设置 ChromeOS 设备政策

通过此设置，用户可以根据需要将其 Chromebook 恢复到出厂状态。

默认设置为允许触发 Powerwash。

有一种例外情况，在这种情况下，即使您选择不允许触发 Powerwash，用户仍可触发 Powerwash。即当您已允许用户在设备上安装可信平台模块 (TPM) 固件更新，但固件尚未更新时。执行更新后可能会清空设备并将其重置为出厂设置。如需了解详情，请参阅 TPM 固件更新。

通过此设置，Web 服务可以请求证明其客户端运行的是未经修改且符合政策（如果管理员要求，则在安全模式中运行）的 ChromeOS 设备。该设置包含以下控制选项：

• 对内容保护功能启用此设置 - 确保贵组织中的 ChromeOS 设备将使用唯一的密钥（可信平台模块）向内容提供方验证身份。此外，还能确保 Chromebook 可以向内容提供方证明当前设备正在启动时验证模式中运行。
• 停用内容保护功能 - 如果停用此设置，您的用户可能无法查看部分高品质内容。

管理员如要了解详情，请参阅为 ChromeOS 设备启用“已验证的访问权限”。开发者如要了解详情，请参阅 Google Verified Access API 开发者指南。

• 已验证的访问权限要求以已验证模式启动 - 只有设备在“启动时验证”模式中运行时，设备验证才能成功。在开发模式中运行的设备一律无法通过“已验证的访问权限”检查。
• 已验证的访问权限不要求进行启动模式检查 - 允许在开发模式中运行的设备通过“已验证的访问权限”检查。
• 拥有完整访问权限的服务 - 列出拥有 Google Verified Access API 完整访问权限的服务帐号（在 Google Cloud Platform Console 中创建）的电子邮件地址。
• 访问权限受限的服务 - 列出拥有 Google Verified Access API 受限访问权限的服务帐号（在 Google Cloud Platform Console 中创建）的电子邮件地址。

管理员如要了解详情，请参阅为 ChromeOS 设备启用“已验证的访问权限”。开发者如要了解详情，请参阅 Google Verified Access API 开发者指南。

控制设备因丢失或被盗而停用时屏幕上的自定义文字。我们建议您在消息中加入归还地址和联系电话号码。这样一来，看到此屏幕的任何人都可以将设备归还给贵组织。

指定用户能否在配备 Titan M 安全芯片的设备上使用双重身份验证 (2FA)。

控制是否允许在受管理的 ChromeOS 设备上以访客身份浏览。如果您选择允许使用访客模式，则主登录屏幕会向用户提供以访客身份登录的选项。如果您选择停用访客模式，则用户必须使用 Google 帐号或 Google Workspace 帐号登录。贵单位的政策不会应用于采用访客模式登录的用户。

对于中小学校 (K-12) 的教育网域，默认设置为停用访客模式。

对于其他所有网域，默认设置为允许使用访客模式。

借助此设置，您可以管理哪些用户能登录 ChromeOS 设备。

注意：如果您允许使用访客浏览模式或受管理的访客会话，那么无论您选择哪种设置，用户都可以使用设备。

选择一个选项：

• 仅限列表中的用户登录 - 只有您指定的用户才能登录设备。其他用户在登录时会收到错误消息。输入您要指定的用户，每个用户各占一行：
  • 要允许所有用户登录 - 请输入 *@<示例>.com。设备上的“添加用户”按钮始终可用。
  • 要仅允许特定用户登录 - 请输入 <用户 ID>@<示例>.com。当所有指定的用户都已登录设备后，“添加用户”按钮将不再可用。
• 允许任何用户登录 - 任何拥有 Google 帐号的用户都可以登录设备。登录屏幕上的“添加用户”按钮可供您使用。
• 不允许任何用户登录 - 用户无法使用其 Google 帐号登录设备。“添加用户”按钮将无法使用。

借助此设置，您可以选择要在登录页面向用户显示的域名，以便用户在登录时无需输入用户名的 @<域名>.com 部分。

要启用此设置，请从列表中选择使用如下设置的域名在登录时自动填充，然后输入您的域名。

指定 ChromeOS 设备的登录屏幕是否会显示已登录设备的用户的用户名和照片。

在登录屏幕上显示用户的用户名和照片可让用户快速启动会话，且最适合大多数部署。我们建议您在极少情况下有选择地更改此设置，确保获得最佳用户体验。

• 总是显示用户名和照片 - 允许用户在登录屏幕上选择自己的用户帐号（默认）。

• 从不显示用户名和照片 - 禁止在登录屏幕上显示用户帐号。每次登录设备时，用户均须输入其 Google 帐号的用户名和密码。如果您为设备设置了 SAML 单点登录 (SSO)，并将用户直接转到 SAML 身份提供商 (IdP) 页面，那么 Google 就会将用户重定向到 SSO 登录页面（用户无需输入其电子邮件地址）。

  注意：如果用户已注册两步验证，则在每次登录设备时，系统都会提示其执行第二道验证步骤。

设置每周时间表，指定访客浏览和登录限制设置何时不适用于代管式 ChromeOS 设备。

举例来说，学校管理员可以在上课时段禁止访客浏览内容，或者仅允许用户使用以“@<学校域名>.edu”结尾的用户名登录。用户可以在非上课时段以访客模式浏览内容，或使用“@<学校域名>.edu”以外的帐号登录自己的设备。

此设置用于将登录屏幕上的默认壁纸替换成您自行指定的壁纸。您可以上传 JPG 格式（.jpg 或 .jpeg 文件）的图片，图片不能超过 16 MB。不支持其他文件类型。

指定已注册的 ChromeOS 设备是否会在每次用户退出后删除本地存储的所有设置和用户数据。设备同步的数据会保留在云端，但不会保留在设备中。如果您将此选项设置为清除所有本地用户数据，则用户可使用的存储空间仅限设备 RAM 容量的一半。如果此政策与受管理的访客会话同时设置，则系统不会缓存会话名称或头像。

注意：默认情况下，ChromeOS 设备会加密所有用户数据，并在多位用户共用时自动清理磁盘空间。此默认操作最适合大多数部署，并能确保数据安全和最佳用户体验。我们建议您尽量不要启用清除所有本地用户数据，如有需要，请有选择地启用。

设备必须具备 SAML 单点登录功能。请参阅为 ChromeOS 设备配置 SAML 单点登录。

如果要让单点登录 (SSO) 用户能够直接跳转到 SAML 身份提供方 (IdP) 页面，而不必先输入他们的电子邮件地址，您可以启用单点登录 IdP 重定向设置。

设备需要配置 SAML 单点登录。请参阅为 ChromeOS 设备配置 SAML 单点登录。

指定单点登录 (SSO) 用户是否可以在后续设备登录中登录使用相同身份提供方 (IdP) 的内部网站和云服务。SAML 单点登录 Cookie 始终会在首次登录时进行传递。

要在后续登录中传递 Cookie，请选择允许在登录过程中将 SAML SSO Cookie 转移到用户会话中。如果您还为贵组织中受支持的设备启用了 Android 应用，则 Cookie 不会传递到 Android 应用。

设备需要配置 SAML 单点登录。请参阅为 ChromeOS 设备配置 SAML 单点登录。

重要提示：启用此政策，即表示您代第三方服务的用户授权第三方服务使用用户的相机。请务必为用户提供适当的同意书，因为如果通过此政策授予权限，系统不会向最终用户显示任何同意书。

指定允许在 SAML 单点登录 (SSO) 流程中直接访问用户相机的第三方应用或服务。配置此设置后，第三方身份提供方 (IdP) 便可为 ChromeOS 设备引入新形式的身份验证流程。

