设置 ChromeOS 设备政策

指定受管理的用户能否在 ChromeOS 设备上完成零触摸注册后输入资产标识信息。默认情况下，不允许为通过零触摸注册流程注册的设备输入资产 ID 和位置信息处于选中状态。

禁止或允许用户将 Chromebook 恢复为原始出厂设置。

默认设置为允许触发 Powerwash。

有一种例外情况，在这种情况下，即使您选择不允许触发 Powerwash，用户仍可触发 Powerwash。即当您已允许用户在设备上安装可信平台模块 (TPM) 固件更新，但固件尚未更新时。执行更新后可能会清空设备并将其重置为出厂设置。如需了解详情，请参阅 TPM 固件更新。

控制 Web 服务是否可以验证设备运行的是未经修改且符合政策的 ChromeOS 版本。

包括以下选项：

• 对内容保护功能启用此设置 - 确保贵组织中的 ChromeOS 设备将使用唯一的密钥（可信平台模块）向内容提供方验证身份。此外，还能确保 Chromebook 可以向内容提供方证明当前设备正在启动时验证模式中运行。
• 停用内容保护功能 - 如果停用此设置，您的用户可能无法查看部分高品质内容。

管理员如要了解详情，请参阅为 ChromeOS 设备启用“已验证的访问权限”。对于开发者，请参阅 Google for Developers 文档。

自定义丢失或被盗设备屏幕上显示的文本。

我们建议您在消息中加入归还地址和联系电话号码。这样一来，看到此屏幕的任何人都可以将设备归还给贵组织。

控制受管理的 ChromeOS 设备上的访客浏览功能。

如果您选择允许使用访客模式，则主登录屏幕会向用户提供以访客身份登录的选项。如果您选择停用访客模式，则用户必须使用 Google 账号或 Google Workspace 账号登录。贵单位的政策不会应用于采用访客模式登录的用户。

对于中小学校 (K-12) 的教育网域，默认设置为停用访客模式。

对于其他所有网域，默认设置为允许使用访客模式。

管理 ChromeOS 设备上的用户登录。

注意：如果您允许使用访客浏览模式或受管理的访客会话，那么无论您选择哪种设置，用户都可以使用设备。

选择一个选项：

• 仅限列表中的用户登录 - 只有您指定的用户才能登录设备。其他用户在登录时会收到错误消息。输入您要指定的用户，每个用户各占一行：
  • 要允许所有用户登录 - 请输入 *@<示例>.com。设备上的“添加用户”按钮始终可用。
  • 要仅允许特定用户登录 - 请输入 <用户 ID>@<示例>.com。当所有指定的用户都已登录设备后，“添加用户”按钮将不再可用。
• 允许任何用户登录 - 任何拥有 Google 账号的用户都可以登录设备。登录屏幕上的“添加用户”按钮可供您使用。
• 不允许任何用户登录 - 用户无法使用其 Google 账号登录设备。“添加用户”按钮将无法使用。

设置在受管理的 ChromeOS 设备的登录界面上向用户建议的自动补全域名。

如需让用户在登录时无需输入用户名的 @<域名>.com 部分，请选择使用如下设置的域名在登录时自动填充，然后输入组织的自动补全域名前缀。

指定设备登录屏幕是否会显示登录过设备的用户的用户名和照片。

在登录屏幕上显示用户的用户名和照片可让用户快速启动会话，且最适合大多数部署。我们建议您在极少情况下有选择地更改此设置，确保获得最佳用户体验。

• 总是显示用户名和照片 - 允许用户在登录屏幕上选择自己的用户账号（默认）。

• 从不显示用户名和照片 - 禁止在登录屏幕上显示用户账号。每次登录设备时，用户均须输入其 Google 账号的用户名和密码。如果您为设备设置了 SAML 单点登录 (SSO)，并将用户直接转到 SAML 身份提供商 (IdP) 页面，那么 Google 就会将用户重定向到 SSO 登录页面（用户无需输入其电子邮件地址）。

  注意：如果用户已注册两步验证，则在每次登录设备时，系统都会提示其执行第二道验证步骤。

设置每周时间表，指定访客浏览和登录限制设置何时不适用于代管式 ChromeOS 设备。

举例来说，学校管理员可以在上课时段禁止访客浏览内容，或者仅允许用户使用以“@<学校域名>.edu”结尾的用户名登录。用户可以在非上课时段以访客模式浏览内容，或使用“@<学校域名>.edu”以外的帐号登录自己的设备。

指定 ChromeOS 设备每周哪些时段无法使用。

在受限时段内，所有正在进行的会话都会关闭，用户也无法登录。

注意事项

• 不支持重叠的时段。
• 设备限制时间表使用设备的时区。
• 如需阻止用户修改设备时区，请使用时区设置。
• 如需阻止用户修改设备时间，请使用已停用的系统功能停用 Crosh，并使用网址拦截来拦截 chrome://set-time。

通过将默认壁纸替换为自定义壁纸来自定义登录屏幕。

您可以上传 JPG 格式（.jpg 或 .jpeg 文件）的图片，图片不能超过 16 MB。不支持其他文件类型。

控制 ChromeOS 设备在用户退出账号时是否删除用户数据和本地设置。

设备同步的数据会保留在云端，但不会保留在设备中。如果您将此选项设置为清除所有本地用户数据，则用户可使用的存储空间仅限设备 RAM 容量的一半。如果此政策与受管理的访客会话同时设置，则系统不会缓存会话名称或头像。

注意：默认情况下，ChromeOS 设备会加密所有用户数据，并在多位用户共用时自动清理磁盘空间。此默认行为最适合大多数部署，并能确保数据安全和最佳用户体验。我们建议您尽量不要启用清除所有本地用户数据，如有需要，请有选择地启用。

指定 SSO 用户能否绕过电子邮件地址输入步骤，直接前往 SAML 身份提供方 (IdP) 页面。

默认情况下，系统会选择将用户导向默认的 Google 登录页面。

设备需要配置 SAML 单点登录。请参阅为 ChromeOS 设备配置 SAML 单点登录。

指定受管理的 ChromeOS 设备是否会在后续登录期间将 SAML 单点登录 Cookie 传输到用户会话中。

SAML 单点登录 Cookie 始终会在首次登录时进行传递。

要在后续登录中传输 Cookie，请选择允许在登录过程中将 SAML SSO Cookie 传输到用户会话中。这样，单点登录 (SSO) 用户便可以在后续设备登录中登录使用相同身份提供方 (IdP) 的内部网站和云服务。

如果您还为贵组织中受支持的设备启用了 Android 应用，则 Cookie 不会传递到 Android 应用。

设备需要配置 SAML 单点登录。请参阅为 ChromeOS 设备配置 SAML 单点登录。

指定在 SAML 单点登录流程中被授予直接访问用户相机的权限的第三方应用和服务。

重要提示：启用此政策，即表示您代第三方服务的用户授权第三方服务使用用户的相机。请务必为用户提供适当的同意书，因为如果通过此政策授予权限，系统不会向最终用户显示任何同意书。

配置此设置后，第三方身份提供方 (IdP) 便可为 ChromeOS 设备引入新形式的身份验证流程。

要将 IdP 加入许可名单，请输入各项服务的网址，每个网址各占一行。

如需了解如何为贵组织设置 Clever 徽章，请访问 Clever 支持网站。

设备需要配置 SAML 单点登录。请参阅为 ChromeOS 设备配置 SAML 单点登录。

控制单点登录 (SSO) 网站的客户端证书。

您可以用 JSON 字符串的形式输入网址格式列表。之后，如果有格式相符的 SSO 网站要求客户端证书，那么在已安装有效设备级客户端证书的情况下，Chrome 会自动为该网站选择证书。

如果要求证书的网站不符合任何格式要求，Chrome 就不会提供证书。

如何设置 JSON 字符串格式：

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}

ISSUER/CN 参数（上述证书颁发者名称）可指定证书认证机构 (CA) 的通用名称，而系统自动选择的客户端证书必须将其作为颁发者。如果您希望 Chrome 选择任一 CA 颁发的证书，请输入 “filter”:{} 以将此参数留空。

