设置 Chrome 设备政策

适用于通过 Google 管理控制台管理 Chrome 政策的管理员。

作为 Chrome 企业版管理员,您可以控制用户在使用受管理的 Chrome 设备(如 Chromebook)时应用何种设置。设备级设置适用于使用相应设备的所有用户,即使他们以访客身份或个人 Gmail 帐号登录也不例外。

指定设备设置

准备工作:要为特定的一组设备指定设置,请将相应设备添加到单独的单位部门

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备 接着点击 Chrome 管理
  3. 点击设置 接着点击 设备
  4. 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  5. 根据需要进行设置。了解各项设置

    提示:您可以在顶部的搜索栏中输入文字,从而快速查找所需设置。

    如果某项设置是从上级单位继承而来,您将看到继承的设置 字样。而如果下级单位的设置覆盖了从上级单位继承的设置,您将看到在本单位内指定的设置字样。

  6. 点击保存

    设置通常会在几分钟内生效,但最长可能需要 24 小时才能应用到所有用户。

了解各项设置

适用于受管理的 Chromebook 和其他运行 Chrome 操作系统的设备。

如果您看到“设备专用设置”图标 特定设备设置,则表示此设置仅适用于特定的设备类型。有些设置不适用于仅装有一款应用的自助服务终端。

注册和访问

强制重新注册

指定已擦除数据的 Chrome 设备是否要在您的帐号中强制重新注册。默认情况下,已擦除数据的设备会在您的帐号中自动重新注册,而无需用户输入用户名和密码。

要阻止自动重新注册成为您已擦除数据设备的默认行为,请选择以下其中一个选项:

  • 擦除设备数据后不强制重新注册设备 - 用户无需在您的帐号中重新注册设备便可直接使用。
  • 擦除设备数据后强制使用用户凭据重新注册设备 - 系统会提示用户在您的帐号中重新注册该设备。

如果启用了强制重新注册功能,且您不希望特定 Chrome 设备在您的帐号中重新注册,则需要取消配置该设备。

要详细了解如何强制重新注册,请参阅强制重新注册已擦除数据的 Chrome 设备

已验证的访问权限

通过此设置,网络服务可以请求证明其客户端运行的是未经修改且符合政策(如果管理员要求,则在已验证模式中运行)的 Chrome 操作系统。该设置包含以下控制选项:

  • 对内容保护功能启用此设置 - 确保贵单位中的 Chrome 设备将使用唯一的密钥(可信平台模块)向内容提供方验证身份。此外,还能确保 Chromebook 可以向内容提供方证明当前设备正在启动时验证模式中运行。
  • 对内容保护功能停用此设置 - 如果停用此设置,您的用户可能无法查看部分高品质内容。

管理员如要了解详情,请参阅为 Chrome 设备启用“已验证的访问权限”。开发者如要了解详情,请参阅 Google Verified Access API 开发者指南

已验证模式
  • 已验证的访问权限要求以已验证模式启动 - 只有设备在“启动时验证”模式中运行时,设备验证才能成功。在开发模式中运行的设备一律无法通过“已验证的访问权限”检查。
  • 已验证的访问权限不要求进行启动模式检查 - 允许在开发模式中运行的设备通过“已验证的访问权限”检查。
  • 拥有完整访问权限的服务 - 列出拥有 Google Verified Access API 完整访问权限的服务帐号(在 Google Cloud Platform Console 中创建)的电子邮件地址。
  • 访问权限受限的服务 - 列出拥有 Google Verified Access API 受限访问权限的服务帐号(在 Google Cloud Platform Console 中创建)的电子邮件地址。

管理员如要了解详情,请参阅为 Chrome 设备启用“已验证的访问权限”。开发者如要了解详情,请参阅 Google Verified Access API 开发者指南

遭停用设备的归还说明

此设置控制因丢失或被盗而遭停用的设备所显示的自定义文本。我们建议您在文本中加入归还地址和联系电话号码,以便看到此屏幕的用户可以将设备归还给您的单位。

FIDO 综合双重身份验证

指定用户能否在配备 Titan M 安全芯片的设备上使用双重身份验证 (2FA)。

登录设置

访客模式

控制是否允许在受管理的 Chrome 设备上以访客身份浏览。如果您选择允许使用访客模式(默认设置),则主登录屏幕会向用户提供以访客身份登录的选项。如果您选择停用访客模式,则用户必须使用 Google 帐号或 G Suite 帐号登录。如果用户使用访客模式登录,系统便不会应用您单位的政策。

登录限制

借助此设置,您可以管理哪些用户能登录运行 Chrome 操作系统的设备。

注意:如果您允许使用访客浏览模式或受管理的访客会话,那么无论您选择哪种设置,用户都可以使用设备。

选择一个选项:

  • 仅限列表中的用户登录 - 只有您指定的用户才能登录设备。其他用户在登录时会收到错误消息。输入您要指定的用户,格式为每行一条规则:
    • 要允许所有用户登录 - 请输入 *@<您的公司>.com。设备上的“添加用户”按钮始终可用。
    • 要仅允许特定用户登录 - 请输入 <用户 ID>@<您的公司>.com。当所有指定的用户都已登录设备后,“添加用户”按钮将不再可用。
  • 允许任何用户登录 - 任何拥有 Google 帐号的用户都可以登录设备。登录屏幕上的“添加用户”按钮可供您使用。
  • 不允许任何用户登录 - 用户无法使用其 Google 帐号登录设备。“添加用户”按钮将无法使用。
自动填充域名

借助此设置,您可以选择要在登录页面向用户显示的域名,以便用户在登录时无需输入用户名的 @<域名>.com 部分。

要启用此设置,请从列表中选择使用如下设置的域名在登录时自动填充,然后输入您的域名。

登录屏幕

指定 Chrome 设备的登录屏幕是否会显示已登录设备的用户的用户名和照片。

在登录屏幕上显示用户的用户名和照片可让用户快速启动会话,且最适合大多数部署。我们建议您极少地且有选择地更改此设置,以确保获得最佳用户体验。

  • 总是显示用户名和照片 - 允许用户在登录屏幕上选择自己的用户帐号(默认)。
  • 从不显示用户名和照片 - 禁止在登录屏幕上显示用户帐号。每次登录 Chrome 设备时,用户均须输入其 Google 帐号的用户名和密码。如果您为 Chrome 设备设置了 SAML 单点登录 (SSO),并将用户直接转到 SAML 身份提供商 (IdP) 页面,那么 Google 就会将用户重定向到 SSO 登录页面(用户无需输入其电子邮件地址)。

    注意:如果用户已注册两步验证,则在每次登录 Chrome 设备时,系统都会提示他们执行第二道验证步骤。

设备关闭时段

借助此设置,您可以设置每周时间表,指定访客浏览和登录限制设置在哪些时段不适用于运行 Chrome 操作系统的受管理设备。

举例来说,学校管理员可以在上课时段禁止访客浏览内容,或者仅允许用户使用以“@<学校域名>.edu”结尾的用户名登录。用户可以在非上课时段以访客模式浏览内容,或使用“@<学校域名>.edu”以外的帐号登录自己的设备。

设备壁纸图片

适用于 Chrome 61 及更高版本

此设置用于将登录屏幕上的默认壁纸替换成您自行指定的壁纸。您可以上传 JPG 格式(.jpg 或 .jpeg 文件)的图片,图片不能超过 16 MB。不支持其他文件类型。

用户数据

指定已注册的 Chrome 设备是否会在每次用户退出后删除本地存储的所有设置和用户数据。设备同步的数据会保留在云端,但不会保留在设备本身中。如果您将此选项设置为清除所有本地用户数据,则用户可使用的存储空间仅限设备 RAM 容量的一半。

注意:默认情况下,Chrome 设备会加密所有用户数据,并在多位用户共享时自动清理磁盘空间。此默认操作最适合大多数部署,并能确保数据安全和最佳用户体验。我们建议您极少地且有选择地启用清除所有本地用户数据

单点登录 IdP 重定向

设备必须具备 SAML 单点登录功能。请参阅为 Chrome 设备配置 SAML 单点登录

如果要让单点登录 (SSO) 用户能够直接跳转到 SAML 身份提供商 (IdP) 页面,而不必先输入他们的电子邮件地址,您可以启用单点登录 IdP 重定向设置。

单点登录 Cookie 行为

设备必须具备 SAML 单点登录功能。请参阅为 Chrome 设备配置 SAML 单点登录

要让单点登录 (SSO) 用户在登录其 Chrome 设备后即可登录依靠相同身份提供商 (IdP) 的内部网站和云服务,您可以启用 SAML 单点登录 Cookie。

SAML 单点登录 Cookie 始终会在首次登录时进行传递,但如果您希望在后续登录中传递 Cookie,则需要启用此政策。

如果您已为单位中受支持的 Chrome 设备启用 Android 应用,同时已启用这项政策,则 Cookie 便不会传递到 Android 应用。

单点登录相机权限

设备必须具备 SAML 单点登录功能。请参阅为 Chrome 设备配置 SAML 单点登录

重要提示:启用此政策,即表示您代第三方服务的用户授权第三方服务使用用户的相机。请务必为用户提供适当的同意书,因为如果通过此政策授予权限,系统不会向最终用户显示任何同意书。

要在 SAML 单点登录 (SSO) 流程中代您的 SSO 用户授予第三方应用或服务直接使用用户相机的权限,您可以启用 SSO 相机权限。第三方身份提供商 (IdP) 可以使用此设置为 Chrome 设备提供新形式的身份验证流程。

要将 IdP 加入许可名单,请输入各项服务的网址,每个网址各占一行。

如果您要使用此设置为单位配置 Clever Badges™,请参阅 Clever 支持网站了解详情。

单点登录客户端证书

设备必须具备 SAML 单点登录功能。请参阅为 Chrome 设备配置 SAML 单点登录

通过此设置,您可以控制单点登录 (SSO) 网站的客户端证书。

您可以用 JSON 字符串的形式输入网址格式列表。之后,如果有格式相符的 SSO 网站要求客户端证书,那么在已安装有效设备级客户端证书的情况下,Chrome 会自动为该网站选择证书。