要将 IdP 加入许可名单，请输入各项服务的网址，每个网址各占一行。

如需了解如何为贵组织设置 Clever 徽章，请访问 Clever 支持网站。

设备必须具备 SAML 单点登录功能。请参阅为 ChromeOS 设备配置 SAML 单点登录。

通过此设置，您可以控制单点登录 (SSO) 网站的客户端证书。

您可以用 JSON 字符串的形式输入网址格式列表。之后，如果有格式相符的 SSO 网站要求客户端证书，那么在已安装有效设备级客户端证书的情况下，Chrome 会自动为该网站选择证书。

如果要求证书的网站不符合任何格式要求，Chrome 就不会提供证书。

如何设置 JSON 字符串格式：

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}

ISSUER/CN 参数（上述证书颁发者名称）可指定证书认证机构 (CA) 的通用名称，而系统自动选择的客户端证书必须将其作为颁发者。如果您希望 Chrome 选择任一 CA 颁发的证书，请输入 “filter”:{} 以将此参数留空。

示例：

{"pattern":"https://[*.]ext.example.com","filter":{}}, {"pattern":"https://[*.]corp.example.com","filter":{}}, {"pattern":"https://[*.]intranet.usercontent.com","filter":{}}

借助此设置，您可以控制登录屏幕上的无障碍设置。无障碍设置包括大号光标、语音反馈和高对比度模式。

• 退出时关闭登录屏幕上的无障碍设置 - 在登录屏幕出现或用户在登录屏幕上停止操作一分钟后，无障碍设置即会恢复为默认设置。
• 允许用户控制登录屏幕上的无障碍设置 - 恢复用户之前在登录屏幕上的无障碍设置（启用或停用），即使设备重启也是如此。

指定 ChromeOS 设备的登录屏幕以哪种语言显示。您也可以允许用户选择语言。

指定允许在 ChromeOS 设备的登录屏幕上使用哪种键盘布局。

指定在登录屏幕上的 SAML 身份验证过程中，哪些网址有权对设备执行已验证的访问权限检查。

具体而言，如果某个网址与此处输入的格式之一匹配，该网址就可以接收 HTTP 标头（包含对远程认证质询的响应），以认证设备身份和设备状态。

如果您未在允许的 IdP 重定向网址字段中添加网址，则不允许任何网址在登录屏幕上使用远程认证。

网址必须采用 HTTPS 架构，例如 https://example.com。

如需了解有效网址格式，请参阅企业版政策网址格式。

指定用户能否选择在登录屏幕上显示设备系统信息（例如 ChromeOS 版本或设备序列号），或指定系统信息是否始终默认显示。

默认设置为允许用户通过按 Alt + V 在登录屏幕上显示系统信息。

仅限支持一体化隐私保护电子屏幕功能的 ChromeOS 设备。

指定隐私保护屏幕功能在登录屏幕上是否始终处于启用或停用状态。您可以启用或停用登录屏幕的隐私保护屏幕功能，也可以让用户自行选择。

针对带有触摸屏的 ChromeOS 设备，指定是否在登录和锁定屏幕上显示数字键盘，以供用户输入密码。在选择默认使用数字键盘输入密码的情况下，如果用户设定的是字母数字密码，则仍可以切换到标准键盘。

系统将停止对 Manifest V2 扩展程序提供支持。所有扩展程序都需要根据 Manifest V2 支持时间表迁移至 Manifest V3。

指定用户能否在其设备的登录屏幕上访问 Manifest V2 扩展程序。

每个 Chrome 扩展程序都有一个 JSON 格式的清单文件，称为 manifest.json。清单文件是扩展程序的蓝图，必须位于扩展程序的根目录中。

清单文件中的信息包括：

• 扩展程序名称
• 扩展程序版本号
• 运行扩展程序所需的权限

如需了解详情，请参阅清单文件格式。

从以下选项中选择一项：

• 默认设备行为（默认）- 用户可以根据默认设备设置和 Manifest V2 支持时间表访问 Manifest V2 扩展程序。
• 在登录屏幕上停用 Manifest V2 扩展程序 - 用户无法安装 Manifest V2 扩展程序，而且其现有的扩展程序会被停用。
• 在登录屏幕上启用 Manifest V2 扩展程序 - 用户可以安装 Manifest V2 扩展程序。
• 在登录屏幕上启用强制安装的 Manifest V2 扩展程序 - 用户只能使用强制安装的 Manifest V2 扩展程序。包括使用 Google 管理控制台中的“应用和扩展程序”页面强制安装的扩展程序。所有其他 Manifest V2 扩展程序均会被停用。无论迁移阶段如何，此选项始终可用。

注意：扩展程序的可用性也受到其他政策的控制。例如，如果管理控制台的“应用和扩展程序”页面上的权限和网址设置将清单政策允许的 V2 扩展程序列为已屏蔽的扩展程序，则该扩展程序将更改为已屏蔽状态。

使用 SAML 或 OpenID Connect 单点登录进行用户身份验证时，或在通过强制门户配置网络连接时，您可以控制用户登录屏幕和锁定的屏幕上的可用内容。

屏蔽的网址

防止用户尝试在登录屏幕和锁定的屏幕上访问特定网址。

要配置此设置，请逐行输入网址（最多 1000 个）。

示例

已屏蔽的网址条目	结果
example.com	阻止对 example.com、www.example.com 和 sub.www.example.com 的所有请求。
http://example.com	阻止对 example.com 及其任何子网域的所有 HTTP 请求，但允许 HTTPS 请求
https://*	阻止对任何网域的所有 HTTPS 请求
mail.example.com	阻止对 mail.example.com 的请求，但不阻止对 www.example.com 或 example.com 的请求。
.example.com	屏蔽 example.com，但不屏蔽其子网域（例如 example.com/docs）
.www.example.com	屏蔽 www.example.com，但不屏蔽其子网域
*	除了对屏蔽名单例外网址的请求之外，其他请求一律屏蔽。这其中包括所有网址协议，例如 http://google.com、https://gmail.com 和 chrome://policy。
*:8080	屏蔽对端口 8080 的所有请求
*/html/crosh.html	屏蔽 Chrome Secure Shell（也称为 Crosh Shell）
chrome://settings chrome://os-settings	屏蔽对 chrome://os-settings 的所有请求
example.com/stuff	屏蔽对 example.com/stuff 及其子网域的所有请求
192.168.1.2	屏蔽对 192.168.1.2 的请求
youtube.com/watch?v=V1	屏蔽 ID 为 V1 的 YouTube 视频

使用 SAML 或 OpenID Connect 单点登录进行用户身份验证时，或在通过强制门户配置网络连接时，您可以控制用户登录屏幕和锁定的屏幕上的可用内容。

例外的屏蔽网址

指定“在登录/锁定屏幕上屏蔽的网址”设置中指定的网址屏蔽名单的例外情况。

要配置此设置，请逐行输入网址（最多 1000 个）。

示例

允许的网址条目	结果
example.com	允许对 example.com、www.example.com 和 sub.www.example.com 的所有请求
https://*	允许对任何网域的所有 HTTPS 请求
*:8080	允许对端口 8080 的所有请求
*/html/crosh.html	允许 Chrome Secure Shell（也称为 Crosh Shell）
chrome://settings chrome://os-settings	允许对 chrome://os-settings 的所有请求
example.com/stuff	允许对 example.com/stuff 及其子网域的所有请求
192.168.1.2	允许对 192.168.1.2 的请求