示例：

{"pattern":"https://[*.]ext.example.com","filter":{}}, {"pattern":"https://[*.]corp.example.com","filter":{}}, {"pattern":"https://[*.]intranet.usercontent.com","filter":{}}

设备需要配置 SAML 单点登录。请参阅为 ChromeOS 设备配置 SAML 单点登录。

控制 ChromeOS 设备登录屏幕上的无障碍设置。

无障碍设置包括大号光标、语音反馈和高对比度模式。

• 退出时关闭登录屏幕上的无障碍设置 - 在登录屏幕出现或用户在登录屏幕上停止操作一分钟后，无障碍设置即会恢复为默认设置。
• 允许用户控制登录屏幕上的无障碍设置 - 恢复用户之前在登录屏幕上的无障碍设置（启用或停用），即使设备重启也是如此。

设置 ChromeOS 设备登录屏幕上的语言。

您也可以允许用户选择语言。

控制 ChromeOS 设备登录屏幕上的键盘布局。

指定在登录屏幕上的 SAML 身份验证过程中，允许哪些网址执行已验证的访问权限检查。

具体而言，如果某个网址与此处输入的格式之一匹配，该网址就可以接收 HTTP 标头（包含对远程证明质询的响应），以证明设备身份和设备状态。

如果您未在允许的 IdP 重定向网址字段中添加网址，则不允许任何网址在登录屏幕上使用远程证明。

网址必须采用 HTTPS 架构，例如 https://example.com。

如需了解有效网址格式，请参阅企业版政策网址格式。

指定系统信息是在 ChromeOS 设备登录屏幕上显示还是隐藏。

默认设置为允许用户通过按 Alt + V 在登录屏幕上显示系统信息。

仅限支持一体化隐私保护电子屏幕功能的 ChromeOS 设备。

指定隐私保护屏幕功能在登录屏幕上是否始终处于启用或停用状态。您可以启用或停用登录屏幕的隐私保护屏幕功能，也可以让用户自行选择。

指定是否在 ChromeOS 触摸屏设备的登录和锁定屏幕上显示数字键盘。

在选择默认使用数字键盘输入密码的情况下，如果用户设定的是字母数字密码，则仍可以切换到标准键盘。

指定用户能否在设备的登录屏幕上使用 Manifest V2 扩展程序。

每个 Chrome 扩展程序都有一个 JSON 格式的清单文件，名为 manifest.json。清单文件是扩展程序的蓝图，必须位于扩展程序的根目录中。

清单文件中的信息包括：

• 扩展程序名称
• 扩展程序版本号
• 扩展程序运行所需的权限

如需了解详情，请参阅清单文件格式。

从以下选项中选择一项：

• 默认设备行为（默认）- 用户可以根据默认设备设置和 Manifest V2 支持时间表访问 Manifest V2 扩展程序。
• 在登录屏幕上停用 Manifest V2 扩展程序 - 用户无法安装 Manifest V2 扩展程序，而且其现有的扩展程序会被停用。
• 在登录屏幕上启用 Manifest V2 扩展程序 - 用户可以安装 Manifest V2 扩展程序。
• 在登录屏幕上启用强制安装的 Manifest V2 扩展程序 - 用户只能使用强制安装的 Manifest V2 扩展程序。这包括使用 Google 管理控制台中的“应用和扩展程序”页面强制安装的扩展程序。所有其他 Manifest V2 扩展程序均会被停用。无论迁移阶段如何，此选项始终可用。

注意：扩展程序的可用性也受到其他政策的控制。例如，如果管理控制台的“应用和扩展程序”页面上的权限和网址设置将清单政策允许的 V2 扩展程序列为已屏蔽的扩展程序，则该扩展程序将更改为已屏蔽状态。

对 Manifest V2 扩展程序的支持将来会被弃用。所有扩展程序都需要根据 Manifest V2 支持时间表迁移至 Manifest V3。

禁止用户在验证身份期间访问指定的网址格式。

当使用 SAML 或 OpenID Connect 单点登录进行用户身份验证时，或者在配置强制门户网络连接时，您可以控制用户登录屏幕和锁定屏幕上显示的内容。

屏蔽的网址

阻止用户尝试在登录屏幕和锁定的屏幕上访问特定网址。

要配置此设置，请逐行输入网址（最多 1000 个）。

示例

允许在验证身份期间访问指定的网址格式。

当使用 SAML 或 OpenID Connect 单点登录进行用户身份验证时，或者在配置强制门户网络连接时，您可以控制用户登录屏幕和锁定屏幕上显示的内容。

例外的屏蔽网址

指定“在登录/锁定屏幕上屏蔽的网址”设置中指定的网址屏蔽名单的例外情况。

要配置此设置，请逐行输入网址（最多 1000 个）。

示例

在登录界面上，自动将网站网址连接到具有特定供应商 ID 和产品 ID 的 USB 设备。

系统会将您列出的网址与请求网址的来源进行比对。网址格式中的路径会被忽略。如需详细了解有效网址格式，请参阅企业政策网址格式。

对于每个网址，请以英文冒号分隔的十六进制数对 (VID:PID) 形式输入您要允许访问的设备的供应商标识符 (VID) 和商品标识码 (PID)。每台设备需占用一行。

注意事项

• 对于您添加到列表中的每项内容，网址和设备 ID 都必须有效。否则，系统会忽略该项。
• 对于每个设备，您可以输入供应商 ID 和产品 ID。
  • 如果您不添加供应商 ID，则此政策会匹配任何设备。
  • 如果您不添加产品 ID，则此政策会匹配拥有指定供应商 ID 的任何设备。
  • 任何包含产品 ID 但没有供应商 ID 的政策都是无效的。
• 如果您未向列表中添加任何内容，则任何网站都无法在登录屏幕上自动连接到任何 USB 设备。

允许或禁止在没有用户登录的情况下通过管理控制台远程连接和控制 ChromeOS 设备。

默认情况下，系统会选择允许企业管理员建立远程访问连接，因此您无需本地用户干预即可发起不公开的远程会话。

提示：在用户和浏览器设置页面上，检查以确保企业远程支持连接设置为允许企业管理员建立远程支持连接。否则，将无法启动远程支持主机，也无法将其配置为接受来自管理控制台的传入连接。了解企业远程支持连接设置。

配置此设置不会影响其他远程访问场景。

如需详细了解如何通过在管理控制台中启动 Chrome 远程桌面会话来远程连接 ChromeOS 设备并排查问题，请参阅远程连接 ChromeOS 设备。

在登录界面上，自动将网站网址连接到具有特定供应商 ID 和产品 ID 的 HID 设备。

系统会将您列出的网址与请求网址的来源进行比对。网址格式中的路径会被忽略。如需详细了解有效网址格式，请参阅企业政策网址格式。

对于每个网址，请以英文冒号分隔的十六进制数对 (VID:PID) 形式输入您要允许访问的设备的供应商标识符 (VID) 和商品标识码 (PID)。每台设备需占用一行。

注意事项

• 对于您添加到列表中的每项内容，网址和设备 ID 都必须有效。否则，系统会忽略该项。
• 对于每个设备，您可以输入供应商 ID 和产品 ID。
  • 如果您不添加供应商 ID，则此政策会匹配任何设备。
  • 如果您不添加产品 ID，则此政策会匹配拥有指定供应商 ID 的任何设备。
  • 任何包含产品 ID 但没有供应商 ID 的政策都是无效的。
• 如果您未向列表中添加任何内容，则任何网站都无法在登录屏幕上自动连接到任何 HID 设备。

指定 ChromeOS 设备能否大声朗读登录屏幕上的文字。

有关详情，请参阅使用内置屏幕阅读器和将盲文设备与 Chromebook 搭配使用。

指定用户是否可以选择登录屏幕上的内容，由系统大声朗读特定文字。

当 ChromeOS 朗读所选字词时，每个字词都会突出显示。有关详情，请参阅让系统大声朗读文字。

更改字体和背景配色方案，让登录屏幕更易于阅读。

指定用户能否放大整个登录屏幕（全屏放大镜）或部分登录屏幕（固定放大镜）。

有关详情，请参阅放大 Chromebook 屏幕。

指定用户能否依次按下快捷键组合中的每一个按键。

开启粘滞键后，用户无需同时按住多个按键。例如，启用粘滞键后，要粘贴某项内容，用户可以先按 Ctrl 键再按 V 键，而不必同时按 Ctrl 键和 V 键。有关详情，请参阅使用键盘快捷键（一次按一个键）。

