为用户或浏览器设置 Chrome 政策

控制用户会话的持续时间。剩余的会话时间会显示在用户系统任务栏中的倒计时器上。达到指定的时间后，用户会自动退出登录并结束会话。

您可以输入一个介于 1 分钟到 1440 分钟（24 小时）之间的值。如果无需限制使用时间，请不要输入任何值。

您可以上传自定义服务条款协议（.txt 或 .text 文件），要求用户必须接受后才能登录帐号并开始会话。

使用自定义头像替换默认头像。您可以上传 JPG 格式（.jpg 或 .jpeg 文件）的图片，图片大小不能超过 512 KB。不支持其他文件类型。

使用自定义壁纸替换默认壁纸。您可以上传 JPG 格式（.jpg 或 .jpeg 文件）的图片，图片大小不能超过 16 MB。不支持其他文件类型。

指定 Chrome 浏览器主题颜色，用户无法更改该颜色。以 #RRGGBB 十六进制格式在文本字段中输入颜色代码。

如果留空，则用户可以更改其浏览器主题颜色。

指定用户是否可以登录 Chrome 浏览器并将浏览器信息同步到自己的 Google 账号。

从以下选项中选择一项：

• 禁止登录浏览器：用户无法登录 Chrome 浏览器，也无法将浏览器信息同步到自己的 Google 账号。
• 允许登录浏览器：用户可以登录 Chrome 浏览器并能将浏览器信息同步到自己的 Google 账号。当用户登录 Google 服务（例如 Gmail）后，会自动登录 Chrome 浏览器。
• 强制要求用户登录才能使用浏览器：强制要求用户在使用 Chrome 浏览器之前必须先登录。如需阻止次要用户登录，请使用为受管理的 Google 身份创建单独的个人资料设置。

指定一个正则表达式，以决定哪些 Google 帐号能被设为 Chrome 浏览器的主帐号。举例来说，如果将值设为 .*@example\.com，则只有 example.com 网域中的帐号才能登录。

如果用户尝试将不符合指定格式的用户名设为浏览器的主帐号，就会显示错误消息。

如果留空，则用户可以将任何 Google 帐号设为 Chrome 浏览器的主帐号。

默认情况下，启用登录拦截功能处于选中状态。当用户在网络上添加 Google 帐号时，系统会显示登录拦截对话框。如此一来，用户在将此帐号移至另一份新的或现有的个人资料中时，或许也能从中获益。

选择在登录屏幕和锁定屏幕上启用显示密码按钮后，用户就可以在 Chrome 操作系统设备上显示自己的密码。用户可以点击密码字段末尾的“显示密码”图标，以显示当前输入的密码。如果您选择在登录屏幕和锁定屏幕上取消“显示密码”按钮，用户就不会看到该图标。

允许用户在 ChromeOS 设备上将 Google 相册图片选为壁纸。

有关详情，请参阅更改背景壁纸和屏保。

只有在设备是首次于网域中注册或设备之前已取消配置的情况下，此政策才会生效

如果选择将 Chrome 设备归入当前位置，那么当您注册 ChromeOS 设备后，该设备会归入您网域的顶级组织部门，并相应地从顶级组织部门获取设备设置。

如果选择将 Chrome 设备归入用户组织，则在注册 ChromeOS 设备后，该设备便会归入执行注册的用户所属的组织部门。您为此用户的组织部门所应用的设置会同样应用于该设备。

如果您需要手动注册许多设备，则将 Chrome 设备归入用户组织这一设置便非常有用。注册后，用户的组织部门所独有的设备设置将自动添加到相应设备，而无需再以手动的方式将各台设备移入特定组织部门。

此设置可控制用户能否在注册设备时为设备添加资产 ID 和位置信息。

• 不允许此单位中的用户执行此操作 - 用户无法输入资产 ID 和位置信息。
• 此组织中的用户可以在注册期间提供资产 ID 和位置 - 用户可以输入设备的资产 ID 和位置信息。

如果您选择允许用户输入资产 ID 和位置信息，则设备信息页面中的对应字段将会显示原先存在的数据。如果原先没有数据存在，这些字段就会留空。在完成注册之前，用户可以修改或输入设备详细信息。用户输入的信息会填充到管理控制台和 chrome://policy 中的资产 ID 和位置字段中。

默认情况下，此组织部门中的用户可以注册新设备或重新注册已取消配置的设备。无论是注册新设备还是重新注册已取消配置的设备，均会消耗升级许可。用户也可重新注册已擦除数据或恢复出厂设置的设备。重新注册已擦除数据或恢复出厂设置的设备不会消耗新的升级许可，因为该设备仍处于受管理状态。

如果选择仅允许此组织中的用户重新注册现有设备（不得注册新设备或已取消配置的设备），则用户只能重新注册已擦除数据或恢复出厂设置，但未取消配置的设备。用户无法注册新设备或重新注册已取消配置的设备（只要执行这类操作，就会消耗升级许可）。

如果选择不允许此组织中的用户注册新设备或重新注册现有设备，可禁止用户注册或重新注册任何设备（包括通过强制重新注册来重新注册设备）。

默认情况下，允许用户通过 Chrome 任务管理器终止进程处于选中状态。

即使您选择禁止用户通过 Chrome 任务管理器终止进程，用户仍然可以打开任务管理器，但无法在其中终止进程。这是因为结束进程按钮会呈灰显状态且无法使用。

在 Chrome 设备上为受管理的 Chrome 浏览器用户启用网站隔离功能。隔离您指定的网站和源站。

• 为所有网站启用网站隔离功能 - 每个网站都会在专门的呈现进程中运行，而且所有网站彼此都是隔离开来的。（如果您未指定任何选项，则此为默认设置）
• 为所有网站关闭网站隔离功能，下列网站例外 - 只有您指定的网站会分别在单独的进程中运行。您输入的每个网站都会在专门的呈现进程中运行。

您也可以输入一系列源站（以英文逗号分隔），从而将这些源站与其各自对应的网站隔离开来。例如，您可以输入 https://login.example.com 以将其与 https://example.com 下的其余网站隔离开来。

有关详情，请参阅通过网站隔离功能保护数据。

在 Android 设备上为受管理的 Chrome 浏览器用户启用网站隔离功能。隔离您指定的网站和源站。

请注意：在 Android 设备上启用网站隔离功能会降低 Chrome 浏览器性能，因此该功能默认处于停用状态。

• 允许用户选择启用网站隔离功能 - 用户可以选择是否启用网站隔离功能。
• 为所有网站启用网站隔离功能 - 每个网站都会在专门的呈现进程中运行，而且所有网站彼此都是隔离开来的。
• 为所有网站关闭网站隔离功能，下列网站例外 - 只有您指定的网站会分别在单独的进程中运行。您输入的每个网站都会在专门的呈现进程中运行。

您也可以输入一系列源站（以英文逗号分隔），从而将这些源站与其各自对应的网站隔离开来。例如，您可以输入 https://login.example.com 以将其与 https://example.com 下的其余网站隔离开来。

控制 Chrome 保留浏览数据（例如历史记录、Cookie 和密码）的时长。此设置对处理敏感数据的用户来说非常有用。

Chrome 会在浏览器启动 15 秒后以及浏览器运行期间每小时删除一次过期数据。系统会自动删除保留时间超过指定时长的浏览数据。您可以指定的保留时长最小值为 1 小时。如果留空，则 Chrome 一律不会自动删除特定类型的浏览数据。

您必须关闭 Google 同步，此设置才会生效：

• 适用于 Windows、Mac 和 Linux 的 Chrome 浏览器 - 将 Chrome 同步和漫游个人资料（Chrome 浏览器 - 通过云管理）设为禁止同步
• ChromeOS - 将 Chrome 同步 (ChromeOS) 设为停用 Chrome 同步

您可以删除的浏览数据类型包括：

• 浏览记录
• 下载记录
• Cookie 及其他网站数据
• 缓存的图片和文件
• 密码和其他登录数据
• 自动填充表单数据
• 网站设置
• 托管应用的数据缓存

为远程访问客户端配置必要的域名，并禁止用户更改此设置。只有指定网域中的客户端可以连接到主机设备。如果留空，那么任何网域中经过授权的用户均可连接到主机。

指定远程访问主机必须使用的主机域名，用户无法更改这些域名。必须使用以任一指定域名注册的帐号，才能共享主机。如果留空，则可以使用任何用户帐号共享主机。

当远程客户端尝试与用户设备建立连接时，您可以启用 STUN（NAT 会话穿越实用程序）服务器和 TURN（NAT 中继穿越实用程序）服务器。

如果您选择启用防火墙穿越功能，远程客户端即使被防火墙隔离，也依然能够发现并连接用户的设备。默认情况下，中继服务器处于启用状态，但您可以选择将其停用。在启用防火墙的情况下，中继服务器允许连接到其他服务器并传输数据，而无需建立直接连接。要限制用户设备中的远程访问主机使用的 UDP 端口范围，请在 UDP 端口范围字段中输入范围的最小值和最大值。如果留空，则任何端口都可以使用。

如果您选择停用防火墙穿越功能，且出站 UDP 连接经由防火墙过滤，则用户的设备只能与本地网络内的客户端设备连接。

选择在任务栏中显示“退出”按钮，以在任务栏中明确显示“退出”按钮。对于需要快速退出 ChromeOS 设备的用户，此设置非常有用。

您可以选择启用 Kerberos，以便在 Chrome OS 设备上使用 Kerberos 票据，为支持 Kerberos 身份验证的内部资源启用单点登录 (SSO)。这类内部资源可能包括网站、文件共享、证书等。有关详情，请参阅为 Chrome OS 设备配置 Kerberos 单点登录。

指定用户是否可以允许 Chrome 记住 Kerberos 密码，以便用户不必再次输入密码。默认情况下，允许用户记住 Kerberos 密码会处于选中状态。除非需要进行其他身份验证（例如双重身份验证），否则 Chrome 会自动提取 Kerberos 票据。

如果选择不允许用户记住 Kerberos 密码，则 Chrome 永远不会记住密码，并且还会移除之前存储的所有密码。每当需要向 Kerberos 系统进行身份验证时，用户都必须输入密码。

决定用户是否可以添加 Kerberos 帐号。默认情况下，允许用户添加 Kerberos 帐号会处于选中状态。用户对自己添加的帐号拥有完全控制权，因此，他们可以修改或移除这类帐号。

选择禁止用户添加 Kerberos 帐号后，您只能通过政策添加帐号。

指定 Chrome 操作系统连接到互联网的方式。

如果您保留默认设置（允许用户进行配置），则 Chrome 操作系统设备会默认配置为直接连接，并且用户可以在其 Chrome 设置中更改代理配置。如果您选择任何其他代理模式选项，用户则无法更改此配置。

• 不使用代理 - Chrome 操作系统设备会始终与互联网建立直接连接，而无需通过代理服务器。
• 始终自动检测代理 - 会指示 Chrome 操作系统设备使用网络代理自动发现协议 (WPAD) 以确定要连接哪个代理服务器。
• 始终使用以下指定的代理 - 会设置特定的代理服务器，以便处理来自用户的请求。您需要在显示的代理服务器网址字段中输入代理服务器的网址。代理服务器网址的格式应为 IP 地址:端口，如 192.168.1.1:3128。
  如果某些网址应绕过处理其他用户请求的代理服务器，请在要绕过代理的网址（一行一个）字段中输入这些网址。如果您输入了多个网址，请每行列出一个网址。
• 对于代理服务器自动配置文件网址，请通过始终使用以下指定的代理自动配置插入用于网络连接的 .pac 文件网址。

Chrome 操作系统如何处理无效代理

PROXY (foo) 是代理自动配置脚本中代理服务器的命名方式。如果您的第一个代理不起作用，Chrome 会尝试第二个代理，并将第一个代理标记为无效代理。

目前，当 Chrome 应用通过 PAC 解析的代理列表时，会根据代理之前是否可用重新排列代理选项。举例来说，在应用“PROXY foo1; PROXY foo2;”时，如果 Chrome 在上一次尝试 foo1 时出现超时（在过去 5 分钟内），则 Chrome 可能会先尝试从 foo2 开始。

如果 foo2 成功，则 Chrome 会将 foo1 标记为无效代理，并重新排列代理列表的优先顺序，对后续的所有其他请求优先采用 foo2。

对于 Chrome 操作系统设备，管理网址需要一个指向互联网的直接路径。通过代理过滤可能会导致功能运行异常。

在 Chrome 操作系统中运行的 Android 应用

如果您在受支持的 Chrome 操作系统设备上启用了 Android 应用，则可针对 Android 应用使用部分代理设置。Android 应用可能会选择应用您指定的设置。通常来说，使用 Android System WebView 或内置网络堆栈的应用会选择应用您的设置。您可以选择如下设置：

• 永不使用代理服务器- 系统会通知 Android 应用未配置任何代理。
• 使用系统代理设置或固定服务器代理 - 系统会向 Android 应用提供 HTTP 代理服务器地址和端口。
• 自动检测代理服务器 - 系统会向 Android 应用提供脚本网址“http://wpad/wpad.dat”，并且不会使用代理自动检测协议中的其他部分。
• .pac 代理脚本 - 系统会向 Android 应用提供脚本网址。

指定 ChromeOS 是否可以在进行强制门户身份验证时跳过已配置的代理服务器。例如，着陆页或登录页面等强制门户页面（在 Chrome 检测到互联网成功连接之前，系统会提示用户在此页面接受相应条款或登录）。

可通过以下方式设置已配置的代理服务器：

• 在管理控制台中使用代理模式设置
• 由用户在自己的 ChromeOS 设备上，前往 chrome://settings 自行设置
• 通过允许设置或修改代理的应用或扩展程序进行设置

如果您将此政策设为为强制门户页面忽略政策，那么 Chrome 会在新窗口中打开强制门户页面，并忽略为当前用户配置的所有设置和限制。如果您将其设为为强制门户页面保留政策，那么 Chrome 会在新的浏览器标签页中打开强制门户页面，并应用当前用户的政策和限制。

指定支持的 HTTP 身份验证方案。当服务器或代理接受多种身份验证方案时，系统会选择其支持的安全性最高的身份验证方案。您可以通过停用特定身份验证方案来替换默认行为。

• 基本版 - 最不安全的方法，在不加密的情况下进行身份验证。
• 摘要式身份验证 - 比基本身份验证更安全的质询响应方案。
• NTLM 身份验证 - (NT LAN Manager) 更高级的质询响应方案，比摘要式身份验证更安全。
• 协商 - 最安全的身份验证方案。如果此选项可用，我们推荐您选择此选项。如果不可用，我们推荐您使用 NTLM 身份验证。

默认情况下，Chrome 浏览器允许在不安全的 HTTP 连接中使用基本身份验证。如果您选择只能在 HTTPS 连接中使用基本身份验证方案，则 Chrome 浏览器仅允许在 HTTPS 连接中使用基本身份验证。