让 ChromeOS 设备大声朗读登录屏幕上的文字。如有需要，用户还可以连接并设置盲文设备。有关详情，请参阅使用内置屏幕阅读器和将盲文设备与 Chromebook 搭配使用。

允许用户选择登录屏幕上的内容，由系统大声朗读特定文字。当 ChromeOS 朗读所选字词时，每个字词都会突出显示。有关详情，请参阅让系统大声朗读文字。

更改字体和背景配色方案，让登录屏幕更易于阅读。

允许用户放大整个登录屏幕（全屏放大镜）或部分登录屏幕（停靠的放大镜）。有关详情，请参阅放大 Chromebook 屏幕。

此功能可让用户依次按下快捷键组合中的每一个按键，而不必同时按下多个按键。例如，启用粘滞键后，要粘贴某项内容，用户可以先按 Ctrl 键再按 V 键，而不必同时按 Ctrl 键和 V 键。有关详情，请参阅使用键盘快捷键（一次按一个键）。

此功能可让用户不使用实体键即可输入字符。屏幕键盘通常用于具有触摸屏界面的设备，但也可以通过触控板、鼠标或外接的操纵杆来使用。有关详情，请参阅使用屏幕键盘。

允许用户使用语音（而非键盘）在登录屏幕上输入文字。有关详情，请参阅使用语音输入文字。

当用户使用键盘在登录屏幕上浏览多个对象时，此功能会突出显示用户正在查看的对象。这样，用户就可以确认自己在看屏幕上的什么位置。

在登录屏幕上编辑文本时，此功能会突出显示文本插入符号（又称“光标”）周围的区域。

启用此功能后，用户只需将鼠标光标悬停在登录屏幕上的所需位置，即可自动进行点击，而不必实际点按鼠标或触控板。有关详情，请参阅自动点击 Chromebook 上的对象。

放大鼠标光标，使其在登录屏幕上更加显眼。

此功能在鼠标光标周围显示彩色聚焦环，使鼠标光标在登录屏幕上更加显眼。

借助此功能，您可以在登录屏幕上将鼠标左右键的功能互换。默认情况下，鼠标左键是主按钮。

此功能可让所有扬声器都播放同样的声音，这样用户就不会漏听立体声格式的内容。

允许用户在登录屏幕上使用无障碍功能的键盘快捷键。有关详情，请参阅 Chromebook 键盘快捷键。

允许设备自动更新操作系统版本

软件支持只适用于最新版本的 ChromeOS。

当 ChromeOS 有新版本发布时，您可以让 ChromeOS 设备自动更新到该新版本，并允许用户自行检查更新。强烈建议允许更新。

如要禁止系统在设备注册和重启之前进行更新：

• 当您处于最终用户许可协议这一屏时，同时按下 Ctrl + Alt + E。否则，在用户重启设备时，系统就可能会应用这些已下载但应被政策屏蔽的更新。

目标版本

软件支持只适用于最新版本的 ChromeOS。

指定设备可更新到的最新 ChromeOS 版本。设备最多只会更新到您所选择的 ChromeOS 版本。较新的 ChromeOS 版本均已列出。仅在以下情况才应限制 ChromeOS 可更新到的版本：您需要在更新 ChromeOS 版本之前解决兼容问题；或者，您需要将 ChromeOS 更新固定到特定版本，然后再为设备改用长期支持渠道 (LTS)。如要详细了解如何改用长期支持渠道，请参阅 ChromeOS 的长期支持渠道。

选择使用最新的可用版本，这样 ChromeOS 就会在有最新的可用版本时更新到该版本。

回滚到目标版本

指定设备是否应回滚到您在目标版本中指定的版本（如果这些设备已在运行更高版本）。

有关详情，请参阅将 ChromeOS 回滚到先前版本。

发布渠道

您无法为顶级单位部门设置此政策，且必须对每个组织部门分别进行设置。

默认情况下，ChromeOS 会采用稳定渠道上的更新。您也可以选择长期支持渠道 (LTS)、长期支持候选渠道 (LTC)、Beta 渠道或开发渠道。

您可以将一台或多台设备配置为使用开发渠道或 Beta 渠道，以帮助发现即将推出的 Chrome 版本是否存在兼容性问题。有关详情，请参阅 ChromeOS 发布版本最佳做法。请参阅 ChromeOS 发布版本最佳做法，了解如何确定用户应使用哪个版本。

从 Chrome 96 版开始，您可以改用 LTC 渠道，以提高稳定性。与稳定渠道相比，该渠道发布更新的频率较低。设备仍会经常接收安全性修补程序，但每 6 个月才会收到功能更新。有关详情，请参阅 ChromeOS 的长期支持 (LTS)。

要允许用户自行选择渠道，请选择允许用户进行配置。借助此设置，用户可改用发布渠道，以此来测试最新的 Chrome 功能。如要详细了解用户如何在 ChromeOS 设备上执行此操作，请参阅在软件的稳定版、Beta 版和开发者版之间切换。

要让用户选择开发渠道，您必须将“开发者工具用户规范”设置为始终允许使用内置开发者工具。有关详情，请参阅开发者工具。

部署计划

指定您希望如何将更新部署到受管理的 ChromeOS 设备。

从以下选项中选择一项：

• 默认（一有新版本便更新设备） - 新版 ChromeOS 发布后，设备就会自动进行更新。
• 根据特定计划部署更新 - 最初仅更新一定比例的设备，随后逐步为更多设备进行更新。您可以使用分阶段更新计划设置来指定更新部署计划。
• 交错更新 - 在网络带宽受限时，您可以将 Chrome 设备的更新时间错开，在几天之内（最长 2 周时间）分批更新设备。您可以使用随机错开自动更新，分以下几天完成设置来指定具体天数。

分阶段更新计划

仅在选择“根据特定计划部署更新”设置时此设置才可使用

指定将设备更新到新版 ChromeOS 的部署计划。您可以使用此设置来限定更新到新版 ChromeOS 的设备在不同时期所占具体比例。一些设备的更新日期可以晚于新版本的发布日期。您可以逐步提高更新到新版操作系统的设备所占比例，直至所有设备都完成更新。

随机错开自动更新，分以下几天完成

仅在选择“交错更新”设置时此设置才可使用

指定受管理的设备会在新版本发布后的大约多少天内下载相应更新。您可以使用此设置来避免对老旧网络或低带宽网络造成流量高峰。这段时间内处于离线状态的设备会在重新连接到网络后下载更新。

除非您知道自己的网络无法应对流量高峰，否则请选择不错开自动更新或选择较小的数值。 在不使用“交错更新”的情况下，您的用户可以更快获享新推出的 Chrome 增强功能和服务。这样还能尽可能减少同时使用的版本数量，从而简化更新期间的变更管理。

不进行自动更新的其他时段

指定 Chrome 暂时停止自动检查更新的日期和时间。如果设备正在进行更新，Chrome 会暂时停止更新。您可以根据需要设置不进行自动更新的时段，时段数量不受限制。用户或管理员启动的手动更新检查在不进行自动更新的时段内不会被禁止。

注意：设置此策略可能会影响分阶段更新计划，因为设备无法在不进行自动更新的时段下载自动更新。

更新后自动重启

指定设备在更新后是否自动重启。如果将设备配置为自助服务终端，则会在更新后立即重启。否则，对于用户会话或受管理的访客会话，设备会在用户下次退出时自动重新启动。

• 允许自动重启 - 自动更新成功后，ChromeOS 设备会在用户下次退出时重新启动。
• 禁止自动重启 - 停用自动重启功能。

注意 ：对于用户会话，我们建议您同时设置重新启动通知用户政策，以便系统通知用户重启设备以获取最新更新。有关详情，请参阅重新启动通知。

通过移动数据网络进行更新

指定 ChromeOS 设备自动更新到 ChromeOS 新版本时可以使用的连接类型。默认情况下，设备仅会在连接到 Wi-Fi 或以太网时自动检查和下载更新。选择允许通过各种网络连接自动更新，包括移动数据网络后，设备在连接到移动网络时也会进行自动更新。