指定用户能否在不使用实体键的情况下输入字符。

屏幕键盘通常用于具有触摸屏界面的设备，但也可以通过触控板、鼠标或外接的操纵杆来使用。有关详情，请参阅使用屏幕键盘。

指定用户能否使用语音（而非键盘）在登录屏幕上输入文字。

有关详情，请参阅使用语音输入文字。

指定当用户使用键盘在登录屏幕上浏览多个对象时，系统是否突出显示用户正在查看的对象。

这样，用户就可以确认自己在看屏幕上的什么位置。

指定在登录屏幕上编辑文本时，系统是否突出显示文本插入符号（又称“光标”）周围的区域。

指定鼠标光标在登录屏幕上悬停时是否自动点击。

如果您选择启用登录屏幕的自动点击功能，用户无需实际按下鼠标或触控板按钮。有关详情，请参阅自动点击 Chromebook 上的对象。

指定是否在登录屏幕上放大鼠标光标以便更加显眼。

指定是否在鼠标光标周围显示彩色聚焦环，以便在登录屏幕上更加显眼。

在登录屏幕上将鼠标左右键的功能互换。

默认情况下，鼠标左键是主按钮。

此功能可让所有扬声器都播放同样的声音，这样用户就不会漏听立体声格式的内容。

指定用户能否在登录屏幕上使用无障碍功能的键盘快捷键。

有关详情，请参阅 Chromebook 键盘快捷键。

指定是否允许在登录屏幕上通过面部手势和头部动作控制 ChromeOS 设备。

如需了解详情，请参阅使用面部动作和头部动作通过人脸操控功能控制 Chromebook。

管理已注册设备的自动 ChromeOS 更新。

允许设备自动更新操作系统版本

软件支持只适用于最新版本的 ChromeOS。

当 ChromeOS 有新版本发布时，您可以让 ChromeOS 设备自动更新到该新版本，并允许用户自行检查更新。强烈建议允许更新。

如要禁止系统在设备注册和重启之前进行更新：

• 当您处于最终用户许可协议这一屏时，同时按下 Ctrl + Alt + E。否则，在用户重启设备时，系统就可能会应用这些已下载但应被政策屏蔽的更新。

目标版本

软件支持只适用于最新版本的 ChromeOS。

指定设备可更新到的最新 ChromeOS 版本。设备最多只会更新到您所选择的 ChromeOS 版本。较新的 ChromeOS 版本均已列出。仅在以下情况才应限制 ChromeOS 可更新到的版本：您需要在更新 ChromeOS 版本之前解决兼容问题；或者，您需要将 ChromeOS 更新固定到特定版本，然后再为设备改用长期支持渠道 (LTS)。如要详细了解如何改用长期支持渠道，请参阅 ChromeOS 的长期支持渠道。

选择使用最新的可用版本，这样 ChromeOS 就会在有最新的可用版本时更新到该版本。

回滚到目标版本

指定设备是否应回滚到您在目标版本中指定的版本（如果这些设备已在运行更高版本）。

有关详情，请参阅将 ChromeOS 回滚到先前版本。

发布渠道

默认情况下，ChromeOS 会采用稳定渠道上的更新。您也可以选择长期支持渠道 (LTS)、长期支持候选渠道 (LTC)、Beta 渠道或开发渠道。

您可以将一台或多台设备配置为使用开发渠道或 Beta 渠道，以帮助发现即将推出的 Chrome 版本是否存在兼容性问题。有关详情，请参阅 ChromeOS 发布版本最佳做法。请参阅 ChromeOS 发布渠道最佳做法，了解如何确定用户应使用哪个渠道。

从 Chrome 96 版开始，您可以改用 LTC 渠道，以提高稳定性。与稳定渠道相比，该渠道发布更新的频率较低。设备仍会经常接收安全性修补程序，但每 6 个月才会收到功能更新。有关详情，请参阅 ChromeOS 的长期支持 (LTS)。

要允许用户自行选择渠道，请选择允许用户进行配置。借助此设置，用户可改用发布渠道，以此来测试最新的 Chrome 功能。如要详细了解用户如何在 ChromeOS 设备上执行此操作，请参阅在软件的稳定版、Beta 版和开发者版之间切换。

要允许用户选择开发渠道，您必须将“开发者工具用户政策”设置为始终允许使用内置开发者工具。有关详情，请参阅开发者工具。

部署计划

指定您希望如何将更新部署到受管理的 ChromeOS 设备。

从以下选项中选择一项：

• 默认（一有新版本便更新设备） - 新版 ChromeOS 发布后，设备就会自动进行更新。
• 根据特定计划部署更新 - 最初仅更新一定比例的设备，随后逐步为更多设备进行更新。您可以使用分阶段更新计划设置来指定更新部署计划。
• 交错更新 - 在网络带宽受限时，您可以将 Chrome 设备的更新时间错开，在几天之内（最长 2 周时间）分批更新设备。您可以使用随机错开自动更新，分以下几天完成设置来指定具体天数。

分阶段更新计划

仅在选择“根据特定计划部署更新”设置时此设置才可使用

指定将设备更新到新版 ChromeOS 的部署计划。您可以使用此设置来限定更新到新版 ChromeOS 的设备在不同时期所占具体比例。一些设备的更新日期可以晚于新版本的发布日期。您可以逐步提高更新到新版操作系统的设备所占比例，直至所有设备都完成更新。

随机错开自动更新，分以下几天完成

仅在选择“交错更新”设置时此设置才可使用

指定受管理的设备会在新版本发布后的大约多少天内下载相应更新。您可以使用此设置来避免对老旧网络或低带宽网络造成流量高峰。这段时间内处于离线状态的设备会在重新连接到网络后下载更新。

除非您知道自己的网络无法应对流量高峰，否则请选择不错开自动更新或选择较小的数值。 在不使用“交错更新”的情况下，您的用户可以更快获享新推出的 Chrome 增强功能和服务。这样还能尽可能减少同时使用的版本数量，从而简化更新期间的变更管理。

不进行自动更新的其他时段

指定 Chrome 暂时停止自动检查更新的日期和时间。如果设备正在进行更新，Chrome 会暂时停止更新。您可以根据需要设置不进行自动更新的时段，时段数量不受限制。用户或管理员启动的手动更新检查在不进行自动更新的时段内不会被禁止。

注意：设置此策略可能会影响分阶段更新计划，因为设备无法在不进行自动更新的时段下载自动更新。

更新后自动重启

指定设备在更新后是否自动重启。如果将设备配置为自助服务终端，则会在更新后立即重启。否则，对于用户会话或受管理的访客会话，设备会在用户下次退出时自动重新启动。

• 允许自动重启 - 自动更新成功后，ChromeOS 设备会在用户下次退出时重新启动。
• 禁止自动重启 - 停用自动重启功能。

注意 ：对于用户会话，我们建议您同时设置重新启动通知用户政策，以便系统通知用户重启设备以获取最新更新。有关详情，请参阅重新启动通知。

通过移动数据网络进行更新

指定 ChromeOS 设备自动更新到 ChromeOS 新版本时可以使用的连接类型。默认情况下，设备仅会在连接到 Wi-Fi 或以太网时自动检查和下载更新。选择允许通过各种网络连接自动更新，包括移动数据网络后，设备在连接到移动网络时也会进行自动更新。

点对点

指定是否对 ChromeOS 更新载荷启用点对点服务。如果您选择允许点对点下载自动更新，设备将共享并试图使用 LAN 中的更新载荷，从而可能会减少互联网带宽使用量和拥塞度。如果 LAN 中没有更新载荷，设备将回退到从更新服务器下载。

强制更新

适用于 ChromeOS 86 版及更高版本的设备。

• 在以下时间段后，屏蔽设备和用户会话 - 适用于 ChromeOS 版本低于您所指定版本的设备。通过此设置，可指定在多长时间后将用户从设备上退出登录。请选择介于 1 周到 6 周之间的值。要立即将用户退出登录，直到设备完成更新，请选择无警告。
• 如果运行的版本低于以下版本 - 指定允许用户设备运行的最低 ChromeOS 版本。

