在 ChromeOS 上指定 Proxy 設定

您可以在 ChromeOS 使用 Proxy 伺服器，即使貴機構使用者造訪的網站不安全，也可保護機構本身不受影響。Proxy 伺服器可篩除不安全的內容或垃圾內容、隱藏使用者 IP 位址，或篩選特定網站。

Proxy 伺服器的運作流程如下：

網站要求會經過 Proxy 伺服器。
接著，伺服器會將要求傳送到網站。
網站將網頁傳回 Proxy 伺服器。
伺服器將網頁導回使用者裝置。

如何選擇 Proxy？

ChromeOS 支援不同的 Proxy 配置，可以視貴機構的需求而定，例如安全性、應經過 Proxy 處理的流量，或應執行 DNS 解析的地方等。如要查看 ChromeOS 中所有支援的 Proxy 配置以及實作詳情，請參閱「Chrome 的 Proxy 支援」。

部分 Proxy 設定可能與其他網路設定不相容。舉例來說，在 ChromeOS 中設定 Proxy 時，DNS 解析會在伺服器端進行 (socks4 Proxy 除外)，因此與自訂 DNS 設定不相容。

當您選擇 Proxy 驗證機制時，與 Chrome 瀏覽器相比，ChromeOS 層級的不同元件可能會有不同或是較少的網路功能。

ChromeOS 層級的 Proxy 驗證

使用者登入 Chrome 瀏覽器時，使用者名稱和密碼會儲存在與設定檔相關聯的驗證快取中，且僅供 OS 瀏覽器中的 Chrome 瀏覽器使用者瀏覽要求使用。

也就是說，如果系統服務需要在 Chrome 瀏覽器中連線 (例如政策更新或資訊站註冊)，以及在 OS 上連線 (例如 OS 更新、上傳當機報告或同步處理系統時間)，則無法存取使用者名稱和密碼。網路管理員必須確保系統服務產生的流量略過驗證步驟。

這項規定也適用於 Google Play 和 Google Play 應用程式流量。

如要瞭解 Proxy 驗證步驟應略過系統服務和 Google Play 使用的哪些端點，請參閱「Proxy 驗證略過清單」一節。

您可以設定「SystemProxySettings」政策，允許 OS 服務驗證 OS 上的系統服務和 Google Play 流量，藉此大幅減少已註冊裝置上的 Proxy 略過清單。詳情請參閱「設定 ChromeOS 裝置政策」中的「驗證 Proxy 流量」設定。

此外，只有使用者流量會遵循自訂 CA 憑證。當 Proxy 進行 TLS 檢查時，應允許系統流量和 Android 流量略過檢查作業。請參閱「在 Chrome 裝置上設定 TLS (或 SSL) 檢查功能 > 設定主機名稱許可清單」。

如何在 ChromeOS 上設定明確的 Proxy

要使用的設定

您可以在 ChromeOS 中為個別網路或貴機構在全球的所有網路設定 Proxy。以下按照優先順序列出 Proxy 設定：

「ProxySettings」使用者政策：全球
擴充功能：全球
「OpenNetworkConfiguration」使用者政策：個別網路
「DeviceOpenNetworkConfiguration」裝置政策：個別網路
網路設定 UI：由個別網路的使用者設定

一般來說，Proxy 設定會套用至整個 OS；但在下列例外情況中，使用者必須明確允許瀏覽器中的 Proxy 設定：

在無痕模式下，擴充功能設定 Proxy 預設為停用。使用者必須從 chrome://extensions 頁面，明確允許控制 Proxy 的擴充功能在無痕模式中執行。
您無法在無痕模式中強制執行擴充功能設定 Proxy，但如果使用者在無痕模式下不允許預先設定的擴充功能，則可封鎖無痕模式瀏覽。詳情請參閱「MandatoryExtensionsForIncognitoNavigation」政策。
如果您使用的是 Lacros 次要設定檔，使用者可以前往 chrome://settings/system 頁面，選擇是否使用 OS 上設定的 Proxy，以及開啟「為這個設定檔套用 Chrome OS Proxy 設定」。