注意：如果您未在“支持的身份验证方案”下指定基本，那么系统就会忽略这项设置。

NTLMv2 身份验证默认处于启用状态。除非遇到向后兼容性问题，否则我们不建议您停用此设置。选择停用 NTLMv2 身份验证会降低身份验证的安全性。

选择启用 SSL 记录分割功能后，即可在 Chrome 中进行 SSL 记录分割。记录分割是针对 SSL 3.0 和 TLS 1.0 中某个弱项的解决方法，但可能会导致出现与部分 HTTPS 服务器和代理无法兼容的问题。

指定用户可使用的传输层安全协议 (TLS) 的最低版本。

指定用户能否绕过 SSL 警告并继续访问相关页面。

允许您输入可绕过 SSL 警告的域名列表。只有当原域名位于这份域名列表中时，用户才可以绕过 SSL 警告。

输入网址值列表（每行一个）。例如：

有关详情，请参阅企业版政策网址格式。

注意：如果启用了 SSL 错误覆盖，此政策会被忽略。

通过此设置，您可以指定用户在进行 WebRTC 连接时使用的 UDP 端口范围。端口范围在 1024 至 65535 之间，且最大端口值应大于或等于最小端口值。

通过此设置，您可以为本地 IP 的网页即时通信交互式连接创建 (WebRTC ICE) 添加候选网址。

Google 服务会通过调用 Chrome API 为启用了此设置的客户收集 WebRTC 事件。WebRTC 则通过用户数据报协议 (UDP) 传输数据。

每行只能输入一个网址，但可以使用通配符 *。

系统会将您添加到此列表中的网址格式与请求网址的安全来源进行比对。如果找到匹配内容，系统就会在 WebRTC ICE 候选路径中显示本地 IP 地址。否则，本地 IP 地址将会隐藏，被 mDNS 主机名取代。

通过此设置，您可以允许用户在 Chrome 中使用快速 UDP 互联网连接 (QUIC) 协议。QUIC 是一种传输协议，与传输控制协议 (TCP) 相比，该协议能缩短延迟时间。有关详情，请参阅 Chromium。

通过 HTTPS 协议控制每个查询远程解析域名系统 (DNS) 的默认模式。DNS-over-HTTPS (DoH) 有助于提高用户浏览网页时的安全性和隐私性。例如，攻击者将无法查看您访问了哪些网站，也无法将您转到钓鱼式攻击性质的网站。

根据需要，选择一个选项：

• 停用 DNS-over-HTTPS - Chrome 绝不会将 DoH 查询发送到 DNS 服务器。
• 启用 DNS-over-HTTPS，且允许改用不安全的方法 - 如果有支持 DoH 的 DNS 服务器可用，则 Chrome 会先发送 DNS-over-HTTPS 查询。如果收到错误消息，或者没有支持 DoH 的服务器可用，则 Chrome 只会向该服务器发送 DNS 查询。
• 启用 DNS-over-HTTPS，且禁止改用不安全的方法 - Chrome 只会将 DoH 查询发送到 DNS 服务器。

如果您启用了 DoH，则可以添加您想要向用户提供的 DoH 解析器的 URI 模板列表。

默认设置为启用 DNS-over-HTTPS，且允许改用不安全的方法。但是，该设置有时会恢复为停用 DNS-over-HTTPS ，且用户无法进行更改。如果 Chrome 检测到家长控制或企业政策的存在，就会发生这种情况。出现以下情况时，Chrome 会检测到企业政策：

• 您在已加入网域的计算机上管理 Chrome 浏览器。
• 您为 Chrome 浏览器设置了至少一项有效政策。

在 macOS、Android 和 ChromeOS 中，内置 DNS 客户端默认处于启用状态，并且用户可以更改此设置。

此政策不会影响 DNS-over-HTTPS。如要更改 DNS-over-HTTPS 行为，请参阅 DNS-over-HTTPS 设置。

跨域资源共享 (CORS) 可让用户访问其他网域资源，同时保护您的单位免受意外的跨域网络访问。

对于 Chrome 浏览器以及带有 79 和更高版本的 ChromeOS 设备，新的 CORS 实现 (Out-Of-Renderer CORS) 会对网络请求（包括 Chrome 扩展程序）执行 CORS 检查。与之前的 CORS 实施方式相比，Out-Of-Renderer CORS 更加严格和安全。举例来说，CORS 协议之前会忽略已修改的请求 HTTP 标头，而 Out-Of-Renderer CORS 协议会对此加以检查。

指定 Chrome 浏览器能否使用旧版 CORS 协议，该协议的安全性和严格程度低于 Out-Of-Renderer CORS。

跨域资源共享 (CORS) 可让用户访问其他网域资源，同时保护您的单位免受意外的跨域网络访问。

对于 Chrome 浏览器和运行 ChromeOS 版本 79 及更高版本的设备，新的 CORS 实施方式 (Out-Of-Renderer CORS) 会对网络请求（包括 Chrome 扩展程序）执行 CORS 检查。与之前的 CORS 实施方式相比，Out-Of-Renderer CORS 更加严格和安全。举例来说，CORS 协议之前会忽略已修改的请求 HTTP 标头，而 Out-Of-Renderer CORS 协议会对此加以检查。

要使 Chrome 扩展程序和特定 HTTP 标头免于 CORS 检查，请选择启用检查绕过设置。

指定在用户启动设备后立即处理 Android 和 Chrome 操作系统用户流量的 Android VPN 应用。出于安全原因，系统流量（例如操作系统和政策更新）不会经由虚拟专用网 (VPN) 传输。如果 VPN 连接失败，所有用户流量都将被拦截，直到重新建立 VPN 连接为止。请从用户设备上自动安装的 Android VPN 应用列表中进行选择。

选择不允许用户手动断开 VPN 连接，防止用户手动断开 VPN 连接。

有关详情，请参阅设置虚拟专用网（Android VPN 应用）。

指定哪些服务器可以使用集成 Windows 身份验证 (IWA)。当 Chrome 收到由此许可名单中的代理服务器或服务器发出的身份验证请求时，系统便会启用集成式身份验证机制。

如要指定多个服务器名称，您必须使用英文逗号分隔。允许使用通配符 * 和 ,。

如果留空，则 Chrome 会尝试检测某台服务器是否在内网上。如果该服务器在内网上，则 Chrome 会响应相应 IWA 请求。如果 Chrome 检测到此服务器位于互联网上，便会忽略来自该服务器的 IWA 请求。

指定 Chrome 可委托哪些服务器使用集成 Windows 身份验证 (IWA)。

如要指定多个服务器名称，您必须使用英文逗号分隔。允许使用通配符 * 和 ,。

如果留空，那么即使检测到某台服务器在内网上，Chrome 也不会将用户凭据委派给它。

指定是否遵循密钥分发中心 (KDC) 政策委派 Kerberos 票据。

指定用来生成 Kerberos 服务主体名称 (SPN) 的名称来源。

指定生成的 Kerberos 服务主体名称 (SPN) 是否包含非标准端口。

指定是否允许页面中的第三方子内容弹出 HTTP 基本身份验证对话框。

指定未跨域隔离的网站能否使用 SharedArrayBuffers。由于网站兼容性方面的原因，在使用 SharedArrayBuffers 时，Chrome 91 及以上版本需要跨域隔离。

如需了解详情，请参阅 SharedArrayBuffer 更新。

指定 Chrome 默认的引荐来源网址政策。引荐来源网址政策控制网络请求中包含多少引荐来源信息。

如果您选择使用 Chrome 的默认引荐来源网址政策，则系统会使用 strict-origin-when-cross-origin 政策。本政策的目的：

• 在执行同源请求时发送来源、路径和查询字符串
• 在执行跨域请求时，仅当协议安全等级相同时（从 HTTPS 到 HTTPS）发送来源
• 如果目的地安全性较低（从 HTTPS 到 HTTP），则不发送标头

如果您选择将 Chrome 的默认引荐来源网址政策设为先前的引荐来源网址政策，则系统会将先前的 no-referrer-when-downgrade 政策用于网络请求。本政策的目的：

• 如果协议安全级别保持不变（从 HTTP 到 HTTP，从 HTTPS 到 HTTPS，或从 HTTP 提升到 HTTPS），则发送来源、路径和网址的查询字符串作为引荐来源网址
• 如果目的地安全性较低（从 HTTPS 到 HTTP），则不发送标头

指定 Chrome 浏览器能否主动发送包含用户浏览器和环境相关信息的请求。如果可以，服务器便能启用分析功能并自定义响应内容。默认情况下，允许显示用户代理客户端提示会处于选中状态。

如果某些网站限制了部分请求中可包含的字符，这些精细的请求标头可能会导致这些网站无法正常运作。

默认情况下，接受通过 Signed HTTP Exchange (SXG) 提供的网络内容选项会处于选中状态，这样可确保内容处于可移植状态或可供其他方重新分发，同时保留内容的完整性和出处。

使用 HTTP 服务器身份验证凭据为每份个人资料配置一个全局性的缓存文件。

• （默认）HTTP 身份验证凭据的使用范围仅限顶级网站 - 对于版本 80 及更高版本，Chrome 会按顶级网站界定 HTTP 服务器身份验证凭据的适用范围。也就是说，如果两个网站使用的资源是来自同一个要求进行身份验证的网域，则需要在这两个网站中分别提供凭据，而系统会在各网站重复使用缓存的代理凭据。
• 在某个网站中输入的 HTTP 身份验证凭据会自动用于其他网站 - 这可能会导致网站容易受到某些类型的跨网站攻击，并会允许使用网址内嵌的凭据向 HTTP 身份验证缓存文件添加条目以对用户进行跨网站跟踪（甚至是在没有 Cookie 的情况下）。

此政策旨在让依靠旧版行为的组织能够更新他们的登录流程；我们将于日后移除这项政策。

对于已成功通过验证且已由安装在本地的 CA 证书签名的服务器证书，指定 Chrome 是否会一律执行撤销检查。如果 Chrome 无法获取任何撤销状态信息，则会将此类证书视为已撤消。

默认设置为使用现有的在线撤销检查设置。

某些代理服务器无法为单个客户端处理大量并发连接。通过此设置，您可以指定代理服务器的并发连接数上限。该值应大于 6 且小于 100。我们知道，某些 Web 应用采用了挂起 GET，这样会消耗许多连接。该设置的默认值为 32。如果打开的此类 Web 应用过多，将值设为小于 32 就可能会导致浏览器网络卡住。

指定 Chrome 进行 HTTP 身份验证应使用的 GSSAPI（通用安全服务应用编程接口）库。您可以将此政策设为库名称或完整路径，例如 GSSAPILibraryName 或 libgssapi_krb5.so.2。如果留空，Chrome 将使用默认的库名称。

指定可绕过 HTTP 严格传输安全协议 (HSTS) 政策检查的主机名列表。HSTS 政策会强制网络浏览器只能通过安全的 HTTPS 连接（而非 HTTP 连接）与网站交互。

您只能输入单标签主机名；每行一个。必须将主机名规范化：任何 IDN 都必须转换为对应的 A 标签格式，而且所有 ASCII 字母都必须小写。此政策只适用于指定的主机名，不适用于这些主机名的子网域。

您可以通过这项设置，针对支持 HTTP Negotiate 身份验证（例如 Kerberos 身份验证）的 Android 身份验证应用提供的帐号，指定帐号类型。身份验证应用会生成安全代码，用于登录安全等级要求较高的网站。您应该可以从身份验证应用的供应商处获得此信息。有关详情，请参阅 Chromium 项目。

默认情况下，执行 DNS 拦截检查会处于选中状态。DNS 拦截检查功能会在浏览器上执行检查，以了解浏览器是否使用了会重定向不明主机名的代理。

这是一项临时性政策，会在日后发布的 Chrome 版本中移除。

通过此政策，您可以设置允许将网页即时通信 (WebRTC) 中的旧版传输层安全协议 (TLS) 和数据报传输层安全协议 (DTLS) 降级至过时版本。

默认情况下，禁止将 WebRTC 对等互连降级到过时版本的 TLS/DTLS 协议（DTLS 1.0、TLS 1.0 和 TLS 1.1）会处于选中状态。这样一来，这些 TLS/DTLS 协议版本会处于停用状态。

您可以在 Chrome 中启用或停用 WPAD（网络代理自动发现协议）优化功能。

通过 WPAD，Chrome 浏览器等客户端可以在网络中自动寻找并连接缓存服务。这样一来，用户就能更快收到信息。

默认设置为启用网络代理自动发现 (WPAD) 优化功能。如果您选择停用网络代理自动发现 (WPAD) 优化功能，那么 Chrome 必须等待更长时间才能收到基于 DNS 的 WPAD 服务器的响应。

用户无法更改 WPAD 优化设置。

指定是否使用用户名和密码向通过 NTLM 身份验证机制提供安全保护的受管理代理验证身份。

如果您选择将网络身份验证用登录凭据用于受管理的代理，那么当身份验证失败时，系统会提示用户输入其用户名和密码。

通过选择允许外发连接的一个或多个端口，允许绕过 Google Chrome 内置的受限端口列表。

限制端口是为了防止有人将 Google Chrome 作为媒介来利用网络安全漏洞。设置此政策可能会致使您的网络遭到攻击。此政策是一种临时的变通方案，旨在应对 ERR_UNSAFE_PORT 代码类错误，以便将在被禁用的端口上运行的服务迁移到标准端口（例如端口 80 或 443）。

如果您未设置此政策，则系统会屏蔽所有受限端口。如果您同时选择了有效值和无效值，系统会应用有效值。

此政策会覆盖 --explicitly-allowed-ports 命令行选项。

指定是否要让 Chrome 遵循椭圆曲线和后量子 2 组合 (CECPQ2) 的默认发布流程；CECPQ2 是传输层安全协议 (TLS) 中的一种后量子密钥协议算法。

CECPQ2 可帮助评估后量子密钥交换算法在用户设备上的性能。

CECPQ2 会导致更多的 TLS 消息产生；在极少数情况下，这种消息会致使部分网络硬件出错。在解决网络问题时，您可以停用 CECPQ2。

Google 计划分阶段逐步降低“用户代理”标头字段中可用信息的详细程度。使用此设置有助于网站测试和兼容性。您可以为所有源启用或停用缩短设置，或通过现场试验或源试用来控制缩短。

如需详细了解用户代理缩短设置及其时间轴，请参阅这篇 Chromium 博客。

当 ChromeOS 或 Chrome 浏览器的主要版本包含 3 位数（而非 2 位数）的用户代理字符串时，某些应用和网站可能会停止运行。对于 Chrome 100 或更高版本，如果强制 Chrome 将 99 作为 User-Agent 字符串中的主要版本，则可防止出现 User-Agent 问题。

