Für Administratoren, die Chrome-Richtlinien in der Google Admin-Konsole verwalten.
Als Chrome Enterprise-Administrator können Sie Berechtigungen für Webfunktionen festlegen, die gelten, wenn Nutzer auf einem verwalteten ChromeOS-Gerät wie einem Chromebook auf Websites oder isolierte Web-Apps (IWAs) zugreifen.
Installierte Web-Apps (IWAs) sind Webanwendungen, die in einer sicheren, isolierten Umgebung ausgeführt werden, die vom restlichen Browserkontext des Nutzers getrennt ist. Diese Isolation erhöht die Sicherheit, da IWAs nicht auf andere Tabs oder die Browserdaten des Nutzers zugreifen oder mit ihnen interagieren können. Aufgrund der hohen Sicherheit von IWAs können diese Apps uneingeschränkten Zugriff auf sensiblere APIs wie Bildschirmaufzeichnung oder eingeschränkte USB-Geräte erhalten. Weitere Vorteile von IWAs:
- Höhere Sicherheit: IWAs bieten einen besseren Schutz vor Cross-Site-Scripting und serverseitigen Angriffen, bei denen serverseitiger Code manipuliert und schädliche Inhalte eingefügt werden.
- Verbesserter Datenschutz: Nutzerdaten bleiben in den IWAs isoliert, wodurch Datenlecks in andere Browserkontexte verhindert werden.
- Erweiterte Funktionen: IWAs können auf hochsensible und leistungsstarke Funktionen zugreifen, die reguläre Webanwendungen nicht nutzen können, da die isolierte Umgebung die potenziellen Auswirkungen von Sicherheitslücken oder Exploits begrenzt.
Webfunktionen ermöglichen Websites und installierbaren Web-Apps zusätzlichen Zugriff auf Hardware oder Funktionen auf Betriebssystemebene, z. B. zum Herstellen einer Verbindung zu einem Gerät, zum Zugreifen auf das Dateisystem oder zum Erstellen von Fenstern.
Wenn Sie Berechtigungen für Webfunktionen in der Admin-Konsole verwalten, können Sie den Zugriff auf Apps blockieren, die missbraucht werden könnten. Außerdem können Sie die Nutzerfreundlichkeit für verwaltete Nutzer verbessern, da Nutzer nicht mehr um Berechtigungen gebeten werden müssen.
Es gibt zwei Arten von Berechtigungen, die Sie verwalten können: Standardberechtigungen und Berechtigungen pro Herkunft.
- Standard: Globale Standardwerte für Berechtigungen, die für alle aufgerufenen Ursprünge (URLs oder Web-Apps) gelten.
- Pro Ursprung: Berechtigungswerte, die für bestimmte Ursprünge festgelegt werden, die Sie hinzufügen. Details zu gültigen Ursprüngen finden Sie in diesem Artikel.
Hinweis: Die Seite Website-Berechtigungen in der Admin-Konsole ist für alle Administratoren sichtbar und enthält sowohl Funktionen für IWAs als auch für reguläre Web-Apps. IWA-bezogene Funktionen sind nur für ausgewählte Partner und Kunden verfügbar, die am IWA-Programm teilnehmen. Derzeit können IWAs für verwaltete Nutzer installiert werden. Das Festlegen einer IWA-exklusiven Berechtigung hat keine Auswirkungen auf reguläre Web-Apps.
Weitere Informationen finden Sie in den FAQs zu isolierten Web-Apps.
Berechtigungen für Webfunktionen konfigurieren
Hinweis: Wenn Sie Berechtigungen und Einstellungen für eine bestimmte Gruppe von Geräten konfigurieren möchten, fassen Sie die Geräte in einer Organisationseinheit zusammen.
-
Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.
Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Geräte
- Wenn die Einstellung für alle Nutzer und registrierten Browser gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
- Wenn Sie Berechtigungen für alle Websites anwenden möchten, klicken Sie im Bereich Standardberechtigungen für alle Ursprünge auf die gewünschten Berechtigungen und konfigurieren Sie sie.
