适用于通过 Google 管理控制台管理 Chrome 政策的管理员。
您可以在管理控制台中强制执行 Chrome 政策并将其应用于:
- 用户帐号,以便在用户的不同设备之间同步政策和偏好设置。在任何设备上,只要用户使用受管理的帐号登录 Chrome 浏览器,系统便会应用相应设置。
- 已注册的浏览器,以便在用户使用受管理的 Microsoft Windows、Apple Mac 或 Linux 计算机打开 Chrome 浏览器时强制执行相应政策。用户无需登录。
第 1 步:了解系统何时会应用设置
系统究竟何时会强制执行您的 Chrome 政策,取决于这些政策是为用户账号设置的还是为已注册的浏览器设置的。
为用户设置的政策
在任何设备上,只要用户通过受管理的 Google 账号登录,系统就会应用这类政策,登录的具体对象如下:
- 任何 Windows、Mac、Linux、Android 或 iOS 设备上的 Chrome 浏览器
注意:在这种情况下,您只能对属于通过域名验证的账号的用户账号应用政策。如果您使用的是通过电子邮件验证的账号,则必须验证您的域名以解锁此功能。 - Chromebook 或其他 ChromeOS 设备
- 在受支持的 ChromeOS 设备上运行的 Android 应用
在以下情况下不会应用设置:
- 用户登录组织外部的 Google 账号(例如个人 Gmail 账号)时
- 用户以访客身份登录 Chromebook 时
最适合那些应在不同设备之间保持同步的工作设置和偏好设置,例如工作应用、设为主页的标签页、主题背景等。
如需开始设置,请参考:设置 Chrome 浏览器用户级管理政策
为已注册的浏览器设置的政策
- 当用户在注册了 Chrome 浏览器的计算机(Windows、Mac 或 Linux)上打开该浏览器时,系统就会应用这类政策。
- 用户无需登录。
- 最适合那些要在设备一级强制执行的政策,例如安全设置、屏蔽的应用等。
如需开始设置,请参考:设置 Chrome Enterprise 核心版
第 2 步:在管理控制台中配置设置
准备工作:要为某一组用户帐号或已注册的 Chrome 浏览器配置设置,请将相应用户或浏览器归入一个单位部门。
-
-
在管理控制台中,依次点击“菜单”图标 设备Chrome设置。默认情况下,系统会打开用户和浏览器设置页面。
如果您已注册 Chrome 企业核心版,请依次点击“菜单”图标 Chrome 浏览器设置。
- (可选)要将设置仅应用于部分用户和已注册的浏览器,请在侧边选择一个组织部门(通常用于部门)或配置群组(高级)。显示具体方法
群组设置会覆盖组织部门的设置。了解详情
- 点击您要配置的设置。了解各项设置。
提示:您可以在顶部的搜索框中输入文字,从而快速查找所需设置。
如果某项设置是从上级单位继承而来,您将看到继承的设置字样。而如果下级单位的设置覆盖了从上级单位继承的设置,您将看到在本单位内指定的设置字样。
- 点击保存。
设置通常会在几分钟内生效,但最长可能需要 24 小时才能应用到所有用户。
了解各项设置
对于很多设置来说,您可以强制执行用户无法更改的政策,也可以设置用户可以更改的默认值。举例来说,您可以指定一个所有用户都必须使用的主页,也可以让用户自行设置主页。
大多数政策会同时应用于 Chrome 操作系统中的关联用户和独立用户。如果用户与其登录的 Chrome 操作系统设备受同一网域管理,那么这类用户即为关联用户。如果用户是以受管理用户的身份从其他网域登录设备(例如,<用户>@<网域 A>.com 登录受 <网域 B>.com 管理的设备)或登录的设备为非受管设备,那么这类用户即为独立用户。仅应用于关联用户或独立用户的政策会在管理控制台中明确标记出来。
提示:很多管理员都会保留默认设置,而仅配置启动页、新标签页、应用和扩展程序、主题背景等设置。
常规
用户会话时长上限控制用户会话的持续时间。剩余的会话时间会显示在用户系统任务栏中的倒计时器上。达到指定的时间后,用户会自动退出登录并结束会话。
您可以输入一个介于 1 分钟到 1440 分钟(24 小时)之间的值。如果无需限制使用时间,请不要输入任何值。
您可以上传自定义服务条款协议(.txt 或 .text 文件),要求用户必须接受后才能登录帐号并开始会话。