如果要求证书的网站不符合任何格式要求,Chrome 就不会提供证书。

如何设置 JSON 字符串格式:

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}

ISSUER/CN 参数(上述证书颁发者名称)可指定证书认证机构 (CA) 的通用名称,而系统自动选择的客户端证书必须将其作为颁发者。如果您希望 Chrome 选择任一 CA 颁发的证书,请输入 “filter”:{} 以将此参数留空。

示例:

{"pattern":"https://[*.]ext.example.com","filter":{}}, {"pattern":"https://[*.]corp.example.com","filter":{}}, {"pattern":"https://[*.]intranet.usercontent.com","filter":{}}

无障碍功能控制

借助此设置,您可以控制登录屏幕上的无障碍设置。无障碍设置包括大号光标、语音反馈和高对比度模式。

  • 退出时关闭登录屏幕上的无障碍设置 - 在登录屏幕出现或用户在登录屏幕上停止操作一分钟后,无障碍设置即会恢复为默认设置。
  • 允许用户控制登录屏幕上的无障碍设置 - 恢复用户之前在登录屏幕上的无障碍设置(启用或停用),即使设备重启也是如此。
登录语言

指定 Chrome 设备的登录屏幕以哪种语言显示。您也可以允许用户选择语言。

登录键盘

指定允许在 Chrome 设备登录屏幕上使用的键盘布局。

仅限支持一体化隐私保护电子屏幕功能的 Chrome 设备

指定隐私保护屏幕功能在登录屏幕上是否始终处于启用或停用状态。您可以启用或停用登录屏幕的隐私保护屏幕功能,也可以让用户自行选择。

在用户输入密码时显示数字键盘

针对带有触摸屏的 Chrome 设备,指定是否在登录和锁定屏幕上显示输入数字键盘,以供用户用于输入密码。在选择默认使用数字键盘输入密码的情况下,如果用户设定的是字母数字密码,则仍可以切换到标准键盘。

登录屏幕无障碍功能

默认情况下,设备登录屏幕的无障碍设置处于停用状态。如果您通过管理控制台启用或停用无障碍功能,用户便无法更改或覆盖这些功能。如果您选择允许用户决定,那么用户可以根据需要启用或停用无障碍功能。有关详情,请参阅开启 Chromebook 无障碍功能设置Chromebook 键盘快捷键

注意:停用无障碍功能可能会导致部分用户无法使用设备。

让 Chrome 设备大声朗读登录屏幕上的文字。如有需要,用户还可以连接并设置盲文设备。有关详情,请参阅使用内置屏幕阅读器将盲文设备与 Chromebook 搭配使用

允许用户选择登录屏幕上的内容,由系统大声朗读特定文字。当 Chrome 操作系统大声朗读所选字词时,每个字词都会突出显示。有关详情,请参阅让系统大声朗读文字

更改字体和背景配色方案,让登录屏幕更易于阅读。

允许用户放大整个登录屏幕(全屏放大镜)或部分登录屏幕(停靠的放大镜)。有关详情,请参阅放大 Chromebook 屏幕

允许用户依次按下快捷键组合中的每一个按键,而不必同时按下多个按键。例如,启用粘滞键后,要粘贴某项内容,用户可以先按 Ctrl 键,再按 V 键,而不必同时按 Ctrl 键和 V 键。有关详情,请参阅使用键盘快捷键(一次按一个键)

让用户无需使用实体键即可输入字符。屏幕键盘通常用于具有触摸屏界面的设备,但也可以通过触控板、鼠标或外接的操纵杆来使用。有关详情,请参阅使用屏幕键盘

允许用户使用语音(而非键盘)在登录屏幕上输入文字。有关详情,请参阅使用语音输入文字

当用户使用键盘在登录屏幕上浏览多个对象时,此功能会突出显示用户正在查看的对象。这样就可以让用户确认自己在屏幕上的位置。

在登录屏幕上编辑文本时,此功能会突出显示文本插入符号(又称“光标”)周围的区域。

启用此功能后,用户只需将鼠标光标悬停在登录屏幕上的所需位置,即可自动进行点击,而不必实际点按鼠标或触控板。有关详情,请参阅自动点击 Chromebook 上的对象

放大鼠标光标,使其在登录屏幕上更加显眼。

此功能在鼠标光标周围显示彩色聚焦环,使鼠标光标在登录屏幕上更加显眼。

借助此功能,您可以在登录屏幕上将鼠标左右键的功能互换。默认情况下,鼠标左键是主按钮。

启用此功能后,所有音响设备都会播放相同的声音,这样用户就不会漏听立体声中的内容。

允许用户在登录屏幕上使用无障碍功能的键盘快捷键。有关详情,请参阅 Chromebook 键盘快捷键

设备更新设置

重要提示:在更改下列任何自动更新设置之前,请先查看管理 Chrome 设备上的更新

自动更新设置

设备更新

软件支持只适用于最新版本的 Chrome 操作系统。

当 Chrome 操作系统有新版本发布时,您可以让 Chrome 设备自动更新到该新版本,并让用户自行检查更新。强烈建议允许更新

要在设备注册和重启之前停止更新,请执行以下操作:

  • 当您处于最终用户许可协议这一屏时,同时按下 Ctrl + Alt + E。否则,在用户重启设备时,系统就可能会应用这些已下载但应被政策屏蔽的更新。

仅限更新到此 Google Chrome 版本

软件支持只适用于最新版本的 Chrome 操作系统。

阻止 Chrome 设备更新至高于指定版本号的 Chrome 操作系统版本。仅当您需要在更新 Chrome 操作系统版本之前解决兼容性问题时,才建议使用此设置。较新的 Chrome 操作系统版本均已列出。

您可以将一台或多台 Chrome 设备配置为使用开发者版系统或 Beta 版系统,以帮助发现即将推出的 Chrome 操作系统版本是否存在兼容性问题。有关详情,请参阅 Chrome 操作系统发布版本最佳做法

部署计划

指定您希望如何将更新部署到受管理的 Chrome 设备。

从以下选项中选择一项:

  • 默认(一有新版本便更新设备) - 新版 Chrome 操作系统发布后,Chrome 设备就会自动进行更新。
  • 根据特定计划部署更新 - 最初仅更新一定比例的 Chrome 设备,随后逐步为更多设备进行更新。您可以使用分阶段更新计划设置来指定更新部署计划。
  • 交错更新 - 在网络带宽受限时,您可以将 Chrome 设备的更新时间错开,在几天之内(最长 2 周时间)分批更新设备。您可以使用随机错开自动更新,分以下几天完成设置来指定具体天数。

分阶段更新计划

仅在选择“根据特定计划部署更新”设置时才能使用此选项

指定将设备更新到新版 Chrome 操作系统的部署计划。您可以使用此设置来限定更新到新版 Chrome 操作系统的设备在不同时期所占具体比例。一些设备的更新日期可以晚于新版本的发布日期。您可以逐步提高更新到新版操作系统的设备所占比例,直至所有设备都完成更新。

随机错开自动更新,分以下几天完成

仅在选择“交错更新”设置时才能使用此选项

指定受管理的 Chrome 设备会在新版本发布后的大约几天内下载相应更新。您可以使用此设置来避免对老旧网络或低带宽网络造成流量高峰。这段时间内处于离线状态的设备会在重新连接到网络后下载更新。

除非您知道自己的网络无法应对流量高峰,否则请选择不错开自动更新或选择较小的数值。在不使用“交错更新”的情况下,您的用户可以更快获享新推出的 Chrome 增强功能和服务。这样还能尽可能减少您单位中同时使用的版本数量,从而简化更新期间的变更管理。

不进行自动更新的其他时段

仅适用于自动启动的自助服务终端设备

指定 Chrome 暂时停止自动检查更新的日期和时间。您可以根据需要设置不进行自动更新的时段,时段数量不受限制。用户或管理员启动的手动更新检查在不进行自动更新的时段内不会被禁止。

更新后自动重启

只有当设备被配置为“受管理的访客会话自助服务终端”时,才支持自动重启。

  • 允许自动重启 - 自动更新成功后,Chrome 设备会在用户下次退出时重新启动。
  • 禁止自动重启 - 停用自动重启功能。

通过移动数据网络进行更新

指定 Chrome 设备自动更新 Chrome 操作系统新版本时可以使用的连接类型。默认情况下,Chrome 设备仅会在连接到 Wi-Fi 或以太网时自动检查和下载更新。选择允许通过各种网络连接自动更新,包括移动数据网络后,Chrome 设备在连接到移动网络时也会进行自动更新。

应用控制的更新

您可以允许特定应用控制设备的 Chrome 操作系统版本。这样可以防止设备更新到高于应用所指定的版本号的 Chrome 版本。

点击选择应用后,您便可以在 Chrome 网上应用店中搜索和选择应用。

自助服务终端控制的更新

如果您使用自动启动的自助服务终端应用来控制设备的 Chrome 操作系统版本,则无法使用此政策

您可以允许某个特定的自助服务终端应用控制设备的 Chrome 操作系统版本,以防止设备更新到高于应用所指定的版本号的 Chrome 版本。应用必须在清单文件中添加 "kiosk_enabled": true 并指定所需的 Chrome 操作系统版本 required_platform_version。清单文件中的更新最长可能需要 24 小时才能在设备上生效。要了解如何在应用的清单文件中配置设置,请参阅允许自助服务终端应用控制 Chrome 操作系统版本

点击选择应用后,您便可以在 Chrome 网上应用店中搜索并选择自助服务终端应用。

发布版本

您无法为顶级单位部门设置此政策,且必须对每个单位部门分别进行设置。

借助此设置,用户可转换发布版本,以此来测试最新的 Chrome 功能。您可以为用户选择版本。要允许用户自行选择版本,请选择允许用户进行配置。要让用户选择开发者版,您必须将“开发者工具用户规范”设为始终允许使用内置开发者工具。有关详情,请参阅 Chrome 浏览器发布版本开发者工具