- Wenn Sie Berechtigungen für einen bestimmten Ursprung anwenden möchten, gehen Sie im Bereich Ursprungsspezifische Berechtigungen so vor:
- So fügen Sie einen neuen Ursprung hinzu und konfigurieren Berechtigungen und Einstellungen:
- Klicken Sie auf Ursprung hinzufügen.
- Geben Sie unter Ursprung/Websitemuster die Website, progressive Web-App (PWA) oder isolierte Web-App (IWA) ein, für die Sie Berechtigungen festlegen möchten.
- Klicken Sie unter Berechtigungen auf die gewünschten Berechtigungen und konfigurieren Sie sie.
- (Gilt für Nutzer- und Browserwebsites und IWAs) Geben Sie unter Einstellungen für Verwaltete Konfiguration die JSON-Daten in das Textfeld ein oder klicken Sie auf
Aus Datei hochladen.
Hinweis: Wenn Sie Verwaltete Konfiguration bearbeiten möchten, müssen Sie für Ursprungs- / Website-Muster einen gültigen Ursprung mit URI-Protokoll (Uniform Resource Identifier) und Autorität eingeben, z. B. https://beispiel.de. Wir empfehlen, die Konfiguration vorab mit einem JSON-Validierungstool Ihrer Wahl zu prüfen. - Klicken Sie auf Speichern.
- So konfigurieren Sie Berechtigungen und Einstellungen für einen vorhandenen Ursprung:
- Klicken Sie auf den Ursprung.
- Klicken Sie auf die gewünschten Berechtigungen und Einstellungen und konfigurieren Sie sie.
- So fügen Sie einen neuen Ursprung hinzu und konfigurieren Berechtigungen und Einstellungen:
- Weitere Informationen zu den einzelnen Berechtigungen.
Tipp: Sie möchten schnell eine bestimmte Berechtigung finden? Dann geben Sie einfach oben im Suchfeld einen Begriff ein.
Übernommen wird angezeigt, wenn die Berechtigung eines übergeordneten Elements übernommen wurde. Wenn die Berechtigung für das untergeordnete Element überschrieben wird, lautet der Status Lokal angewendet.
- Klicken Sie auf Speichern.
Berechtigungen und Einstellungen werden in der Regel innerhalb weniger Minuten wirksam, es kann jedoch bis zu 24 Stunden dauern, bis sie für alle gelten.
Weitere Informationen zu den einzelnen Berechtigungen
Für verwaltete Chrome OS-Geräte.
Wenn Sie das Symbol für eine gerätespezifische Einstellung 
Die meisten Richtlinien gelten sowohl für verbundene als auch für nicht verbundene Chrome OS-Nutzer. Ein Nutzer ist verbunden, wenn er von derselben Domain verwaltet wird, in der auch das Chrome OS-Gerät verwaltet wird, auf dem er angemeldet ist. Ein Nutzer ist nicht verbunden, wenn er in seinem Gerät als verwalteter Nutzer einer anderen Domain angemeldet ist. Beispiel: Nutzer@domainA.com meldet sich auf einem von domainB.com verwalteten Gerät oder auf einem nicht verwalteten Gerät an. Die Richtlinien, die nur für verbundene oder nicht verbundene Nutzer gelten, sind in der Admin-Konsole deutlich gekennzeichnet.
Sie können die folgenden Berechtigungen für Webfunktionen nicht nur standardmäßig für alle Ursprünge festlegen, sondern auch für einzelne Ursprünge anpassen:
- Verbundene Geräte – Smartcard-Lesegeräte, Web-Druck
- Inhalte – Gesteuerter Frame, Geräteattribute, Verwaltung lokaler Schriftarten, Fensterverwaltung
- Netzwerk – Direct Sockets
Die folgenden Berechtigungen können nur für einzelne Ursprünge festgelegt werden:
- Automatischer Vollbildmodus
- Bildschirmaufzeichnung
- Erhebung von WebRTC-Diagnoseprotokollen
Gilt nur für integrierte Web-Apps (IWAs).
Sie können die automatische Vollbildanzeige für bestimmte IWAs zulassen oder blockieren, ohne Nutzer um Erlaubnis fragen zu müssen.