使用自定义头像替换默认头像。您可以上传 JPG 格式(.jpg 或 .jpeg 文件)的图片,图片大小不能超过 512 KB。不支持其他文件类型。
使用自定义壁纸替换默认壁纸。您可以上传 JPG 格式(.jpg 或 .jpeg 文件)的图片,图片大小不能超过 16 MB。不支持其他文件类型。
指定 Chrome 浏览器主题颜色,用户无法更改该颜色。以 #RRGGBB 十六进制格式在文本字段中输入颜色代码。
如果留空,则用户可以更改其浏览器主题颜色。
在 Chrome 中开启或关闭二维码生成器。
登录设置
浏览器登录设置指定用户是否可以登录 Chrome 浏览器并将浏览器信息同步到自己的 Google 账号。
从以下选项中选择一项:
- 禁止登录浏览器:用户无法登录 Chrome 浏览器,也无法将浏览器信息同步到自己的 Google 账号。
- 允许登录浏览器:用户可以登录 Chrome 浏览器并能将浏览器信息同步到自己的 Google 账号。当用户登录 Google 服务(例如 Gmail)后,会自动登录 Chrome 浏览器。
- 强制要求用户登录才能使用浏览器:强制要求用户在使用 Chrome 浏览器之前必须先登录。如需阻止次要用户登录,请使用为受管理的 Google 身份创建单独的个人资料设置。
指定一个正则表达式,以决定哪些 Google 帐号能被设为 Chrome 浏览器的主帐号。举例来说,如果将值设为 .*@example\.com,则只有 example.com 网域中的帐号才能登录。
如果用户尝试将不符合指定格式的用户名设为浏览器的主帐号,就会显示错误消息。
如果留空,则用户可以将任何 Google 帐号设为 Chrome 浏览器的主帐号。
默认情况下,启用登录拦截功能处于选中状态。当用户在网络上添加 Google 帐号时,系统会显示登录拦截对话框。如此一来,用户在将此帐号移至另一份新的或现有的个人资料中时,或许也能从中获益。
指定用户在登录受管理的 Google 帐号时是否需要创建单独的个人资料。
请从下列选项中选择一项:
- 强制创建单独的个人资料 - 受管理的帐号是主帐号。新创建的个人资料可能有辅助帐号。创建个人资料后,您就可以导入现有浏览数据了。
- 强制创建单独的个人资料并禁止使用辅助的受管理帐号 - 受管理的帐号是主帐号。个人资料中没有辅助帐号。创建个人资料后,您就可以导入现有浏览数据了。
- 不强制创建单独的个人资料 - 这是默认设置。受管理的帐号没有任何限制。用户可以直接使用受管理的 Google 帐号,而无需创建单独的个人资料。
- 允许用户选择使用单独的个人资料 - 受管理的帐号是主帐号。个人资料中可能有辅助帐号。创建个人资料时,用户会看到一个复选框,供其选择保留本地浏览数据并将其与受管理的帐号相关联。本地浏览数据包括书签、历史记录、密码、自动填充数据、打开的标签页、Cookie、缓存、网络存储空间、扩展程序等。
- 用户勾选此复选框 - 现有个人资料数据会与受管理的帐号相关联。所有现有浏览数据都会显示在新创建的个人资料中。
- 用户未勾选此复选框 - 现有个人资料仍然存在。数据不会丢失。已创建新的个人资料。
- 允许用户选择使用单独的个人资料,但禁止使用辅助受管理的帐号 - 与允许用户选择使用单独的个人资料的行为相同,但新创建的个人资料没有辅助帐号。
此功能不适用于教育机构网域。
指定用户是否可以将帐号作为辅助帐号添加到会话中。有关详情,请参阅登录辅助帐号。
请从下列选项中选择一项:
- 受管理的帐号的所有使用情况均可使用(默认)- 没有任何限制,用户可以在登录屏幕和会话期间将帐号添加为辅助帐号。
- 禁止在 Chrome 操作系统中将受管理的帐号添加为辅助帐号(会话期间) - 用户无法将帐号作为辅助帐号添加到会话中。
如果您选择禁止在 Chrome 操作系统中将受管理的帐号添加为辅助帐号(会话期间),则该政策仅适用于 Chrome 操作系统。用户仍然可以在其他平台和设备(包括其他平台上的 Chrome 浏览器)上添加帐号。该政策也不适用于 Chrome 以外的浏览器。相应用户帐号也会同时被禁用永久单点登录以及与 Android 同步。