点对点

指定是否对 ChromeOS 更新载荷启用点对点服务。如果您选择允许点对点下载自动更新，设备将共享并试图使用 LAN 中的更新载荷，从而可能会减少互联网带宽使用量和拥塞度。如果 LAN 中没有更新载荷，设备将回退到从更新服务器下载。

强制更新

适用于 ChromeOS 86 版及更高版本的设备。

• 在以下时间段后，屏蔽设备和用户会话 - 适用于 ChromeOS 版本低于您所指定版本的设备。通过此设置，可指定在多长时间后将用户从设备上退出登录。请选择介于 1 周到 6 周之间的值。要立即将用户退出登录，直到设备完成更新，请选择无警告。
• 如果运行的版本低于以下版本 - 指定允许用户设备运行的最低 ChromeOS 版本。

• “对于不再接收自动更新且尚未屏蔽的设备，将此期限延长至：”- 适用于不再接收自动更新且 ChromeOS 版本低于您指定的版本的设备。通过此设置，可以指定在自动更新停止后，用户从设备上退出账号的时长。请选择介于 1 周到 12 周之间的值。要立即将用户退出登录，请选择无警告。

• 最终的自动更新消息 - 指定用户在不再接收自动更新且 ChromeOS 版本低于您指定的版本的设备上会看到的消息。请使用不带格式的纯文本，且不要使用任何标记。如果留空，则用户会看到默认消息。
  如要详细了解设备自动更新，请参阅自动更新政策。
  用户如何在自己的设备上看到该消息，取决于您在在以下时间段后，屏蔽设备和用户会话中指定的时长是否已结束：
  • 设备达到您指定的时间之前 - 用户登录后，会在 Chrome 管理页面看到该消息。
  • 设备达到您指定的时间之后 - 用户会在登录屏幕中看到该消息。此时设备已被屏蔽，用户无法登录。

下载更新

指定 ChromeOS 设备是通过 HTTP 还是 HTTPS 下载 ChromeOS 更新。

防止设备更新到高于您选择的应用所指定的版本号的 Chrome 版本。

点击选择应用后，系统会打开 Chrome 应用商店，您可以在其中搜索并选择所需的应用。

仅适用于自动启动的自助服务终端应用

允许某个自动启动的自助服务终端应用控制 ChromeOS 版本，以防止设备更新到超出应用所指定版本号的 Chrome 版本。

应用必须在清单文件中添加 "kiosk_enabled": true 并指定所需的 ChromeOS 版本 required_platform_version。清单文件中的更新最长可能需要 24 小时才能在设备上生效。要了解如何在应用的清单文件中配置设置，请参阅允许自助服务终端应用控制 Chrome 版本。

通过此设置，您可以控制 Chrome 变体版本是完全启用、仅针对重要修复启用，还是在设备上停用。

通过使用变体版本，您只需有选择地启用/停用现有功能，即可在不推出新版浏览器的情况下对 Google Chrome 进行修改。

注意：我们不建议停用变体版本，因为停用可能导致 Google Chrome 开发者无法及时提供重要的安全修复程序。

有关详情，请参阅管理 Chrome 变体版本框架。

要在 Chrome 自助服务终端设备关闭时接收提醒，请勾选通过电子邮件接收提醒或通过短信接收提醒复选框，或者同时勾选这两个复选框。

接收有关 Chrome 自助服务终端设备的状态更新。

• 通过电子邮件获取更新 - 在接收提醒的电子邮件旁边，每行输入一个电子邮件地址。
• 通过短信获取更新 - 在用于接收提醒的手机号码旁边，输入手机号码，每行一个。

屏蔽的网址

阻止 Chrome 浏览器用户访问特定网址。

要配置此设置，请逐行输入网址（最多 1000 个）。

例外的屏蔽网址

指定网址屏蔽名单的例外网址。

要配置此设置，请逐行输入网址（最多 1000 个）。

示例

已屏蔽的网址条目	结果
example.com	阻止对 example.com、www.example.com 和 sub.www.example.com 的所有请求。
http://example.com	阻止对 example.com 及其任何子网域的所有 HTTP 请求，但允许 HTTPS 请求
https://*	阻止对任何网域的所有 HTTPS 请求
mail.example.com	阻止对 mail.example.com 的请求，但不阻止对 www.example.com 或 example.com 的请求。
.example.com	屏蔽 example.com，但不屏蔽其子网域（例如 example.com/docs）
.www.example.com	屏蔽 www.example.com，但不屏蔽其子网域
*	除了对屏蔽名单例外网址的请求之外，其他请求一律屏蔽。这其中包括所有网址协议，例如 http://google.com、https://gmail.com 和 chrome://policy。
*:8080	屏蔽对端口 8080 的所有请求
*/html/crosh.html	屏蔽 Chrome Secure Shell（也称为 Crosh Shell）
chrome://settings chrome://os-settings	屏蔽对 chrome://os-settings 的所有请求
example.com/stuff	屏蔽对 example.com/stuff 及其子网域的所有请求
192.168.1.2	屏蔽对 192.168.1.2 的请求
youtube.com/watch?v=V1	屏蔽 ID 为 V1 的 YouTube 视频

适用于自助服务终端模式的渐进式 Web 应用 (PWA)。

指定启用哪些虚拟键盘功能。勾选相应复选框以选择您希望用户拥有的功能：

• 自动建议 - 使用自动更正或拼写检查功能自动更正字词，并在输入内容时显示建议的字词。
• 手写识别 - 读取用户的手写内容。用户可以直接在屏幕上书写内容，而不使用虚拟键盘。
• 语音输入 - 将语音转换为文字。在通常需要打字输入内容的位置，用户可以使用语音输入文字。

如要详细了解用户如何使用屏幕键盘，请参阅使用屏幕键盘。

注意：在配置自助服务终端的虚拟键盘功能设置前，请确保未关闭屏幕键盘。有关详情，请参阅自助服务终端屏幕键盘设置。

我们不建议在正式版设备上启用问题排查工具。如果您想启用这些工具，请为所需设备创建下级组织部门，然后应用设置。在生产环境中部署设备之前，请确保停用此设置。

您可以控制用户是否可以在自助服务终端会话中使用自助服务终端问题排查工具。

有关详情，请参阅对 ChromeOS 自助服务终端设备进行问题排查。

您可以指定是否针对自助服务终端会话执行以网址为键的匿名化数据收集功能。

如果您为 ChromeOS 自助服务终端启用该设置，系统便会针对自助服务终端应用收集以网址为键的指标。如果未设置，则默认处于启用状态，用户无法更改。

您可以指定是否允许管理员通过 Chrome 远程桌面会话从自助服务终端设备上传和下载文件。这样一来，管理员便可在排查问题时从设备下载日志，并将所需的任何数据上传到设备。

