設定 Chrome 裝置政策

本文適用對象為透過 Google 管理控制台管理 Chrome 政策的管理員。

Chrome Enterprise 管理員可管理使用者在操作 Chromebook 等受管理的 Chrome 裝置時,所要套用的設定。裝置層級的設定會套用到裝置上的所有使用者,無論他們是以訪客身分或透過個人 Gmail 帳戶登入皆是如此。

指定裝置設定

事前準備:如要為特定裝置群組套用設定,請將這些裝置加入同一個機構單位

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [裝置] 接下來 [Chrome 管理服務]
  3. 依序按一下 [設定] 接下來 [裝置]
  4. 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位
  5. 依您的需求調整設定。瞭解各項設定

    提示:在畫面頂端的「搜尋設定」中輸入文字,即可快速找到設定。

    如果是從上層機構沿用的設定,該設定會顯示「沿用」;如果是為子機構覆寫的設定,該設定會顯示「已在機構內採行」

  6. 按一下 [儲存]

    設定通常會在幾分鐘內生效,但也可能需要經過 24 小時才會套用到所有使用者的裝置上。

瞭解各項設定

適用於受管理的 Chromebook 和其他搭載 Chrome 作業系統的裝置。

如果下文列出的設定帶有「裝置專屬設定」圖示 裝置專屬設定,就表示該設定僅適用於特定裝置類型。部分設定不適用於單一應用程式資訊站。

註冊和存取權

強制重新註冊

這項設定可指定在抹除 Chrome 裝置資料後,是否強制要求這些裝置在您的帳戶中重新註冊。根據預設,已抹除資料的裝置會自動重新註冊到您的帳戶中,使用者不必輸入使用者名稱和密碼。

如要防止自動重新註冊成為已抹除資料的裝置預設行為,請選擇下列其中一種做法:

  • 抹除裝置資料後,不強制重新註冊裝置:使用者不必將裝置重新註冊到您的帳戶中即可使用。
  • 抹除裝置資料後,強制以使用者憑證重新註冊裝置:系統會提示使用者將裝置重新註冊到您的帳戶中。

如果您已開啟強制重新註冊功能,但不想在帳戶中重新註冊特定 Chrome 裝置,則必須取消佈建該裝置。

如要進一步瞭解如何強制重新註冊,請參閱強制重新註冊已抹除資料的 Chrome 裝置。 

已驗證存取權

這項設定可讓網路服務要求證明用戶端執行的是未經修改且符合政策的 Chrome 作業系統 (若管理員要求,則在已驗證模式中執行)。這項設定包括下列控制項:

  • 啟用內容保護:確保貴機構的 Chrome 裝置使用專屬金鑰 (可信任平台模組) 向內容供應者驗證身分,同時確保 Chromebook 也可以向內容供應者表明其執行的是驗證開機程序模式。
  • 停用內容保護:停用此控制項後,使用者可能無法存取部分有權限保護的內容。

管理員如需瞭解詳情,請參閱為 Chrome 裝置啟用「已驗證存取權」。開發人員請參閱《Google Verified Access API 開發人員指南》。

已驗證模式
  • 「已驗證存取權」需要以已驗證模式啟動:必須以驗證開機程序模式執行裝置,才能通過裝置驗證。在開發模式中執行的裝置一律無法通過「已驗證存取權」檢查。
  • 略過「已驗證存取權」的啟動模式檢查作業:允許以開發人員模式執行的裝置通過「已驗證存取權」檢查。
  • 具備完整存取權的服務:針對在 Google Cloud Platform Console 中建立的服務帳戶,列出具備完整 Google Verified Access API 存取權的服務帳戶電子郵件地址。
  • 具備有限存取權的服務:針對在 Google Cloud Platform Console 建立的服務帳戶,列出具備有限 Google Verified Access API 存取權的服務帳戶電子郵件地址。

管理員如需瞭解詳情,請參閱為 Chrome 裝置啟用「已驗證存取權」。開發人員請參閱《Google Verified Access API 開發人員指南》。

停用的裝置歸還指示

這項設定可控制裝置因遺失或遭竊而停用時,裝置畫面上顯示的自訂文字。建議您在這則訊息中加入歸還地址和聯絡電話號碼,讓看到這個畫面的人能將裝置送還給貴機構。

裝置內建的 FIDO 雙重驗證

指定使用者是否能透過搭載 Titan M 安全晶片的裝置執行雙重驗證 (2FA)。

登入設定

訪客模式

控制是否允許使用者以訪客身分瀏覽受管理的 Chrome 裝置。如果您選取 [允許訪客模式] (預設設定),則主要登入畫面會提供可讓使用者以訪客身分登入的選項。如果您選取 [停用訪客模式],使用者就必須透過 Google 帳戶或 G Suite 帳戶登入。機構政策無法套用於透過訪客模式登入的使用者。

登入限制

這項設定可讓您控管哪些使用者可以登入搭載 Chrome 作業系統的裝置。

注意:如果您允許受管理的訪客工作階段或訪客瀏覽,則不論您選擇哪一種設定,使用者都可以使用裝置。

選擇下列任一做法:

  • 限定清單中的使用者才能登入:只有您指定的使用者才能登入裝置,其餘使用者會收到錯誤訊息。輸入您想指定的使用者,每行只能使用一種格式:
    • 允許您的所有使用者登入:輸入「*@<貴公司>.com」。裝置上會持續顯示 [新增使用者] 按鈕。
    • 僅允許特定使用者登入:輸入「<使用者 ID>@<貴公司>.com」。當所有指定的使用者都已登入裝置時,即不會再顯示 [新增使用者] 按鈕。
  • 允許任何使用者登入:具有 Google 帳戶的任何使用者都可以登入裝置。登入畫面會顯示 [新增使用者] 按鈕。
  • 不允許任何使用者登入:任何人都無法使用 Google 帳戶登入裝置,也無法使用 [新增使用者] 按鈕。
自動完成網域