选择在登录屏幕和锁定屏幕上启用显示密码按钮后,用户就可以在 Chrome 操作系统设备上显示自己的密码。用户可以点击密码字段末尾的“显示密码”图标,以显示当前输入的密码。如果您选择在登录屏幕和锁定屏幕上取消“显示密码”按钮,用户就不会看到该图标。
适用于 Chrome 111 及更高版本。
受 Microsoft Windows 10 及更高版本支持。
指定 Chrome 用户能否使用 Microsoft Entra ID 自动登录 Web 应用。
如果您选择启用 Azure 云身份验证,则用户使用由 Azure 身份提供方提供支持的账号登录计算机后,就可以在受 Azure 提供方保护的网络资源上自动进行身份验证。此外,您还可以强制执行 Azure 条件访问政策
受支持的提供方包括:
- Microsoft Entra ID
- 消费者 Microsoft 账号身份提供方
- 添加到 Microsoft Windows 的工作账号或学校账号
可选 - 设置 Cloud Identity
Google 提供两种 Cloud Identity 版本:Cloud Identity 免费版和 Cloud Identity 专业版。请参阅 Cloud Identity 概览。
借助 Cloud Identity,您可以启用 Chrome 同步功能,以便用户可保存和同步信息。您可以设置动态政策,让政策根据用户(而非设备)而变化。只要用户登录浏览器,便可以在不同设备上获得相同的 Chrome 浏览器体验。请参阅了解 Chrome 政策管理。
要详细了解如何让 Azure 在管理控制台中自动预配账号并充当单点登录 (SSO) 提供方,请转到 Cloud 架构中心。允许用户在 ChromeOS 设备上将 Google 相册图片选为壁纸。
有关详情,请参阅更改背景壁纸和屏保。
您可以选择在用户登录期间向其显示触控板滚动方向画面。
默认情况下,系统不会显示触控板滚动方向画面。
控制在用户首次登录期间是否在其屏幕上显示“显示大小”设置。
显示设置可帮助用户更改显示大小,以及缩小或放大屏幕上的内容。默认情况下,用户首次登录时,该设置不会显示。如要开启此设置,请选择在登录时显示“显示大小”设置界面。
控制是否在登录流程中显示会话内 AI 功能的介绍界面。
默认情况下,系统会选择使用默认的 Chrome 行为,即为受企业管理的用户跳过 AI 介绍界面,而为非受管用户显示该介绍界面。
控制是否在登录流程中显示 Gemini 介绍画面。
默认情况下,系统会选择使用默认的 Chrome 行为,即为受企业管理的用户跳过 Gemini 介绍界面,而为非受管用户显示该介绍界面。
移动设备
Android 上的 Chrome指定是否将受支持的政策应用于 Android 设备上的 Chrome 浏览器。默认情况下,不要将受支持的用户设置应用到 Android 版 Chrome 处于选中状态。
选择将受支持的用户设置应用到 Android 版 Chrome 之前,您需要先使用已登录用户的 Chrome 管理服务设置启用 Chrome 浏览器管理服务。如需了解详情,请参阅启用 Chrome 浏览器管理服务。
如果您选择将受支持的用户设置应用到 Android 版 Chrome,您设置的政策就会应用于在 Android 设备上的 Chrome 浏览器中登录受管理帐号的用户。用户退出受管理的帐号后,系统会停止应用政策,并删除设备上的本地个人资料。
指定是否将受支持的政策应用于 iOS 设备上的 Chrome 浏览器。默认情况下,不要将受支持的用户设置应用到 iOS 版 Chrome 处于选中状态。
选择将受支持的用户设置应用到 iOS 版 Chrome 之前,您需要先使用已登录用户的 Chrome 管理服务设置启用 Chrome 浏览器管理服务。有关详情,请参阅启用 Chrome 浏览器管理(仅限用户政策)。
如果您选择将受支持的用户设置应用到 iOS 版 Chrome,您设置的政策就会应用于在 iOS 设备上的 Chrome 浏览器中登录受管理账号的用户。用户退出受管理的账号后,系统会停止应用政策,并删除设备上的本地个人资料。
注册控件
设备注册只有在设备是首次于网域中注册或设备之前已取消配置的情况下,此政策才会生效
如果选择将 Chrome 设备归入当前位置,那么当您注册 ChromeOS 设备后,该设备会归入您网域的顶级组织部门,并相应地从顶级组织部门获取设备设置。