默认情况下，不允许文件传输。

如果您希望设备在合上机盖后进入休眠状态、关机或不执行任何操作，请选择此选项。

适用于使用交流电源供电的自助服务终端设备

闲置超时（分钟）

要指定自助服务终端设备在闲置多长时间后进入休眠状态、退出帐号或关机，请输入分钟数。

要使用系统默认设置（具体设置因设备而异），请将此框留空。要禁止在设备进入闲置状态时执行任何操作，请选择闲置时执行的操作下方的不执行任何操作。

闲置警告超时（分钟）

要指定设备在闲置多长时间后向当前用户显示提醒，告知其设备即将将其退出或关机，请输入分钟数。

如果一律不显示闲置警告，请执行下列其中一项操作：

• 在闲置警告超时（分钟）字段，输入 0
• 在闲置时执行的操作下方，选择休眠
• 对于闲置时执行的操作，选择不执行任何操作。

要使用系统默认设置（具体设置因设备而异），请将闲置警告超时（分钟）复选框留空。

闲置时执行的操作

选择您希望设备在闲置时间达到上述长度后执行的操作：

• 休眠 - 如果您希望设备进入休眠模式，请选择此选项
• 退出 - 如果您希望结束当前的自助服务终端会话
• 关机 - 如果您希望关闭自助服务终端设备
• 不执行任何操作 - 如果您不想执行任何操作

屏幕调暗超时（分钟）

要指定设备屏幕变暗前的闲置时长，请输入分钟数。如果一律不调暗屏幕，请输入 0。要使用系统默认设置（具体设置因设备而异），请将此框留空。

屏幕关闭超时（分钟）

要指定设备屏幕关闭前的闲置时长，请输入分钟数。如果一律不关闭屏幕，请输入 0。要使用系统默认设置（具体设置因设备而异），请将此框留空。

适用于使用电池供电的自助服务终端设备

闲置超时（分钟）

要指定自助服务终端设备在闲置多长时间后进入休眠状态、退出帐号或关机，请输入分钟数。

要使用系统默认设置（具体设置因设备而异），请将此框留空。要禁止在设备进入闲置状态时执行任何操作，请选择闲置时执行的操作下方的不执行任何操作。

闲置警告超时（分钟）

要指定设备在闲置多长时间后向当前用户显示提醒，告知其设备即将将其退出或关机，请输入分钟数。

如果一律不显示闲置警告，请执行下列其中一项操作：

• 在闲置警告超时（分钟）字段，输入 0
• 在闲置时执行的操作下方，选择休眠
• 对于闲置时执行的操作，选择不执行任何操作。

要使用系统默认设置（具体设置因设备而异），请将闲置警告超时（分钟）复选框留空。

闲置时执行的操作

选择您希望设备在闲置时间达到上述长度后执行的操作：

• 休眠 - 如果您希望设备进入休眠模式，请选择此选项
• 退出 - 如果您希望结束当前的自助服务终端会话
• 关机 - 如果您希望关闭自助服务终端设备
• 不执行任何操作 - 如果您不想执行任何操作

屏幕调暗超时（分钟）

要指定设备屏幕变暗前的闲置时长，请输入分钟数。如果一律不调暗屏幕，请输入 0。要使用系统默认设置（具体设置因设备而异），请将此框留空。

屏幕关闭超时（分钟）

要指定设备屏幕关闭前的闲置时长，请输入分钟数。如果一律不关闭屏幕，请输入 0。要使用系统默认设置（具体设置因设备而异），请将此框留空。

默认情况下，运行 Chrome 自助服务终端应用的设备上会隐藏无障碍功能菜单。如果您选择在自助服务终端模式下显示悬浮式无障碍功能菜单，无障碍功能菜单就会始终在设备上显示。该菜单会显示在屏幕的右下角。为避免该菜单阻挡应用的内容（例如按钮），用户可以将菜单移至屏幕的任一角落。

即使选择了不在自助服务终端模式下显示悬浮式无障碍功能菜单，用户仍然可以使用快捷键启用无障碍功能，前提是您没有使用管理控制台停用个别无障碍功能设置，且相应的无障碍功能有操作快捷键。有关详情，请参阅 Chromebook 键盘快捷键。

注意：一般情况下，按下 Shift + Alt + L 快捷键后，系统会突出显示任务栏上的启动器按钮和内容。不过，在运行 Chrome 自助服务终端应用的设备上，系统会突出显示无障碍功能菜单。

此功能可让自助服务终端设备朗读屏幕上的文字。如有需要，用户还可以连接并设置盲文设备。有关详情，请参阅使用内置屏幕阅读器和将盲文设备与 Chromebook 搭配使用。

此功能可让用户选择屏幕上的内容来使系统朗读其中的文字。当 ChromeOS 朗读所选字词时，每个字词都会突出显示。有关详情，请参阅让系统大声朗读文字。

此功能可更改字体和背景配色方案，让屏幕更易于阅读。

此功能可让用户依次按下快捷键组合中的每一个按键，而不必同时按下多个按键。例如，启用粘滞键后，要粘贴某项内容，用户可以先按 Ctrl 键再按 V 键，而不必同时按 Ctrl 键和 V 键。有关详情，请参阅使用键盘快捷键（一次按一个键）。

此功能可让用户不使用实体键即可输入字符。屏幕键盘通常用于具有触摸屏界面的设备，但也可以通过触控板、鼠标或外接的操纵杆来使用。有关详情，请参阅使用屏幕键盘。

此功能可让用户使用语音（而非键盘）输入文字。有关详情，请参阅使用语音输入文字。

启用此功能后，当用户使用键盘在屏幕上浏览多个对象时，系统会突出显示用户正在查看的对象。这样，用户就可以确认自己在看屏幕上的什么位置。

启用此功能后，当用户在屏幕上编辑文本时，系统会突出显示文本插入符号（又称“光标”）周围的区域。

启用此功能后，用户只需将鼠标光标悬停在屏幕上的所需位置，系统即会自动点击，而不必实际点按鼠标或触控板。有关详情，请参阅自动点击 Chromebook 上的对象。

此功能可放大鼠标光标，使其在屏幕上更加显眼。

此功能可在鼠标光标周围显示彩色聚焦环，使鼠标光标在屏幕上更加显眼。

此功能可让您将自助服务终端中的鼠标左右键的功能互换。默认情况下，鼠标左键是主按钮。

此功能可让所有扬声器都播放同样的声音，这样用户就不会漏听立体声格式的内容。

此功能可让用户使用无障碍功能的键盘快捷键。有关详情，请参阅 Chromebook 键盘快捷键。

此功能可让用户放大整个屏幕（全屏放大镜）或部分屏幕（固定放大镜）。有关详情，请参阅放大 Chromebook 屏幕。

可指定已注册的 ChromeOS 设备是否报告当前的操作系统状态信息，如操作系统版本、启动模式和更新状态。

您可以启用或停用所有操作系统信息报告，或选择自定义以选出要报告的信息。

如果您已为单位中受支持的设备启用了 Android 应用，则此设置不会影响 Android 日志记录或报告。

可指定已注册的 ChromeOS 设备是否报告当前的硬件信息，例如重要的产品数据、系统信息和时区状态。

您可以启用或停用所有硬件信息报告，或选择自定义以选出要报告的信息。

如果您已为单位中受支持的设备启用了 Android 应用，则此设置不会影响 Android 日志记录或报告。

硬件状态和网络接口选项仅适用于运行 ChromeOS 95 或更低版本的设备。

可指定已注册的 ChromeOS 设备是否报告与关键组件（例如 CPU、内存、存储和显卡）状态相关的遥测数据。

您可以启用或停用所有遥测信息报告，或选择自定义以选出要报告的信息。

如果您已为单位中受支持的设备启用了 Android 应用，则此设置不会影响 Android 日志记录或报告。

可指定是否跟踪设备的近期用户。

默认情况下，启用近期用户跟踪处于选中状态。此外，如果用户数据设置设为清除所有本地用户数据（当用户退出帐号时清除设备上的所有用户数据），此设置将被忽略。请参阅用户数据。