选择一个选项：

• User-Agent 字符串的默认浏览器设置 -（默认）用户可以选择是否冻结 User-Agent 字符串中的主要版本。
• 不冻结主要版本 - Chrome 绝不会冻结 User-Agent 字符串中的主要版本。
• 将主要版本冻结为 99 - 在 User-Agent 字符串中将 Chrome 主要版本设为 99，并将实际的主要版本号强制设为次要版本。
  因此，Chrome 不会报告用户代理字符串 <major_version>.<minor_version>.<build_number>.<patch_number>，而是报告 99.<major_version>.<build_number>.<patch_number>，其中次要版本会被忽略。
  示例：Chrome 100.0.1234.56 版会报告为 99.100.1234.56。

通过此设置，您可以允许用户将 Android 应用中的内容、数据和设置备份到其 Google 帐号。当用户登录其他 ChromeOS 设备时，便可恢复其 Android 应用数据。

指定是否允许 ChromeOS 设备上的 Android 应用在初始设置过程中使用 Google 位置信息服务来搜索设备位置信息，以及向 Google 发送匿名位置数据。完成初始设置后，用户可以开启或关闭位置信息服务。

从下列选项中选择一项：

• 在 ChromeOS 中为 Android 应用进行初始设置时，停用定位服务 - 这是默认设置。在初始设置期间，Android 应用无法使用位置信息服务。
• 当用户在 ChromeOS 中为 Android 应用进行初始设置时，允许他们决定是否使用定位服务 - 在初始设置过程中，系统会提示用户允许 Android 应用使用位置信息服务。

注意：如果将地理位置设为不允许网站检测用户的地理位置，则 Google 位置信息服务设置不会生效。了解地理位置设置

已弃用。适用于 Chrome 75 及更低版本。

默认情况下，用户可以添加辅助帐号（例如个人 Gmail 帐号），这样他们不但能使用您为 Google Play 企业版明确批准的 Android 应用，还可使用更多其他 Android 应用。要禁止用户添加辅助 Google 帐号，请勾选 Google 帐号复选框。

默认情况下，ChromeOS 证书授权机构 (CA) 证书不会同步到 Android 应用。要让 Android 应用使用这些证书，请选择允许在 Android 应用中使用 ChromeOS CA 证书。

默认情况下，ChromeOS 允许 Android 应用使用 Android 的内置分享系统向支持的 Web 应用分享文本和文件。系统会将已安装的 Web 应用的元数据发送给 Google，以在 ChromeOS 设备上生成并安装这些应用与 Android 兼容的版本。如需防止出现这种情况，请选择禁止从 Android 应用分享内容到 Web 应用。

指定是否在工具栏中显示主页按钮。此政策与用户 Chrome 设置中的显示主页按钮用户设置相对应。

控制用户点击工具栏中的主页按钮时看到的内容。您可以选择允许用户进行配置（默认设置）、主页始终是“新标签页”或主页始终为以下设置的网址。

要设置网址，请在主页网址字段中输入网址。

指定新标签页的网址，且用户无法更改这项设置。如果留空，则系统会使用浏览器的默认页。

默认情况下，在“新标签页”页面上显示内容建议选项处于选中状态。因此，Chrome 会根据用户的浏览记录、兴趣或位置信息在“新标签页”页面上显示自动生成的内容建议。

默认情况下，用户可以自定义“新标签页”页面的背景。

选择不允许用户自定义“新标签页”页面的背景后，用户就无法自定义“新标签页”页面的背景。系统会永久移除现有的自定义背景，即使您之后将该选项还原为允许用户自定义“新标签页”页面的背景，这些被移除的自定义背景也无法恢复。

如果您是 Microsoft Windows 管理员，则此设置只有在运行 Windows 7 的设备上开启才会生效。如果设备运行的是更高的版本，请参阅将 Chrome 设为默认浏览器 (Windows 10)。

指定 Chrome 中的默认浏览器检查设置。

• 允许用户决定（默认）- 用户可以选择将 Chrome 浏览器设为默认浏览器。如果它不是默认浏览器，则用户可以选择是否显示要求将 Chrome 浏览器设为默认浏览器的通知。
• 尝试在启动过程中将 Chrome 设为默认浏览器（如果 Chrome 目前不是默认浏览器） - Chrome 浏览器在启动时始终会检查自己是否是默认浏览器，并会尽可能自动注册。
• 禁止 Chrome 在启动过程中检查自身是否为默认浏览器（如果 Chrome 目前不是默认浏览器），并禁止用户将 Chrome 设为默认浏览器 - Chrome 浏览器不会检查自己是否是默认浏览器，用户也无法通过此设置将其设为默认浏览器。

指定在浏览器启动时是启用、停用还是强制显示个人资料选择器。根据需要，选择一个选项：

• 允许用户决定 - 默认情况下，系统会在浏览器启动时显示个人资料选择器，但用户可以将其停用。
• 在浏览器启动时不显示个人资料选择器 - 一律不显示个人资料选择器，且用户无法更改此项设置。
• 在浏览器启动时一律显示个人资料选择器 - 始终显示个人资料选择器，即使只有一份个人资料可供使用也是如此。

默认情况下，如果出现以下情形，则系统不会显示个人资料选择器：

• 浏览器在访客模式或无痕模式下启动
• 个人资料目录或网址由命令行指定
• 用户已明确请求打开某个应用
• 用户从本地通知中启动了浏览器
• 只有 1 份可用的个人资料
• 或 ForceBrowserSignin 政策设为 true

允许用户在首次运行 Chrome 浏览器时，从默认浏览器导入自动填充表单数据。根据需要执行相应操作：

• 启用导入自动填充数据的政策 - 自动导入自动填充表单数据。用户可以在以后重新导入。
• 停用导入自动填充数据的政策 - 首次运行时系统不会导入自动填充表单数据，且用户无法手动导入。
• 允许用户决定 - 用户可以选择是否手动导入自动填充表单数据。

允许用户在首次运行 Chrome 浏览器时，从默认浏览器导入书签。根据需要执行相应操作：

• 启用导入书签的政策 - 自动导入书签。用户可以在以后重新导入。
• 停用导入书签的政策 - 首次运行时系统不会导入书签，且用户无法手动导入。
• 允许用户决定 - 用户可以选择是否手动导入书签。

允许用户在首次运行 Chrome 浏览器时，从默认浏览器导入浏览记录。根据需要执行相应操作：

• 启用导入浏览记录的政策 - 自动导入浏览记录。用户可以在以后重新导入。
• 停用导入浏览记录的政策 - 首次运行时系统不会导入浏览记录，且用户无法手动导入。
• 允许用户决定 - 用户可以选择是否手动导入浏览记录。

允许用户在首次运行 Chrome 浏览器时，从默认浏览器导入主页设置。根据需要执行相应操作：

• 启用导入主页的政策 - 自动导入主页设置。用户可以在以后重新导入。
• 停用导入主页的政策 - 首次运行时系统不会导入主页设置，且用户无法手动导入。
• 允许用户决定 - 用户可以选择是否手动导入主页设置。

允许用户在首次运行 Chrome 浏览器时，从默认浏览器导入已保存的密码。根据需要执行相应操作：

• 启用导入已保存密码的政策 - 自动导入保存的密码。用户可以在以后重新导入。
• 停用导入已保存密码的政策 - 首次运行时系统不会导入已保存的密码，且用户无法手动导入。
• 允许用户决定 - 用户可以选择是否手动导入保存的密码。

允许用户在首次运行 Chrome 浏览器时，从默认浏览器导入搜索引擎设置。根据需要执行相应操作：

• 启用导入搜索引擎的政策 - 自动导入搜索引擎设置。用户可以在以后重新导入。
• 停用导入搜索引擎的政策 - 首次运行时系统不会导入搜索引擎设置，且用户无法手动导入。
• 允许用户决定 - 用户可以选择是否手动导入搜索引擎设置。

安全搜索（针对 Google 搜索中的查询）

启用或停用安全搜索功能，该功能可过滤用户搜索结果中的露骨内容（包括色情内容）。

对于幼儿园到高中 (K-12) 的教育网域，默认设置为始终对 Google 网页搜索查询使用安全搜索。用户必须使用安全搜索。

对于所有其他网域，默认设置为不对 Google 网页搜索查询强制执行安全搜索。

如需了解详情，请参阅为您管理的设备和网络锁定安全搜索设置。

YouTube 的受限模式

在为 YouTube 设置限制之前，我们建议您将 Chrome 更新至最新稳定版。

• 不强制启用 YouTube 受限模式（默认设置）。

• 至少强制启用 YouTube“适中”受限模式 - 强制用户使用受限模式。该模式会根据视频的内容，通过算法限制哪些视频可供用户观看。

• 强制启用 YouTube“严格”受限模式 - 强制用户使用“严格”受限模式，进一步限制可供观看的视频。

有关限制级别的详细信息，请参阅管理您组织的 YouTube 设置。

控制是否允许组织中的用户在 ChromeOS 设备上使用屏幕截图功能。此政策适用于通过任何方式（包括键盘快捷键，以及使用 Chrome API 获取屏幕截图的应用和扩展程序）生成的屏幕截图。

如果您在组织中受支持的 ChromeOS 设备上启用 Android 应用，则屏幕截图政策也适用于这些设备。

控制是否允许特定网站提示用户直播某个标签页、窗口或整个屏幕。

如果您将此政策设为禁止网站提示用户分享录屏，则符合您在此设置中指定的网址格式的网站可以提示用户分享。

系统会将您在以下列表中指定的网址与请求网址的来源进行比对。网址格式中的路径会被忽略。如需详细了解有效网址格式，请参阅企业政策网址格式。

允许在这些网站中对标签页（仅限同一网站的标签页）进行录屏

指定哪些网站能提示用户直播与其来源相同的标签页。在后续的三个字段中，系统会忽略与这个字段中所指定网址格式相符的网站。

允许在这些网站中对标签页进行录屏

指定哪些网站能提示用户直播标签页。在后续的两个字段中，系统会忽略与这个字段中所指定网址格式相符的网站。同样，在与上述字段中的网址格式相符的网站中，系统会忽略此政策。

允许在这些网站中对标签页和窗口进行录屏

指定哪些网站能提示用户直播窗口和标签页。在下一个字段中，系统会忽略与这个字段中所指定网址格式相符的网站。同样，在与上述两个字段中的网址格式相符的网站中，系统会忽略此政策。

允许在这些网站中对标签页、窗口和桌面进行录屏

指定哪些网站能提示用户直播整个屏幕、窗口或标签页。在与上述三个字段中的网址格式相符的网站中，系统会忽略此政策。

控制是否允许网站提示用户直播某个标签页、窗口或整个屏幕画面。

• 允许网站提示用户分享录屏 - 这是默认设置。网页可以使用各种屏幕共享 API（例如 getDisplayMedia() 和 Desktop Capture Extension API）提示用户共享。
• 禁止网站提示用户分享录屏 - 屏幕共享 API 会失败并返回错误。不过，如果某个网站与您在允许在网站中录屏中指定的某个网址匹配，则网页就能够提示用户分享。请参阅“允许在网站中录屏”。

指定用户能否使用 Chrome 浏览器的分享中心分享当前网页。用户可以通过点击地址栏中的“分享”图标  或浏览器窗口右上角的“更多”图标  来访问分享中心。如果您选择停用桌面分享中心，则用户将不会再在分享中心看到分享图标。

通过此设置，您可以指定一系列网址格式（以 JSON 字符串表示），以便 Chrome 为这些格式所对应的网站自动选择客户端证书。如果已设定此设置，那么在安装了有效客户端证书的情况下，Chrome 会跳过匹配网站的客户端证书选择提示。如果未设定此设置，系统就不会针对请求证书的网站自动选择客户端证书。

ISSUER/CN 参数可指定证书授权机构的通用名称，而系统自动选择的客户端证书必须将其作为颁发者。

如何设置 JSON 字符串格式：

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}

JSON 字符串示例：

{"pattern": "https://[*.]ext.example.com", "filter": {}}
{"pattern": "https://[*.]corp.example.com", "filter": {}}
{"pattern": "https://[*.]intranet.usercontent.com", "filter": {}}

指定网址和网域，使得当设备请求安全密钥认证证书时，系统不会弹出任何提示。

控制 Chrome 浏览器是否允许网页使用 Web-based Graphics Library (WebGL) API 和插件。WebGL 是一种支持 JavaScript 的软件库，可生成互动 3D 图形。

默认 Cookie 设置

设置是否允许网站存储浏览信息，例如您的网站偏好设置或个人资料信息。

此设置对应的是 Chrome 设置中的用户 Cookie 选项。您可以允许用户配置此选项，也可以指定始终允许 Cookie、一律不允许 Cookie 或仅在用户访问期间保留 Cookie。

允许采用特定网址格式的网站设置 Cookie

通过此设置，您可以指定一系列网址格式，以便允许采用这些网址格式的网站设置 Cookie。例如，您可以输入以下格式的网址，每个网址各占一行：

• "http://www.example.com"
• "[*.]example.edu"

如果您未设置此政策，那么您在默认 Cookie 设置下指定的配置将成为全局默认配置，用户也可自行设置配置。

禁止采用特定网址格式的网站使用 Cookie

通过此设置，您可以指定一系列网址格式，以便不允许采用这些网址格式的网站设置 Cookie。例如，您可以输入以下格式的网址，每个网址各占一行：

• "http://www.example.com"
• "[*.]example.edu"

如果您未设置此政策，那么您在默认 Cookie 设置下指定的配置将成为全局默认配置，用户也可自行设置配置。

允许采用特定网址格式的网站使用仅在访问期间有效的 Cookie

通过此政策，您可以指定一系列网址格式，以用于确定允许设置仅在访问期间有效的 Cookie 的网站。您可以输入以下格式的网址，每个网址各占一行：

• "http://www.example.com"
•  "[*.]example.edu"

访问结束后，系统将删除 Cookie。如果您未设置此政策，则您在默认 Cookie 设置下指定的配置将成为全局默认配置，用户也可自行设置配置。

允许或阻止第三方 Cookie。默认情况下，用户可自行决定。

开发者可以使用 SameSite 设置来阻止浏览器通过跨站请求发送 Cookie。

对于 Chrome 浏览器 80 及更高版本，SameSite 设置比之前的实施更为严格。除非开发者使用 SameSite=None; Secure 设置来允许仅通过 HTTPS 连接进行跨网站访问，否则系统将禁止从外部访问 Cookie。

您可以暂时将 Chrome 浏览器还原为采用安全性较低的旧版行为。这样，用户就可以继续使用开发者尚未更新的服务，例如单点登录和内部应用。

选择一个选项：

• 将所有网站的 Cookie 都还原为采用旧版 SameSite 行为 - 如果 Cookie 的设置配置为 SameSite=None，则不需要使用 Secure 属性。对于未指定 SameSite 属性的 Cookie，系统会将其当作设置为 SameSite=None 的 Cookie 进行处理。因此，第三方 Cookie 可以继续跨网站跟踪用户。
• 让所有网站的 Cookie 都采用 SameSite-by-default 行为 - 对于未指定 SameSite 属性的 Cookie，Chrome 浏览器的处理方式将取决于 Chrome 浏览器中指定的默认行为。