如果选择将 Chrome 设备归入用户组织,则在注册 ChromeOS 设备后,该设备便会归入执行注册的用户所属的组织部门。您为此用户的组织部门所应用的设置会同样应用于该设备。
如果您需要手动注册许多设备,则将 Chrome 设备归入用户组织这一设置便非常有用。注册后,用户的组织部门所独有的设备设置将自动添加到相应设备,而无需再以手动的方式将各台设备移入特定组织部门。
此设置可控制用户能否在注册设备时为设备添加资产 ID 和位置信息。
- 不允许此单位中的用户执行此操作 - 用户无法输入资产 ID 和位置信息。
- 此组织中的用户可以在注册期间提供资产 ID 和位置 - 用户可以输入设备的资产 ID 和位置信息。
如果您选择允许用户输入资产 ID 和位置信息,则设备信息页面中的对应字段将会显示原先存在的数据。如果原先没有数据存在,这些字段就会留空。在完成注册之前,用户可以修改或输入设备详细信息。用户输入的信息会填充到管理控制台和 chrome://policy 中的资产 ID 和位置字段中。
默认情况下,此组织部门中的用户可以注册新设备或重新注册已取消配置的设备。无论是注册新设备还是重新注册已取消配置的设备,均会消耗升级许可。用户也可重新注册已擦除数据或恢复出厂设置的设备。重新注册已擦除数据或恢复出厂设置的设备不会消耗新的升级许可,因为该设备仍处于受管理状态。
如果选择仅允许此组织中的用户重新注册现有设备(不得注册新设备或已取消配置的设备),则用户只能重新注册已擦除数据或恢复出厂设置,但未取消配置的设备。用户无法注册新设备或重新注册已取消配置的设备(只要执行这类操作,就会消耗升级许可)。
如果选择不允许此组织中的用户注册新设备或重新注册现有设备,可禁止用户注册或重新注册任何设备(包括通过强制重新注册来重新注册设备)。
控制受管理的用户是否需要注册没有所有者的设备。
从下列选项中选择一项:
- 不要求用户注册设备(默认)- 分配了政策的组织部门中的受管理用户可以随时登录,而无需注册其设备。
- 要求用户注册设备 - 分配了政策的组织部门中的受管理用户需要注册其设备。如果用户错过注册步骤并在设备上执行首次登录,系统会显示一个弹出式窗口,要求用户切换到注册流程或使用其他账号登录。这样可以防止受管理的用户在未注册的情况下登录。此设置需要满足以下要求:
- 这是第一位登录设备的用户。例如,设备是新的或刚刚重置为出厂设置。
- 用户拥有注册设备所需的权限。如需了解详情,请参阅注册权限。
应用和扩展程序
通过“应用和扩展程序”页面,您可以集中处理所有的应用和扩展程序配置工作。有关详情,请参阅查看和配置应用和扩展程序。
- 允许和屏蔽应用
- 强制安装应用
- 将应用固定至任务栏
- 允许的应用类型
- 按权限屏蔽扩展程序
- Chrome 应用商店首页和权限
默认情况下,允许用户通过 Chrome 任务管理器终止进程处于选中状态。
即使您选择禁止用户通过 Chrome 任务管理器终止进程,用户仍然可以打开任务管理器,但无法在其中终止进程。这是因为结束进程按钮会呈灰显状态且无法使用。
对 Manifest V2 扩展程序的支持将来会被弃用。所有扩展程序都需要根据 Manifest V2 支持时间表迁移至 Manifest V3。
指定用户能否在 Chrome 浏览器中使用 Manifest V2 扩展程序。
每个 Chrome 扩展程序都有一个 JSON 格式的清单文件,名为 manifest.json
。清单文件是扩展程序的蓝图,必须位于扩展程序的根目录中。
清单文件中的信息包括:
- 扩展程序名称
- 扩展程序版本号
- 扩展程序运行所需的权限
如需了解详情,请参阅清单文件格式。
从以下选项中选择一项:
- 默认设备行为(默认)- 用户可以根据默认浏览器设置和 Manifest V2 支持时间表访问 Manifest V2 扩展程序。
- 停用 Manifest V2 扩展程序 - 用户无法安装 Manifest V2 扩展程序,而且其现有的扩展程序会被停用。
- 启用 Manifest V2 扩展程序 - 用户可以安装 Manifest V2 扩展程序。