可指定处于自助服务终端模式下的已注册 ChromeOS 设备是否报告其会话状态。

可指定处于自助服务终端模式下的已注册 ChromeOS 设备是否报告自助服务终端应用的相关信息。

可指定已注册的 ChromeOS 设备是否跟踪打印任务和打印功能使用情况。

如需了解详情，请参阅查看打印报告。

可指定 ChromeOS 发送设备状态上传内容的频率（以分钟为单位）。允许的最低频率为 60 分钟。

非活动设备通知报告

获取有关您网域中非活动设备的电子邮件报告。报告包含以下内容：

• 您网域中所有非活动设备（在非活动状态时间范围指定的时间之后尚未同步的设备）的信息
• 每个组织部门中非活动设备的总数（包括新增的非活动设备数量）。
• 各设备详细信息的链接。详细信息包括单位部门、序列号、资产 ID 等；如果新增的非活动设备数量低于 30，则还包括上次同步日期。

注意：报告中的部分信息最长可能会延迟 1 天才显示。例如，如果某台设备在过去 24 小时内进行了同步，但之前处于非活动状态，那么即使该设备当前处于活动状态，也仍然可能显示在非活动设备列表中。

非活动状态时间范围（天数）

如果某一设备未向管理服务器登记的时间超过您指定的天数，那么该设备就处于非活动状态。您可以将天数设置为任何大于 1 的整数。

例如，如果您要将过去一周内未同步的所有设备标为非活动状态，请在非活动状态时间范围（天数）旁边输入 7。

通知频率（天数）

如要指定发送非活动通知报告的频率，请在通知频率字段中输入天数。

接收通知报告的电子邮件地址

如要指定用于接收通知报告的电子邮件地址，请输入地址（每个地址占用 1 行）。

指定 ChromeOS 设备是否会在每次系统或浏览器进程崩溃时发送 Google 使用情况统计信息和崩溃报告。

使用情况统计信息包括偏好设置、按钮点击次数和内存使用情况等汇总信息。其中不包括网页网址或任何个人信息。崩溃报告包含崩溃时的系统信息，也可能会包含相关的网页网址或个人信息，具体取决于崩溃时的情况。

如果您已为单位中受支持的设备启用 Android 应用，则此政策也可控制 Android 使用情况和诊断信息数据收集功能。

启用此设置后，设备会将系统日志发送至管理服务器，而您可以监控这些日志。

默认设置为停用设备系统日志上传。

指定用户能否使用系统跟踪服务来收集系统级性能跟踪记录。

默认设置为禁止用户收集系统级跟踪记录。此设置只会停用系统级跟踪记录收集功能；浏览器跟踪记录收集功能不受影响。

XDR 事件不会显示在管理控制台中。为了确保 XDR 事件报告到您的提供程序，请先设置 XDR 提供程序配置，然后再启用此设置。有关详情，请参阅为 ChromeOS 设备设置 XDR。

指定 ChromeOS 设备是否发送 XDR 事件。

扩展检测和响应 (XDR) 系统可以通过监控进程、网络和其他安全相关事件，帮助您识别受管设备群中的一系列可疑活动。

如果您选择报告扩展检测和响应 (XDR) 事件的相关信息，则已注册的设备会向您的提供程序报告与 XDR 事件相关的信息。

通过此设置，您可以设置设备显示器的分辨率和缩放比例。

外部显示器设置会应用于已连接的显示器。如果显示器不支持指定的分辨率或缩放比例，此设置便不适用。

允许用户更改

默认情况下，允许用户更改预定义的显示器设置（推荐）处于选中状态。用户可以更改显示器的分辨率和缩放比例，但在下次重新启动时，这些设置会恢复为默认设置。如需禁止用户更改显示器设置，请选择不允许用户更改预定义的显示器设置。

外部显示器分辨率

默认情况下，系统会选择始终使用本机显示器分辨率 - 系统会忽略在外部显示器宽度和外部显示器高度字段输入的值，并将外部显示器设置为使用本机分辨率。

如果您选择使用自定义分辨率，则系统会为所有外部显示器应用自定义分辨率。如果自定义分辨率不受支持，则会还原为本机显示器分辨率。

外部显示器缩放比例（百分数）

指定连接到 ChromeOS 设备的外部显示器的缩放比例。

内部显示器缩放比例（百分数）

指定 ChromeOS 设备的内部显示器缩放比例。

此设置用于控制正显示登录屏幕的 ChromeOS 设备（没有用户登录）是否应在一段时间后转为休眠状态或关机，或者是否应保持唤醒状态。用作自助服务终端的设备可使用此设置，以确保设备始终处于屏幕显示状态。

此设置目前仅适用于显示登录屏幕的自助服务终端设备

借助此设置，您可以指定设备在多少天后重启。有时，设备可能不会在当天的同一时间重启，或者可能会推迟到用户下一次退出帐号时再执行此操作。如果有会话正在运行，则系统会给予最长 24 小时的宽限期。

Google 建议您将自助服务终端应用配置为定期关闭，以让应用或设备重启。

您可以选择：

• 允许用户使用关机图标或物理电源按钮关闭设备 -（默认）用户可以通过设备上的按钮、键盘、鼠标或屏幕关闭设备。
• 仅允许用户使用物理电源按钮关闭设备 - 用户无法通过键盘、鼠标或屏幕关闭设备，而只能使用设备上的按钮关闭设备。

此设置可能适用于特定部署情况，例如将 ChromeOS 设备用作自助服务终端或数字标牌。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

您可以配置主要的电池充电模式，包括以下选项：

• 标准模式 - 以标准速率将电池充满
• 自动调节模式 - 基于标准使用模式自动优化充电速率
• 快速充电模式 - 缩短充电时间
• 主要使用交流电 - 主要通过交流电充电来延长电池寿命
• 自定义模式 - 允许根据电量百分比输入开始和停止充电的时间

注意：您无法在使用高级充电电池模式设置的同时使用此设置。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

您可以通过高级充电电池模式延长电池的使用寿命，因为此模式下，电池每天只会充满电一次。 电池在当日首次充满电之后，就会在其余时间中保持低速充电状态（这样有利于储电），即使系统接入直接电源也是如此。

如果启用高级充电电池模式，请输入每日的开始和结束时间。

注意：在结束时间前最后 1.5 小时内，设备可能会阻止电池充电，以进入低速充电状态。

如果您启用“接入交流电时启动”，那么处于关机状态的设备将在连接到交流电源适配器时开机。

注意：如果 Chromebook 设备已连接到接通电源的 Dell WD19 坞站，则即使停用此设置，该设备也会开机。

如果 Chromebook 已关机并连接到电源，此模式允许用户通过特殊的 USB 端口为其他设备（如手机）充电。当 Chromebook 处于睡眠模式时，用户可通过任一 USB 端口为其他设备充电。

仅适用于独立用户。

指定是否要在用户退出登录后强制重新启动设备。默认情况下，不在用户退出登录后重新启动处于选中状态。

您可以指定在一天中的哪个时段、以何种频率（每日、每周或每月）、在每周或每月的哪一天重启设备。时间表基于设备的时区设置。

在用户会话或受管理的访客会话中：

• 系统会依照排定的时间提前 1 小时向用户发出设备重启通知。用户可以选择立即重启设备，也可以等待设备在排定的时间重新启动，但无法推迟已排定的重新启动。
• 设备启动后会有 1 小时的宽限期。系统会跳过安排在此宽限期内的重新启动，并会重新安排到次日、下周或下月（具体取决于设置）进行。