  注意：如果您要确保用户收到重要的安全更新、问题修复和与贵组织相关的新功能，我们建议您采用此设置。

• “对于不再接收自动更新且尚未屏蔽的设备，将此期限延长至：”- 适用于不再接收自动更新且 ChromeOS 版本低于您指定的版本的设备。通过此设置，可指定在自动更新停止后，再经过多长时间后将用户从设备上退出登录。请选择介于 1 周到 12 周之间的值。要立即将用户退出登录，请选择无警告。

• 关于最后一次自动更新的消息 - 指定要在设备上显示给用户的消息，告知用户设备不再接收自动更新且 ChromeOS 版本低于您所指定的版本。请使用不带格式的纯文本，且不要使用任何标记。如果留空，则用户会看到默认消息。
  如要详细了解设备自动更新，请参阅自动更新政策。
  用户如何在自己的设备上看到该消息，取决于您在在以下时间段后，屏蔽设备和用户会话中指定的时长是否已结束：
  • 设备达到您指定的时间之前 - 用户登录后，会在 Chrome 管理页面看到该消息。
  • 设备达到您指定的时间之后 - 用户会在登录屏幕中看到该消息。此时设备已被屏蔽，用户无法登录。

下载更新

指定 ChromeOS 设备是通过 HTTP 还是 HTTPS 下载 ChromeOS 更新。

指定设备是否在延长的自动更新期限内收到更新。

ChromeOS 设备在设备平台首次发布后，会连续 10 年收到操作系统更新。但对于部分设备，您需要选择接受更新期限延长服务才能获得长达 10 年的支持。

如需了解详情，请参阅更新期限延长服务。

指定相关应用，它会防止设备更新到高于应用所指定版本的 ChromeOS 版本。

点击选择应用后，系统会打开 Chrome 应用商店，您可以在其中搜索并选择所需的应用。

阻止或允许自动启动的自助服务终端应用控制 ChromeOS 版本。

选择允许自助服务终端应用控制操作系统版本可阻止设备更新到高于应用所指定版本号的 ChromeOS 版本。

应用必须在清单文件中添加 "kiosk_enabled": true 并指定所需的 ChromeOS 版本 required_platform_version。清单文件中的更新最长可能需要 24 小时才能在设备上生效。如需了解如何在应用的清单文件中配置设置，请参阅允许自助服务终端应用控制 Chrome 版本。

仅适用于自动启动的自助服务终端应用。

通过此设置，您可以控制 Chrome 变体版本是完全启用、仅针对重要修复启用，还是在设备上停用。

通过使用变体版本，您只需有选择地启用/停用现有功能，即可在不推出新版浏览器的情况下对 Google Chrome 进行修改。

注意：我们不建议停用变体版本，因为停用可能导致 Google Chrome 开发者无法及时提供重要的安全修复程序。

有关详情，请参阅管理 Chrome 变体版本框架。

在 ChromeOS 自助服务终端设备关闭时发送电子邮件提醒和/或短信提醒。

要在 Chrome 自助服务终端设备关闭时接收提醒，请勾选通过电子邮件接收提醒或通过短信接收提醒复选框，或者同时勾选这两个复选框。

指定您希望用于接收状态更新的电子邮件地址和手机号码。

• 通过电子邮件获取更新 - 在接收提醒的电子邮件旁边，每行输入一个电子邮件地址。
• 通过短信获取更新 - 在用于接收提醒的手机号码旁边，输入手机号码，每行一个。

阻止 Chrome 浏览器用户在 ChromeOS 自助服务终端设备上访问特定网址。

屏蔽的网址

阻止 Chrome 浏览器用户访问特定网址。

要配置此设置，请逐行输入网址（最多 1000 个）。

例外的屏蔽网址

指定网址屏蔽名单的例外网址。

要配置此设置，请逐行输入网址（最多 1000 个）。

示例

指定为 ChromeOS 自助服务终端设备启用哪些虚拟键盘功能。

勾选相应复选框以选择您希望用户拥有的功能：

• 自动建议 - 使用自动更正或拼写检查功能自动更正字词，并在输入内容时显示建议的字词。
• 手写识别 - 读取用户的手写内容。用户可以直接在屏幕上书写内容，而不使用虚拟键盘。
• 语音输入 - 将语音转换为文字。在通常需要打字输入内容的位置，用户可以使用语音输入文字。

如要详细了解用户如何使用屏幕键盘，请参阅使用屏幕键盘。

注意：在配置自助服务终端的虚拟键盘功能设置前，请确保未关闭屏幕键盘。有关详情，请参阅自助服务终端屏幕键盘设置。

适用于自助服务终端模式的渐进式 Web 应用 (PWA)。

指定用户在自助服务终端会话期间可以在 ChromeOS 设备上选择的键盘语言。从列表中选择所需的语言，这些语言将按字母顺序添加到所选语言列表中。

管理用户在自助服务终端会话期间对自助服务终端问题排查工具的访问权限。

有关详情，请参阅排查 ChromeOS 自助服务终端设备问题。

我们不建议在生产设备上启用问题排查工具。如果您想启用这些工具，请为所需设备创建下级组织部门，然后应用设置。在生产环境中部署设备之前，请确保停用此设置。

定义可在自助服务终端会话中连接到具有特定供应商 ID 和产品 ID 的 USB 设备的网站。

系统会自动向客户端上的相应 Web 应用授予对这些设备的访问权限。

在 WebUSB API 允许访问的设备部分，执行以下操作：

1. 点击尚未配置任何 USB 设备旁边的 。
2. 输入网址格式，以指定将自动获得 USB 设备访问权限的网站。
3. 对于 VID-PID 下的每个网址，请输入相应的供应商 ID 和产品 ID。
4. 点击保存。

系统会将您在列表中指定的网址与请求网址的来源进行比对。网址格式中的路径会被忽略。如需详细了解有效网址格式，请参阅企业政策网址格式。

注意事项

• 所有设备和网址都必须有效，否则系统会忽略此政策。
• VID-PID 字段中的每个网址都可以添加供应商 ID 和产品 ID。如果您不添加供应商 ID，则此政策会匹配任何设备。如果您不添加产品 ID，则此政策会匹配拥有指定供应商 ID 的任何设备。
• 任何包含产品 ID 但没有供应商 ID 的政策都是无效的。
• 此政策会覆盖 WebUSB API 设置和用户的偏好设置。
• 此政策仅会对通过 WebUSB API 访问 USB 设备产生影响。若要通过 Web Serial API 授权访问 USB 设备，请参阅 SerialAllowUsbDevicesForUrls 政策。