下载更新

指定 Chrome 设备是通过 HTTP 还是 HTTPS 下载 Chrome 操作系统更新。

定时更新
特定设备设置适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

指定设备检查更新的日期和时间(即使设备处于睡眠模式,系统也会检查更新)。设备在电源关闭时将无法检查更新。

自助服务终端设置

配置自助服务终端设置之前,请先注册要作为自助服务终端使用的设备。

相关主题注册 Chrome 设备查看 Chrome 操作系统设备详细信息查看和配置应用和扩展程序以及设置应用和扩展程序政策

受管理的访客会话

将 Chrome 设备配置为受管理的访客会话之前,请确保设备所属的单位部门已有受管理的访客会话设置。之后,如要将自助服务终端设为受管理的访客会话自助服务终端,请选择允许受管理的访客会话

要了解如何创建受管理的访客会话设置,请参阅受管理的访客会话设备

要在 Chrome 设备上自动启动受管理的访客会话,请选择自动启动受管理的访客会话,并将自动启动延迟设为 0

启用设备运行状况监测

此设置仅适用于在 Chrome 设备上自动启动的受管理的访客会话

选择启用设备运行状况监控,以允许系统报告自助服务终端的运行状况。启用此设置后,您可以查看设备是否在线以及是否正常运行。

有关详情,请参阅监控自助服务终端运行状况

启用设备系统日志上传

此设置仅适用于在 Chrome 设备上自动启动的受管理的访客会话

重要提示:在使用此设置之前,您必须先通知受管理的自助服务终端设备的用户,系统可能会监控其活动,并且可能会在无意中记录并共享相关数据。如果您未通知自己的用户,则违反了您与 Google 所签协议中的条款。

选择启用设备系统日志上传即可自动获取自助服务终端设备的系统日志。系统每 12 小时会获取一次系统日志,并将其上传至您的管理控制台。日志最多可在管理控制台中保留 60 天。您每次可以下载 7 份日志,包括过去 5 天的日志(每天 1 份)、30 天前的日志(1 份)和 45 天前的日志(1 份)。

有关详情,请参阅监控自助服务终端运行状况

屏幕旋转(顺时针)

此设置仅适用于在 Chrome 设备上自动启动的受管理的访客会话

要为自助服务终端设备配置屏幕旋转,请选择您想要的屏幕方向。例如,要将屏幕视图旋转为纵向布局,请选择 90 度。您可以手动替换此政策,将设备配置为其他屏幕方向。

自助服务终端设备状态提醒的接收方式

要在 Chrome 自助服务终端设备关闭时接收提醒,请勾选通过电子邮件接收提醒通过短信接收提醒复选框,或者同时勾选这两个复选框。

用于接收自助服务终端设备状态提醒的联系信息

接收有关 Chrome 自助服务终端设备的状态更新。

  • 通过电子邮件获取更新 - 在接收提醒的电子邮件旁边,每行输入一个电子邮件地址。
  • 通过短信获取更新 - 在用于接收提醒的手机号码旁边,输入手机号码,每行一个。
网址拦截

屏蔽的网址

阻止 Chrome 浏览器用户访问特定网址。

要配置此设置,请逐行输入网址(最多 1000 个)。

例外的屏蔽网址

指定网址屏蔽名单的例外网址。

要配置此设置,请逐行输入网址(最多 1000 个)。

网址语法

每个网址必须包含有效的主机名(例如 google.com)、IP 地址或者代替主机的星号 (*)。星号的功能类似于通配符,代表所有的主机名和 IP 地址。

网址也可以包括:

  • 网址架构,即 http、https 或 ftp(后跟 ://
  • 有效端口值(1 至 65535)
  • 指向资源的路径
  • 查询参数

注意:

  • 要停用子域名匹配功能,请在主机名前面再输入一个英文句号。
  • 您无法使用 user:pass 字段(例如 http://user:pass@ftp.example.com/pub/bigfile.iso),而是要改为输入 http://ftp.example.com/pub/bigfile.iso。
  • 如果同时应用“屏蔽的网址”和“屏蔽的网址例外”过滤器(路径长度相同),系统会优先应用例外过滤器。
  • 如果主机名前出现额外的英文句号,说明此政策仅过滤完全匹配的主机。
  • 您无法在网址末尾使用通配符,例如 https://www.google.com/* 和 https://google.com/*。
  • 此政策最后才会搜索通配符 (*)。
  • 可选查询是一组键值和仅包含键的标记(用“&”分隔)。
  • 键值标记用“=”分隔。
  • 查询标记的末尾可以是“*”,用于指定前缀匹配。标记的顺序不影响匹配结果。