這項設定可讓您選擇要在使用者登入頁面上顯示的網域名稱,如此一來,使用者登入時就不須輸入使用者名稱的「@<網域>.com」部分。

如要開啟這項設定,請從清單中選取 [登入時供自動完成功能使用下方設定的網域名稱],並輸入您的網域名稱。

登入畫面

這項設定是用於指定 Chrome 裝置的登入畫面中,是否要顯示先前登入者的使用者名稱和相片。

在登入畫面中顯示使用者的名稱和相片,可讓使用者快速開始工作階段,最適合大部分的部署作業。建議您盡量不要變更此設定,如有需要則選擇性進行變更,以確保呈現最佳使用者體驗。

  • 一律顯示使用者名稱和相片:讓使用者在登入畫面上選擇自己的帳戶 (預設)。
  • 一律不顯示使用者名稱和相片:不在登入畫面上顯示使用者帳戶。使用者每次登入 Chrome 裝置時,都必須輸入 Google 帳戶的使用者名稱和密碼。如果您的 Chrome 裝置已設定 SAML 單一登入 (SSO),並會將使用者直接導向 SAML 識別資訊提供者 (IdP) 頁面,Google 會將他們重新導向 SSO 登入頁面,讓他們不必輸入自己的電子郵件地址。

    注意:如果使用者註冊了兩步驟驗證,系統就會在使用者每次登入 Chrome 裝置時,提示他們進行第二個驗證步驟。

裝置關閉時間

這項設定可讓您設定每週時間表,指定受管理的 Chrome 作業系統裝置在哪些時段不套用訪客瀏覽和登入限制等功能設定。

舉例來說,學校管理員可以在上課時間封鎖訪客瀏覽功能,或者僅允許使用者透過結尾為 @schooldomain.edu 的使用者名稱登入。使用者可在課餘時間以訪客模式進行瀏覽,或透過「@<學校網域>.edu」以外的帳戶登入自己的裝置。

裝置桌布圖片

Chrome 61 以上版本

您可以透過這項設定將登入畫面的預設桌布更換成您自訂的桌布。您可以上傳 JPG 格式 (.jpg 或 .jpeg 檔案) 的圖片,檔案大小上限為 16 MB,但不支援其他檔案類型。

使用者資料

指定在使用者每次登出後,已註冊的 Chrome 裝置是否要刪除所有儲存在本機的設定和使用者資料。裝置進行過同步處理的資料將會繼續儲存在雲端,不會保留在裝置中。如果設為 [清除所有本機使用者資料],系統會將使用者可用的儲存空間限制在裝置 RAM 容量的一半以下。

注意:根據預設,Chrome 裝置會為所有使用者資料進行加密,並在多位使用者共用時自動清理磁碟空間。這項預設行為最適合大部分的部署作業,可確保資料安全性和最佳使用者體驗。建議您盡量不要啟用 [清除所有本機使用者資料],如有需要則選擇性啟用。

單一登入 IdP 重新導向

裝置必須已設定 SAML SSO。請參閱為 Chrome 裝置設定 SAML 單一登入服務

如要讓單一登入 (SSO) 使用者不必先輸入自己的電子郵件地址就能直接前往 SAML 識別資訊提供者 (IdP) 的頁面,請啟用單一登入 IdP 重新導向設定。

單一登入 Cookie 行為

裝置必須已設定 SAML SSO。請參閱為 Chrome 裝置設定 SAML 單一登入服務

如要讓單一登入 (SSO) 使用者稍後可在 Chrome 裝置上登入同一個識別資訊提供者 (IdP) 所支援的內部網站和雲端服務,您可以啟用 SAML SSO Cookie。

SSO 使用者首次登入時,系統一律會轉移 SAML SSO Cookie,如果您希望系統於後續登入時才轉移 Cookie,請務必啟用這項政策。

如果您已為貴機構中支援的 Chrome 裝置啟用 Android 應用程式,並且啟用了這項政策,Cookie 就不會轉移至 Android 應用程式。

單一登入攝影機權限

裝置必須已設定 SAML SSO。請參閱為 Chrome 裝置設定 SAML 單一登入服務

重要事項:啟用這項政策即表示您授權第三方代表使用者存取使用者的攝影機。請務必提供正確的同意表單給使用者,因為一旦透過這項政策授予權限,系統就不會向使用者顯示任何同意表單。

如要代表您的 SSO 使用者同意第三方應用程式或服務在 SAML 單一登入過程中直接存取使用者的攝影機,您可以啟用 SSO 攝影機權限。第三方識別資訊提供者 (IdP) 可以使用這項設定為 Chrome 裝置提供新形式的驗證流程。

如要將 IdP 加入允許清單,請輸入各項服務的網址 (每行一個網址)。

如果您使用這項設定為貴機構設定 Clever Badges™,請前往 Clever 支援網站瞭解詳情。

單一登入用戶端憑證

裝置必須已設定 SAML SSO。請參閱為 Chrome 裝置設定 SAML 單一登入服務

這項設定可讓您控管單一登入 (SSO) 網站的用戶端憑證。

您可以使用 JSON 字串輸入網址模式清單,之後如果有符合模式的 SSO 網站要求客戶端憑證,在已安裝有效的裝置全域用戶端憑證的情況下,Chrome 會自動為該網站選取憑證。