您可以指定是否针对自助服务终端会话执行以网址为键的匿名化数据收集功能。

如果您为 ChromeOS 自助服务终端启用该设置，系统便会针对自助服务终端应用收集以网址为键的指标。如果未设置，则默认处于启用状态，用户无法更改。

控制 ChromeOS 自助服务终端设备上 Chrome 远程桌面会话中管理员的文件传输权限。

这样一来，管理员便可在排查问题时从设备下载日志，并将所需的任何数据上传到设备。

默认情况下，不允许文件传输。

如果您希望设备在合上机盖后进入休眠状态、关机或不执行任何操作，请选择此选项。

为接入交流电源的 ChromeOS 自助服务终端设备配置闲置超时的电源管理设置。

适用于使用交流电源供电的自助服务终端设备。

闲置超时（分钟）

指定自助服务终端设备在闲置多长时间后进入休眠状态、将用户退出登录或关机。输入分钟数。

要使用系统默认设置（具体设置因设备而异），请将此框留空。要禁止在设备进入闲置状态时执行任何操作，请选择闲置时执行的操作下方的不执行任何操作。

闲置警告超时（分钟）

指定设备在闲置多长时间后向当前用户显示提醒，告知其设备即将将其退出或关机。输入分钟数。

如果一律不显示闲置警告，请执行下列其中一项操作：

• 在闲置警告超时（分钟）字段，输入 0
• 在闲置时执行的操作下方，选择休眠
• 对于闲置时执行的操作，选择不执行任何操作。

要使用系统默认设置（具体设置因设备而异），请将闲置警告超时（分钟）复选框留空。

闲置时执行的操作

选择您希望设备在闲置时间达到上述时长后执行的操作：

• 睡眠 - 进入睡眠模式
• 退出 - 结束当前的自助服务终端会话
• 关机 - 关闭自助服务终端设备
• 不执行任何操作 - 不执行任何操作

屏幕调暗超时（分钟）

指定设备在闲置多长时间后屏幕变暗。输入分钟数。如果一律不调暗屏幕，请输入 0。要使用系统默认设置（具体设置因设备而异），请将此框留空。

屏幕关闭超时（分钟）

指定设备在闲置多长时间后屏幕关闭。输入分钟数。如果一律不关闭屏幕，请输入 0。要使用系统默认设置（具体设置因设备而异），请将此框留空。

为使用电池的 ChromeOS 自助服务终端设备配置闲置超时的电源管理设置。

适用于使用电池供电的自助服务终端设备。

闲置超时（分钟）

指定自助服务终端设备在闲置多长时间后进入休眠状态、将用户退出登录或关机。输入分钟数。

要使用系统默认设置（具体设置因设备而异），请将此框留空。要禁止在设备进入闲置状态时执行任何操作，请选择闲置时执行的操作下方的不执行任何操作。

闲置警告超时（分钟）

指定设备在闲置多长时间后向当前用户显示提醒，告知其设备即将将其退出或关机。输入分钟数。

如果一律不显示闲置警告，请执行下列其中一项操作：

• 在闲置警告超时（分钟）字段，输入 0
• 在闲置时执行的操作下方，选择休眠
• 对于闲置时执行的操作，选择不执行任何操作。

要使用系统默认设置（具体设置因设备而异），请将闲置警告超时（分钟）复选框留空。

闲置时执行的操作

选择您希望设备在闲置时间达到上述长度后执行的操作：

• 休眠 - 进入休眠模式
• 退出 - 结束当前的自助服务终端会话
• 关机 - 关闭自助服务终端设备
• 不执行任何操作 - 不执行任何操作

屏幕调暗超时（分钟）

指定设备在闲置多长时间后屏幕变暗。输入分钟数。如果一律不调暗屏幕，请输入 0。要使用系统默认设置（具体设置因设备而异），请将此框留空。

屏幕关闭超时（分钟）

指定设备在闲置多长时间后屏幕关闭。输入分钟数。如果一律不关闭屏幕，请输入 0。要使用系统默认设置（具体设置因设备而异），请将此框留空。

指定受管理的 ChromeOS 设备进入休眠和唤醒状态的每周时间表。当间隔时间开始时，设备会进入休眠状态；当间隔时间结束时，设备会唤醒。

对于运行 ChromeOS 125 或更高版本的设备。

注意事项

• 设置此政策之前，必须将电池自助服务终端电源设置和 AC 自助服务终端电源设置的闲置时执行的操作设置为不执行任何操作。如需了解详情，请参阅自助服务终端电源设置。
• 不支持间隔时间重叠的时间表。如果此政策包含任何两个重叠的间隔时间，则不会产生任何效果。
• 休眠模式时区与设备时区相同。
• 当设备处于睡眠模式时，其他预定操作（例如预定重启）会在设备唤醒后生效。

在 ChromeOS 自助服务终端设备上显示或隐藏无障碍功能菜单。

如果您选择在自助服务终端模式下显示悬浮式无障碍功能菜单，无障碍功能菜单就会始终在设备上显示。该菜单会显示在屏幕的右下角。为避免该菜单阻挡应用的内容（例如按钮），用户可以将菜单移至屏幕的任一角落。

即使选择了不在自助服务终端模式下显示悬浮式无障碍功能菜单，用户仍然可以使用快捷键启用无障碍功能，前提是您没有使用管理控制台停用个别无障碍功能设置，且相应的无障碍功能有操作快捷键。有关详情，请参阅 Chromebook 键盘快捷键。

注意：一般情况下，按下 Shift + Alt + L 快捷键后，系统会突出显示任务栏上的启动器按钮和内容。不过，在运行 Chrome 自助服务终端应用的设备上，系统会突出显示无障碍功能菜单。

指定 ChromeOS 自助服务终端设备能否大声朗读屏幕上的文字。

如有需要，用户还可以连接并设置盲文设备。有关详情，请参阅使用内置屏幕阅读器和将盲文设备与 Chromebook 搭配使用。

指定用户是否可以选择屏幕上的内容，由系统大声朗读特定文字。

当 ChromeOS 朗读所选字词时，每个字词都会突出显示。有关详情，请参阅让系统大声朗读文字。

此功能可更改字体和背景配色方案，让屏幕更易于阅读。

此功能可让用户依次按下快捷键组合中的每一个按键，而不必同时按下多个按键。例如，启用粘滞键后，要粘贴某项内容，用户可以先按 Ctrl 键再按 V 键，而不必同时按 Ctrl 键和 V 键。有关详情，请参阅使用键盘快捷键（一次按一个键）。

此功能可让用户不使用实体键即可输入字符。屏幕键盘通常用于具有触摸屏界面的设备，但也可以通过触控板、鼠标或外接的操纵杆来使用。有关详情，请参阅使用屏幕键盘。

指定用户能否使用语音（而非键盘）输入文字。

有关详情，请参阅使用语音输入文字。

指定当用户使用键盘在屏幕上浏览时，是否突出显示用户正在查看的对象。

这样，用户就可以确认自己在看屏幕上的什么位置。

启用此功能后，当用户在屏幕上编辑文本时，系统会突出显示文本插入符号（又称“光标”）周围的区域。

指定鼠标光标在屏幕上悬停时是否自动点击。

如果您选择允许自动点击，用户无需实际按下鼠标或触控板按钮。有关详情，请参阅自动点击 Chromebook 上的对象。

此功能可放大鼠标光标，使其在屏幕上更加显眼。

指定是否在鼠标光标周围显示彩色聚焦环，以便更加显眼。

将 ChromeOS 自助服务终端设备中的鼠标左右键的功能互换。

默认情况下，鼠标左键是主按钮。

此功能可让所有扬声器都播放同样的声音，这样用户就不会漏听立体声格式的内容。

指定用户能否在 ChromeOS 自助服务终端设备上使用无障碍功能键盘快捷键。

有关详情，请参阅 Chromebook 键盘快捷键。

为已注册的 ChromeOS 设备配置当前操作系统状态报告。

状态信息包括操作系统版本、启动模式和更新状态。您可以启用或停用所有操作系统信息报告，或选择自定义以选出要报告的信息。

如果您已为单位中受支持的设备启用了 Android 应用，则此设置不会影响 Android 日志记录或报告。

为已注册的 ChromeOS 设备配置当前硬件信息报告。

硬件信息包括重要的产品数据、系统信息和时区状态。您可以启用或停用所有硬件信息报告，或选择自定义以选出要报告的信息。

如果您已为单位中受支持的设备启用了 Android 应用，则此设置不会影响 Android 日志记录或报告。

硬件状态和网络接口选项仅适用于运行 ChromeOS 95 或更低版本的设备。

可指定已注册的 ChromeOS 设备是否报告与关键组件（例如 CPU、内存、存储和显卡）状态相关的遥测数据。

您可以启用或停用所有遥测信息报告，或选择自定义以选出要报告的信息。

如果您已为单位中受支持的设备启用了 Android 应用，则此设置不会影响 Android 日志记录或报告。

指定是否跟踪设备的近期用户。

默认情况下，启用近期用户跟踪处于选中状态。此外，如果用户数据设置设为清除所有本地用户数据（当用户退出账号时清除设备上的所有用户数据），此设置将被忽略。请参阅用户数据。

可指定处于自助服务终端模式下的已注册 ChromeOS 设备是否报告其会话状态。

可指定处于自助服务终端模式下的已注册 ChromeOS 设备是否报告自助服务终端应用的相关信息。

可指定已注册的 ChromeOS 设备是否跟踪打印任务和打印功能使用情况。

如需了解详情，请参阅查看打印报告。

可指定 ChromeOS 发送设备状态上传内容的频率（以分钟为单位）。允许的最低频率为 60 分钟。

配置非活动设备报告。

非活动设备通知报告

获取有关您网域中非活动设备的电子邮件报告。报告包含以下内容：

• 您网域中所有非活动设备（在非活动状态时间范围指定的时间之后尚未同步的设备）的信息
• 每个组织部门中非活动设备的总数（包括新增的非活动设备数量）。
• 各设备详细信息的链接。详细信息包括单位部门、序列号、资产 ID 等；如果新增的非活动设备数量低于 30，则还包括上次同步日期。