示例

已屏蔽的网址条目 结果
example.com 阻止对 example.com、www.example.com 和 sub.www.example.com 的所有请求
http://example.com 屏蔽对 example.com 及其任何子网域的所有 HTTP 请求,但允许 HTTPS 和 FTP 请求
https://* 屏蔽对任何网域的所有 HTTPS 请求
mail.example.com 阻止对 mail.example.com 的请求,但不阻止对 www.example.com 或 example.com 的请求
.example.com 屏蔽 example.com,但不屏蔽其子网域(例如 example.com/docs)
.www.example.com 屏蔽 www.example.com,但不屏蔽其子网域
* 除了对屏蔽名单例外网址的请求之外,其他请求一律屏蔽。这其中包括所有网址协议,例如 http://google.com、https://gmail.com 和 chrome://policy。
*:8080 屏蔽对端口 8080 的所有请求
*/html/crosh.html 屏蔽 Chrome Secure Shell(也称为 Crosh Shell)

chrome://settings

chrome://os-settings

屏蔽对 chrome://os-settings 的所有请求

example.com/stuff 屏蔽对 example.com/stuff 及其子网域的所有请求
192.168.1.2 屏蔽对 192.168.1.2 的请求
youtube.com/watch?v=V1 屏蔽 ID 为 V1 的 YouTube 视频

用户和设备报告

设备报告

设备状态报告

此设置默认情况下处于开启状态。指定您网域中注册的 Chrome 设备是否会报告当前设备状态,其中包括固件、Chrome 和平台版本以及启动模式。

如果您在单位中受支持的 Chrome 设备上启用了 Android 应用,则 Android 应用执行的日志记录或报告操作就不会受到此政策的影响。

相关主题查看 Chrome 操作系统设备详细信息在 Chrome 设备上使用 Android 应用

设备用户跟踪

默认情况下,此设置处于启用状态。如果您启用了“在用户退出时清除设备上的所有用户信息”用户数据设置,则该设置不会生效。

相关主题: 查看 Chrome 操作系统设备详细信息

非活动设备通知

非活动设备通知报告

获取有关您网域中非活动设备的电子邮件报告。报告包含以下内容:

  • 您网域中所有非活动设备(在非活动状态时间范围指定的时间之后尚未同步的设备)的信息
  • 每个单位部门中非活动设备的总数(包括新增的非活动设备数量)。
  • 各设备详细信息的链接。详细信息包括单位部门、序列号、资产 ID 等;如果新增的非活动设备数量低于 30,则还包括上次同步日期。

注意:报告中部分信息的时效性可能会落后长达 1 天的时间。例如,如果某台设备在过去 24 小时内进行了同步,但之前处于非活动状态,那么即使该设备当前处于活动状态,也仍然可能显示在非活动设备列表中。

非活动状态时间范围(天数)

如果某一设备未向管理服务器登记的时间超过您指定的天数,那么该设备就处于非活动状态。您可以将天数设置为任何大于 1 的整数。

例如,如果您要将过去一周内未同步的所有设备标为非活动状态,请在非活动状态时间范围(天数)旁边输入 7

通知频率(天数)

如要指定发送非活动通知报告的频率,请在通知频率字段中输入天数。

接收通知报告的电子邮件地址

如要指定用于接收通知报告的电子邮件地址,请输入地址(每个地址占用 1 行)。

匿名指标报告

指定 Chrome 设备是否会在每次系统或浏览器进程崩溃时发送 Google 使用情况统计信息和崩溃报告。

使用情况统计信息包括偏好设置、按钮点击次数和内存使用情况等汇总信息。其中不包括网页网址或任何个人信息。崩溃报告包含崩溃时的系统信息,也可能会包含相关的网页网址或个人信息,具体取决于崩溃时的情况。

如果您已为单位中受支持的 Chrome 设备启用 Android 应用,则此政策也可控制 Android 使用情况和诊断信息数据收集功能。

启用设备系统日志上传

选择“启用设备系统日志上传”,即可自动获取设备的系统日志。系统每 12 小时会获取一次系统日志,并将其上传至您的管理控制台。日志最多可在管理控制台中保留 60 天。您每次可以下载 7 份日志,包括过去 5 天的日志(每天 1 份)、30 天前的日志(1 份)和 45 天前的日志(1 份)。

电源和关机

电源管理

此设置用于控制正显示登录屏幕的 Chrome 设备(没有用户登录)是否应在一段时间后转为休眠状态或关机,或者是否应保持唤醒状态。用作自助服务终端的 Chrome 设备可使用此设置,以确保始终处于屏幕显示状态。

预设的重启时间

此设置目前仅适用于显示登录屏幕的自助服务终端设备

借助此设置,您可以指定设备在多少天后重启。有时,设备可能不会在当天的同一时间重启,或者可能会推迟到用户下一次退出帐号时再执行此操作。如果会话正在运行,则系统会应用最长 24 小时的宽限期。

Google 建议您将自助服务终端应用配置为定期关闭,以让应用或设备重启。举例来说,您可以将应用设为在每天的凌晨 2:00 关闭。

允许关机

您可以选择:

  • 允许用户使用关机图标或物理电源按钮关闭设备 -(默认)用户可以通过设备上的按钮、键盘、鼠标或屏幕关闭设备。
  • 仅允许用户使用物理电源按钮关闭设备 - 用户无法通过键盘、鼠标或屏幕关闭设备,而只能使用设备上的按钮关闭设备。

此设置可能适用于特定部署情况,例如将 Chrome 设备用作自助服务终端或数字标牌。

“用电高峰期切换电源”电源管理政策

特定设备设置适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

系统会根据此政策自动将 Chromebook 切换为电池供电,以降低能耗。

如果要启用“用电高峰期切换电源”电源管理政策,请执行以下操作:

  1. 用电高峰期切换电源所需的电池最低电量下方,输入 15 到 100 之间的百分比值。如果电池电量百分比高于您指定的值,设备将使用电池电源运行。
  2. 设置每天运行“用电高峰期切换电源”电源管理政策的开始和结束时间:

    1. 配置用电高峰期切换电源的时段下方,选择开始和结束时间。在此期间,除非设备电池电量降到以上设置的阈值,否则不使用交流电源。
    2. 充电开始时间下方,选择开始为电池充电的时间。
主要电池充电配置

特定设备设置适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

您可以配置主要的电池充电模式,包括以下选项:

  • 标准模式 - 以标准速率将电池充满
  • 自动调节模式 - 基于标准使用模式自动优化充电速率
  • 快速充电模式 - 缩短充电时间
  • 主要使用交流电 - 主要通过交流电充电来延长电池寿命
  • 自定义模式 - 允许根据电量百分比输入开始和停止充电的时间

注意:您无法在使用高级充电电池模式设置的同时使用此设置。

高级充电电池模式

特定设备设置适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

您可以通过高级充电电池模式延长电池的使用寿命,因为此模式下,电池每天只会充满电一次。电池在当日首次充满电之后,就会在其余时间中保持低速充电状态(这样有利于储电),即使系统接入直接电源也是如此。

如果启用高级充电电池模式,请输入每日的开始和结束时间。

注意:在结束时间前最后 1.5 小时内,设备可能会阻止电池充电,以进入低速充电状态。

接入交流电时启动
特定设备设置适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。
如果您启用“接入交流电时启动”并将设备关机,则该设备在接入交流电源适配器时会开机。

注意:如果 Chromebook 设备已连接到接通电源的 Dell WD19 坞站,则即使停用此设置,该设备也会开机。

USB 电源共享
特定设备设置适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

如果 Chromebook 已关机并连接到电源,此模式允许用户通过特殊的 USB 端口为其他设备(如手机)充电。当 Chromebook 处于睡眠模式时,用户可通过任一 USB 端口为其他设备充电。

其他设置

Google 云打印

允许 Chrome 设备的任意用户使用 Google 云打印进行打印。配置为“受管理的访客会话”的 Chrome 设备通常会启用该设置。

  1. 请选择要启用的云端打印机旁边,点击管理
  2. 在显示的“云打印”对话框中,为您所选单位部门中的设备搜索并添加云端打印机。
  3. 点击保存

打印机最长可能需要 24 小时才能与所选单位部门中的所有 Chrome 设备共享。任何使用设备的用户(包括使用访客浏览模式或受管理的访客会话的用户)都可以通过您共享的云端打印机进行打印。

如果与您的网域共享的打印机并不归您所有,则这些打印机会显示在其他打印机的另一个标题下。如果某台打印机无法再使用了,或者在您的网域中不再有对应的所有者了,那么您可以从其他打印机中将其移除。

部署注意事项:

  • 您必须是 Google 云打印中打印机的所有者,才可以使用管理控制台添加该打印机。如果您有多台打印机,请专门创建一个角色帐号来管理 Google 云打印中的打印机。如果您执行了此操作,请使用该角色帐号登录,再将打印机共享给您的 Chrome 设备。如果您不希望创建的角色帐号拥有超级用户权限,则可以使用指派的管理员角色,仅对其授予管理设备设置的权限。有关详情,请参阅在 Chrome 中指派管理员角色
  • 根据您的环境和使用的打印机,您或许可以使用 Chrome 的本机打印

已知问题:

  • 由于打印机的所有权是与各 G Suite 帐号绑定的,因此,如果您的单位有多个管理员,他们可能就会有不同的一组打印机。
  • 管理员可以删除或移除其他管理员共享的打印机。例如,如果管理员 1 删除了归管理员 2 所有的打印机,那么管理员 1 将无法重新添加该打印机。
  • 目前,没有办法判断其他打印机部分中的打印机是处于活动状态还是已删除,这是因为如下一些已知问题而导致的,我们正在努力解决:
    • 如果管理员在 https://www.google.com/cloudprint/#printers 中删除了某台打印机,那么该打印机即使无法使用了,也仍会显示在其他打印机下。
    • 如果打印机的所有者已遭删除,那么该打印机将显示在其他打印机下。
设备网络主机名模板

支持 Chrome 65 及更高版本

此政策允许您指定通过 DHCP 请求传递到 DHCP 服务器的主机名。

如果已将此政策设为一个非空字符串,则该字符串将会用作 DHCP 请求中的设备主机名。

该字符串可以包含变量 ${ASSET_ID}、${SERIAL_NUM} 以及 ${MAC_ADDR}。系统会将这些变量替换为设备上的相应值,替换后的字符串应是有效的主机名(符合 RFC 1035 第 3.1 节中的规定)。

如果此政策未设置,或替换后的值不是有效的主机名,系统将不会在 DHCP 请求中使用任何主机名。

时区

系统时区

指定要为用户设备设置的时区。

系统时区自动检测

选择以下一个选项,指定设备检测和设置当前时区的方式:

  • 让用户决定 - 用户可以使用标准的 Chrome 日期和时间设置来控制时区。
  • 一律不自动检测时区 - 用户必须手动选择时区。
  • 一律使用粗略式时区检测方式 - 系统将使用设备 IP 地址来设置时区。
  • 解析时区时一律将 WiFi 接入点发送到服务器 - 系统会使用设备连接的 Wi-Fi 接入点位置来设置时区(最准确)。
  • 发送所有位置信息 - 系统会使用位置信息(如 Wi-Fi 接入点和 GPS)来设置时区。
移动数据网络漫游

指定 Chrome 设备上的用户能否使用其他运营商的移动网络上网(可能需支付费用)。要启用此设置,用户需要在设备上允许移动数据网络漫游。

相关主题: 连接到移动数据网络

分离式 USB 设备许可名单

通过此名单,您可以指定应用(例如 Citrix Receiver)能直接访问的一系列 USB 设备。您可以列出各种设备,例如键盘、签名板、打印机、扫描仪,以及其他 USB 设备。如果未配置此政策,可拆卸 USB 设备列表中就没有任何内容。

要将设备添加到列表,请以冒号分隔的十六进制数对的形式 (VID:PID) 输入 USB 供应商标识符 (VID) 和商品标识码 (PID)。每个设备需占用一行。例如,要列出 VID 为 046E,PID 为 D626 的鼠标,以及 VID 为 0404,PID 为 6002 的签名板,请输入:

046E:D626
0404:6002

蓝牙

允许您在设备上启用或停用 Bluetooth®

  • 要启用蓝牙功能,请选择不停用蓝牙功能
  • 要停用蓝牙功能,请选择停用蓝牙功能

如果您将政策从停用蓝牙功能更改为不停用蓝牙功能,则必须重启设备才能使更改生效。

如果您将政策从不停用蓝牙功能更改为停用蓝牙功能,则更改会立即生效,而且您无需重启设备。

限制设备带宽

适用于在自助服务终端模式、受管理的访客会话模式或用户模式下,运行 Chrome 56 及更高版本的设备

此设置可以控制设备级别带宽的用量。设备上的所有网络接口(包括 Wi-Fi、以太网、USB 以太网转接器、USB 移动网络加密狗和 USB 无线网卡)都将启用节流功能。所有网络流量也会启用节流功能,包括操作系统更新。

要启用该设置,请执行以下操作:

  1. 选择启用网络节流功能
  2. 指定下载和上传速度(单位为 kbps)。您可以指定的速度下限为 513 kbps。
TPM 固件更新

安装 TPM 固件更新可能会清空设备并将其恢复为出厂设置,尝试安装更新操作重复失败可能会导致设备无法使用。

要允许用户在设备上安装可信平台模块 (TPM) 固件更新,请选择允许用户执行 TPM 固件更新。如需了解用户要如何安装固件更新,请参阅更新 Chromebook 的安全功能

虚拟机

指定用户能否在运行 Chrome 操作系统的设备上运行虚拟机。要允许用户安装 Linux 应用并运行 Linux 工具、编辑器和集成开发环境 (IDE),请选择允许使用必要的虚拟机来运行 Linux 应用。如需了解用户要如何启用 Linux 应用支持,请参阅在 Chromebook 上设置 Linux(Beta 版)

MAC 地址传递

特定设备设置适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

您可以通过此设置,选择坞站连接到 Chromebook 时使用的 MAC 地址。

Dell SupportAssist

特定设备设置适用于戴尔 Latitude 5300 二合一、5400、7410 以及 7410 二合一 Chromebook 企业版设备。

允许您启用和配置 Dell SupportAssist 程序。要了解 Dell Support Assist 的相关信息,请转到 Dell 支持

指定用户能否在登录 Chrome 设备时,无需输入各自的用户名和密码,只需刷一下身份标识卡即可。要详细了解如何设置,请参阅将 Chrome 设备与 Imprivata OneSign 搭配使用

Chrome 管理 - 合作伙伴访问权限

允许企业移动管理 (EMM) 合作伙伴访问设备管理

目前不适用于 G Suite 教育版

通过此设置,企业移动管理 (EMM) 合作伙伴能以编程方式访问并管理设备政策、获取设备信息并发出远程命令。合作伙伴可使用这种访问权限功能将 Google 管理控制台功能集成到 EMM 控制台中。

启用合作伙伴访问权限后,您的企业移动管理 (EMM) 合作伙伴就能够管理单个 Chrome 设备,这意味着他们不再需要通过管理控制台单位部门结构来管理设备。而是可以使用 EMM 控制台中配置的结构进行管理。您无法同时使用合作伙伴访问权限和管理控制台为同一设备设置相同的政策。使用合作伙伴访问权限控制功能配置的设备级政策优先于在管理控制台中设置的政策。要在单位部门层级为设备强制启用政策,您需要选择停用“Chrome 管理 - 合作伙伴访问权限”

相关主题:使用 EMM 控制台管理 Chrome 设备

该内容对您有帮助吗?
您有什么改进建议?