquement. Surveillez la console Opérateur pour repérer les détecteurs bruyants sur votre trafic réel.
  2. Semaine 2 — UO bienveillantes : équipes early adopters. Politiques en mode Monitor.
  3. Semaines 3–5 — UO élargies : basculez les détecteurs à fort signal (api_key, credit_card, password) en Anonymize.
  4. Semaine 6+ : passez ces mêmes détecteurs en Block, à l'échelle de l'organisation.

Les UO héritent de la politique parente : laissez une UO racine en Monitor comme filet de sécurité pendant que les UO filles avancent.

Vérification du déploiement

Sur un navigateur Chrome géré dans l'UO cible :

  1. Ouvrez chrome://extensions. Zeuslock doit apparaître avec le badge Installée par votre administrateur, épinglée à la barre d'outils, avec l'ID correspondant à celui saisi.
  2. Ouvrez chrome://policy et cliquez sur Recharger les stratégies. Cherchez ExtensionInstallForcelist — l'ID Zeuslock doit y figurer. Cherchez ExtensionSettings — votre bloc JSON, incluant organization_token, doit être visible.
  3. L'icône Zeuslock passe au vert dans les ~30 secondes après le premier lancement du navigateur, dès qu'elle s'est appairée à la console Opérateur.
  4. Dans la console Opérateur, sous Appareils, le nouvel endpoint apparaît avec son nom d'hôte, sa version Chrome et son UO d'affectation.

Pièges fréquents côté Google Workspace

  • Faute de frappe dans l'ID. Un seul caractère erroné et rien ne s'installe, en silence. Copiez-collez depuis la console Opérateur, ne retranscrivez pas.
  • « Forcer l'installation » sans épinglage. Les utilisateurs concluent que rien n'a été installé puisqu'ils ne voient pas l'icône. Utilisez toujours Forcer l'installation + épingler.
  • Listes d'autorisation/blocage en conflit. Si Applications et extensions Chrome autorisées est configurée en liste fermée, ajoutez-y aussi Zeuslock — sinon la politique d'installation forcée et la liste d'autorisation s'annulent et l'extension reste désactivée.
  • Héritage d'UO surprenant. Une UO fille en mode « Remplacer » n'hérite plus des changements parents. Vérifiez les libellés Hérité vs Remplacé à côté de chaque réglage.
  • Réutilisation de jeton. Chaque tenant Workspace doit utiliser son propre jeton d'appairage. Partager un jeton entre tenants fusionne les appareils dans la console Opérateur.

Une fois le déploiement stable, verrouillez la politique au niveau de l'UO racine et retirez le drapeau « Remplacer » des UO filles. La configuration devient auditable en un seul endroit, sans dérive possible.