注意：报告中的部分信息最长可能会延迟 1 天才显示。例如，如果某台设备在过去 24 小时内进行了同步，但之前处于非活动状态，那么即使该设备当前处于活动状态，也仍然可能显示在非活动设备列表中。

非活动状态时间范围（天数）

如果某一设备未向管理服务器登记的时间超过您指定的天数，那么该设备就处于非活动状态。您可以将天数设置为任何大于 1 的整数。

例如，如果您要将过去一周内未同步的所有设备标为非活动状态，请在非活动状态时间范围（天数）旁边输入 7。

通知频率（天数）

如要指定发送非活动通知报告的频率，请在通知频率字段中输入天数。

接收通知报告的电子邮件地址

如要指定用于接收通知报告的电子邮件地址，请输入地址（每个地址占用 1 行）。

控制 ChromeOS 设备在系统或浏览器进程崩溃时是否向 Google 发送使用情况统计信息和崩溃报告。

使用情况统计信息包含偏好设置、按钮点击次数和内存使用情况等汇总信息。其中不包括网页网址或任何个人信息。崩溃报告包含崩溃时的系统信息，也可能会包含相关的网页网址或个人信息，具体取决于崩溃时的情况。

如果您已为单位中受支持的设备启用 Android 应用，则此政策也可控制 Android 使用情况和诊断信息数据收集功能。

控制 ChromeOS 设备是否将系统日志发送到管理服务器以供您监控。

默认设置为停用设备系统日志上传。

指定用户能否使用系统跟踪服务来收集系统级性能跟踪记录。

默认设置为禁止用户收集系统级跟踪记录。此设置只会停用系统级跟踪记录收集功能；浏览器跟踪记录收集功能不受影响。

指定 ChromeOS 设备是否发送 XDR 事件。

扩展检测和响应 (XDR) 系统可以通过监控进程、网络和其他安全相关事件，帮助您识别受管设备组中的一系列可疑活动。

如果您选择报告扩展检测和响应 (XDR) 事件的相关信息，则已注册的设备会向您的提供程序报告与 XDR 事件相关的信息。

XDR 事件不会显示在管理控制台中。为确保 XDR 事件报告给提供程序，请先设置 XDR 提供程序配置，然后再开启此设置。有关详情，请访问 为 ChromeOS 设备设置 XDR。

指定是否允许企业扩展程序使用 chrome.systemLog API 将日志添加到系统日志文件。 

这些日志有助于更快速、更轻松地进行调试，会保留一段有限的时间。默认情况下，停用企业扩展程序系统日志记录处于勾选状态。这表示，一个会话结束后，其日志不会被存储下来。

可以勾选启用企业扩展程序系统日志记录，以使用 chrome.systemLog API 将日志临时存储在系统日志文件中。

我们建议您仅出于调试目的而开启此设置，并在调试完成后将其关闭

通过此设置，您可以设置设备显示器的分辨率和缩放比例。

外部显示器设置会应用于已连接的显示器。如果显示器不支持指定的分辨率或缩放比例，此设置便不适用。

允许用户更改

默认情况下，允许用户更改预定义的显示器设置（推荐）处于选中状态。用户可以更改显示器的分辨率和缩放比例，但在下次重新启动时，这些设置会恢复为默认设置。如需禁止用户更改显示器设置，请选择不允许用户更改预定义的显示器设置。

外部显示器分辨率

默认情况下，系统会选择始终使用本机显示器分辨率 - 系统会忽略在外部显示器宽度和外部显示器高度字段输入的值，并将外部显示器设置为使用本机分辨率。

如果您选择使用自定义分辨率，则系统会为所有外部显示器应用自定义分辨率。如果自定义分辨率不受支持，则会还原为本机显示器分辨率。

外部显示器缩放比例（百分数）

指定连接到 ChromeOS 设备的外部显示器的缩放比例。

内部显示器缩放比例（百分数）

指定 ChromeOS 设备的内部显示器缩放比例。

在登录屏幕上为 ChromeOS 设备配置休眠或关机。

用作自助服务终端的设备可使用此设置，以确保设备始终处于屏幕显示状态。

指定 ChromeOS 设备在多少天后重启。

有时，设备可能不会在当天的同一时间重启，或者可能会推迟到用户下一次退出账号时再执行此操作。如果有会话正在运行，系统会给予最长 24 小时的宽限期。

Google 建议您将自助服务终端应用配置为定期关闭，以让应用或设备重启。

此设置目前仅适用于显示登录屏幕的自助服务终端设备

控制用户关闭 ChromeOS 设备的方式。

您可以选择：

• 允许用户使用关机图标或物理电源按钮关闭设备 -（默认）用户可以通过设备上的按钮、键盘、鼠标或屏幕关闭设备。
• 仅允许用户使用物理电源按钮关闭设备 - 用户无法通过键盘、鼠标或屏幕关闭设备，而只能使用设备上的按钮关闭设备。

此设置可能适用于特定部署情况，例如将 ChromeOS 设备用作自助服务终端或数字标牌。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

配置主要的电池充电模式。

包括以下选项：

• 标准模式 - 以标准速率将电池充满
• 自动调节模式 - 基于标准使用模式自动优化充电速率
• 快速充电模式 - 缩短充电时间
• 主要使用交流电 - 主要通过交流电充电来延长电池寿命
• 自定义模式 - 允许根据电量百分比输入开始和停止充电的时间

注意：您无法在使用高级充电电池模式设置的同时使用此设置。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

通过每天只充满电一次来延长电池续航时间。

电池在当日首次充满电之后，就会在其余时间中保持低速充电状态（这样有利于储电），即使系统接入直接电源也是如此。

如果启用高级充电电池模式，请输入每日的开始和结束时间。

注意：在结束时间前最后 1.5 小时内，设备可能会阻止电池充电，以进入低速充电状态。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

指定关机的设备在连接到交流电源时是否会自动开机。

注意：如果 Chromebook 设备已连接到接通电源的 Dell WD19 坞站，则即使停用此设置，该设备也会开机。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

指定在 Chromebook 关机且接通电源时，USB 端口是否为其他设备（如手机）充电。

当 Chromebook 处于睡眠模式时，用户可通过任一 USB 端口为其他设备充电。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

指定是否要在用户退出登录后强制重新启动设备。默认情况下，不在用户退出登录后重新启动处于选中状态。

仅适用于独立用户。

您可以指定在一天中的哪个时段、以何种频率（每日、每周或每月）、在每周或每月的哪一天重启设备。时间表基于设备的时区设置。

在用户会话或受管理的访客会话中：

• 系统会依照排定的时间提前 1 小时向用户发出设备重启通知。用户可以选择立即重启设备，也可以等待设备在排定的时间重新启动，但无法推迟已排定的重新启动。
• 设备启动后会有 1 小时的宽限期。系统会跳过安排在此宽限期内的重新启动，并会重新安排到次日、下周或下月（具体取决于设置）进行。

默认设置为停用定时重新启动。

Google 建议您将应用配置为定期关闭，以让应用或设备重启。举例来说，您可以将设备设为在每周一凌晨 2:00 关闭。

管理非关联用户对虚拟机的访问权限，以便支持 Linux 应用。

该设置会应用于新启动的 Linux 容器，而不会应用于已在运行中的容器。 默认设为禁止没有关联的用户使用所需的虚拟机来运行 Linux 应用，并且无关联的用户无法使用虚拟机运行 Linux 应用。

如果您选择允许没有关联的用户使用所需的虚拟机来运行 Linux 应用，那么所有无关联的用户都可以使用 Linux 虚拟机。

要为关联用户启用该服务，请在“用户和浏览器”页面中选择允许用户使用所需的虚拟机来运行 Linux 应用。有关详情，请参阅无关联用户能否使用 Linux 虚拟机（Beta 版）。