要查看 Chrome 浏览器会如何处理未指定 SameSite 属性的 Cookie，请按以下步骤操作：

1. 在受管理的设备上，打开 Chrome 浏览器。
2. 在顶部的地址栏中，输入 chrome://flags。
3. 按 Enter 键。
4. 在 #same-site-by-default-cookies 部分，阅读说明并检查相应 flag 处于启用还是停用状态。

开发者可以使用 SameSite 设置来阻止浏览器通过跨站请求发送 Cookie。

对于 Chrome 浏览器 80 及更高版本，SameSite 设置比之前的实施更为严格。除非开发者使用 SameSite=None; Secure 设置来允许仅通过 HTTPS 连接进行跨网站访问，否则系统将禁止从外部访问 Cookie。

您可以指定希望针对哪些网域暂时将 Chrome 浏览器还原为采用安全性较低的旧版行为。请勿指定方案或端口。如果 Cookie 的设置配置为 SameSite=None，则不需要再使用 Secure 属性。对于未指定 SameSite 属性的 Cookie，系统会将其当作设置为 SameSite=None 的 Cookie 进行处理。因此，第三方 Cookie 可以继续在特定网站跟踪用户。

如果未列出任何网域，则 Chrome 浏览器处理 Cookie 的方式取决于旧版 SameSite Cookie 默认行为设置。如果列出了网域，Chrome 浏览器处理 Cookie 的方式可能会有所不同，具体取决于 Chrome 浏览器中指定的默认行为。

指定是否允许网站显示图片。在显示这些网站上的图片和屏蔽这些网站上的图片字段中，您可以逐行添加网址格式。

指定是否允许网站运行 JavaScript。如果您选择不允许任何网站运行 JavaScript，则某些网站可能无法正常运行。

启用这项政策后，如果相关标签页在后台打开，且处于闲置状态达 5 分钟或更长时间，则 JavaScript 计时器会暂停。对于这类标签页，计时器执行其代码的频率为每分钟仅一次。这样可降低 CPU 负载和电池耗电量。

默认设置为允许使用 Chrome 的逻辑来控制后台 javascript 计时器节流，并支持用户对计时器节流进行配置。该政策由其自身内部逻辑控制，并可以由用户手动配置。

如果您选择强制执行后台 javascript 计时器节流或不强制执行后台 javascript 计时器节流，则该政策会强制启用或停用，且用户无法覆盖相应选项。

系统会将此政策应用于每个网页，并在网页加载后，将最近设置的选项应用至网页。用户必须执行一次彻底的重启操作，系统才会将该政策设置应用于所有已加载的标签页。即使各网页采用不同的政策值，也不会影响网页的正常运行。

您可以指定 Google Chrome 是否允许网站在启用 Just Time (JIT) 编译器的情况下运行 v8 JavaScript 引擎。JIT 编译是一种在程序执行期间（而不是之前）使用编译执行计算机代码的方式。

选择一个选项：

• 允许网站运行 JavaScript JIT 编译（默认）- 网页内容显示的速度可能会更慢，并且部分 JavaScript（包括 WebAssembly）可能会被禁用。
• 不允许网站运行 JavaScript JIT 编译 - 网页内容可能会以更安全的方式显示。

您还可以添加要允许或禁止运行 JavaScript JIT 编译的特定网址。如需了解有效网址格式，请参阅企业版政策网址格式。

指定是否允许网站显示桌面通知。

您可以设为允许或不允许网站显示桌面通知，或者每当网站要显示桌面通知时都询问用户。

注意：如果使用的是 Chrome 64 或更高版本，那么系统将不再允许 JavaScript 提醒打扰用户。过去使用提醒的应用（例如 Google 日历）可以改为发送通知。为此，请将 calendar.google.com 添加到允许这些网站显示通知文本框中。

通过此设置，您可以指定一系列网址格式，以便允许采用这些网址格式的网页自动播放有声视频内容，而无需征求用户同意。如果您在用户运行 Chrome 期间更改此设置，则该设置只会应用于新打开的标签页。

如需了解有效网址格式，请参阅企业版政策网址格式。

您可以注册一个协议处理程序列表，其中包含用户注册的所有协议处理程序，让这两个集合都可以使用。

协议处理程序是一种能够处理特定类型的链接的应用。例如，mailto: 链接会由邮件客户端协议处理程序处理。当用户点击 mailto: 链接时，浏览器会打开所选应用作为 mailto: 协议的处理程序。

举例来说，如需设置邮件客户端协议处理程序，请执行以下操作：

1. 在为您的用户配置默认协议处理程序下，点击 。
2. 在网址字段中，输入处理协议架构的应用的网址格式。格式必须包含要用所处理的网址替换的 %s 占位符。此外，网址还必须采用 HTTPS 架构，例如 https://example.com。
3. 在协议列表中，选择 mailto。
4. 点击保存。

注意：您必须选择 web+ 协议，才能使用自定义协议字段。

用户无法移除您使用此设置添加的协议处理程序。不过，用户可以自行安装新的默认处理程序，然后将该协议处理程序设为默认处理程序。

设置是否允许网站在 Chrome 浏览器或 Chrome 操作系统设备上运行过期的插件，例如 Adobe Flash Player。某些网站会使用插件来启用 Chrome 浏览器无法处理的特定类型的网页内容。

指定如何在 Google Chrome 中打开 PDF 文件。

Chrome 会下载 PDF 文件，并允许用户用系统默认应用打开下载的文件 - 系统会停用 Google Chrome 内部 PDF 查看器，并下载 PDF 文件以便用户使用默认应用打开。

Chrome 会打开 PDF 文件，除非 PDF 插件已关闭 - Chrome 会打开所有 PDF 文件，除非用户已关闭 PDF 插件。

自动打开的文件类型

指定要在下载完毕后自动打开的文件类型列表。如果“安全浏览”功能处于启用状态，系统仍会检查文件，并仅会在其通过检查后打开文件。如果留空，则系统仅会自动打开用户允许的文件类型。

请勿添加前导分隔符。举例来说，如果是 .txt 文件，您只需输入 txt 即可。

如要通过 Microsoft Windows 使用此功能，计算机需要加入 Microsoft Active Directory 网域、在 Windows 10 专业版上运行，或已注册 Chrome 浏览器云管理服务。

如要通过 macOS 使用此功能，计算机需要通过 MDM 进行管理或通过 MCX 加入网域。

自动打开的网址

指定网址格式列表，以允许采用这些网址格式的网页自动打开您在自动打开的文件类型中指定的文件类型。

此设置不会对用户选择自动打开的文件类型造成任何影响。

如果您指定一个或多个网址格式，则 Chrome 会自动打开同时符合网址格式和文件类型的文件。此外，Chrome 也会继续自动打开用户允许的文件类型。

如果留空，那么无论其下载网址为何，Chrome 都会自动打开您在“自动打开的文件类型”中指定的文件类型。

如需了解网址语法，请参阅网址屏蔽名单过滤器格式。

设置是否允许网站显示弹出式窗口。如果浏览器拦截了某网站的弹出式窗口，用户将会在地址栏看到“已拦截”图标 ，并能点击该图标查看已拦截的弹出式窗口。

在 Chrome 浏览器 91 或更高版本中，如果 iframe 的来源不是顶级页面，则 Chrome 会阻止该 iframe 触发提示 (window.alert, window.confirm, window.prompt)。因此，嵌入的内容无法欺骗用户，让他们误以为邮件来自他们正在访问的网站或 Chrome 浏览器。

选择允许显示从其他来源的子框架触发的 JavaScript 对话框可还原为先前的处理方式。

指定是否允许网站在卸载内容时显示弹出式窗口。

在以下情况下，系统会卸载网页：

• 用户点击某个链接以离开当前页面
• 用户在地址栏中输入新的网址
• 用户点击前进或后退按钮
• 浏览器窗口关闭
• 重新加载相应页面

如果浏览器拦截了某网站的弹出式窗口，用户将会在地址栏看到“已拦截”图标 ，并能点击该图标查看已拦截的弹出式窗口。

屏蔽的网址

阻止 Chrome 浏览器用户访问特定网址。

要配置此设置，请逐行输入网址（最多 1000 个）。

已屏蔽网址的例外

指定网址屏蔽名单的例外网址。

要配置此设置，请逐行输入网址（最多 1000 个）。

示例

针对 Android 应用使用网址屏蔽名单

如果您为组织中受支持的 ChromeOS 设备启用 Android 应用，则网址屏蔽名单和已屏蔽的网址例外将不会应用于使用 Android System WebView 的应用。要为这些应用强制应用屏蔽名单，请在文本文件中指定要屏蔽的网址（参见下文）。然后，将该屏蔽名单应用于 Android 应用。有关详情，请参阅将受管理的配置应用到 Android 应用。

以下示例展示了如何定义屏蔽名单网址：

{ "com.android.browser:URLBlocklist": "[\"www.solamora.com\"]" }

对于不使用 Android System WebView 的应用，请参阅应用文档，了解如何通过类似的方法限制访问权限。

您可以配置是否允许用户在自己的 ChromeOS 设备上使用 Google 云端硬盘同步功能。您可以启用或停用云端硬盘同步功能，也可以让用户自行选择。

此设置对 ChromeOS 中的 Google 云端硬盘 Android 应用没有任何影响。要完全禁止系统将内容同步到 Google 云端硬盘，请配置此政策并禁止在受支持的 ChromeOS 设备上安装 Google 云端硬盘 Android 应用。有关详情，请参阅为使用 ChromeOS 设备的受管理用户部署 Android 应用。

您可以配置是否允许用户在自己的 ChromeOS 设备上通过移动网络连接使用 Google 云端硬盘同步功能。这项政策对 ChromeOS 中的 Google 云端硬盘 Android 应用没有任何影响。

允许用户通过 Chrome 投射

通过此设置，可以控制是否允许用户使用 Chromecast 设备投射 Chrome 标签页中的内容。

在工具栏中显示“投射”图标

指定是否在 Chrome 浏览器工具栏中显示“投射”图标 。如果您选择一律在工具栏中显示“投射”图标，则该图标将始终显示在工具栏或菜单中，而且用户无法将其移除。

如果您不允许用户使用投射功能，则无法配置此政策。“投射”图标不会显示在工具栏中。

支持 Chrome 80 至 83（含 80 和 83）版

指定 Chrome 浏览器和运行 ChromeOS 的设备如何处理不安全的 HTTP 音频、视频和图片混合内容。

默认情况下，Chrome 会严格处理混合内容。在 HTTPS 网站上：

• 音频和视频会自动从 HTTP 升级为 HTTPS。
• 如果音频或视频无法通过 HTTPS 播放，则没有备用操作。
• 对于包含图片的网页，Chrome 会在网址栏中显示警告。

选择对混合内容不进行严格处理，可防止 Chrome 自动将音频和视频升级为 HTTPS，并且不针对图片显示警告。

对于 Chrome 浏览器和 ChromeOS 设备，Google 已开始自动屏蔽混合内容。因此，https:// 页面以后将只加载安全的 https:// 资源，而不会加载 http:// 资源。如需详细了解部署计划，请参阅此 Chromium 博客。

选择允许用户添加例外网站，从而允许这些网站加载可屏蔽的混合内容后，用户将能指定哪些网页可以运行混合主动内容。否则，用户将无法加载混合主动内容，例如脚本和 iframe。在用户添加为例外的网站上，Chrome 不会自动将可屏蔽的混合内容从 HTTP 升级为 HTTPS。

要运行包含混合主动内容的网页，请让用户执行以下操作：

1. 在计算机上打开 Chrome。
2. 在右上角，依次点击“更多”图标 设置。
3. 在“隐私设置和安全性”下方，点击网站设置。
4. 滚动到不安全内容。
5. 在允许部分，点击添加。
6. 添加您想允许显示不安全内容的网页的网址。

注意：您在允许在这些网站上显示不安全内容和禁止在这些网站上显示不安全内容设置中指定的网址优先于此设置中指定的网址。

指定可显示混合主动内容（例如脚本和 iframe）的网页列表。此外，Chrome 不会自动将可屏蔽的混合内容或混合被动内容从 HTTP 升级为 HTTPS。混合被动内容包括图片、音频和视频。

如需详细了解有效网址格式，请参阅企业政策网址格式。

指定禁止显示混合主动内容（例如脚本和 iframe）的网页列表。此外，Chrome 会自动将可屏蔽的混合内容或混合被动内容从 HTTP 升级为 HTTPS。Chrome 不会加载无法通过 https:// 加载的混合被动内容。混合被动内容包括图片、音频和视频

如需详细了解有效网址格式，请参阅企业政策网址格式。

控制网站能否向更专用网络端点发出请求，以及如何发出。

• 允许用户决定（默认）- 向更专用网络端点发出的请求需遵循有关访问专用网络的网络规范。发出请求的网站必须安全，且用户必须选择接收请求。具体行为取决于用户针对一些功能标志的个人配置，这些功能标志可以通过现场试验来设置，也可以在命令行中设置：包括 BlockInsecurePrivateNetworkRequests、PrivateNetworkAccessSendPreflights 和 PrivateNetworkAccessRespectPreflightResults。
• 允许网站以不安全的方式向任何网络端点发出请求 - 需接受其他跨域检查。

如需详细了解有效网址格式，请参阅企业政策网址格式。

安全网站

如果网站满足“安全上下文”规范中指定的一些最低身份验证和机密性标准，则会被视为安全网站。如需了解详情，请参阅安全上下文。如果网站不符合上述标准，则会被视为不安全。

专用网络端点

在以下情况下，某个网络端点会被视为比另一个端点更专用：

• 该端点的 IP 地址是 localhost，而另一个端点的 IP 地址不是 localhost。
• 该端点的 IP 地址是专用的，而另一个端点的 IP 地址是公开的。

控制 Chrome 对在安全 (HTTPS) 网站内嵌的不安全表单（通过 HTTP 提交的表单）的处理方式。

默认情况下，在不安全的表单中显示警告并停用自动填充功能处于选中状态。因此，当用户提交不安全的表单时，他们会看到整页警告。另外，当用户点击此类表单的字段时，系统会在相应字段旁边显示一个警告气泡，并会在表单中停用自动填充功能。

选择出现不安全的表单时不显示警告，也不停用自动填充功能可防止系统针对不安全的表单显示警告，并且用户可以使用自动填充。

在 Chrome 84 之后，此政策将被移除。

Web Components v0 API（Shadow DOM v0、Custom Elements v0 和 HTML Imports）已于 2018 年被弃用。Chrome 80 及更高版本中已默认停用这些 API。对于 Chrome 浏览器以及带有 80 至 84 版（包含 80 和 84 版）的 ChromeOS 设备，请选择重新启用 Web Components v0 API，以便临时为所有网站重新启用 API。