- 启用强制安装的 Manifest V2 扩展程序 - 用户只能使用强制安装的 Manifest V2 扩展程序。这包括使用 Google 管理控制台中的“应用和扩展程序”页面强制安装的扩展程序。所有其他 Manifest V2 扩展程序均会被停用。无论迁移阶段如何,此选项始终可用。
注意:扩展程序的可用性也受到其他政策的控制。例如,如果管理控制台的“应用和扩展程序”页面上的权限和网址设置将清单政策允许的 V2 扩展程序列为已屏蔽的扩展程序,则该扩展程序将更改为已屏蔽状态。
网站隔离
网站隔离在 ChromeOS 设备上为受管理的 Chrome 浏览器用户启用网站隔离功能。隔离您指定的网站和源站。
- 为所有网站和以下任何源站启用网站隔离,但允许用户停用该功能 - 每个网站都会在专门的呈现进程中运行,而且所有网站彼此都是隔离开来的,但用户可以选择更改此行为(如果您未指定任何设置,则此选项为默认设置)。
- 必须为所有网站以及以下任何源站启用网站隔离 - 每个网站都会在专门的呈现进程中运行。而且所有网站彼此都是隔离开来的。
您也可以输入源站列表(以英文逗号分隔),从而将这些源站与其各自对应的网站隔离。例如,您可以输入 https://login.example.com 以将其与 https://login.example.com 下的其余网站隔离开来。
有关详情,请参阅通过网站隔离功能保护数据。
在 Android 设备上为受管理的 Chrome 浏览器用户启用网站隔离功能。隔离您指定的网站和源站。
- 仅为登录网站以及以下任何源站启用网站隔离 - 只有登录网站以及您指定的任何源站会分别在单独的进程中运行。您输入的每个网站都会在专门的呈现进程中运行。
- 允许用户选择启用网站隔离 - 用户可以选择是否启用网站隔离。
- 为所有网站以及以下任何源站启用网站隔离 - 每个网站都会在专门的呈现进程中运行。而且所有网站彼此都是隔离开来的。
您也可以输入源站列表(以英文逗号分隔),从而将这些源站与其各自对应的网站隔离。例如,您可以输入 https://login.example.com 以将其与 https://login.example.com 下的其余网站隔离开来。
安全性
密码管理工具如果您选择始终允许使用密码管理器,用户便可让 Chrome 浏览器记住密码,并在他们下次登录网站时自动提供密码。如果您选择不允许使用密码管理器,则用户将无法保存新密码,但仍然可以使用之前保存过的密码。选择允许用户决定可允许用户配置密码管理器。
控制内置密码管理工具是否可以从其数据库中删除无法破解的密码。用户无法更改此设置。无法破解的密码值不会自动变为可破解的密码值,即使能够修正这一问题,通常也需要用户执行复杂的步骤。
默认情况下,允许删除无法破解的密码处于选中状态。将无法破解的密码保存在内置密码管理器中的用户将永远丢失这些密码。仍有效的密码不会受到影响。
如果您选择禁止删除无法破解的密码,密码管理工具可能无法正常为用户提供服务。
您可以指定如何管理 ChromeOS 设备上的本地数据恢复功能。
请从下列选项中选择一项:
- 将启用账号恢复功能的时间推迟到迁移阶段(参阅帮助中心) -(默认)保留用户数据恢复功能的默认选项。目前,该默认选项为停用账号恢复功能。但是,将来默认选项会更改为启用账号恢复功能。在此之前,Google 会通过电子邮件通知您的 IT 管理员。
- 启用账号恢复功能 - 启用用户数据恢复功能,且不允许用户更改此设置。
- 启用账号恢复功能并允许用户覆盖 - 启用用户数据恢复功能,但用户可以更改该设置。
- 停用账号恢复功能 - 停用用户数据恢复功能,且不允许用户更改此设置。
启用或停用用户设备上的锁定屏幕。如果您选择不允许锁定屏幕,那么在通常会导致屏幕锁定的情况下,系统会使用户退出。此外,会触发锁定屏幕的闲置设置(例如休眠时锁定屏幕)也会使用户退出。
指定用户能否使用 PIN 码和指纹等快速解锁模式解锁其 ChromeOS 设备的锁定屏幕。
如果您选择 PIN 码并关闭暂存模式,则用户可以使用自己的 PIN 码(而不是 Google 帐号密码)通过 Google H1 安全芯片登录 ChromeOS 设备。用户可以在进行开箱体验 (OOBE) 设置时创建 PIN 码,也可以在设备上的“安全性与隐私”设置中创建。有时,系统可能仍会提示用户输入密码。例如,用户反复输入错误的 PIN 码时,或者您强制用户更改密码时。