注意：对于个人用户版 ChromeOS 设备，此功能已不是 Beta 版。对于受管设备和用户，此功能仍是 Beta 版。

在 ChromeOS 设备上控制对来源不受信任的 Android 应用的使用。

此设置不适用于 Google Play。

• 禁止此设备的用户使用 ADB 旁加载 - 默认设置为禁止设备使用来源不受信任的 Android 应用。这不会强制用户将其 Chromebook 恢复到出厂状态。
• 禁止此设备的用户使用 ADB 旁加载；如果先前已启用旁加载，就对设备强制执行 Powerwash - 禁止设备使用来源不受信任的 Android 应用；如果先前已启用旁加载，就强制用户将其 Chromebook 恢复到出厂状态。
• 允许此设备的关联用户使用 ADB 旁加载 - 允许此设备的关联用户使用来源不受信任的 Android 应用。您还必须启用来源不受信任的 Android 应用的用户设置。有关详情，请参阅来源不受信任的 Android 应用。

此政策允许您指定通过 DHCP 请求传递到 DHCP 服务器的主机名。

如果已将此政策设为一个非空字符串，则该字符串将会用作 DHCP 请求中的设备主机名。

该字符串可以包含 ${ASSET_ID}、${SERIAL_NUM}、${MAC_ADDR}、${MACHINE_NAME} 和 ${LOCATION} 变量。系统会将这些变量替换为设备上的相应值，替换后的字符串应是有效的主机名（符合 RFC 1035 第 3.1 节中的规定）。

如果此政策未设置，或替换后的值不是有效的主机名，系统将不会在 DHCP 请求中使用任何主机名。

设置要传递到打印任务中的互联网打印协议 (IPP) 打印目的地的 client-name 值。

为 client-name 属性添加模板后，系统会向提交到 IPP 打印机的打印任务发送额外的 client-info 值。您添加的 client-info 值的 client-type 成员会设置为 other。添加的 client-info 值的 client-name 成员会设置为替换占位变量后的政策值。

支持的占位变量包括：

• ${DEVICE_DIRECTORY_API_ID}
• ${DEVICE_SERIAL_NUMBER}
• ${DEVICE_ASSET_ID}
• ${DEVICE_ANNOTATED_LOCATION}

不支持的占位变量不会被替换。client-name 值不得超过 127 个字符。

有效值包括：

• 英语字母表的小写字母和大写字母
• 数字
• 英文破折号 (-)
• 英文句点 (.)
• 下划线 (_)

如果此政策留空或添加无效值，系统将不会向打印任务请求中添加额外的 client-info 值。

有关详情，请参阅查看 ChromeOS 设备详细信息。

仅当与打印机的连接处于安全状态（ipps:// URI 架构）且提交打印任务的用户已被关联时，才会生效。仅适用于支持 client-info 的打印机。

为 ChromeOS 设备配置时区设置。

系统时区

指定要为用户设备设置的时区。

系统时区自动检测

选择以下一个选项，指定设备检测和设置当前时区的方式：

• 让用户决定 - 用户可以使用标准的 Chrome 日期和时间设置来控制时区。
• 一律不自动检测时区 - 用户必须手动选择时区。
• 一律使用粗略式时区检测方式 - 系统将使用设备 IP 地址来设置时区。
• 解析时区时一律将 WiFi 接入点发送到服务器 - 系统会使用设备连接的 Wi-Fi 接入点位置来设置时区（最准确）。
• 发送所有位置信息 - 系统会使用位置信息（如 Wi-Fi 接入点和 GPS）来设置时区。

指定用户能否使用其他运营商的移动网络上网。

如果您选择允许移动数据漫游，用户需要在设备上允许移动数据漫游，并且可能需要支付费用。

相关主题： 连接到移动数据网络

指定应用（例如 Citrix Receiver）可以直接访问的一系列 USB 设备。

您可以列出各种设备，例如键盘、签名板、打印机、扫描仪，以及其他 USB 设备。

要将设备添加到列表，请以冒号分隔的十六进制数对的形式 (VID:PID) 输入 USB 供应商标识符 (VID) 和商品标识码 (PID)。每个设备需占用一行。例如，要列出 VID 为 046E，PID 为 D626 的鼠标，以及 VID 为 0404，PID 为 6002 的签名板，请输入：

046E:D626
0404:6002

控制 ChromeOS 设备上的数据访问保护。

某些外围设备（包括某些 Thunderbolt 或 USB4 基座、显示屏和连接器线缆）会要求用户停用数据访问保护，以便其能够正常或高效运行。

默认情况下，系统会为已注册的 ChromeOS 设备启用外围设备数据访问保护，而这会限制外围设备的性能。选择停用数据访问保护有助于外围设备提升性能，但可能会导致个人数据因被未经授权使用而泄露。

在 ChromeOS 设备上开启或关闭蓝牙。

如果您将此政策从停用蓝牙功能更改为不停用蓝牙功能，则需要重启设备才能使更改生效。

如果您将政策从不停用蓝牙功能更改为停用蓝牙功能，则更改会立即生效，而且您无需重启设备。

列出 ChromeOS 设备获准连接的蓝牙服务。如果留空，则表示用户可以连接到任何蓝牙服务。

此设置可以控制设备级别带宽的用量。

1. 选择启用网络节流功能。
2. 指定下载和上传速度（单位为 kbps）。您可以指定的速度下限为 513 kbps。

设备上的所有网络接口（包括 Wi-Fi、以太网、USB 以太网转接器、USB 移动网络加密狗和 USB 无线网卡）都将启用节流功能。所有网络流量也会启用节流功能，包括操作系统更新。

适用于在自助服务终端模式、受管理的访客会话模式或用户模式下，运行 Chrome 56 及更高版本的设备

配置 TPM 固件更新行为。

要了解用户要如何安装固件更新，请参阅更新 Chromebook 的安全功能。

安装 TPM 固件更新可能会清空设备并将其恢复为出厂设置，尝试安装更新操作重复失败可能会导致设备无法使用。

指定是否可以利用通过了身份验证的互联网代理服务器传送系统流量。

默认情况下，会禁止系统利用通过了身份验证的代理服务器传送系统流量。

如果您选择允许利用通过了身份验证的代理传送系统流量，则代理服务器会要求通过服务帐号凭据（用户名和密码）进行身份验证以访问互联网。这些凭据仅适用于系统流量，浏览器流量仍会要求用户使用自己的凭据通过代理的身份验证。

注意：只有 HTTPS 系统流量可以利用通过了身份验证的代理传送。这会影响依靠 HTTP 进行 ChromeOS 更新的用户。如果您的网络不支持通过 HTTPS 进行 ChromeOS 更新，请务必将下载更新设置为允许通过 HTTP 进行更新。这样更新就不会经由代理。有关详情，请参阅下载更新。

设置扩展坞连接到 Chromebook 时使用的 MAC 地址。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

配置 Dell SupportAssist 程序。

要了解 Dell SupportAssist 的相关信息，请前往 Dell 支持。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

指定登录屏幕中显示的时钟格式，以及 ChromeOS 设备中受管理的访客会话的时钟格式。

默认设置是根据当前语言自动设置。您还可以将时钟设置为 12 小时制或 24 小时制。用户可以随时更改自己帐号的时钟格式。

设置缓存大小（以字节为单位），用于存储多位用户要在同一设备上安装的应用和扩展程序。

这意味着无需为每位用户重新下载每个应用和扩展程序。

如果设置的大小小于 1 MB 或未设置，ChromeOS 会使用默认大小（256 MiB）。

指定是否可以从 Google 服务器下载硬件配置文件。

硬件配置文件可能包括用来提高外接显示器显示质量的 ICC 显示器配置文件。默认设置为允许下载硬件配置文件。

在磁盘可用空间不足时显示或隐藏通知。

此设置适用于相应设备上的所有用户。

默认值为磁盘空间不足时，不显示相关通知。

• 如果设备不受管理或者只有一位用户，那么系统会忽略此政策并始终显示通知。
• 如果受管设备上有多个用户账号，那么只有在您选择在磁盘空间不足时显示通知时，系统才会显示通知。