此政策已从 Chrome 99 中移除。

指定页面能否在关闭过程中发送 XMLHttpRequest (XHR) 同步请求。例如，用户关闭标签页、退出浏览器、在地址栏中输入新条目等情况。

当浏览器窗口被其他窗口覆盖时，Chrome 浏览器会检测到窗口被遮挡。在这种情况下，Chrome 浏览器不会在被覆盖的网页上绘制像素。显示空白页有助于降低 CPU 使用率和用电量。

选择停用窗口遮挡检测功能，可防止 Microsoft Windows 设备上的 Chrome 浏览器在被遮挡时显示空白页。

在 Chrome 84 及更高的版本中，此政策将被移除。

从 Chrome 83 版开始，我们将更新标准表单控件元素，例如 {select}、{button} 和 <input type=date>。这将有助于改进无障碍功能并提升平台统一性。

对于 Chrome 浏览器以及带有 83 和 84 版的 ChromeOS 设备，选择对所有网站使用旧版（M81 之前）表单控制元素，即可暂时恢复使用旧版窗体控件元素。否则，系统会在 Chrome 83 和 84 版本中推出新表单控制元素时，使用这些元素。

指定用户能否访问会滚动到网页文本片段的链接。

如果您启用此设置，则超链接和地址栏网址导航可以定位到网页中的特定文本。当网页完全加载后，就会滚动到相应文本。

对于 Chrome 浏览器和 ChromeOS 设备，启用以网址为键的匿名化数据收集功能，系统会将用户访问的每个网站的网址发送给 Google，以便 Google 改善搜索和浏览体验。如果未设置此政策，以网址为键的匿名化数据收集功能将默认处于启用状态，但用户可以自行对其进行更改。

指定是否提取网页加载元数据和用于提升浏览体验的机器学习模型。如果您停用此设置，部分功能可能无法正常运行。

AppCache 是一项已弃用的网页功能，可让网站离线保存数据。从 Chrome 89 版本中移除，此时 AppCache 已彻底弃用。详细了解 AppCache 弃用情况。

指定网站是否可以通过 Web Bluetooth API 请求访问蓝牙设备。

默认设置为允许用户决定，即网站可请求访问附近的蓝牙设备，而用户可以决定允许或禁止此类访问。

通过此政策，您可以控制在出现外部协议启动确认提示时是否显示始终打开复选框。当用户点击带协议的链接时，系统会显示一个对话框，询问他们是否想改用应用。启用这项政策后，对话框中会显示复选框。

如果用户勾选该复选框，系统日后便会跳过相关提示，不再针对类似请求询问是否使用应用。如果停用此政策，系统就不会显示该复选框，用户也无法跳过确认提示。

启用往返缓存功能后，您便可存储网页的确切状态。当用户离开网页时，系统可将网页的当前状态保存在往返缓存中。如果用户点击浏览器的返回按钮，网页可能会从缓存中加载并恢复，从而方便用户快速往返浏览。

该功能可能会导致某些未为这种缓存做好准备的网站出现问题。具体而言，某些网站需要在浏览器离开网页时收到系统传送的“取消加载”事件。如果相应网页存储在往返缓存中，“取消加载”事件将不会正常传送。

如果此政策已启用或未设置，则系统会启用往返缓存功能。

默认情况下，PDF 查看器可在 ChromeOS 设备上为 PDF 添加注释。

这是一项临时性设置，会在日后发布的 Chrome 版本中移除。

在 Chrome 95 之后，跨源 WebAssembly 模块共享功能将被移除。您可以使用此设置来重新启用跨源 WebAssembly 模块共享功能，以延长弃用过程中的过渡期。

默认情况下，系统会阻止跨源 WebAssembly 模块共享，且网站只能向同一源内的窗口和工作器发送 WebAssembly 模块。

您可以启用或停用打印功能。停用打印功能后，用户将无法通过 Chrome 菜单、扩展程序、JavaScript 应用等进行打印。

这项政策对 ChromeOS 中的 Android 应用没有任何影响。

指定是否在“打印预览”对话框中显示可用的 Privet 打印机。

这些设置也适用于受管理的访客会话设备。

默认打印机选择

要将默认系统打印机用作 Chrome 的默认打印机，请选择使用默认打印行为。

要为用户指定默认打印机，请选择定义默认打印机。在用户打印内容时，ChromeOS 设备会尝试寻找与您指定的打印机类型和 ID（或名称）相符的打印机，然后将其选作默认打印机。

这项政策对 ChromeOS 中的 Android 应用没有任何影响。

打印机类型

选择要搜索的打印机类型，然后将其用作默认打印机。要搜索所有类型，请选择云端和本地打印机。

打印机匹配

选择是否要按名称或 ID 搜索打印机。

默认打印机

针对您想要设为默认的打印机，指定一个与其名称或 ID 相匹配的正则表达式。表达式应区分大小写。默认情况下，系统会使用与名称相符的第一个打印机来执行打印。例如：

• 要匹配名为“Solarmora Lobby”的打印机，请输入 Solarmora Lobby。
• 要匹配 solarmora-lobby-1 或 solarmora-lobby-2 中的打印机，请输入 solarmora-lobby-.$。
• 要匹配 solarmora-lobby-guest 或 solarmora-partner-guest 中的打印机，请输入 solarmora-.*-guest。

这项政策对 ChromeOS 中的 Android 应用没有任何影响。

您可以推送书签列表，为所有平台（包括移动设备）上的 Chrome 用户提供方便。在 Chrome 设备和 Chrome 浏览器中，书签将显示在书签栏的文件夹中。用户无法修改此文件夹中的内容，但是可以选择将其从书签栏中隐藏。有关详情，请参阅管理书签。

注意：您可以添加受管理的书签，总大小不得超过 500KB。

通过此设置，可以指定用户能否看到书签栏。默认设置是“允许用户决定”是否显示书签栏。

指定应用行（也称为任务栏）在用户 ChromeOS 设备中的位置。

指定应用行（也称为任务栏）是否在用户 ChromeOS 设备中自动隐藏。

如果您选择始终自动隐藏任务栏，用户需要将光标移至任务栏所在一侧屏幕，以查看其应用、书签等。

如果您选择允许用户决定，则用户可以右键点击任务栏，然后勾选或取消选中自动隐藏任务栏。

通过此设置，您可以允许用户在自己的 Chrome 书签栏中添加、修改或移除书签。

指定用户能否在书签栏中看到应用快捷方式。

设置 ChromeOS 设备上的默认下载位置，并指定是否允许用户修改此位置。

此政策仅适用于下载的文件。如果用户选择保存选项 (ctrl + S)，则系统会弹出一个窗口，其中显示了所选的本地下载文件。

如果在您选择前两项政策中的一项之前，用户已明确选择下载位置（将 Google 云端硬盘设置为默认位置，但允许用户更改或将本地的 Downloads（下载）文件夹设为默认下载目录，但用户可以自行更改此设置），那么系统将尊重用户的最初选项。在您选择这两项政策中的任何一项之前，如果用户尚未选择下载位置，系统会根据您所选政策设置默认下载位置，但用户随后可以更改。

如果您选择只允许设为 Google 云端硬盘（无论之前用户如何选择），系统都会强制将 Google 云端硬盘用作下载文件夹，并且不允许用户更改此设置。但是，用户仍然可以使用“文件”应用在本地文件夹和 Google 云端硬盘之间移动文件。对于 Chrome 90 及更高版本，此设置不会影响在 ChromeOS 中截取的屏幕截图。屏幕截图将下载到默认的 ChromeOS 下载文件夹，并且不遵循只允许设为 Google 云端硬盘选项。

此设置对 ChromeOS 中运行的 Android 应用没有任何影响。系统通常会将 Android 应用下载至映射到 ChromeOS 下载文件夹的下载文件夹中，但也可能将其下载到其他位置。

指定是否在下载前向用户询问每个文件的保存位置。选择一个选项：

• 允许用户决定 - 允许用户选择是否要在每次下载时指定保存位置。要调整下载设置，用户需打开 Chrome 并转到“更多” 设置 高级 下载内容。
• 不询问用户（直接开始下载）- 将文件下载到默认下载位置，而不询问用户要将文件保存到何处。要设置默认下载位置，请配置下载位置设置。
• 下载之前先询问用户将文件保存在何处 - 用户每次下载时都需要选择文件保存位置。

指定是否在 Google Chrome 中显示新下载的气泡界面。

下载气泡默认处于已启用状态，如果您停用此设置，系统会显示旧的下载文件架界面。

通过此设置，可以指定用户能否使用拼写检查。从下列选项中选择一项：

• 允许用户决定 - 此为默认设置。用户可以在语言设置中启用或停用拼写检查。
• 停用拼写检查 - 对所有来源停用拼写检查，且用户无法启用该功能。拼写检查服务、强制执行了拼写检查的语言和停用了拼写检查的语言设置无效。
• 启用拼写检查 - 启用拼写检查，且用户无法停用该功能。在 Microsoft Windows、ChromeOS 和 Linux 设备上，用户仍然可以针对单个语言启用或停用拼写检查。

如果您选择启用拼写检查，则可以针对特定语言启用或停用拼写检查。对于强制执行了拼写检查的语言和停用了拼写检查的语言，请从显示的列表中选择您要使用或屏蔽的语言。

要禁止用户针对所有语言停用拼写检查，请使用强制执行了拼写检查的语言设置来启用需要检查拼写的语言。

注意：您必须选择启用拼写检查，管理控制台中才会显示强制执行了拼写检查的语言和停用了拼写检查的语言。

选择启用拼写检查网络服务，以始终允许 Chrome 使用 Google 网络服务解决用户所输入文字中出现的拼写错误。

默认情况下，系统会选择允许用户决定。用户可以启用或停用增强型拼写检查。

如果拼写检查设置设为停用拼写检查，则拼写检查服务设置无效。

指定 Google Chrome 使用的语言。

默认设置为使用用户或系统指定的语言，且后备语言区域为 en-US。

指定 Chrome 浏览器使用的首选语言。从显示的列表中选择所需的语言。然后，按偏好以降序对列表进行排序。

用户可以转到 chrome://settings/languages，然后在根据您的偏好设置对语言进行排序下查看语言列表。您指定的首选语言始终显示在列表顶部，用户无法移除它们或对其重新排序。但是，用户可以在下方添加自己的首选语言并对其重新排序。用户还能完全控制浏览器的界面语言和翻译/拼写检查设置，除非其他政策已强制执行这些设置。

如果您不指定任何首选语言，用户便可更改整个首选语言列表。

指定用户在 ChromeOS 设备上可以选择的键盘语言。从显示的列表中选择所需的语言。然后，按偏好程度降序排列所选语言列表。

如果用户已经选择了您不允许使用的键盘语言，则其 ChromeOS 设备的键盘语言会切换到硬件键盘布局（如果允许）或您指定的列表中的第一种语言。

如果您未指定任何语言，则用户可以不受限制地选择所需的键盘语言。

如要详细了解用户如何更改设备的键盘语言，请参阅选择键盘语言和特殊字符。

通过此设置，您可以配置是否允许 Chrome 使用 Google 翻译服务。如果允许，当网页采用的不是用户 ChromeOS 设备上指定的语言时，就可使用该服务翻译网页内容。您可以允许 Chrome 始终提供翻译或一律不提供翻译，也可让用户自行选择。

控制 Chrome 浏览器无法连接到某网址时是否针对该网页显示建议。用户会看到转到该网站的其他部分或搜索该网页等建议。

该设置对应的是用户 Chrome 设置中的使用网络服务帮助解决导航错误这一用户选项。您可以允许用户配置此选项，也可以将其指定为始终启用或始终停用。

控制“工具”菜单是否显示“开发者工具”选项。借助开发者工具，网站开发者和程序员可以深入到浏览器和他们的 Web 应用的内部。要详细了解这些工具，请参阅开发者工具概览。

企业版客户的默认设置为允许使用内置开发者工具（强制安装的扩展程序除外）。此设置表示所有用于打开开发者工具或 JavaScript 控制台的键盘快捷键、菜单条目和上下文菜单条目通常都处于启用状态，但在使用企业政策强制安装的扩展程序中则处于停用状态。

非受管用户的默认设置为始终允许使用内置开发者工具。如要在任何情况下都停用开发者工具，请选择一律不允许使用内置开发者工具。

如果您为组织中受支持的 ChromeOS 设备启用 Android 应用，此设置也会控制 Android 开发者选项的访问权限。如果将此政策设置为一律不允许使用内置开发者工具，用户将无法访问开发者选项。如果将此政策设置为其他值，或者不设置此政策，用户可通过在 Android 设置应用中点按 7 次版本号来访问开发者选项。

控制是否允许网站检查用户有无已保存的付款方式。

可让您启用或停用用户在 ChromeOS 设备上输入内容时的表情符号建议功能。

启用 DNS 预提取后，Chrome 会查询所显示网页上所有链接的 IP 地址，以便在用户点击链接时提高加载速度。

您可以允许用户配置此选项，也可将其指定为始终启用或停用。

通过此设置，您可以决定是否要让 Chrome 预测网络操作。您可能希望 Chrome 使用网络联想查询服务，从而更快速地加载网页，或者当用户在地址栏中输入搜索字词和网址时帮助填充相关内容。

作为管理员，您可以停用或要求使用预测网络操作。您也可以选择允许用户决定，这样系统就会为 Chrome 启用此设置。然后，用户便可更改自己的网络联想查询服务设置。

默认情况下，用户可以在 Chrome 浏览器中添加个人资料，以单独保存自己的 Chrome 信息（包括书签、历史记录、密码和其他设置）。个人资料非常适合与其他人共用一台计算机的用户，也适合希望使用不同帐号（例如工作帐号和个人帐号）的用户。选择禁止添加新的个人资料，以阻止用户在 Chrome 浏览器中添加新的个人资料。

在使用此设置前，请参阅允许多位用户同时登录。

对于在 ChromeOS 上运行的 Android 应用，即使您选择用户访问权限不受限制（允许将任何用户添加至其他任何用户的会话），系统也只会允许主要用户使用 Android 应用。如果您选择主要用户必须是受管理的帐号（次要用户则不必），那么只要设备支持 Android 应用，而且您已在组织中启用这些应用，主要用户就可以使用这些 Android 应用。