如果要求憑證的網站不符合任何模式,Chrome 就不會提供憑證。

如何設定 JSON 字串格式:

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}

ISSUER/CN 參數即為上述字串中的 certificate issuer name (憑證核發單位名稱),這項參數會指定憑證授權單位 (CA) 的通用名稱,用戶端憑證的核發單位必須為這些名稱,系統才能自動選取憑證。如要讓 Chrome 選取任何 CA 核發的憑證,請輸入 “filter”:{} 讓這項參數保持空白。

範例:

{"pattern":"https://[*.]ext.example.com","filter":{}}, {"pattern":"https://[*.]corp.example.com","filter":{}}, {"pattern":"https://[*.]intranet.usercontent.com","filter":{}}

無障礙控制項

這項設定可讓您在登入畫面中控制無障礙設定,包括大型游標、互動朗讀和高對比模式。

  • 登出時關閉登入畫面上的無障礙設定:每當顯示登入畫面,或使用者在登入畫面上閒置一分鐘後,系統便會將無障礙設定還原為預設設定。
  • 允許使用者管理登入畫面上的無障礙設定:系統會還原使用者在登入畫面中啟用或停用的無障礙設定,即使重新啟動裝置也不會有任何影響。
登入語言

指定 Chrome 裝置登入畫面顯示的語言。您也可以讓使用者自行選擇語言。

登入鍵盤

指定 Chrome 裝置登入畫面允許的鍵盤配置。

僅適用於具備整合式電子隱私保護功能的 Chrome 裝置。

這項設定可指定是否一律在登入畫面上開啟或關閉隱私保護功能。您可以啟用或停用登入畫面上的隱私保護功能,或讓使用者自行選擇。

在輸入密碼時顯示數字鍵盤

指定配有觸控螢幕的 Chrome 裝置登入畫面和螢幕鎖定是否顯示數字鍵盤,可供使用者在輸入密碼時使用。如果您選取 [在輸入密碼時預設顯示數字鍵盤],使用者要輸入英數字元的密碼時仍可以切換到標準鍵盤。

登入畫面無障礙功能

根據預設,裝置登入畫面上的無障礙功能設定為關閉,但如果您使用管理控制台開啟或關閉無障礙功能,使用者即無法變更或覆寫設定。如果您選取 [允許使用者決定],使用者就能視需要開啟或關閉無障礙功能。詳情請參閱開啟 Chromebook 無障礙功能設定Chromebook 鍵盤快速鍵

注意:如果關閉無障礙功能,有特定需求的使用者可能會無法使用裝置。

可讓 Chrome 裝置大聲讀出登入畫面上顯示的文字。如有需要,使用者也可以連接點字裝置並進行設定。詳情請參閱使用內建螢幕閱讀器以及將點字裝置和 Chromebook 搭配使用

使用者可以選取登入畫面上的項目,讓系統大聲讀出特定文字內容。在 Chrome 作業系統大聲讀出所選字詞時,會以視覺化的方式醒目顯示每個字詞。詳情請參閱讓系統大聲讀出文字內容

可變更字型和背景色彩配置,讓登入畫面更容易閱讀。

使用者可以放大整個登入畫面 (全螢幕放大鏡) 或部分登入畫面 (置頂放大鏡)。詳情請參閱使用放大功能或放大鏡調整 Chromebook 畫面大小

可讓使用者在使用鍵盤快速鍵功能時一次按一個按鍵,而不需同時按多個按鍵。舉例來說,如要貼上一個項目,相黏鍵可讓使用者先按 Ctrl 鍵再按 V 鍵,而不需同時按 Ctrl 鍵和 V 鍵。詳情請參閱以一次按一個按鍵的方式使用鍵盤快速鍵功能

讓使用者不需使用實體按鍵即可輸入字元。螢幕小鍵盤通常適用於配有觸控螢幕介面的裝置,但也可以透過觸控板、滑鼠或連接的搖桿使用。詳情請參閱使用螢幕小鍵盤

使用者可以利用語音在登入畫面輸入文字,而不需使用鍵盤。詳情請參閱使用語音輸入文字

在使用者使用鍵盤瀏覽物件時,醒目顯示登入畫面上的物件,這有助於使用者識別物件在畫面上的位置。

在編輯文字時,系統會醒目顯示登入畫面中文字插入點周圍的區域或游標。

滑鼠游標會自動點擊登入畫面上的停止位置,使用者不需實際按下滑鼠或觸控板按鈕。詳情請參閱在 Chromebook 上自動點擊物件

放大滑鼠游標的大小,讓登入畫面上的游標更醒目。

在滑鼠游標周圍建立有顏色的圓圈,讓登入畫面上的游標更醒目。

這項設定可讓您在登入畫面中對調滑鼠右鍵和左鍵的功能。根據預設,滑鼠左鍵為主要按鈕。

透過所有喇叭播放相同音效,讓使用者不會漏聽立體聲音效的內容。

使用者可以在登入畫面中使用無障礙功能鍵盤快速鍵。詳情請參閱 Chromebook 鍵盤快速鍵

裝置更新設定

重要事項:如要變更以下任一項自動更新設定,請先詳閱管理 Chrome 裝置上的更新

自動更新設定

裝置更新

軟體支援只適用於最新版本的 Chrome 作業系統。

您可以讓 Chrome 裝置在新版 Chrome 作業系統發布時自動更新,並讓使用者自行檢查更新。強烈建議您選取 [允許更新]

如要在註冊和重新啟動裝置之前停止更新:

  • 在「使用者授權協議」畫面中,按下 Ctrl+Alt+E 鍵。如果您未執行上述動作,萬一下載的更新中有遭政策封鎖者,系統可能會在使用者重新啟動裝置時套用這些已封鎖的更新。

Google Chrome 版本更新上限

軟體支援只適用於最新版本的 Chrome 作業系統。

防止 Chrome 裝置所更新的 Chrome 作業系統版本高過指定版本。如果您必須先修正相容性問題才可更新 Chrome 作業系統版本,我們才建議您使用這項設定。系統會列出最新的幾個 Chrome 作業系統版本。

您可以將一或多部 Chrome 裝置設定為使用開發人員版或測試版,藉此找出新版 Chrome 是否有不相容的問題。詳情請參閱 Chrome 作業系統版本的最佳做法

發布計畫

指定要如何發布受管理 Chrome 裝置的更新。

請選擇下列任一選項:

  • 預設 (裝置會在新版本推出後立即更新):Chrome 裝置會在新版 Chrome 作業系統發布時,自動進行更新。
  • 按特定時間表發布更新:一開始只會更新特定比例的 Chrome 裝置,而您可以隨著時間提高這個比例。您可以使用「安排時間表」設定來指定發布時間表。
  • 分批更新:如果您有網路頻寬限制,則可以在數天 (最多 2 週) 內分批更新。您可以使用「隨機分批自動更新,分數日:」設定來指定天數。

安排時間表

只有在選擇按特定時間表發布更新時,您才能使用此功能

這項設定可指定將裝置更新至新版 Chrome 作業系統的發布時間表。您可以使用這項設定,限制新版 Chrome 作業系統只能在特定比例的裝置更新,並隨著時間調整。部分裝置的更新日期可能晚於發布日期。您可以逐步新增裝置,直到裝置全部更新為止。

隨機分批自動更新,分數日

只有在選擇分批更新時,您才能使用此功能

這項設定可指定下載更新的約略天數。當更新發布之後,受管理的 Chrome 裝置可在這個天數內自動下載更新。您可以使用這項設定,避免老舊或低頻寬網路的流量突然增加。如果裝置在這段期間內處於離線狀態,則會在恢復連線時開始更新下載作業。

除非確定您的網路無法處理驟增的流量,否則請選取 [不要分批自動更新] 或選取較低的數值。關閉分批更新後,可讓使用者較快享有新推出的 Chrome 強化功能和服務,您也可以將同時使用的版本數量降到最低,並簡化更新期間的變更管理作業。

其他停止更新時段

僅適用於自動啟動的資訊站裝置

指定 Chrome 暫時停止自動檢查更新的日期和時間。您可以視需要設定任意數量的停止更新時段。使用者或管理員在停止更新時段期間啟動的手動更新檢查作業不會受到封鎖。

更新後自動重新啟動

只有當裝置設為受管理的訪客工作階段資訊站時,才支援自動重新啟動功能。

  • 允許自動重新啟動:順利完成自動更新後,當使用者下一次登出時,Chrome 裝置便會重新啟動。
  • 禁止自動重新啟動:停用自動重新啟動。

透過行動數據連線進行更新

指定 Chrome 裝置在自動更新 Chrome 作業系統時能夠使用的連線類型。在預設情況下,Chrome 裝置只有在連上 Wi-Fi 網路或乙太網路時才會自動檢查並下載更新。如要允許 Chrome 連上行動網路時裝置自動更新,請選取 [允許透過所有連線進行自動更新 (包含行動數據連線)]

由應用程式控制更新

您可以讓特定應用程式控制裝置上執行的 Chrome 作業系統版本,以防止裝置更新的 Chrome 版本超過應用程式指定的版本。

按一下 [選取應用程式],即可在 Chrome 線上應用程式商店中搜尋及選取應用程式。

由資訊站控制更新

如果您使用自動啟動的資訊站應用程式來控制裝置上的 Chrome 作業系統版本,就無法使用這項設定。

您可以讓特定資訊站應用程式控制裝置上執行的 Chrome 作業系統版本,以防止裝置更新的 Chrome 版本超過應用程式指定的版本。應用程式的資訊清單檔案中必須包含 "kiosk_enabled": true,並透過 required_platform_version 指定必要的 Chrome 作業系統版本。裝置最多可能需要 24 小時才能反映資訊清單檔案中的更新內容。如要瞭解如何在應用程式的資訊清單檔案上進行設定,請參閱允許資訊站應用程式控制 Chrome 作業系統版本

按一下 [選取應用程式],即可在 Chrome 線上應用程式商店中搜尋及選取資訊站應用程式。

發布版本

您無法對頂層機構單位套用這項設定;您必須依機構單位進行設定。

讓使用者切換發布版本,以便他們測試最新的 Chrome 功能。您可以為使用者選取版本。如要允許使用者自行選取版本,請選取 [允許使用者自行設定]。如要讓使用者選擇開發人員版,您必須將開發人員工具使用者政策設為 [一律允許使用內建的開發人員工具]。詳情請參閱 Chrome 瀏覽器發布版本開發人員工具

更新下載內容

指定 Chrome 裝置要透過 HTTP 還是 HTTPS 下載 Chrome 作業系統更新。

定期更新
裝置專屬設定適用於 Dell Latitude 5300 2-in-1、5400、7410 和 7410 2-in-1 Chromebook Enterprise 裝置。