默认设置为停用定时重新启动。

Google 建议您将应用配置为定期关闭，以让应用或设备重启。举例来说，您可以将设备设为在每周一凌晨 2:00 关闭。

可控制无关联用户能否使用虚拟机来运行 Linux 应用。该设置会应用于新启动的 Linux 容器，而不会应用于已在运行中的容器。

默认设为禁止没有关联的用户使用所需的虚拟机来运行 Linux 应用，并且无关联的用户无法使用虚拟机运行 Linux 应用。

如果您选择允许没有关联的用户使用所需的虚拟机来运行 Linux 应用，那么所有无关联的用户都可以使用 Linux 虚拟机。

要为关联用户启用该服务，请在“用户和浏览器”页面中选择允许用户使用所需的虚拟机来运行 Linux 应用。有关详情，请参阅无关联用户能否使用 Linux 虚拟机（Beta 版）。

注意：对于个人用户版 ChromeOS 设备，此功能已不是 Beta 版。对于受管设备和用户，此功能仍是 Beta 版。

您可以通过此设置，控制个别 ChromeOS 设备对来源不受信任的 Android 应用的使用情况。此设置不适用于 Google Play。

• 禁止此设备的用户使用 ADB 旁加载 - 默认设置为禁止设备使用来源不受信任的 Android 应用。这不会强制用户将其 Chromebook 恢复到出厂状态。
• 禁止此设备的用户使用 ADB 旁加载；如果先前已启用旁加载，就对设备强制执行 Powerwash - 禁止设备使用来源不受信任的 Android 应用；如果先前已启用旁加载，就强制用户将其 Chromebook 恢复到出厂状态。
• 允许此设备的关联用户使用 ADB 旁加载 - 允许此设备的关联用户使用来源不受信任的 Android 应用。您还必须启用来源不受信任的 Android 应用的用户设置。有关详情，请参阅来源不受信任的 Android 应用。

此政策允许您指定通过 DHCP 请求传递到 DHCP 服务器的主机名。

如果已将此政策设为一个非空字符串，则该字符串将会用作 DHCP 请求中的设备主机名。

该字符串可以包含 ${ASSET_ID}、${SERIAL_NUM}、${MAC_ADDR}、${MACHINE_NAME} 和 ${LOCATION} 变量。系统会将这些变量替换为设备上的相应值，替换后的字符串应是有效的主机名（符合 RFC 1035 第 3.1 节中的规定）。

如果此政策未设置，或替换后的值不是有效的主机名，系统将不会在 DHCP 请求中使用任何主机名。

仅当与打印机的连接处于安全状态（ipps:// URI 架构）且提交打印任务的用户已被关联时，才会生效。仅适用于支持 client-info 的打印机。

您可以设置要传递到打印任务中的互联网打印协议 (IPP) 打印目的地的 client-name 值。

如果您为 client-name 属性添加模板，系统就会向提交到 IPP 打印机的打印任务发送一个额外的 client-info 值。您添加的 client-info 值的 client-type 成员会设置为 other。添加的 client-info 值的 client-name 成员会设置为替换占位变量后的政策值。

支持的占位变量包括：

• ${DEVICE_DIRECTORY_API_ID}
• ${DEVICE_SERIAL_NUMBER}
• ${DEVICE_ASSET_ID}
• ${DEVICE_ANNOTATED_LOCATION}

不支持的占位变量不会被替换。client-name 值不得超过 127 个字符。

有效值包括：

• 英语字母表的小写字母和大写字母
• 数字
• 英文破折号 (-)
• 英文句点 (.)
• 下划线 (_)

如果此政策留空或添加了无效的值，系统不会为打印任务请求添加额外的 client-info 值。

有关详情，请参阅查看 ChromeOS 设备详细信息。

系统时区

指定要为用户设备设置的时区。

系统时区自动检测

选择以下一个选项，指定设备检测和设置当前时区的方式：

• 让用户决定 - 用户可以使用标准的 Chrome 日期和时间设置来控制时区。
• 一律不自动检测时区 - 用户必须手动选择时区。
• 一律使用粗略式时区检测方式 - 系统将使用设备 IP 地址来设置时区。
• 解析时区时一律将 WiFi 接入点发送到服务器 - 系统会使用设备连接的 Wi-Fi 接入点位置来设置时区（最准确）。
• 发送所有位置信息 - 系统会使用位置信息（如 Wi-Fi 接入点和 GPS）来设置时区。

指定 ChromeOS 设备上的用户能否使用其他运营商的移动网络上网（可能需支付费用）。要启用此设置，用户需要在设备上允许移动数据网络漫游。

相关主题： 连接到移动数据网络

通过此名单，您可以指定应用（例如 Citrix Receiver）能直接访问的一系列 USB 设备。您可以列出各种设备，例如键盘、签名板、打印机、扫描仪，以及其他 USB 设备。如果未配置此政策，可拆卸 USB 设备列表中就没有任何内容。

要将设备添加到列表，请以冒号分隔的十六进制数对的形式 (VID:PID) 输入 USB 供应商标识符 (VID) 和商品标识码 (PID)。每个设备需占用一行。例如，要列出 VID 为 046E，PID 为 D626 的鼠标，以及 VID 为 0404，PID 为 6002 的签名板，请输入：

046E:D626
0404:6002

某些外围设备（包括某些 Thunderbolt 或 USB4 基座、显示屏和连接器线缆）会要求用户停用数据访问保护，以便其能够正常或高效运行。

默认情况下，系统会为已注册的 ChromeOS 设备启用外围设备数据访问保护，而这会限制外围设备的性能。选择停用数据访问保护有助于外围设备提升性能，但可能会导致个人数据因被未经授权使用而泄露。

允许您在设备上启用或停用蓝牙。

• 要启用蓝牙功能，请选择不停用蓝牙功能。
• 要停用蓝牙功能，请选择停用蓝牙功能。

如果您将政策从停用蓝牙功能更改为不停用蓝牙功能，则必须重启设备才能使更改生效。

如果您将政策从不停用蓝牙功能更改为停用蓝牙功能，则更改会立即生效，而且您无需重启设备。

列出 ChromeOS 设备获准连接的蓝牙服务。如果留空，则表示用户可以连接到任何蓝牙服务。

适用于在自助服务终端模式、受管理的访客会话模式或用户模式下，运行 Chrome 56 及更高版本的设备

此设置可以控制设备级别带宽的用量。设备上的所有网络接口（包括 Wi-Fi、以太网、USB 以太网转接器、USB 移动网络加密狗和 USB 无线网卡）都将启用节流功能。所有网络流量也会启用节流功能，包括操作系统更新。

要启用该设置，请执行以下操作：

1. 选择启用网络节流功能。
2. 指定下载和上传速度（单位为 kbps）。您可以指定的速度下限为 513 kbps。

安装 TPM 固件更新可能会清空设备并将其恢复为出厂设置，尝试安装更新操作重复失败可能会导致设备无法使用。

要允许用户在设备上安装可信平台模块 (TPM) 固件更新，请选择允许用户执行 TPM 固件更新。如需了解用户要如何安装固件更新，请参阅更新 Chromebook 的安全功能。

指定是否可以利用通过了身份验证的互联网代理服务器传送系统流量。

默认情况下，会禁止系统利用通过了身份验证的代理服务器传送系统流量。

如果您选择允许利用通过了身份验证的代理传送系统流量，则代理服务器会要求通过服务帐号凭据（用户名和密码）进行身份验证以访问互联网。这些凭据仅适用于系统流量，浏览器流量仍会要求用户使用自己的凭据通过代理的身份验证。