如果用户使用共用设备,我们建议您不要允许用户使用 PIN 码解锁。
有关详情,请参阅锁定或解锁屏幕。
指定用户能否使用 PIN 码或指纹登录支持 WebAuthn(一种安全的网络身份验证协议)的网站。
这是一项临时性政策,会在日后发布的 Google Chrome 版本中移除。您可以开启此设置以测试是否存在问题,并在解决问题期间将其关闭。
指定 Google Chrome 是否在传输层安全协议 (TLS) 中提供后量子密钥协议算法。该算法为 ML-KEM(NIST 后量子标准)或 Kyber(该标准的早期草案迭代版本),具体取决于 Chrome 版本。借助 TLS 连接中的后量子密钥协议,支持该协议的服务器可以保护用户流量免遭量子计算机解密。
Kyber 向后兼容,这意味着现有的 TLS 服务器和网络中间件预计会忽略这个新选项,并继续选择以前的选项。
注意:必须正确实现 TLS。否则,在提供新选项后,设备可能会发生故障。例如,当遇到无法识别的选项或产生较长的消息时,这些设备可能会断开连接。此类设备不支持后量子,可能会干扰企业的后量子转换。遇到这种情况的管理员应与其供应商联系以寻求解决方案。
从以下选项中选择一项:
- 使用默认的 Chrome 设置 - 这是默认设置。Chrome 会按照默认发布流程在 TLS 连接中提供后量子密钥协议。
- 允许在 TLS 连接中使用后量子密钥协议 - Chrome 会在 TLS 连接中提供后量子密钥协议。用户流量可免遭量子计算机解密。
- 不允许在 TLS 连接中使用后量子密钥协议 - Chrome 不会在 TLS 连接中提供后量子密钥协议。用户流量不会免遭量子计算机解密。
注意:如果已设置,设备设置页面上的后量子 TLS 设置将优先于此设置。
让您可以在锁定屏幕和登录屏幕中启用 PIN 码自动提交功能。此功能会更改 PIN 码在 ChromeOS 中的输入方式。与用于输入密码的文本字段类似,该功能会向用户显示需要输入几位数的 PIN 码。目前 PIN 码的长度范围在 6 至 12 位之间。
指定用户是否可以在锁定设备的情况下播放媒体内容。
如果设备支持这项播放功能,则当用户锁定设备时,他们仍可通过锁定屏幕控制播放中的媒体内容。锁定屏幕上会显示相关控件,以便用户快速跳到下一曲目或暂停内容,而无需解锁设备。
指定是否允许用户使用无痕模式浏览内容。
如果选择不允许使用无痕模式,系统便会阻止用户打开新的无痕式窗口。Chrome 浏览器不会关闭已经打开的无痕式窗口,也不会阻止用户在这些窗口中打开新标签页。
对于幼儿园到高中 (K-12) 的教育网域,默认设置为不允许使用无痕模式。
对于其他所有网域,默认设置为允许使用无痕模式。
Android 不支持强制使用无痕模式。
决定是否允许 Chrome 浏览器保存用户的浏览记录。
指定用户能否清除浏览器数据,包括浏览记录和下载记录。
请注意:即使禁止用户清除浏览器数据,也不能确保系统会保留浏览器历史记录和下载记录。例如,如果用户删除自己的个人资料,则系统会一并清除其浏览记录。
指定用户能否使用暂存模式浏览内容。
借助暂存模式,您的员工可以使用个人笔记本电脑或其信任的共用设备办公,同时降低在其设备上留下任何浏览信息的几率。
请注意:如果您使用此设置,我们建议您不要在管理控制台中停用 Chrome 同步功能。
控制 Chrome 保留浏览数据(例如历史记录、Cookie 和密码)的时长。此设置对处理敏感数据的用户来说非常有用。
Chrome 会在浏览器启动 15 秒后以及浏览器运行期间每小时删除一次过期数据。系统会自动删除保留时间超过指定时长的浏览数据。您可以指定的保留时长最小值为 1 小时。如果留空,则 Chrome 一律不会自动删除特定类型的浏览数据。
您必须关闭 Google 同步,此设置才会生效:
- 适用于 Windows、Mac 和 Linux 的 Chrome 浏览器 - 将 Chrome 同步和漫游个人资料(Chrome 浏览器 - 通过云管理)设为禁止同步
- ChromeOS - 将 Chrome 同步 (ChromeOS) 设为停用 Chrome 同步
您可以删除的浏览数据类型包括:
- 浏览记录
- 下载记录