Wählen Sie eine Option aus:
- Nicht festgelegt: Dies ist die Standardeinstellung. Aufgrund der Sensibilität der Berechtigung wird der automatische Vollbildmodus für den Ursprung blockiert.
- Zulässig: Der automatische Vollbildmodus ist für die Herkunft zulässig.
- Blockiert: Der automatische Vollbildmodus ist für den Ursprung blockiert.
Ermöglicht es angegebenen Ursprüngen, Controlled Frame für isolierte Web-Apps (IWAs) zu verwenden. Mit der Controlled Frame API können IWAs beliebige Webinhalte direkt in ihre Apps einbetten und steuern.
Weitere Informationen finden Sie unter Controlled Frame auf GitHub.
Wählen Sie eine der folgenden Optionen aus:
- Nicht festgelegt: Die Verwendung von Controlled Frame ist für den Ursprung zulässig.
- Blockieren: Die Verwendung von Controlled Frame ist für den Ursprung blockiert.
- Zulässig: (Standard) Die Verwendung von Controlled Frame ist für den Ursprung zulässig.
Gilt nur für IWAs.
Gibt an, ob IWAs Geräteattribute wie Seriennummern, Asset-IDs und Standorte lesen dürfen.
Wählen Sie eine Option aus:
- Nicht festgelegt: Dies ist die Standardeinstellung. Aufgrund der Sensibilität der Berechtigung wird der Zugriff auf Geräteattribute für den Ursprung automatisch blockiert.
- Zulässig: Der Ursprung darf auf Geräteattribute zugreifen.
- Blockiert: Der Zugriff auf Geräteattribute ist für den Ursprung blockiert.
Sie können geeigneten Ursprüngen erlauben, Direct Sockets für isolierte Web-Apps zu verwenden.
Die Direct Sockets API ermöglicht die Kommunikation mit beliebigen Endpunkten über TCP und UDP. Weitere Informationen finden Sie unter Direct Sockets.
Wählen Sie eine der folgenden Optionen aus:
- Nicht festgelegt: Die Verwendung von Direct Sockets ist für den Ursprung zulässig.
- Blockieren: Die Verwendung von Direct Sockets ist für den Ursprung blockiert.
- Zulässig: (Standard) Die Verwendung von Direct Sockets ist für den Ursprung zulässig.
Gibt an, ob Ursprünge die Idle Detection API verwenden dürfen.
Wählen Sie eine Option aus:
- Nicht festgelegt: Ursprünge können die API nur mit der Erlaubnis des Nutzers verwenden.
- Zulässig: Ursprünge können die API verwenden, ohne den Nutzer um Erlaubnis zu bitten.
- Gesperrt: Ursprünge können die API nicht verwenden, unabhängig von der Berechtigung des Nutzers.
Legt die standardmäßige Berechtigung für die Verwaltung lokaler Schriftarten für Nutzer fest. Mit der Verwaltung lokaler Schriftarten wird die Fähigkeit von Websites gesteuert, Informationen zu lokalen Schriftarten zu sehen.
Wählen Sie eine der folgenden Optionen aus:
- Nicht festgelegt: Die Einstellung Nutzer fragen wird angewendet, aber Nutzer können diese Einstellung ändern.
- Blockieren: Die Berechtigung für lokale Schriftarten wird standardmäßig auf allen Websites blockiert.
- Nutzer fragen: Nutzer werden jedes Mal gefragt, wenn eine Website die Berechtigung für lokale Schriftarten erhalten möchte.
Ermöglicht die automatische Bildschirmaufnahme für mehrere Bildschirme für Nutzer. Mit der API können isolierte Web-Apps (IWAs), die durch ihren Ursprung identifiziert werden, ohne zusätzliche Nutzerberechtigung mehrere Bildschirme gleichzeitig erfassen.
Weitere Informationen zu IWAs finden Sie unter Erste Schritte mit isolierten Web-Apps.
Aufgrund der Sensibilität der Berechtigung gelten die folgenden Einschränkungen:
- Gilt nur für installierbare Web-Apps, nicht für andere Webanwendungen.
- Sie sind ursprungsspezifisch. Globale Standardwerte können nicht definiert werden und müssen auf Ursprungsebene festgelegt werden.