允许用户登录设备后在浏览器窗口和 Google Play 中切换使用不同的帐号。

注意：如果您将 Android 应用列入许可名单，则用户无法在 Google Play 中切换到辅助帐号。

1. 根据需要选择操作步骤：
   • 如要允许用户在浏览器中登录任何 Google 帐号，请选择允许用户登录任何辅助 Google 帐号。有关详情，请参阅 Google 帐号类型。
   • 如要禁止用户在浏览器中登录或退出 Google 帐号，请选择禁止用户登录或退出辅助 Google 帐号。
   • 如要仅允许用户使用一系列指定 Google Workspace 网域中的帐号访问 Google 服务，请选择仅允许用户登录下方设置的 Google Workspace 网域。
2. 如果您仅允许用户登录特定 Google Workspace 网域，请执行以下操作：
   1. 请务必列出贵单位的所有网域，否则您的用户可能会无法访问 Google 服务。如要查看您的网域列表，请点击网域列表下方的单位网域。
   2. 如要添加 @gmail.com 和 @googlemail.com 一类的个人 Google 帐号，请在列表中输入 consumer_accounts。您还可以允许用户访问特定帐号，但禁止访问其他帐号。如需了解详情，请参阅禁止访问个人用户帐号。
3. 如果您仅允许用户登录特定 Google Workspace 网域，或禁止用户在浏览器中登录或退出帐号，则您还需执行以下操作：
   1. 设置登录限制，仅允许您组织中的用户登录 ChromeOS 设备。有关详情，请参阅登录限制。
   2. 关闭设备上的访客浏览功能。有关详情，请参阅访客模式。
   3. 禁止用户在无痕模式下浏览内容。请参阅无痕模式。

控制是否允许用户以访客身份登录 Chrome 浏览器。如果您选择允许通过浏览器访客模式登录（默认），用户就可以以浏览器访客模式启动会话，且所有窗口均处于无痕模式。用户退出访客模式后，其浏览活动记录也会从设备上删除。

启用此设置后，您还可以设置允许通过浏览器访客模式和个人资料登录（默认）。这样，用户能够以访客身份登录，以及使用新的和现有的个人资料。如要强制执行访客会话，并禁止用户通过个人资料登录，请选择仅允许通过浏览器访客模式登录。

如果您选择禁止通过浏览器访客模式登录，则 Chrome 浏览器会禁止启动访客个人资料。

此设置也适用于受管理的访客会话和自助服务终端应用

要允许用户在多个显示器或电视屏幕上显示同一个窗口，您可以选择为用户提供统一桌面模式选项。默认情况下，此功能处于停用状态。用户可以停用统一桌面并仍使用 2 个外接显示器，但同一个窗口只会在其中一个显示器上显示，即使桌面已扩展到这 2 个显示器也是如此。

• 系统最多只支持 2 个外部显示器。
• 统一桌面只能在分辨率相同的显示器上使用。
• 启用统一桌面后，当用户将显示器连接到设备时，系统会将统一桌面模式设为默认模式。

要允许 Web 应用为您的用户生成和收集 WebRTC 事件日志，请选择允许收集 WebRTC 事件日志。这些日志可以帮助 Google 识别并解决与音频和视频会议相关的问题。这些日志中包含一些诊断信息，例如 RTP 数据包的收发时间和大小、网络拥堵情况反馈，以及与语音帧和视频帧的时间和质量相关的元数据。日志中没有会议的视频或音频内容。

要收集 Google Meet 客户的日志，您必须在 Google 管理控制台中同时启用此设置和客户端日志上传政策。

默认情况下，“快速解答”设置处于启用状态。“快速解答”功能可以访问所选内容，并将相关信息发送给 Google 服务器，以获取定义、翻译或单位换算结果。在 ChromeOS 设备上，用户可以右键点击或长按选择的文本以显示相关信息。

如果您通过管理控制台停用快速解答功能，用户便无法更改或覆盖这些功能。

指定在 ChromeOS 设备上停用哪些系统功能。我们建议您使用此设置来停用相机、操作系统设置和浏览器设置，而无需使用网址拦截设置或按 ID 屏蔽应用和扩展程序。

当用户尝试打开您已停用的功能时，系统会显示一条消息，告知他们该功能已被管理员屏蔽。

控制用户能否在设备离线时通过 Chrome 浏览器或 ChromeOS 设备玩小恐龙游戏。从下列选项中选择一项：

• 允许用户在设备离线时通过 Chrome 浏览器玩小恐龙游戏，但用户无法在已注册的 ChromeOS 设备上玩此款游戏 - 设备离线时，用户无法在已注册的 ChromeOS 设备上玩小恐龙游戏，但可以在 Chrome 浏览器中玩此款游戏。
• 允许用户在设备离线时玩小恐龙游戏 - 设备离线时，用户可以玩小恐龙游戏。
• 不允许用户在设备离线时玩小恐龙游戏 - 设备离线时，用户无法玩小恐龙游戏。

当搜索框为空时，控制 Chrome 设备上的启动器是否推荐之前安装在其他设备上的应用。

用户打开 ChromeOS 设备上的启动器并开始在搜索框中输入内容时，Google Chrome 会显示建议的内容，包括网页地址和应用。

指定用户是否可以在地址栏中看到网页的完整网址。

部分用户在地址栏中看到的不是完整的网址，而是只显示域名的默认网址。这有助于保护用户免受一些常见的网上诱骗策略的侵害。

指定启用 Chrome 同步后，已登录用户是否可以在 Chrome 桌面设备和 Android 设备之间复制和粘贴文本。默认情况下，共享剪贴板功能处于启用状态。

指定在具有适当权限的情况下，用户、应用和扩展程序是否可以使用全屏模式。默认设置为允许使用全屏模式。

指定当设备从睡眠状态或暗屏幕恢复时是否应显示全屏提醒。

默认情况下，系统会显示一条提醒，以提醒用户在输入密码之前先退出全屏。选择唤醒设备时停用全屏提醒以关闭此提醒。

支持 Chrome 93 至 102（含 93 和 102）版。

Chrome 93 及更高版本新增了一个用于安全连接的地址栏图标。默认情况下，使用默认图标表示安全连接处于选中状态。选择使用锁形图标表示安全连接，即可继续使用现有的锁形图标表示安全连接。

控制是否在“新标签页”页面上显示中间槽通知。

指定是否在用户尝试退出浏览器时显示警告对话框。

指定浏览器是否可以过滤网址参数。

默认情况下，浏览器可以过滤网址参数。也就是说，当用户从上下文菜单中选择在无痕式窗口中打开链接时，过滤器可能会移除某些参数。

用户可以将短信设为在手机和 ChromeOS 设备之间保持同步。

注意：如果允许此政策，则用户必须通过完成一个设置流程来明确选择启用这项功能。完成设置流程后，用户即可在其设备上收发短信。

通过此设置，您可以指定用户能否在登录状态下将电话号码从 ChromeOS 设备发送至 Android 设备。

默认设置为允许用户将电话号码从 Chrome 发送到手机。

指定用户能否在 ChromeOS 设备上与 Android 手机进行互动。

默认设置为不允许启用 Phone Hub，且用户无法选择启用 Phone Hub。

如果您选择允许启用 Phone Hub，则用户可以选择启用 Phone Hub，同时系统还会显示另外 2 个选项：

• 允许启用 Phone Hub 通知 - 指定已选择启用 Phone Hub 的用户能否在 ChromeOS 上收发其手机中的通知。
• 允许启用 Phone Hub 任务延续功能 - 指定已选择启用 Phone Hub 的用户能否在 ChromeOS 上继续执行尚未完成的任务（例如查看其手机中的网页）。

指定最多可延迟多长时间关闭浏览器，以便 Chrome 处理 keepalive 请求。输入 0 到 5 秒之间的值。如果留空，系统将使用默认值 0 秒，Chrome 会立即关闭。

如需详细了解 keepalive 请求，请参阅提取标准文档。

您可以启用自适应充电模式以暂缓充电进程，从而延长设备的电池寿命。

您将设备插入充电器后，自适应充电模式会根据设备需要的电量自动调整发送到设备的电量。这意味着您的设备不会过度充电。过度充电可能会损坏电池。

当自适应充电模式暂缓充电进程时，电池电量会保持在某个水平，例如 80%。在用户需要时，它会将设备充电到 100%。

合上机盖时执行的操作

如果您希望用户的设备在合上机盖时进入休眠状态、退出账号、关机或不执行任何操作，请选择此选项。用户会话的默认值为休眠，受管理的访客会话的默认值为退出。

交流电源/电池闲置操作

您可以为交流电源和电池电源添加的延迟值相同。

如果用户的设备在连接到交流电源或电池供电时处于闲置状态，请选择您是否希望用户的设备进入休眠状态、使用户退出账号、关机或不执行任何操作。默认值为休眠。

对于您输入延迟的所有字段，需要遵守以下规则：

• 指定延迟（以秒为单位）。
• 输入的值必须设置为大于 0 的值才能触发指定操作。
• 如果输入 0 ，则不在空闲时执行指定的操作。
• 将此框留空可使用系统默认设置（具体因设备而异）。
• 屏幕变暗延迟值 ≤ 屏幕关闭延迟值 ≤ 屏幕锁定延迟值 ≤ 空闲延迟值（不包括值为 0 或未设置的延迟）。
• 空闲警告延迟值 ≤ 空闲延迟值。
• 如果空闲延迟值 = 0，则表示不执行任何其他操作，属于特殊情况。

在以下字段中输入值；

• 交流电源/电池闲置延迟（以秒为单位）- 指定用户设备执行所选操作之前闲置多久（以秒为单位）。
• 交流电源/电池闲置警告延迟（以秒为单位）- 指定闲置时长（以秒为单位），之后用户设备就会显示警告，提示设备即将执行您所选的操作。仅当您选择的闲置操作为退出账号或关机时，系统才会显示警告。如果您已选择休眠或不执行任何操作，请输入 0 或留空。
• 交流电源/电池屏幕调暗延迟（以秒为单位）- 指定用户设备的屏幕调暗前的闲置时间（以秒为单位）。
• 交流电源/电池屏幕关闭延迟（以秒为单位）- 指定用户设备屏幕关闭前的闲置时间（以秒为单位）。
• 交流电源/电池屏幕锁定延迟（以秒为单位）- 指定用户设备屏幕锁定前的闲置时间（以秒为单位）。

休眠或合上机盖时锁定屏幕

选择当设备进入休眠状态或合上机盖时是否锁定用户的屏幕，或者让用户自行决定。如果您选择允许用户进行配置，则用户便可在自己的设备设置中配置此选项。

如果设备插入基座时使用了外接显示器，在合盖后不会锁定。在这种情况下，只有当外接显示器被移除且盖子仍处于闭合状态时，设备才会锁定。

注意事项

• 除非屏幕唤醒锁定或允许使用唤醒锁定设置处于关闭状态，否则部分扩展程序（如 Imprivata）可以覆盖电源管理设置。如需了解详情，请参阅唤醒锁定。
• 目前，您无法更改锁定屏幕的屏幕变暗延迟时间和屏幕关闭延迟时间。现有的屏幕变暗和屏幕关闭延迟仅适用于在用户会话或受管理的访客会话期间调暗或关闭屏幕。
• 屏幕锁定设置可能不适用于处于开发者模式的设备。
• 您可以使用交流电源/电池屏幕锁定延迟（以秒为单位）设置，在闲置操作开始前锁定屏幕。您可以使用休眠或合上机盖时锁定屏幕设置，控制是合上机盖时锁定屏幕，还是设备在闲置延迟后进入休眠状态时锁定屏幕。如果通过上述某一设置关闭了锁定屏幕操作，屏幕可能仍会锁定，具体取决于其他设置的值。
• 如果 AllowScreenLock 政策处于启用状态，则设备可能会使用户退出账号，而不是锁定屏幕。有关详情，请参阅为用户或浏览器设置 Chrome 政策中的锁定屏幕设置。
• 如需在设备进入闲置状态时锁定屏幕，请将闲置操作设置为不执行任何操作，并输入相等的屏幕锁定和闲置延迟值。

通过此设置，您可以为用户启用或停用联想查询服务，帮助用户填充网址或搜索字词。您可以指定始终启用或停用该服务，也可让用户在 Chrome 设置中对其进行配置。

指定默认搜索提供程序的名称。如果您选择将多功能框搜索提供程序设置锁定为以下值，则您将可以自定义以下选项：

多功能框搜索提供程序名称

输入要用于地址栏的名称。如果您没有提供名称，Chrome 就会使用多功能框搜索提供程序搜索网址中的主机名。

多功能框搜索提供程序关键字

指定用作触发搜索的快捷方式的关键字。

多功能框搜索提供程序搜索网址

指定搜索引擎的网址。

网址必须包括“{searchTerms}”字符串，在查询时该字符串将会替换为用户要搜索的字词，例如“http://search.my.company/search?q={searchTerms}”。

如要将 Google 用作您的搜索引擎，请输入以下内容：

{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}ie={inputEncoding}

多功能框搜索提供程序推荐网址

指定用于提供搜索建议的搜索引擎的网址。

网址应包含“{searchTerms}”字符串。进行搜索查询时，此字符串会被替换为用户当前已输入的文本。

如要将 Google 作为提供搜索建议的搜索引擎，请输入以下内容：

{google:baseURL}complete/search?output=chrome&q={searchTerms}

多功能框搜索提供程序即搜即得网址

指定用于提供即搜即得结果的搜索引擎的网址。

网址应包含“{searchTerms}”字符串。进行搜索查询时，此字符串会被替换为用户当前已输入的文本。

多功能框搜索提供程序图标网址

指定搜索提供程序的图标网址。您至少需要访问一次您的搜索提供程序网站，以便在您启用将多功能框搜索提供程序设置锁定为以下值前，系统可以检索和缓存图标文件。

多功能框搜索提供程序编码

指定搜索提供程序支持的字符编码。

编码是代码页名称，如 UTF-8、GB2312 和 ISO-8859-1。系统会按照提供的顺序逐一尝试。默认为 UTF-8。

控制您单位中的用户能否使用 Chrome 设备装载外部驱动器（包括 USB 闪存驱动器、外部硬盘、光存储器、安全数字 (SD) 卡和其他存储卡）。如果您不允许使用外部存储，而用户试图装载外部驱动器，则 Chrome 会通知用户系统正在实施该政策。

如果您选择允许使用外部存储设备（只读），用户便可读取外部设备上的文件，但无法向其写入内容，也无法格式化设备。

此政策不影响 Google 云端硬盘或内存设备，例如保存在“下载”文件夹中的文件。

您可以指定网站是否可以要求用户授予其访问已连接 USB 设备的权限，或者让用户自行决定。您还可以添加网址列表，指定网址是否可以向用户请求访问已连接的 USB 设备。

在是否允许网站请求访问已连接的 USB 设备部分，选择以下任一选项：

• 让用户决定是否允许网站请求访问权限（默认）- 允许网站请求访问权限，但用户可以更改此设置。
• 允许网站请求用户授予访问权限 - 允许网站请求用户授予已连接的 USB 设备的访问权限。
• 不允许任何网站请求访问权限 - 拒绝网站访问已连接的 USB 设备。