注意：只有 HTTPS 系统流量可以利用通过了身份验证的代理传送。这会影响依靠 HTTP 进行 ChromeOS 更新的用户。如果您的网络不支持通过 HTTPS 进行 ChromeOS 更新，请务必将下载更新设置为允许通过 HTTP 进行更新。这样更新就不会经由代理。有关详情，请参阅下载更新。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

允许您选择坞站连接到 Chromebook 时使用的 MAC 地址。

适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

允许您启用和配置 Dell SupportAssist 程序。要了解 Dell Support Assist 的相关信息，请转到 Dell 支持。

指定登录屏幕中显示的时钟格式，以及 ChromeOS 设备中受管理的访客会话的时钟格式。

默认设置是根据当前语言自动设置。您还可以将时钟设置为 12 小时制或 24 小时制。用户可以随时更改自己帐号的时钟格式。

指定用于缓存应用和扩展程序的字节大小，以供同一部设备上的多位用户安装。这意味着无需为每位用户重新下载每个应用和扩展程序。

如果设置的大小小于 1 MB 或未设置，ChromeOS 会使用默认大小（256 MiB）。

通过此设置，您可以指定是否可以从 Google 服务器下载硬件配置文件（包括用来提高外接显示器显示质量的 ICC 显示器配置文件）。

默认设置为允许下载硬件配置文件。

您可以启用或停用磁盘空间不足通知。此设置适用于相应设备上的所有用户。

默认值为磁盘空间不足时，不显示相关通知。

• 如果设备不受管理或者只有一位用户，那么系统会忽略此政策并始终显示通知。
• 如果受管设备上有多个用户帐号，那么只有在您选择在磁盘空间不足时显示通知时，系统才会显示通知。

您可以允许或禁止企业设备用户通过注册 ChromeOS 来兑换优惠。

指定用户能否捕获其设备上的互联网协议 (IP) 数据包以供审核或分析。

指定当有多份证书匹配时，系统是否会提示用户在登录屏幕上选择一个客户端证书。

如果您选择提示用户做出选择，并且已在单点登录客户端证书设置中输入一系列网址格式，那么只要有多份证书与自动选择政策匹配，系统就会要求用户选择客户端证书。有关详情，请参阅单点登录客户端证书。

如果使用了 PIV 卡，您可以设置 DriveLock 智能卡中间件 (CSSI) 应用参数 filter_auth_cert，以自动过滤身份验证证书。有关详情，请参阅登录时自动选择证书。

注意：由于用户可能对证书选择机制了解有限，因此我们建议仅出于测试目的或当您无法在单点登录客户端证书设置中正确配置过滤器时，才使用当登录屏幕上有多份证书匹配时，提示用户做出选择设置。

启用或停用国际键盘快捷键映射。默认设置为国际键盘快捷键映射到键盘上的按键位置（而非按键的字形）。这样可以让键盘快捷键的运行方式契合国际键盘布局，并弃用旧版快捷键。

注意：此政策在自定义键盘快捷键推出后将被弃用。

默认情况下，无关联的用户可在受管理的 ChromeOS 设备上使用 Android 应用。

只有当 Android 应用未运行时，对这项设置的更改才会应用于受管理的 ChromeOS 设备。例如，在启动 ChromeOS 时。

要了解如何在 ChromeOS 设备上安装 Android 应用，请参阅为使用 ChromeOS 设备的受管理用户部署 Android 应用。

指定为用户设备设置的默认键盘背光颜色。

指定当电池电量或剩余时间降至阈值以下时设备是否会播放声音通知。

如果设备未接通电源，在以下情况下，设备会播放警告提示音：

• 剩余使用时间降至 15 分钟。
• 剩余使用时间降至 5 分钟。

注意：如果连接到低功耗充电器，设备会在电池电量降到 10% 时播放警告提示音，然后在电池电量降到 5% 时再次播放警告提示音。

从以下选项中选择一项：

• 启用电量不足提示音 - 当电池电量不足时，设备会播放声音通知。如果您启用了此政策，则用户无法将其停用。
• 停用电量不足提示音 - 设备不会播放电量不足警告的声音通知。如果您停用此政策，则用户无法将其启用。
• 允许用户决定 - 最初，系统会为现有用户停用电量不足提示音，为新用户启用电量不足提示音，但任何用户都可以随时启用或停用提示音。

指定设备连接到墙壁电源插座时是否播放电池充电提示音。当电池电量达到以下阈值时，播放略有不同的提示音：

• 0-15%（低）
• 16-79%（中）
• 80-100%（高）

从以下选项中选择一项：

• 启用充电提示音 - 当充电器连接到墙壁电源插座时，设备会播放声音通知。如果您启用了此政策，则用户无法将其停用。
• 停用充电提示音 - 当充电器连接到墙壁电源插座时，设备不会播放声音通知。如果您停用此政策，则用户无法将其启用。
• 允许用户决定 - 设备最初会停用充电提示音，但用户可以随时启用或停用提示音。

控制 ChromeOS Flex 设备是否向 Google 发送其他硬件数据。

这些硬件数据用于对 ChromeOS 和 ChromeOS Flex 进行整体改进。例如，我们可以根据中央处理器 (CPU) 分析崩溃事件的影响，或者根据共用同一个组件的设备数量来确定 bug 修复优先级。

您启用此设置后，ChromeOS Flex 设备会共享其他硬件详细信息。如果您关闭此设置，设备只会共享标准硬件数据。

在由 Active Directory 管理的 ChromeOS 设备上不受支持。

控制是否使用硬件加速功能对视频进行解码。

硬件加速可将视频解码从中央处理器 (CPU) 分流到图形处理器 (GPU)，从而提供更快、更高效的视频处理，同时降低功耗。

默认情况下，此设置处于启用状态，这意味着视频解码会经过硬件加速（如果可用）。如果您关闭此设置，视频解码绝不会进行硬件加速。

注意：我们不建议您关闭此设置，否则会增加 CPU 负载，进而对设备性能和耗电量产生负面影响。

您可以控制用户是否可以使用启动器键或搜索键更改功能键的行为。

选择一个选项：

• 允许用户决定 - 让用户选择是要允许还是禁止使用启动器键或搜索键更改功能键的行为。
• 允许使用启动器键/搜索键更改功能键的行为 - 可以使用启动器键或搜索键更改功能键的行为。用户无法更改此设置。
• 禁止使用启动器键/搜索键更改功能键的行为 - 无法使用启动器键或搜索键更改功能键的行为。用户无法更改此设置。

此设置目前不适用于教育版

通过此设置，企业移动管理 (EMM) 合作伙伴能以编程方式访问并管理设备政策、获取设备信息并发出远程命令。合作伙伴可使用这种访问权限功能将 Google 管理控制台功能集成到 EMM 控制台中。

启用合作伙伴访问权限后，您的企业移动管理 (EMM) 合作伙伴就能够管理单个 ChromeOS 设备，这意味着他们不再需要通过管理控制台组织部门结构来管理设备，而是可以使用 EMM 控制台中配置的结构进行管理。

您无法同时使用合作伙伴访问权限和管理控制台为同一设备设置相同的政策。使用合作伙伴访问权限控制功能配置的设备级政策优先于在管理控制台中设置的政策。要在单位部门层级为设备强制启用政策，您需要选择停用“Chrome 管理 - 合作伙伴访问权限”。

相关主题：使用 EMM 控制台管理 ChromeOS 设备