For administrators who enroll Windows, Mac, or Linux computers in Chrome Browser Cloud Management.
Chrome 浏览器 95 及更高版本
作为 Chrome 企业版管理员,您可以强制要求用户在非受管设备上使用受管理的 Google 账号登录 Chrome 浏览器时,必须设置单独的个人资料。通过创建不同的 Chrome 个人资料,用户可以在受管理的账号和其他 Google 账号(如个人账号或测试账号)之间切换,而无需每次都退出登录。个人资料之间不共享任何数据或内容。
您在 Google 管理控制台中设定的用户级 Chrome 政策和设置仅会应用到受管理的个人资料,而不会应用于其他个人资料。您可以管理和监控受管理的个人资料,包括:
- 为单位安装 Chrome 扩展程序
- 禁止安装某些未获批准的扩展程序
- 跟踪受管理的个人资料上安装的扩展程序
- 删除受管理的个人资料,例如当用户离开单位时
- 在受管理的个人资料中强制应用某些浏览器设置
- 使用 Chrome Enterprise Premium 启用安全的浏览器会话来访问公司数据
注意:当用户在个人设备上新建受管理的个人资料时,表示他们了解其个人资料受管理的免责声明。
安全注意事项
用户仍可以使用除 Chrome 之外的浏览器登录其受管理的 Google 账号。通过使用 Chrome Enterprise Premium,可以限制用户只能通过由您管理并启用了威胁防范和数据保护功能的 Chrome 个人资料访问公司资源。有关详情,请参阅使用 Chrome Enterprise Premium 保护 Chrome 用户。
第 1 步:查看政策
| 政策 | 说明 |
|---|---|
|
控制 Chrome 浏览器是否会在用户登录不同于当前所用账号的 Google 账号时提示其创建或切换个人资料。 不设置此政策:系统不会提示用户创建单独的个人资料。 |
|
|
将此政策与 SigninInterceptionEnabled 结合使用,即可要求用户在非受管的设备上登录受管理的 Google 账号时,必须创建单独的个人资料。 对于一些用户,如果要登录的个人资料与目前已登录的个人资料不同,就会看到提示他们以访客模式打开 Chrome 浏览器的链接。 不设置此政策:用户可以直接使用受管理的 Google 账号,而无需创建单独的个人资料。 |
第 2 步:设置政策
管理控制台可应用于任何设备上的已登录用户,或 Windows、Mac 或 Linux 上已注册的浏览器。有关详情,请参阅了解系统何时会应用设置。
-
-
在管理控制台中,依次点击“菜单”图标
设备
Chrome
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标
Chrome 浏览器
- 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门。
- 转到登录设置:
- 点击登录拦截:
- 选择启用登录拦截功能。
- 点击保存。
- 点击为受管理的 Google 身份创建单独的个人资料,强制用户为其受管理的账号创建单独的个人资料。选择一个选项并点击保存:
- 强制创建单独的个人资料 - 受管理的账号是主账号。个人资料中可能有辅助账号。
- 强制创建单独的个人资料并禁止使用辅助的受管理账号 - 受管理的账号是主账号。个人资料中没有辅助账号。
- 点击登录拦截:
适用于在 Chrome 浏览器中登录受管理帐号的 Windows 用户。
使用组策略
在 Microsoft Windows 组策略编辑器(“计算机配置”或“用户配置”文件夹)中:
在 Chrome 配置文件中,添加或更新以下键,然后为用户部署更改。
- 将 SigninInterceptionEnabled 键设为 true。
- 将 ManagedAccountsSigninRestriction 键设为 primary_account 或 primary_account_strict。
使用您的首选 JSON 文件编辑器:
- 转到 /etc/opt/chrome/policies/managed 文件夹。
- 创建或更新 JSON 文件。
- 应用设置:
- 将 SigninInterceptionEnabled 设为 1。
- 将 ManagedAccountsSigninRestriction 设为 primary_account 或 primary_account_strict。
- 222larabrown@gmail.com 是个人 Google 账号
- lara@examplepetstore.com 是受管理的 Google 账号
- lara@altostrat.com 是另一个受管理的 Google 账号
示例 1
场景
在管理控制台中配置以下设置:
- 登录拦截 - 启用登录拦截功能
- 为受管理的 Google 身份创建单独的个人资料 - 强制创建单独的个人资料
结果
- 如果用户已使用个人 Google 账号 222larabrown@gmail.com 登录 Chrome 浏览器,当其尝试使用受管理的 Google 账号 lara@examplepetstore.com 登录网站时,系统会提示用户为 lara@examplepetstore.com 创建单独的个人资料,并强制创建。
- 如果用户已使用受管理的 Google 账号 lara@examplepetstore.com 登录 Chrome 浏览器,当其尝试使用个人 Google 账号 222larabrown@gmail.com 或另一个受管理的 Google 账号 lara@altostrat.com 登录网站时,则只能登录内容部分或网站,而无法登录浏览器。系统会提示用户创建单独的个人资料,但不会强制创建。
示例 2
场景
在管理控制台中配置以下设置:
- 登录拦截 - 启用登录拦截功能
- 为受管理的 Google 身份创建单独的个人资料 - 强制创建单独的个人资料并禁止使用辅助的受管理账号
结果
- 如果用户已使用个人 Google 账号 222larabrown@gmail.com 登录 Chrome 浏览器,当其在 Gmail 中尝试将账号切换到受管理的 Google 账号 lara@examplepetstore.com 时,系统会提示用户为 lara@examplepetstore.com 创建单独的个人资料,并强制创建。
- 如果用户已使用受管理的 Google 账号 lara@examplepetstore.com 登录 Chrome 浏览器,当其在 Gmail 中尝试将账号切换到个人账号 22larabrown@gmail.com 时,可以直接切换,而无需创建新的个人资料。系统可能会提示用户创建单独的个人资料,但不会强制创建。
- 如果用户已使用受管理的 Google 账号 lara@examplepetstore.com 登录 Chrome 浏览器,当其在 Gmail 中尝试将账号切换到另一个受管理的账号 lara@altostrat.com 时,无论 altostrat.com 网域中设置了哪些政策,系统都会提示用户为 lara@altostrat.com 创建单独的个人资料,并强制创建。这样一来,即使用户拥有多个单位的受管理 Google 账号,个人资料之间也不会共享数据和内容。
第 3 步:验证政策是否已应用妥当
您应用任何 Chrome 政策后,用户都必须重启 Chrome,相应设置才会生效。您可以检查用户的设备,确保政策已应用妥当。
- 在用户的设备上,转到 chrome://policy。
- 点击重新加载政策。
- 选中显示未设定值的政策复选框。
- 对于您设置的政策,请确保相应“状态”已设置为“正常”。
- ManagedAccountsSigninRestriction
- SigninInterceptionEnabled
- 对于您设置的政策,请确保政策值与您在政策中设置的值一致。
- ManagedAccountsSigninRestriction - none、primary_account 或 primary_account_strict
- SigninInterceptionEnabled - true 或 false
如需在用户的设备上查看 Chrome 个人资料的管理方式,请前往 chrome://management。
已知问题
对于搭载 Chrome 浏览器 98 或以下版本并已开启同步功能的设备,当用户创建新的个人资料时,系统会提示其将 Chrome 数据与账号相关联。用户需点击创建新的个人资料,以便继续操作。