在允许这些网站请求访问 USB 字段中，输入可向用户请求访问已连接 USB 设备的所有网址。

在禁止这些网站请求访问 USB 字段中，输入无法访问已连接 USB 设备的所有网址。

如果网址未遭屏蔽，系统会依序优先应用是否允许网站请求访问已连接的 USB 设备部分中设置的选项或用户的个人设置。

请勿在允许这些网站请求访问 USB 和禁止这些网站请求访问 USB 字段中输入相同的网址。如果网址同时符合这两项政策，则系统不会优先应用任一政策。

如需详细了解有效网址格式，请参阅企业政策网址格式。

控制您组织中的用户能否让网站通过 ChromeOS 设备的内置麦克风访问音频输入。

当用户连接外部音频输入设备时，ChromeOS 设备上的音频会立即取消静音。

如果您为组织中受支持的 ChromeOS 设备启用了 Android 应用，并且停用了此设置，则系统将为所有 Android 应用停用麦克风输入功能（无一例外）。

允许在不提示用户的情况下授予网址使用录音设备的权限。

系统会将此列表中的网址格式与请求网址的安全来源进行比对。如果找到了匹配项，系统将允许相应网址使用录音设备，并且不会提示用户进行确认。

如需详细了解有效的网址格式，请参阅企业政策网址格式

控制您组织中的用户是否可以在 ChromeOS 设备上播放声音。该政策适用于 ChromeOS 设备上的所有音频输出设备，包括内置扬声器、耳机插孔和连接到 HDMI 和 USB 端口的外部设备。

如果您停用音频输出，ChromeOS 设备仍然会显示音频控件，但用户无法对其进行更改。同时，设备还会显示静音图标。

此设置对 ChromeOS 中的 Google 云端硬盘 Android 应用没有任何影响。

控制 Chrome 浏览器音频处理进程的优先级。

此设置可让管理员以较高优先级运行音频，以解决音频捕获方面的特定性能问题，日后会被移除。

指定网址是否可以访问任何类型的视频输入，而不仅仅是内置摄像头。

默认情况下，启用网站和应用的相机输入处于选中状态。如果网址不是您在允许访问视频输入设备的网址中指定的网址，系统会提示用户授予视频拍摄权限。

如果您选择停用网站和应用的相机输入，则只有您在允许访问视频输入设备的网址中指定的网址可以使用视频拍摄功能。

此政策还会影响受支持的 ChromeOS 设备上的 Android 应用。例如，如果您为组织中受支持的 ChromeOS 设备启用了 Android 应用，则可以禁止 Android 应用使用内置摄像头。

允许在不提示用户的情况下授予网址使用录像设备的权限。

系统会将此列表中的网址格式与请求网址的安全来源进行比对。如果找到了匹配项，系统将允许相应网址使用录像设备，并且不会提示用户进行确认。

如需详细了解有效的网址格式，请参阅企业政策网址格式

注意：如要允许网址使用录像设备，您还可以添加应用 ID。举例来说，添加 hmbjbjdpkobdjpllfobhljndfdfdipjhg 后，网址便可使用 Zoom^® Meetings^®。

指定是否为图形处理器 (GPU) 启用硬件加速，除非特定 GPU 功能已添加到屏蔽名单。

硬件加速功能使用您设备的 GPU 执行图形密集型任务（例如播放视频或玩游戏），而中央处理器 (CPU) 运行所有其他进程。

此设置用于决定键盘最上排按键的行为。如果未配置此设置或者将此设置设为媒体键，那么键盘最上排的按键将用作媒体键。如果将该设置设为功能键，则这些键将用作功能键（例如 F1、F2）。在这两种情况下，用户均能够更改相应行为。此外，按住搜索键即可将媒体键转换为功能键（反之亦然）。

您可以指定网站是否可以要求用户授予其访问串行端口的权限，或者让用户自行决定。您还可以添加网址列表，指定网址是否可以向用户请求访问串行端口。

在控制是否允许使用 Web Serial API 部分，选择以下任一选项：

• 允许用户决定（默认）- 允许网站请求访问权限，但用户可以更改此设置。
• 允许网站通过 Web Serial API 请求用户授予串行端口访问权限 - 允许网站请求用户授予串行端口访问权限。
• 不允许任何网站通过 Web Serial API 请求访问串行端口 - 禁止访问串行端口。

在允许在这些网站上使用 Web Serial API 字段中，输入可向用户请求访问串行端口的所有网址。

在禁止在这些网站上使用 Web Serial API 字段中，输入所有不允许访问串行端口的网址。

如果网址未遭屏蔽，系统会依序优先应用控制是否允许使用 Web Serial API 部分中设置的选项或用户的个人设置。

请勿在允许在这些网站上使用 Web Serial API 和禁止在这些网站上使用 Web Serial API 字段中输入相同的网址。如果网址同时符合这两项政策，则系统不会优先应用任一政策。

如需详细了解有效网址格式，请参阅企业政策网址格式。

仅限支持一体化隐私保护电子屏幕功能的 ChromeOS 设备。

指定隐私保护屏幕功能是否始终处于启用或停用状态。您可以启用或停用隐私保护屏幕功能，也可以让用户自行选择。

指定网站是否可以请求用户向其授予权限，以使用 File System API 读取主机操作系统文件系统中的文件或目录。您可以添加网址列表，指定网址是否可以向用户请求读取权限。

从下列选项中选择一项：

• 允许用户决定（默认）- 允许网站请求访问权限，但用户可以更改此设置。此访问权限适用于与允许在这些网站上读取文件系统或禁止在这些网站上读取字段所指定网址不匹配的网站。
• 允许网站请求用户授予文件和目录的读取权限 - 允许网站请求用户授予文件和目录的读取权限。
• 不允许网站申请文件和目录的读取权限 - 禁止网站读取文件和目录。

在允许在这些网站上读取文件系统字段中，输入允许向用户请求文件和目录读取权限的所有网址。将每个网址放在相应的行中。

在禁止在这些网站上读取字段中，输入不允许访问文件和目录的所有网址。将每个网址放在相应的行中。

如果未明确允许或屏蔽网址，系统会依序优先应用您在文件系统读取权限下拉菜单中选择的选项或用户个人设置。

请勿在允许在这些网站上读取文件系统和禁止在这些网站上读取中输入相同的网址。如果网址同时符合这两项政策，则系统不会优先应用任一政策。

如需详细了解有效网址格式，请参阅企业政策网址格式。

允许由企业政策安装的扩展程序使用 Enterprise Hardware Platform API。此 API 可处理扩展程序发出的以下请求：查询当前运行浏览器的硬件平台的制造商和型号。此政策也会影响 Chrome 内置的组件扩展程序。

指定每次 ChromeOS 检测到 USB 设备插入时，用户是否会看到通知。默认情况下，检测到 USB 设备时显示通知处于选中状态。

用户在其设备上插入可与活跃虚拟机共享的 USB 设备时，会看到 ChromeOS 检测到 USB 设备的通知，该通知提示其连接到虚拟机。例如，系统可能会提示用户连接到 Android 应用、Linux、代管式开发环境或 Parallels Desktop。如果您选择检测到 USB 设备时不显示通知，则系统不会再提示用户进行连接，这样用户就无法通过虚拟机访问 USB 设备。

此设置目前不适用于 Google Workspace 教育版网域

通过此设置，可以允许企业移动管理 (EMM) 合作伙伴以编程方式进行访问，以便为 Chrome 和 ChromeOS 设备管理用户政策。合作伙伴可使用这种访问权限功能将 Google 管理控制台功能集成到 EMM 控制台中。

启用合作伙伴访问权限后，EMM 合作伙伴就能够管理用于控制用户的 Chrome 浏览器和 ChromeOS 设备使用体验的具体用户政策。因此，EMM 合作伙伴不需要再按管理控制台中的组织部门来管理用户政策，而是可以使用 EMM 控制台中配置的结构进行管理。您无法同时使用合作伙伴访问权限和管理控制台为同一用户设置相同的政策。通过合作伙伴访问权限控制功能配置的用户级政策优先于在管理控制台中设置的组织部门政策。要按组织部门为用户强制启用政策，您必须选择停用“Chrome 管理 - 合作伙伴访问权限”。

您还可以使用 EMM 控制台来设置设备政策。

指定是否为用户启用 Google 安全浏览功能。Chrome 中的安全浏览功能有助于阻止用户访问可能包含恶意软件或网上诱骗内容的网站。

如果您选择“安全浏览”功能会处于开启状态且会在增强模式下运行，则可提高安全性，但需与 Google 分享更多浏览信息。

默认情况下，允许用户决定处于选中状态，用户可以开启或关闭安全浏览功能。如果您选择启用安全浏览功能，用户就无法在 Google Chrome 浏览器中更改或覆盖此设置。

指定是否启用扩展报告功能，并向 Google 发送某些系统信息和网页内容，以帮助检测危险应用和网站。

指定安全浏览功能应信任的网址。安全浏览功能不会检查所列网址中是否存在钓鱼式攻击、恶意软件、垃圾软件或密码重复使用等事件。安全浏览功能的下载保护服务也不会检查托管在这些网域上的下载内容。

禁止用户下载危险文件，例如恶意软件或带有病毒的文件。您可以禁止用户下载所有文件或被 Google 安全浏览标记的文件。如果用户尝试下载被“安全浏览”功能标记的文件，系统会显示安全警告。

有关详情，请参阅禁止用户下载有害文件。

选择一个选项：

• 无特殊限制 - 允许下载任何内容。如果安全浏览功能检测到危险网站，则仍会向用户显示警告。不过，用户可以绕过警告并下载相应文件。
• 禁止下载恶意软件的操作 - 允许下载任何内容，但那些已被非常肯定地评估为恶意软件的下载内容除外。与选择“拦截危险下载内容”不同，如果您选择“禁止所有下载恶意软件的操作”，系统不会考虑文件类型，而是会考虑主机。
• 拦截恶意下载内容和危险文件类型 - 允许下载任何内容，但带有“安全浏览”警告标记的危险下载内容除外。
• 拦截恶意、不常见或垃圾下载内容以及危险文件类型 - 允许下载任何内容，但带有“安全浏览”警告标记的潜在危险下载内容除外。用户无法绕过警告并下载文件。
• 拦截所有下载内容 - 禁止下载任何内容。

指定用户能否绕过安全浏览警告，并访问欺诈性或危险网站或下载可能有害的文件。

指定您能否禁止用户在危险网站或未列入贵单位许可名单的网站上重复使用他们的密码。禁止在多个网站上重复使用密码可以防止单位中用户的帐号遭到盗用。

您可以指定要从“安全浏览”网址列表中排除的网域。对于已列入许可名单的网域，系统不会就以下方面进行检查：

• 重复使用密码
• 网上诱骗或欺骗性社交工程网站
• 包含恶意软件或垃圾软件的网站
• 有害的下载内容

根据用户通常在哪个网页中输入密码来登录其帐号，指定这类网页的网址。如需在 2 个网页内完成登录流程，请根据用户在哪个网页中输入密码来添加相应的网址。当用户输入密码时，系统会在本地存储不可撤消的哈希，并用其检测是否有重复使用密码的情况。请确保您所指定的更改密码的网址符合这些准则。

开启或关闭 SafeSites 网址过滤器。此过滤器使用 Google Safe Search API 来判断是否将网址归类为色情内容。

选择一个选项：

• 滤除提供成人内容的顶级网站（但不滤除嵌入式 iframe）：对于幼儿园到高中 (K-12) 的教育网域，这是默认设置。系统不会向用户显示色情网站。
• 不滤除提供成人内容的网站：对于其他所有网域，这是默认设置。

针对网址与其他网站非常相似的网站，Chrome 正在推出新的“安全提示”功能。如果网站疑似仿冒其他网站，此界面就会向用户发出警告。

一般情况下，当 Google Chrome 认定网站可能正试图仿冒用户熟悉的另一个网站时，就会在网站上显示这类警告。通过设置此政策，您可禁止在所列网站上针对相似网址显示警告。

例如，倘若此列表包含“foo.example.com”或“example.com”，诸如“https://foo.example.com/bar”之类的网址便可能不会显示这类警告。

允许或禁止在包含侵扰性广告的网站上展示广告。

默认设置为允许所有网站展示广告。

您可以允许管理控制台管理员启用 Chrome 企业版接口。

通过此设置，您可以指定是否自动更新 Chrome 浏览器组件，如 Widevine DRM（适用于加密媒体）。

此政策无法适用于所有组件。如需例外组件的完整清单，请参阅 ComponentUpdatesEnabled。

指定如何通知用户重新启动 Chrome 浏览器或 ChromeOS 设备，以获取最新更新。从下列选项中选择一项：

• 没有重新启动通知 - 启用默认最低级别的通知。Chrome 浏览器会通过对菜单稍作改动来提示用户需要重新启动。在 ChromeOS 中，系统任务栏中的通知会提示用户重新启动。
• 显示建议重新启动的通知 - 系统会反复向用户显示一条消息，提示他们应重新启动 Chrome 浏览器或 ChromeOS 设备。用户可以关闭该通知，这样就能在选择重新启动 Chrome 浏览器或 ChromeOS 设备前，继续使用旧版 Chrome 浏览器或 ChromeOS。
• 在一段时间后强制重新启动 - 用户可以关闭该通知，但在特定一段时间内，系统会反复向用户显示一条消息，提示他们需要重新启动 Chrome 浏览器或 ChromeOS 设备。

时间段（小时）

如果您要向用户显示通知，则可以设置一个时间段（1 至 168 小时），让系统在此期间反复通知用户重新启动 Chrome 浏览器或 ChromeOS 设备。要使用系统默认设置（168 小时或 7 天），请勿设置相应字段。

初始静默期（小时）

对于 ChromeOS 设备，您可以设置初始静默期，在这段时间内，系统不会通知用户重启 ChromeOS 设备。初始静默期过后，用户会看到第一条通知，告知他们重新启动 ChromeOS 设备以应用更新。默认情况下，ChromeOS 设备只会在您指定的时间段内的最后 3 天（而非整个时间段）显示通知。

使用 ChromeOS 设备时，请将更新后自动重启设备设置设为允许自动重启，这样一来，在更新应用后设备将会自动重启。这样可以最大程度地减少用户看到的通知数量。要详细了解如何在 ChromeOS 设备上配置自动更新，请参阅自动更新设置。

可以安排重新启动的窗口期的开始时间

注意：设置可以安排重新启动的窗口期可能会造成软件更新延后。

以 24 小时制格式 (hh:mm) 指定一个时间，您在时间段（小时）中设置的重新启动通知期的结束时间将推迟到该时间。您可以将在一段时间后强制重新启动和可以安排重新启动的窗口期（以分钟为单位）一起使用，以指定 Chrome 浏览器和 ChromeOS 设备会在哪个时间范围重新启动，以应用更新。