- Standardmäßig blockiert: Sie müssen die Bildschirmaufzeichnung auf Ursprungsebene für jede App zulassen.
Wählen Sie eine der folgenden Optionen aus:
- Nicht festgelegt: Die Bildschirmaufzeichnung ist für den Ursprung blockiert.
- Zulässig: Die Bildschirmaufzeichnung ist für den Ursprung zulässig.
Zur Verbesserung des Datenschutzes wird die Änderung erst wirksam, nachdem sich der Nutzer ab- und wieder angemeldet hat, wenn Sie die Einstellung während einer Nutzersitzung ändern.
Gilt nur für IWAs.
Damit wird gesteuert, ob isolierte Web-Apps eine Verbindung zu Smartcard-Lesegeräten herstellen können.
Wählen Sie unter Standardberechtigungen für alle Ursprünge eine Option aus:
- Nicht festgelegt: IWAs dürfen Nutzer um die Erlaubnis bitten, eine Verbindung zu Smartcard-Lesegeräten herzustellen. Nutzer können diese Anfrage genehmigen oder ablehnen. Die Nutzer können diese Einstellung ändern.
- Gesperrt: IWAs dürfen keine Verbindung zu Smartcard-Lesegeräten herstellen. Nutzer werden nicht einmal um Erlaubnis gefragt. Nutzer können die Einstellung nicht ändern.
- Nutzer fragen: IWAs dürfen Nutzer um die Erlaubnis bitten, eine Verbindung zu Smartcard-Lesegeräten herzustellen. Nutzer können die Einstellung nicht ändern.
Unter Ursprungsspezifische Berechtigungen können Sie den Zugriff für bestimmte IWAs verwalten. Sie können beispielsweise die Standardeinstellungen überschreiben, indem Sie den Zugriff für bestimmte interaktive Webanwendungen blockieren oder zulassen. Wenn Sie Zulässig auswählen, kann die jeweilige IWA eine Verbindung zu Smartcard-Lesegeräten herstellen, ohne dass Nutzer um die Erlaubnis gebeten werden.
Gibt an, ob die Erhebung von WebRTC-Diagnoseprotokollen für Ursprünge zulässig ist.
Wählen Sie eine Option aus:
- Nicht festgelegt: Dies ist die Standardeinstellung. Aufgrund der Sensibilität der Berechtigung wird der Zugriff auf Geräteattribute für den Ursprung automatisch blockiert.
- Zulässig: Der Ursprung darf auf Geräteattribute zugreifen.
- Blockiert: Der Zugriff auf Geräteattribute ist für den Ursprung blockiert.
Gilt nur für IWAs.
Gibt an, ob IWA-Ursprünge mit der Web Printing API auf lokale Drucker zugreifen dürfen.
Wählen Sie eine Option aus:
- Nicht festgelegt: Dies ist die Standardeinstellung. Ursprünge isolierter Web-Apps können über die Web Printing API den Zugriff auf lokale Drucker anfordern. Nutzer können diese Einstellung jedoch ändern.
- Nutzer fragen: Ursprünge der isolierten Web-App dürfen Nutzer um Erlaubnis bitten, über die Web Printing API auf lokale Drucker zuzugreifen.
- Blockiert: IWA-Ursprünge dürfen über die Web Printing API keinen Zugriff auf lokale Drucker anfordern.
Sie können die Standardberechtigung für die Fensterverwaltung für Nutzer festlegen. Dadurch wird die Fähigkeit von Websites gesteuert, Informationen zum Bildschirm des Geräts abzurufen und zu nutzen, um Fenster zu öffnen und zu platzieren oder auf bestimmten Bildschirmen den Vollbildmodus anzufordern.
Wählen Sie eine der folgenden Optionen aus:
- Nicht festgelegt: Die Einstellung Nutzer fragen wird angewendet, aber Nutzer können diese Einstellung ändern.
- Blockieren: Die Berechtigung für die Fensterverwaltung wird standardmäßig auf allen Websites blockiert.
- Nutzer fragen: Nutzer werden jedes Mal gefragt, wenn eine Website die Berechtigung für die Fensterverwaltung erhalten möchte.