指定要讓裝置檢查更新的日期和時間。當裝置處於休眠模式時,系統仍會檢查更新,但裝置關機時不會進行檢查。

資訊站設定

如要指定任何資訊站設定,您必須先將裝置註冊為資訊站。

相關主題:註冊 Chrome 裝置查看 Chrome 作業系統裝置詳細資料查看及設定應用程式和擴充功能設定應用程式和擴充功能政策

受管理的訪客工作階段

如要以受管理的訪客工作階段設定 Chrome 裝置,請先確定獲指派裝置的機構單位具備受管理的訪客工作階段設定,接著請選取 [允許受管理的訪客工作階段],即可將資訊站設為受管理的訪客工作階段資訊站。

如要瞭解如何建立受管理的訪客工作階段設定,請參閱受管理的訪客工作階段裝置

如要在 Chrome 裝置上自動啟動受管理的訪客工作階段,請選取 [自動啟動受管理的訪客工作階段],然後將 [自動啟動延遲時間] 設為 0

啟用裝置狀態監控功能

僅適用於在 Chrome 裝置上自動啟動的受管理訪客工作階段

選取 [啟用裝置狀態監控功能] 可允許系統回報資訊站的狀態。啟用這項功能後,您就可以查看裝置是否連上網路且正常運作。

詳情請參閱監控資訊站狀態

啟用裝置系統記錄上傳功能

僅適用於在 Chrome 裝置上自動啟動的受管理訪客工作階段

重要事項:使用這項設定前,您必須先讓受管理資訊站裝置的使用者瞭解,系統可能會監控他們在裝置上的活動,也可能在無意中擷取及共用裝置活動資料。請務必通知使用者,否則將違反您與 Google 之間的協議條款。

選取 [啟用裝置系統記錄上傳功能] 可自動擷取資訊站裝置的系統記錄。系統每 12 小時會擷取一次記錄,並且上傳到您的管理控制台 (最多保留 60 天)。系統每次皆會提供 7 份記錄讓您下載,包括過去 5 天各 1 份的每日記錄、1 份 30 天前的記錄以及 1 份 45 天前的記錄。

詳情請參閱監控資訊站狀態

畫面旋轉 (順時針)

僅適用於在 Chrome 裝置上自動啟動的受管理訪客工作階段

如要調整資訊站裝置的畫面旋轉設定,請選取您要設定的畫面方向。舉例來說,如要將畫面旋轉成縱向配置,請選取 [90 度]。只要將裝置畫面手動設定為其他方向,即可覆寫這項政策。

資訊站裝置狀態快訊傳送

如要在 Chrome 資訊站裝置關閉時收到快訊,請勾選 [透過電子郵件接收快訊] 方塊和 (或) [透過簡訊接收快訊] 方塊。

資訊站裝置狀態快訊通知資訊

取得 Chrome 資訊站裝置的狀態更新資訊。

  • 透過電子郵件接收更新:在「快訊通知電子郵件」旁輸入電子郵件地址 (每行一個)。
  • 透過簡訊接收更新:在「快訊通知手機號碼」旁輸入手機號碼 (每行一個)。
網址封鎖

封鎖的網址

禁止 Chrome 瀏覽器使用者存取特定網址。

如要進行這項設定,請逐行輸入網址 (最多 1,000 個)。

封鎖的網址例外狀況

指定網址封鎖清單的例外狀況。

如要進行這項設定,請逐行輸入網址 (最多 1,000 個)。

網址語法

各個網址必須包含有效的主機名稱 (例如 google.com)、IP 位址,或以星號 (*) 取代主機名稱。星號的用法類似萬用字元,可代表所有主機名稱和 IP 位址。

網址中還可以包含以下內容:

  • 網址協定,例如 http、https 或 ftp,後面接上 ://
  • 介於 1 到 65,535 之間的有效通訊埠值
  • 資源路徑
  • 查詢參數

注意:

  • 如要停止比對子網域,請在主機名稱前面多加一個英文句點 (.)。
  • 您無法使用 user:pass 欄位,例如 http://user:pass@ftp.example.com/pub/bigfile.iso,但可以輸入 http://ftp.example.com/pub/bigfile.iso
  • 同時套用「封鎖的網址」和「封鎖的網址例外狀況」篩選器時 (路徑長度相同),例外狀況篩選器會優先套用。
  • 主機名稱前面加上句點時,這項政策只會篩選出名稱完全相符的主機。
  • 您無法在網址結尾使用萬用字元,例如 https://www.google.com/*https://google.com/*
  • 政策最後才會搜尋萬用字元 (*)。
  • 選擇性查詢是一組鍵/值和僅限鍵的符記,由「&」分隔。
  • 鍵/值符記由「=」分隔。
  • 查詢標記可選擇以「*」結尾,指出相符的前置字元。符記順序不會影響比對。

範例

封鎖的網址項目 結果
example.com 封鎖所有傳送至 example.com、www.example.com 和 sub.www.example.com 的要求。
http://example.com 封鎖所有傳送至 example.com 及其子網域的 HTTP 要求,但允許 HTTPS 和 FTP 要求
https://* 封鎖傳送至所有網域的 HTTPS 要求
mail.example.com 封鎖傳送至 mail.example.com 的要求,但允許傳送至 www.example.com 或 example.com 的要求
.example.com 封鎖傳送至 example.com 的要求,但允許傳送至其子網域 (例如 example.com/docs) 的要求
.www.example.com 封鎖傳送至 www.example.com 的要求,但允許傳送至其子網域的要求
* 封鎖所有傳送至網址的要求,只允許傳送至封鎖網址例外狀況的網址要求,包括任何網址配置,例如 http://google.com、https://gmail.com 和 chrome://policy。
*:8080 封鎖所有傳送至通訊埠 8080 的要求
*/html/crosh.html 封鎖 Chrome Secure Shell (也稱為 Crosh Shell)

chrome://settings

chrome://os-settings

封鎖所有傳送至 chrome://os-settings 的要求

example.com/stuff 封鎖所有傳送至 example.com/stuff 及其子網域的要求
192.168.1.2 封鎖傳送至 192.168.1.2 的要求
youtube.com/watch?v=V1 封鎖 ID 為 V1 的 YouTube 影片