如果留空，ChromeOS 设备的默认开始时间是用户所在时区的 02:00，而 Chrome 浏览器绝不会推迟重新启动通知期的结束时间。

可以安排重新启动的窗口期（以分钟为单位）

注意：设置可以安排重新启动的窗口期可能会造成软件更新延后。

指定一个时间范围（以分钟为单位），Chrome 浏览器和 ChromeOS 设备会在此窗口期内重启以应用更新。可以将在一段时间后强制重新启动和可以安排重新启动的窗口期的开始时间一起使用。

如果留空，则 ChromeOS 设备的可以安排重新启动的窗口期（以分钟为单位）为 120 分钟。默认情况下，Chrome 浏览器绝不会推后重新启动通知期的结束时间。

指定每天禁止 Chrome 浏览器自动检查更新的时间段。请输入：

• 开始时间 - 以 24 小时制格式 (hh:mm) 输入一个时间，让系统每天从该时间起禁止浏览器检查更新。
• 持续时间（分钟） - 根据您希望在多长时间内禁止浏览器检查更新，输入相应的时长（以分钟为单位）。

指定 Chrome 浏览器每隔几小时会自动检查更新。如果输入 0，系统会停用所有自动更新检查（不推荐）。

选择尝试提供便于缓存的下载网址，以便 Google 更新服务器尝试在回复中为更新负载提供便于缓存的网址。这样有助于减少带宽用量并缩短响应时间。

指定设备是否会在新版 Chrome 浏览器发布时进行自动更新。

为了确保用户受到最新安全更新的保护，我们强烈建议选择始终允许更新。运行早期版本的 Chrome 浏览器会使您的用户面临已知的安全问题。

要将 Chrome 浏览器暂时回滚到 Chrome 浏览器的 3 个最新主要版本，请指定目标版本前缀覆盖，然后选择回滚到目标版本。

您可以为 Chrome 浏览器设置发布渠道，从而控制何时部署 Chrome 浏览器更新。

• 稳定渠道 -（推荐）Chrome 测试团队已对稳定渠道进行充分测试，我们建议您让大部分用户都使用这一版本。
• Beta 渠道 - 用户可以提前 4-6 周体验即将在 Chrome 稳定版中推出的功能。
• 开发渠道 - 开发者可以提前 9 - 12 周体验即将在 Chrome 稳定版中推出的功能。
• 扩展稳定渠道 - 相较于稳定渠道，该渠道获得功能更新的频率较低，但仍会收到安全修复程序。

请参阅 Chrome 浏览器发布渠道了解相关信息，以便帮助您决定用户要采用哪个渠道。

要详细了解如何管理 Chrome 浏览器更新，请参阅管理 Chrome 更新（Chrome 浏览器云管理）。

指定 Chrome 浏览器在发生紧急回滚时保留的用户数据快照数量。

每次实施完 Chrome 浏览器重大版本更新后，系统都会为用户浏览数据的某些部分创建用户数据快照。这些快照可供日后执行 Chrome 浏览器紧急版本回滚更新时使用。

如果 Chrome 浏览器回滚到用户保留的某个版本，系统便会恢复相应快照中的数据，例如书签和自动填充数据。

如果此政策设为特定值，则系统将仅保存该数量的快照。例如，如果设为 6，则系统只会保存最近的 6 张快照，并删除在此之前保存的所有其他快照。

如果此政策设为 0，则系统不会保留任何快照。如果未设置此政策，则系统会默认保存 3 张快照。

指定用户能否在备用浏览器（例如 Microsoft Internet Explorer）中打开某些网址。

指定打开备用浏览器所需的时长（以秒为单位）。在此期间，系统会显示一个插页，告知用户当前正在切换到其他浏览器。默认情况下，系统会直接在备用浏览器中打开网址，而不会显示插页。

控制 Chrome 浏览器如何解读您设置的网站列表或灰名单政策。此设置会影响：

• 旧版浏览器支持网站列表 - BrowserSwitcherExternalSitelistUrl
• 使用 Internet Explorer 网站列表 - BrowserSwitcherUseIeSitelist
• 列出可在任一浏览器中打开的网站的列表文件的网址 - BrowserSwitcherExternalGreylistUrl
• 要在备用浏览器中打开的网站 - BrowserSwitcherUrlList
• 在任一浏览器中均可打开的网站 - BrowserSwitcherUrlGreylist

默认情况下，系统会选择默认。不含 / 的规则会在网址主机名中的任意位置寻找子字符串。匹配网址的路径部分时区分大小写。

选择兼容企业模式 IE/Edge 可让网址匹配更加严格。不含 / 的规则只会在主机名末尾进行匹配，它们还必须位于域名边界。匹配网址路径组成部分时不区分大小写。

示例

对于规则 example1.com 和 example2.com/abc：

• 无论采用何种解析模式，http://example1.com/、http://subdomain.example1.com/ 和 http://example2.com/abc 均为匹配的结果。
• 如果选择了默认，则只有 http://notexample1.com/、http://example1.com.invalid.com/ 和 http://example1.comabc/ 是匹配的结果。
• 如果选择了兼容企业模式 IE/Edge，则只有 http://example2.com/ABC 是匹配的结果。

让您可以使用 Internet Explorer 网站列表来控制在 Chrome 浏览器还是 Internet Explorer 中打开网址。

指定一个 XML 文件的网址，该文件包含要在备用浏览器中打开的网站网址的列表。您可以查看此示例 XML 文件。

指定一个 XML 文件的网址，该文件包含不会触发浏览器切换的网站网址的列表。

指定要在备用浏览器中打开的网站网址的列表。

指定不会触发浏览器切换的网站网址的列表。

默认情况下，只有网址会以参数的形式传送至备用浏览器。您可以指定要将哪些参数传送至备用浏览器的可执行文件。系统会在调用备用浏览器时使用您指定的参数。您可以使用特殊占位符 ${url} 来指定网址在命令行中的位置。

如果占位符是唯一的参数或应附加到命令行的末尾，则无需指定占位符。

通过此设置，您可以指定要用作备用浏览器的程序。例如，Windows 计算机默认的备用浏览器是 Internet Explorer。

您可以指定文件位置或使用下列某一变量：

• ${chrome}：Chrome 浏览器
• ${firefox}：Mozilla Firefox
• ${ie}：Internet Explorer
• ${opera}：Opera
• ${safari}：Apple Safari

指定从备用浏览器返回时要传送至 Chrome 浏览器可执行文件的参数。默认情况下，只有网址会以参数形式传送至 Chrome 浏览器。系统会在调用 Chrome 浏览器时使用您指定的参数。您可以使用特殊占位符 ${url} 来指定网址在命令行中的位置。

如果占位符是唯一的参数或应附加到命令行的末尾，则无需指定占位符。

指定从备用浏览器返回时要启动的 Chrome 浏览器可执行文件。

您可以指定文件位置，也可以使用变量 ${chrome}（即 Chrome 浏览器的默认安装位置）。

指定当窗口中的最后一个标签页切换至备用浏览器后，是否关闭 Chrome 浏览器。

Chrome 浏览器的标签页在切换至备用浏览器后会自动关闭。如果您将此设置指定为完全关闭 Chrome，且在切换浏览器前窗口中只剩最后一个标签页，那么 Chrome 浏览器将会完全关闭。

指定用户是否可以访问命令行 (CLI) 以管理虚拟机 (VM)。

如果启用了此政策，则用户可以使用虚拟机管理 CLI。

通过此设置，您可以控制用户能否使用虚拟机来运行 Linux 应用。系统会在启动新的 Linux 容器时应用此设置，而不会将其应用于已在运行的容器。

在受管设备上，默认设为禁止用户使用所需的虚拟机来运行 Linux 应用，并且用户无法使用虚拟机运行 Linux 应用。

但在非受管设备上，默认设为允许用户使用所需的虚拟机来运行 Linux 应用。

如果您不希望用户在其使用的任何设备上使用，则必须明确选择禁止用户使用所需的虚拟机来运行 Linux 应用。

如果您选择允许用户使用所需的虚拟机来运行 Linux 应用，则关联的用户可以使用 Linux 虚拟机。

要为没有关联的用户启用该功能，请在“设备”页面中选择允许没有关联的用户使用所需的虚拟机来运行 Linux 应用。有关详情，请参阅无关联用户能否使用 Linux 虚拟机（Beta 版）。

注意：对于个人用户版 ChromeOS 设备，此功能已不是 Beta 版。对于受管设备和用户，此功能仍是 Beta 版。

通过此设置，您可以控制用户能否备份和恢复 Linux 虚拟机所有已安装的应用、数据和设置。

恢复和备份选项默认处于启用状态。

注意：对于个人用户版 ChromeOS 设备，此功能已不是 Beta 版。对于受管设备和用户，此功能仍是 Beta 版。

指定是否允许用户配置向虚拟机 (VM) 容器转发端口的功能。

如果您选择不允许用户启用并配置向虚拟机容器转发端口的功能，系统会停用端口转发功能。

允许您控制个人用户对来源不受信任的 Android 应用的使用。此设置不适用于 Google Play。

默认设置为禁止用户使用来源不受信任的 Android 应用。

如果用户的设备处于受管理状态，则系统会阻止用户安装来源不受信任的应用，除非设备和用户政策都被设为允许使用来源不受信任的 Android 应用。

如果用户的设备不受管理，则只有当用户为设备所有者时，其才可以安装来源不受信任的应用，方法为：首先登录设备，然后将用户政策设为允许使用来源不受信任的 Android 应用。

指定是否允许在所有设备或除了已注册的 ChromeOS 设备外的所有设备上使用终端系统应用中的 SSH 出站客户端连接，或者不允许在任何设备上使用。

默认情况下，系统会为非受管 ChromeOS 设备启用该设置。

指定应用于用户和浏览器的 Chrome 政策的优先顺序（由高到低）。如需了解详情，请参阅了解 Chrome 政策管理。

指定 Chrome 浏览器是否会将使用情况统计信息和崩溃情况相关的数据发送给 Google。您可以允许用户配置此选项，也可以将其指定为始终启用或始终停用。

使用情况统计信息包含偏好设置、按钮点击情况和内存使用情况等信息。如果用户开启了改善搜索和浏览体验，则可能包含网页网址或个人信息。

崩溃报告中包含崩溃发生时的系统信息，并且可能包含网页网址或个人信息，具体取决于触发崩溃报告时发生的情况。

要详细了解我们会收集这些报告中的哪些信息以及如何处理，请阅读 Chrome 的隐私权政策。

您可以设置单个 Chrome 浏览器会话的内存用量上限，这样一来，超出内存用量上限后，浏览器标签页就会自动关闭，以节省内存空间。如果设置了此政策，一旦超出内存用量上限，浏览器标签页就会关闭，以节省内存空间。不过，如果此政策未设置，那么仅当检测到所用机器的物理内存容量即将用尽时，浏览器才会尝试节省内存空间。

指定 Chrome 用来在磁盘中存储缓存文件的目录。

如果您在“磁盘缓存目录”字段中输入变量，即使用户已定义磁盘缓存 dir 参数，Chrome 也会使用该目录。如果未设置此政策，则系统会使用默认缓存目录，并且用户可以通过定义磁盘缓存 dir 参数来替换此设置。

如需查看支持的变量列表，请参阅支持的目录变量。

指定在磁盘上缓存文件的 Chrome 存储空间限制。

如果您将此政策设为指定的大小，即使用户已定义了磁盘缓存大小参数，Chrome 也会使用指定的缓存大小。（小于几兆字节的值都会四舍五入。）

如果您不设置此政策，Chrome 会使用默认的缓存大小，且用户可以进行更改。

指定关闭 Chrome 浏览器后，后台应用是否继续运行。

如果启用了此政策，那么当 Chrome 浏览器关闭后，后台应用和当前浏览会话（包括任何会话 Cookie）仍处于活动状态。用户可以随时使用系统任务栏中显示的图标将其关闭。

允许用户决定 - 后台模式最初处于停用状态，不过用户可以在浏览器设置中进行控制。

停用后台模式 - 后台模式已停用，且用户无法在浏览器设置中进行控制。

启用后台模式 - 后台模式已启用，且用户无法在浏览器设置中进行控制。

控制 Google Chrome 是否不定期向 Google 服务器发送查询以检索准确的时间戳。默认设置为允许查询。

指定收到政策失效通知与从设备管理服务提取新政策之间的最大延迟（以毫秒为单位）。

有效值范围为 1000（1 秒）至 300000（5 分钟）。如果您输入的值小于 1 秒，系统会使用 1 秒。如果您输入的值大于 5 分钟，系统会使用 5 分钟。

如果您未设置此政策，则系统会使用默认值（10 秒）。

指定 Wi-Fi 网络配置是否可以在 Chrome 操作系统设备和已连接的 Android 手机之间同步。

如果您选择默认的不允许 Wi-Fi 网络配置在 Google Chrome 操作系统设备和已连接的 Android 手机之间同步，则用户无法同步 WLAN 网络配置。

如果您选择允许 Wi-Fi 网络配置在 Google Chrome 操作系统设备和已连接的 Android 手机之间同步，则用户就可以在 Chrome 操作系统设备和已连接的 Android 手机之间同步 Wi-Fi 网络配置。不过，用户必须通过完成一个设置流程来明确选择启用这项功能。

指定当有多份证书匹配时，系统是否会提示用户选择一个客户端证书。

如果您选择提示用户做出选择，并且已在客户端证书设置中输入一系列网址格式，那么只要有多份证书与自动选择政策匹配，系统就会要求用户选择客户端证书。

如果您将客户端证书设置留空，则仅当没有证书与自动选择政策匹配时，系统才会提示用户。

如需了解详情，请参阅客户端证书。

指定当用户在任意设备上使用其 Google 帐号登录 Chrome 时，系统是否会强制执行您在管理控制台中设置的用户级 Chrome 政策。要配置此设置，请点击修改。默认情况下，在用户登录 Chrome 时应用所有用户政策，并提供受管理的 Chrome 体验处于选中状态。

为了向后兼容，您可以允许用户以非受管用户的身份登录 Chrome。请选择在用户登录 Chrome 时不应用任何政策。允许用户以非受管用户的身份访问并使用 Chrome。然后，当用户登录 Chrome 后，他们将不会再收到您在管理控制台中设置的用户级政策，包括应用和扩展程序。

关闭并重新开启 Chrome 管理服务，可能会导致某些用户的帐号发生变化。在重新开启此功能之前，请先通知您的用户。Chrome 管理服务处于关闭状态时，用户可能以不受管用户的身份登录。再次开启此设置后，Android 应用可能会被移除，或者用户可能无法再在 ChromeOS 设备上同时登录多人。

如果您使用管理控制台管理 ChromeOS 设备，则无需启用 Chrome 管理服务以应用政策。即使您关闭了此设置，用户级政策也适用于这些 ChromeOS 设备。

要了解如何设置 Chrome 浏览器用户级管理，请参阅管理 Chrome 浏览器上的用户配置文件。