要使用的 Proxy 設定格式

ChromeOS 支援下列 Proxy 格式：

手動：Proxy ID 的靜態清單，以及應略過 Proxy 的端點略過清單
PAC 指令碼：一種 JavaScript 檔案，可讓您設定更複雜的規則，藉此決定網址要使用哪個 Proxy
自動偵測：網路 Proxy 自動探索通訊協定 (WPAD) 是一種探索機制，會探測 DNS 或 DHCP 以取得 PAC 網址
直接：虛擬 Proxy，表示未使用任何 Proxy

決定格式時，請注意以下幾點：

Proxy 解析會發生於名稱解析之前。如果使用 IP 常值設定 Proxy 略過清單，系統只有在使用者前往特定 IP 位址 (而非與 IP 相關聯的主機名稱) 時，才會遵循例外狀況。詳情請參閱「Proxy 略過規則」。
以下設定適用於 Android Proxy 支援：
- 不支援含有 data:// scheme 的 PAC 網址
- 如果是手動 Proxy 設定，略過清單不支援內含特殊字元的 IPv6 位址或非 ASCII 字元

Proxy 驗證略過清單

ChromeOS 系統服務

Chrome/ChromeOS 服務	主機名稱
基本服務
DMServer	m.google.com
強制重新註冊 (適用於「已驗證存取權」)	chromeos-ca.gstatic.com
ChromeOS：自動更新	cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com
ChromeOS：當機報告更新記錄 Chrome：WebRTC 更新記錄	clients2.google.com
ChromeOS：tlsdate 系統時鐘同步	clients3.google.com
網頁認證入口偵測	www.gstatic.com、accounts.google.com 或 www.googleapis.com
上傳報告以進行疑難排解，以及下載 Crostini 等	storage.googleapis.com
各種 API 服務	www.googleapis.com
Google 使用的網域：將網域與 *.google.com 分開，以免發生 XSS 攻擊	*.1e100.net
Bandaid 網址：部分要求會重新導向至 Google 快取基礎架構，藉此加快應用程式下載速度	*.gvt1.com
下載自動更新、靜態圖片等項目	dl.google.com dl-ssl.google.com
Chrome 元件更新 (chrome://components)	update.googleapis.com
強烈建議使用
安全瀏覽	safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com
Chrome 帳戶同步處理伺服器：同步處理使用者資料，例如書籤、使用者指標收集和其他服務	clients4.google.com
網址列文件建議	cloudsearch.googleapis.com
下載原始設備製造商 (OEM) 自訂項目和其他項目	ssl.gstatic.com
第三方或使用者原創內容，例如印表機驅動程式或擴充功能 googleusercontent.com 可保護主要 Google 資源，防範使用者產生的內容，這些內容可能含有錯誤，或會惡意造成網域容易遭受跨網站指令碼攻擊	*.googleusercontent.com
印表機支援：下載印表機 PDD	printerconfigurations.googleusercontent.com
周邊裝置支援：專屬操作說明，內容包含如何根據各種已連結的裝置，進行更適合的調整；目前支援印表機和螢幕	chromeosquirksserver-pa.googleapis.com

Google Play

Google Play	主機名稱
基本服務
佈建及安裝應用程式的基本服務	android.googleapis.com android.apis.google.com play.google.com
Google 雲端通訊 (GCM)、Firebase 雲端通訊、GMS 核心端點範例 gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com	*.googleapis.com
其他	connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com

擴充功能和資訊站

Chrome/ChromeOS 服務	主機名稱
基本服務
擴充功能下載端點	clients2.google.com clients2.googleusercontent.com chrome.google.com

這對您有幫助嗎？

我們應如何改進呢？