指定用户能否捕获其设备上的互联网协议 (IP) 数据包以供审核或分析。

指定当有多份有效证书时，用户是否必须在登录屏幕上选择一个客户端证书。

如果您选择提示用户做出选择，并且已在单点登录客户端证书设置中输入一系列网址格式，那么只要有多份证书与自动选择政策匹配，系统就会要求用户选择客户端证书。有关详情，请参阅单点登录客户端证书。

如果使用了 PIV 卡，您可以设置 DriveLock 智能卡中间件 (CSSI) 应用参数 filter_auth_cert，以自动过滤身份验证证书。有关详情，请参阅登录时自动选择证书。

注意：由于用户可能对证书选择机制了解有限，因此我们建议仅出于测试目的或当您无法在单点登录客户端证书设置中正确配置过滤器时，才使用当登录屏幕上有多份证书匹配时，提示用户做出选择设置。

如果支持，则控制 ChromeOS 上 dm-crypt 用户主目录的用户存储加密的 AES Key Locker 实现。

适用于使用 dm-crypt 进行加密的用户主目录。不使用 dm-crypt 的旧版用户主目录不支持 AES Key Locker，因此默认使用 AESNI。

默认情况下，请勿将 Key Locker 与加密算法一起用于用户存储空间加密处于选中状态。dm-crypt 用户主目录的用户存储加密默认使用 AESNI。

启用或停用国际键盘快捷键映射。

默认设置为国际键盘快捷键映射到键盘上的按键位置（而非按键的字形）。这样可以让键盘快捷键的运行方式契合国际键盘布局，并弃用旧版快捷键。

注意：此政策在自定义键盘快捷键推出后将被弃用。

指定无关联的用户是否可在受管理的 ChromeOS 设备上使用 Android 应用。

只有当 Android 应用未运行时，对这项设置的更改才会应用于受管理的 ChromeOS 设备。例如，在启动 ChromeOS 时。

要了解如何在 ChromeOS 设备上安装 Android 应用，请参阅为使用 ChromeOS 设备的受管理用户部署 Android 应用。

指定为 ChromeOS 设备设置的默认键盘背光颜色。

控制 ChromeOS 设备上的电量不足声音通知。

如果未接通电源，设备会在以下情况下播放警告提示音：

• 剩余使用时长降至 15 分钟。
• 剩余使用时长降至 5 分钟。

注意：如果连接到低功耗充电器，设备会在电池电量降到 10% 时播放警告提示音，然后在电池电量降到 5% 时再次播放警告提示音。

从以下选项中选择一项：

• 启用电量不足提示音 - 设备会在电量不足时播放声音通知。如果您启用了此政策，则用户无法将其停用。
• 停用电量不足提示音 - 设备不会播放电量不足警告的声音通知。如果您停用此政策，则用户无法将其启用。
• 允许用户决定 - 最初，系统会为现有用户停用电量不足提示音，为新用户启用电量不足提示音，但任何用户都可以随时启用或停用提示音。

控制 ChromeOS 设备连接到墙壁电源插座时电池充电提示音。

当电池电量达到以下阈值时，播放略有不同的提示音：

• 0-15% 为低
• 16-79%（中）
• 80-100%（高）

从以下选项中选择一项：

• 启用充电提示音 - 当充电器连接到墙壁电源插座时，设备会播放声音通知。如果您启用了此政策，则用户无法将其停用。
• 停用充电提示音 - 当充电器连接到墙壁电源插座时，设备不会播放声音通知。如果您停用此政策，则用户无法将其启用。
• 允许用户决定 - 设备最初会停用充电提示音，但用户可以随时启用或停用提示音。

控制 ChromeOS Flex 设备是否向 Google 发送其他硬件数据。

这些硬件数据用于对 ChromeOS 和 ChromeOS Flex 进行整体改进。例如，我们可以根据中央处理器 (CPU) 分析崩溃事件的影响，或者根据共用同一个组件的设备数量来确定 bug 修复优先级。

您启用此设置后，ChromeOS Flex 设备会共享其他硬件详细信息。如果您关闭此设置，设备只会共享标准硬件数据。

控制是否使用硬件加速解码视频。

硬件加速功能可将视频解码从中央处理器 (CPU) 分流到图形处理单元 (GPU)，从而加快视频处理速度，提高处理效率，并降低功耗。

默认情况下，此设置处于开启状态，这意味着视频解码会进行硬件加速（如果可用）。如果您关闭此设置，视频解码将永远无法进行硬件加速。

注意：我们不建议您关闭此设置，否则会增加 CPU 负载，这反过来会对设备性能和耗电量产生负面影响。

不适用于通过 Active Directory 管理的 ChromeOS 设备。

控制用户是否可以通过按住启动器键或搜索键来更改功能键的行为。

选择一个选项：

• 允许用户决定 - 让用户选择是要允许还是禁止使用启动器键或搜索键更改功能键的行为。
• 允许使用启动器键/搜索键更改功能键的行为 - 可以使用启动器键或搜索键更改功能键的行为。用户无法更改此设置。
• 禁止使用启动器键/搜索键更改功能键的行为 - 无法使用启动器键或搜索键更改功能键的行为。用户无法更改此设置。

配置 Native Client (NaCl) 是否继续在受管设备（包括自助服务终端会话）上运行。

默认情况下，NaCl 处于关闭状态。如果您希望 NaCl 继续运行，请选择允许 Native Client 运行，即使它默认处于停用状态。

注意：

1. 首次开启此设置后，需要重新启动设备。否则，依赖 NaCl 的应用可能无法正常运行，直到设备重启为止。
2. 未来，受管设备上的 NaCl 支持将被弃用。所有使用 NaCl 的 Chrome 应用都需根据 WebAssembly 迁移指南和 ChromeOS 发布时间表迁移至 WebAssembly (WASM)。非受管设备不再支持 NaCl。

通过此设置，企业移动管理 (EMM) 合作伙伴能以编程方式访问并管理设备政策、获取设备信息并发出远程命令。

合作伙伴可使用这种访问权限功能将 Google 管理控制台功能集成到 EMM 控制台中。

启用合作伙伴访问权限后，您的企业移动管理 (EMM) 合作伙伴就能够管理单个 ChromeOS 设备，这意味着他们不再需要通过管理控制台组织部门结构来管理设备，而是可以使用 EMM 控制台中配置的结构进行管理。

您无法同时使用合作伙伴访问权限和管理控制台为同一设备设置相同的政策。使用合作伙伴访问权限控制功能配置的设备级政策优先于在管理控制台中设置的政策。要在单位部门层级为设备强制启用政策，您需要选择停用“Chrome 管理 - 合作伙伴访问权限”。

相关主题：使用 EMM 控制台管理 ChromeOS 设备

此设置目前不适用于教育版

指定 ChromeOS 是否在传输层安全协议 (TLS) 中提供后量子密钥协议算法。

该算法为 ML-KEM（NIST 后量子标准）或 Kyber（该标准的早期草案迭代版本），具体取决于 ChromeOS 版本。借助 TLS 连接中的后量子密钥协议，支持该协议的服务器可以保护用户流量免遭量子计算机解密。 如需了解详情，请参阅 TLS 和 SSL 连接。

Kyber 向后兼容，这意味着现有的 TLS 服务器和网络中间件预计会忽略这个新选项，并继续选择以前的选项。

注意：必须正确实现 TLS。否则，在提供新选项后，设备可能会发生故障。例如，当遇到无法识别的选项或产生较长的消息时，这些设备可能会断开连接。此类设备不支持后量子，可能会干扰企业的后量子转换。遇到这种情况的管理员应与其供应商联系以寻求解决方案。

从下列选项中选择一项：

• 使用默认的 Chrome 设置 - 这是默认设置。ChromeOS 会按照默认发布流程在 TLS 连接中提供后量子密钥协议。
• 允许在 TLS 连接中使用后量子密钥协议 - ChromeOS 会在 TLS 连接中提供后量子密钥协议。用户流量可免遭量子计算机解密。
• 不允许在 TLS 连接中使用后量子密钥协议 - ChromeOS 不会在 TLS 连接中提供后量子密钥协议。用户流量不会免遭量子计算机解密。

注意：此设置优先于用户和浏览器设置页面上的后量子 TLS 设置。

这是一项临时性政策，会在 Google ChromeOS 的未来版本中移除。您可以开启此设置以测试是否存在问题，并在解决问题期间将其关闭。