- Cookie 及其他网站数据
- 缓存的图片和文件
- 密码和其他登录数据
- 自动填充表单数据
- 网站设置
- 托管应用的数据缓存
如果您选择执行在线 OCSP/CRL 检查,ChromeOS 设备将执行 HTTPS 证书的在线撤销检查。
指定是否允许网站跟踪用户的实际位置。
在 Chrome 浏览器中,此政策对应的是用户的 Chrome 设置中的用户选项。您可以设置默认允许或默认拒绝网站跟踪实际位置,也可以让网站在每次请求实际位置时询问用户。
对于在 ChromeOS 中运行的 Android 应用,如果您选择不允许网站检测用户的地理位置,则 Android 应用就无法访问位置信息。否则,当 Android 应用想要访问位置信息时,系统会请求用户的许可。
针对不通过 SAML SSO 登录 ChromeOS 设备的用户,设置在登录屏幕上强制要求在线登录的频率。
每当用户在所设的频率周期后退出,就必须通过在线登录流程重新登录。
用户进行在线登录时,会使用 Google 身份服务。通过强制用户定期登录,您可以为要求双重身份验证或多重身份验证的组织提供更多安全保障。
输入所需数值(以天为单位):
- 0:用户始终需要进行在线登录。
- 1-365:达到设置的频率周期后,用户下次开启会话时必须进行在线登录。
如果留空,则用户无需定期进行在线登录。
如果用户使用 SAML 单点登录,请配置 SAML 单点登录的登录频率设置。
重要提示:此设置不会为 ChromeOS 设备上存储的用户数据(包括在线服务的身份验证令牌)提供额外的静态保护。静态用户数据加密使用离线身份验证因素,例如密码或智能卡。
针对不通过 SAML SSO 登录 ChromeOS 设备的用户,设置在锁定屏幕上强制要求在线登录的频率。
每当用户在所设频率周期后锁定会话,就必须通过在线登录流程重新登录。
用户进行在线登录时,会使用 Google 身份服务。通过强制用户定期登录,您可以为要求双重身份验证或多重身份验证的组织提供更多安全保障。
输入所需数值(以天为单位):
- 0 - 用户始终需要在锁定屏幕上进行在线登录。
- 1-365:达到设置的频率周期后,用户下次解锁屏幕锁定时必须进行在线登录。
如果留空,则用户无需通过定期进行在线登录来解锁屏幕锁定。
如果用户使用 SAML SSO,请配置 SAML 单点登录解锁频率设置。
为 ChromeOS 设备启用或停用基于 SAML 的单点登录。
重要提示:使用此政策前,请查看为 ChromeOS 设备配置 SAML 单点登录中的相关要求。
针对使用 SAML SSO 的帐号设置在登录屏幕上强制要求在线登录流程的频率。
如果用户使用的是基于 SAML 的 SSO 帐号,那么每当用户在所设的频率周期后退出,就必须通过在线登录流程重新登录。
用户进行在线登录时,会使用您所配置的 SAML SSO 服务。通过强制用户定期登录,您可以为要求双重身份验证或多重身份验证的组织提供更多安全保障,并确认用户帐号仍然有效。
登录频率选项:
- 每天
- 每 3 天
- 每周
- 每 2 周
- 每 3 周
- 每 4 周
- 每次
- 永不
重要提示:使用此政策前,请查看为 ChromeOS 设备配置 SAML 单点登录中的相关要求。此设置不会为 ChromeOS 设备上存储的用户数据(包括在线服务的身份验证令牌)提供额外的静态保护。静态用户数据加密使用离线身份验证因素,例如密码或智能卡。
如果用户不使用 SAML SSO,请配置 Google 在线登录频率设置。
针对使用 SAML 的用户设置在锁定的屏幕上强制要求在线登录的频率。
每当用户在所设频率周期后锁定会话,就必须通过在线登录流程重新登录。
用户进行在线登录时,会使用您所配置的 SAML SSO 服务。通过强制用户定期登录,您可以为要求双重身份验证或多重身份验证的组织提供更多安全保障,并确认用户帐号仍然有效。
输入所需数值(以天为单位):
- 0 - 用户始终需要在锁定屏幕上进行在线登录。
- 1-365:达到设置的频率周期后,用户下次解锁屏幕锁定时必须进行在线登录。
如果留空,则用户无需通过定期进行在线登录来解锁屏幕锁定。
如果用户不使用 SAML 单点登录,请配置 Google 在线解锁频率设置。
仅在配置了 SAML 单点登录密码同步设置时才适用。