使用者和裝置回報功能

裝置回報功能

裝置狀態回報功能

這項設定預設為開啟。它能用來指定已在網域中註冊的 Chrome 裝置是否要回報目前裝置狀態,包含韌體、Chrome 版本、平台版本和啟動模式等。

如果您已為貴機構中支援的 Chrome 裝置啟用 Android 應用程式,這項政策不會影響 Android 執行的記錄或回報。

相關主題:查看 Chrome 作業系統裝置詳細資料在 Chrome 裝置上使用 Android 應用程式

追蹤裝置使用者

這項設定預設為開啟,但如果已啟用在使用者登出時清除所有使用者資訊的使用者資料設定,這項設定就不會生效。

相關主題: 查看 Chrome 作業系統裝置詳細資料

非使用中裝置通知

非使用中裝置通知報告

接收電子郵件報告,即可瞭解網域內的非使用中裝置資訊。這份報告包含下列資訊:

  • 您網域中所有非使用中裝置的資訊 (非使用中裝置是指未於「非使用中狀態時間範圍」指定時間內進行同步處理的裝置)。
  • 非使用中裝置的總數,包括各機構單位最近有多少非使用中的裝置。
  • 提供各裝置詳細資訊的連結,其中包括裝置所屬的機構單位、序號和資產 ID,如果新的非使用中裝置數量不到 30 個,也會顯示上次同步處理日期。

注意:這份報告中的部分資訊可能延遲顯示 (最多延遲 1 天)。舉例來說,如果一部非使用中裝置在過去 24 小時內才開始進行同步處理,那麼即使其實際狀態已改為使用中,仍可能會列在非使用中裝置清單上。

非使用中狀態時間範圍 (天數)

如果裝置並未於您指定的天數內在管理伺服器中簽到,即屬於非使用中裝置。您可以將天數設為任何大於一的整數。

舉例來說,如要將上週未同步處理的裝置全數標示為非使用中裝置,請在「非使用中狀態時間範圍 (天數)」旁輸入 7

通知頻率 (天)

如要指定系統傳送非使用中裝置通知報告的間隔時間,請在「通知頻率」欄位中輸入天數。

接收通知報告的電子郵件地址

如要指定用來接收通知報告的電子郵件地址,請輸入地址 (每行一個)。

匿名回報數據

指定 Chrome 裝置是否要在每次系統或瀏覽器處理程序失敗時,將使用統計資料和當機報告回傳給 Google。

「使用統計資料」包括已彙整的資訊,例如偏好設定、按鈕點擊次數和記憶體使用量,但不會包含網址或任何個人資訊。當機報告則包括當機時的系統資訊,且根據當機時發生的狀況,可能會包含網頁網址或個人資訊。

如果您已為貴機構支援的 Chrome 裝置啟用 Android 應用程式,這項政策可一併控制 Android 使用狀況與診斷資料的收集功能。

啟用裝置系統記錄上傳功能

選取 [啟用裝置系統記錄上傳功能] 可自動擷取裝置的系統記錄。系統每 12 小時會擷取一次記錄,並且上傳到您的管理控制台 (最多保留 60 天)。系統每次皆會提供 7 份記錄讓您下載,包括過去 5 天各 1 份的每日記錄、1 份 30 天前的記錄以及 1 份 45 天前的記錄。

電源和關機

電源管理

這項設定可讓您控制持續顯示登入畫面的 Chrome 裝置 (沒有任何使用者登入的情況) 經過一段時間後應該進入休眠模式、自動關機,或是保持不鎖定螢幕狀態。這項設定對於用來當做資訊站的 Chrome 裝置非常實用,可確保這些裝置永不自動關機。

定時重新啟動

目前只適用於持續顯示登入畫面的資訊站裝置。

這項設定可讓您指定裝置下次要在幾天之後重新啟動。有時候,裝置可能不會在每天同一時間重新啟動,而是會延至下一次使用者登出後才重新啟動。如果有執行中的工作階段,系統會提供最多 24 小時的寬限期。

建議您將資訊站應用程式設為定期自動關閉,以利應用程式或裝置重新啟動。例如,您可以安排應用程式在每天凌晨 2 點時關閉。

允許關機

您可以選取:

  • 使用者可以使用關機圖示或實體電源按鈕來關閉裝置:(預設) 使用者可以使用裝置上的按鈕、鍵盤、滑鼠或螢幕來關閉裝置。
  • 使用者只能使用實體電源按鈕來關閉裝置:使用者無法透過鍵盤、滑鼠或螢幕來關閉裝置,只能使用裝置按鈕關閉裝置。

這項設定在某些部署情況下相當實用,例如使用 Chrome 裝置做為資訊站或數位電子看板時。

尖峰轉移電源管理

裝置專屬設定適用於 Dell Latitude 5300 2-in-1、5400、7410 和 7410 2-in-1 Chromebook Enterprise 裝置。

這項設定可讓您將 Chromebook 自動切換成電池供電模式,以減少耗電量。

如果啟用「尖峰轉移電源管理」設定:

  1. 您可以在「尖峰轉移電池閾值」下方輸入介於 15 到 100 之間的百分比值。當電池電量百分比超過您指定的值時,裝置就會使用電池供電。
  2. 如何設定每天執行「尖峰轉移電源管理」的開始時間和結束時間:

    1. 在「尖峰轉移日設定」下方選取開始和結束時間。在此期間,電量百分比必須低於上述閾值,裝置才會使用 AC 電源供電。
    2. 在「充電開始時間」下方,選取電池開始充電的時間。
主要電池充電設定

裝置專屬設定適用於 Dell Latitude 5300 2-in-1、5400、7410 和 7410 2-in-1 Chromebook Enterprise 裝置。

這項設定可讓您調整主要電池充電模式,可用選項如下:

  • 標準:以標準充電速度將電池完全充飽
  • 自動調整:根據一般使用情形自動調整最佳充電模式
  • 快速充電:縮短電池充電時間
  • 主要 AC 電源:主要透過 AC 電源充電,以便延長電池續航力
  • 自訂:您可以輸入要根據電池電量百分比開始及結束充電的時間

注意:已採用「進階充電電池模式」設定時,無法使用此設定。

進階充電電池模式

裝置專屬設定適用於 Dell Latitude 5300 2-in-1、5400、7410 和 7410 2-in-1 Chromebook Enterprise 裝置。

這項設定可讓您每天只將裝置充飽一次,藉此延長電池的使用壽命。在其他時間,即使系統已接上直接電源,電池會也處於有利於延長使用壽命的低速充電狀態。

啟用「進階充電電池模式」後,請輸入每天執行此模式的開始時間和結束時間。

注意:在結束時間的最後 1.5 小時內,裝置可能會停止充電,以達到低速充電狀態。

連接 AC 電源時啟動
裝置專屬設定適用於 Dell Latitude 5300 2-in-1、5400、7410 和 7410 2-in-1 Chromebook Enterprise 裝置。
如果您啟用「連接 AC 電源時啟動」設定,已關機的裝置會在接上 AC 變壓器時啟動。

注意:如果裝置連接到已接上電源的 Dell WD19 媒體插槽座,即使停用該設定,Chromebook 也會開啟。

USB 電力共享功能
裝置專屬設定適用於 Dell Latitude 5300 2-in-1、5400、7410 和 7410 2-in-1 Chromebook Enterprise 裝置。

當 Chromebook 處於關機狀態且接上電源時,這項設定可讓使用者透過特殊的 USB 連接埠為手機等其他裝置充電。如果 Chromebook 處於休眠模式,則所有 USB 通訊埠皆可用來為其他裝置充電。

其他設定

Google 雲端列印

這項設定可讓所有 Chrome 裝置的使用者透過 Google 雲端列印執行列印工作。如果 Chrome 裝置已設定受管理的訪客工作階段,就很適合使用這項設定。

  1. 在「請選擇您要啟用的雲端印表機」旁邊,按一下 [管理]。
  2. 在隨即顯示的「雲端列印」對話方塊中,為所選機構單位中的裝置搜尋雲端印表機,然後按一下 [新增]
  3. 按一下 [儲存]

最多可能要經過 24 小時,印表機才能與您選取的每部 Chrome 裝置共用。裝置上的所有使用者 (包括使用訪客瀏覽功能或受管理的訪客工作階段的使用者) 都可以透過您共用的雲端印表機進行列印。

與您的網域共用的印表機 (非您所擁有) 則會顯示在「其他印表機」標題下。如果印表機已停用,或擁有者已不再是您網域中的成員,您可以從「其他印表機」中移除該印表機。

部署注意事項:

  • 您必須在 Google 雲端列印中具備印表機擁有者的身分,才能使用管理控制台新增印表機。如果您有多台印表機,請建立專門用於透過 Google 雲端列印管理印表機的角色帳戶。完成上述作業後,請使用這個角色帳戶登入,以與您的 Chrome 裝置共用印表機。如果不想使用超級管理員身分建立角色帳戶,您可以使用委派管理員角色,只將管理裝置設定的權限授予這類角色帳戶。詳情請參閱在 Chrome 中委派管理員角色
  • 您可以根據自己的作業環境和印表機來判斷可否使用原生列印

已知問題:

  • 由於印表機的擁有權與各個 G Suite 帳戶連結,如果貴機構有數名管理員,每位管理員有權使用的印表機組合可能各自不同。
  • 管理員可以刪除或移除其他管理員共用的印表機。舉例來說,如果 admin2 擁有的印表機遭 admin1 刪除,admin1 就無法再次新增該印表機。
  • 下列已知問題導致系統現階段無法辨別「其他印表機」部分中的印表機處於作用中還是已刪除狀態,我們正設法修正這些問題:
    • 如果管理員刪除 https://www.google.com/cloudprint/#printers 中的印表機,即使該印表機已不再提供,仍會顯示在「其他印表機」下方。
    • 印表機的擁有者遭刪除後,該印表機會顯示在「其他印表機」之下。
裝置網路主機名稱範本

適用於 Chrome 65 以上版本

這項設定可讓您指定要透過 DHCP 要求傳送至 DHCP 伺服器的主機名稱。

如果您將這項政策設為非空白字串,系統會將該字串設為 DHCP 要求中的裝置主機名稱。

此字串可包含 ${ASSET_ID}、${SERIAL_NUM} 和 ${MAC_ADDR} 變數,這些變數會替換成裝置中的值。替換後的值必須是有效的主機名稱 (根據 RFC 1035 文件第 3.1 條的規定)。

如果未設定這項政策,或是替換後的值不是有效的主機名稱,則系統不會在 DHCP 要求中使用任何主機名稱。

時區

系統時區

指定要為使用者裝置設定的時區。

自動偵測系統時區

選擇下列其中一個選項,指定裝置偵測及設定目前時區的方式:

  • 讓使用者決定:使用者可以透過標準 Chrome 日期和時間設定來控制時區。
  • 一律不自動偵測時區:使用者必須手動選擇時區。
  • 一律使用約略時區偵測:使用裝置的 IP 位址來設定時區。
  • 解析時區時一律將 Wi-Fi 存取點傳送至伺服器:使用裝置的 Wi-Fi 連線存取點位置設定時區 (最精確)。
  • 傳送所有位置資訊:使用位置資訊 (例如 Wi-Fi 存取點和全球衛星定位系統) 設定時區。
行動數據漫遊服務

指定 Chrome 裝置的使用者是否可透過其他電信業者的行動網路上網 (可能會產生費用)。使用者必須允許裝置的行動數據漫遊服務,才能使用這項設定。

相關主題: 連線至行動數據網路

卸除式 USB 允許清單

這項設定可讓您指定應用程式 (例如 Citrix Receiver) 能直接存取的 USB 裝置清單。您可以列出各種裝置,例如鍵盤、簽名板、印表機、掃描器和其他 USB 裝置。如果未設定這項政策,卸除式 USB 裝置清單就沒有任何內容。

如要在清單中新增裝置,請使用以半形冒號區隔的十六進位值組 (VID:PID) 格式,輸入 USB 供應商識別碼 (VID) 和產品識別碼 (PID),且每行一個值組。舉例來說,如要列出一個滑鼠 (VID 為 046E,PID 為 D626) 和一個簽名板 (VID 為 0404,PID 為 6002),請輸入下列值組:

046E:D626
0404:6002

藍牙

這項設定可讓您為裝置啟用或停用藍牙®

  • 如要啟用藍牙功能,請選取 [不停用藍牙]
  • 如要停用藍牙功能,請選取 [停用藍牙]

如果您將政策從 [停用藍牙] 變更為 [不停用藍牙],則必須重新啟動裝置才能讓變更生效。

如果您將政策從 [不停用藍牙] 變更為 [停用藍牙],變更就會立即生效,您不須重新啟動裝置。

限制裝置頻寬

適用於搭載 Chrome 56 以上版本,且處於資訊站、受管理訪客工作階段或使用者模式的裝置

這項設定可控制裝置層級的頻寬用量。裝置上所有網路介面皆已啟用節流功能,包括 Wi-Fi、乙太網路、USB 乙太網路轉換器、USB 行動網路連接器和 USB 無線網路卡。所有網路流量都會受到節流處理,包括作業系統更新。

如何啟用設定:

  1. 選取 [啟用網路節流設定]
  2. 指定下載和上傳速度 (kbps)。請指定 513 kbps 以上的速度。
TPM 韌體更新

安裝 TPM 韌體更新可能會清除裝置並恢復原廠設定,而如果更新作業失敗多次,可能會導致無法使用裝置。

如要讓使用者在裝置上安裝可信任平台模組 (TPM) 韌體更新,請選取 [允許使用者執行 TPM 韌體更新]。如需使用者該如何安裝韌體更新的相關資訊,請參閱更新 Chromebook 安全性

虛擬機器

指定使用者是否可在搭載 Chrome 作業系統的裝置上執行虛擬機器。如要讓使用者安裝 Linux 應用程式,並執行 Linux 工具、編輯器和整合式開發環境 (IDE),請選取 [允許使用必要的虛擬機器來執行 Linux 應用程式]。如要進一步瞭解使用者如何開啟 Linux 應用程式支援功能,請參閱在 Chromebook 上設定 Linux (測試版)

MAC 位址傳遞

裝置專屬設定適用於 Dell Latitude 5300 2-in-1、5400、7410 和 7410 2-in-1 Chromebook Enterprise 裝置。

這項設定可讓您選擇媒體插槽座連接至 Chromebook 時使用的 MAC 位址。

Dell SupportAssist

裝置專屬設定適用於 Dell Latitude 5300 2-in-1、5400、7410 和 7410 2-in-1 Chromebook Enterprise 裝置。

您可以透過這項設定開啟及設定 Dell SupportAssist 程式。如要進一步瞭解 Dell SupportAssist,請前往 Dell 支援

指定使用者是否可以不必輸入使用者名稱和密碼,只要感應識別證即可登入 Chrome 裝置。如要進一步瞭解如何進行設定,請參閱搭配 Imprivata OneSign 使用 Chrome 裝置

Chrome 管理服務 - 合作夥伴存取權

允許 EMM 合作夥伴使用裝置管理功能

目前不適用於 G Suite 教育版

這項設定可透過程式設計機制為 EMM 合作夥伴提供存取權,用以管理裝置政策、取得裝置資訊以及發出遠端指令。合作夥伴可以透過這個存取功能將 Google 管理控制台功能整合至 EMM 控制台。

啟用合作夥伴存取權之後,您的 EMM 合作夥伴就可以管理個別的 Chrome 裝置,也就是說,EMM 合作夥伴不一定要透過管理控制台的機構單位結構來管理裝置,可以改用在 EMM 控制台設定的結構。您無法同時透過合作夥伴存取權功能和管理控制台,為同一部裝置設定相同的政策。透過合作夥伴存取控制功能設定的裝置層級政策優先順序高於在管理控制台設定的政策。如要在機構單位層級的裝置上強制執行政策,您必須選取 [停用 Chrome 管理服務 - 夥伴存取權功能]

相關主題:使用 EMM 控制台管理 Chrome 裝置

這對您有幫助嗎?
我們應如何改進呢?