如果用户的 SAML 单点登录密码发生更改,请指定是提示用户仅更改登录屏幕上的 ChromeOS 设备本地密码,还是提示用户同时更改锁定屏幕和登录屏幕上的密码。默认情况下,系统会选择仅在登录屏幕上强制执行在线登录。
其他信息:
适用于启用了 SAML 单点登录的 ChromeOS 设备。有关详情,请参阅为 ChromeOS 设备配置 SAML 单点登录。
默认情况下,系统不会在用户的 SAML 单点登录密码更新时触发身份验证流程。
如要确保用户在自己的 ChromeOS 设备密码即将更改时收到通知,请选择触发身份验证流程,以便与 SSO 提供商同步密码。
其他信息:
适用于启用了 SAML 单点登录的 ChromeOS 设备。有关详情,请参阅为 ChromeOS 设备配置 SAML 单点登录。
默认情况下,系统不会在用户的 SAML 单点登录密码更新时触发身份验证流程。
如要确保用户在自己的 ChromeOS 设备密码即将更改时收到通知,请选择触发身份验证流程,以便与 SSO 提供商同步密码。
其他信息:
确定在发生锁屏在线重新身份验证时提供的用户体验。
作为管理员,您可以设置锁屏重新身份验证触发器:
- 对于指定频率下的 Google Identity 用户 - 请参阅 Google 在线解锁频率。
- 对于指定频率下的 SAML 身份提供方用户 - 请参阅 SAML 单点登录解锁频率。
- 按需针对 SAML 身份提供方用户 - 请参阅 SAML 单点登录密码同步流程。
默认情况下,系统会选择在在线重新验证身份之前向用户显示插页式屏幕,我们建议您为密码身份验证流程使用此选项。对于无密码身份验证流程(例如徽章身份验证),请选择向用户显示在线重新身份验证屏幕,以确保设备立即就绪。
如果某些旧版服务器需要使用“TLS 中的 Rivest Cipher 4 (RC4) 加密套件”,此设置可允许您暂时启用或停用该加密套件。
请注意:RC4 并不安全。我们建议您重新配置服务器以支持 AES 加密。
本地锚常用名的备用名
控制要允许使用还是屏蔽由本地信任锚颁发的缺少 subjectAlternativeName 扩展程序的证书。如果选择允许,那么当服务器证书缺少 subjectAlternativeName 扩展程序时,Chrome 浏览器将会使用该证书的 commonName 与主机名进行匹配(前提是该证书成功通过验证,并链接到本地安装的 CA 证书)。
请注意:我们不建议选择允许,因为这可能会使系统绕过 nameConstraints 扩展程序,进而导致无法为指定授权证书限制主机名。
Symantec 公司的旧版公钥基础设施 (PKI)
允许信任 Symantec 公司的旧版公钥基础设施 (PKI) 运营颁发的证书,但这类证书必须以其他方式成功通过验证并链接至公认的 CA 证书。对于非 ChromeOS 系统,只有仍认可 Symantec 旧版基础设施证书的操作系统才适用此政策。如果操作系统某项更新会更改对此类证书的处理方式,那么此政策不再有效。此政策仅用作临时解决方法,旨在为企业弃用旧版 Symantec 证书提供更多过渡时间。
指定在哪些网址中不强制要求证书必须符合证书透明度要求。如此一来,Chrome 浏览器便能使用由证书授权机构 (CA) 颁发,但尚未对外公开的证书。如果 CA 为特定网址颁发的证书不合规定,则 Chrome 浏览器可能无法检测出这些证书。
系统只会匹配网址的主机名部分,且不支持通配符主机名。如需了解网址语法,请参阅网址屏蔽名单过滤器格式。
如果证书链中的证书含有指定的 subjectPublicKeyInfo 哈希,那么系统便不会强制要求相应证书必须符合证书透明度要求。如此一来,Chrome 浏览器便能使用证书授权机构 (CA) 为某一单位颁发,但尚未对外公开的证书。
要详细了解如何指定 subjectPublicKeyInfo 哈希,请参阅 CertificateTransparencyEnforcementDisabledForCas 政策。
如果证书链中包含的证书由旧版证书授权机构 (CA) 颁发并拥有指定 subjectPublicKeyInfo 哈希,那么系统便不会强制要求相应证书必须符合证书透明度要求。部分运行 Chrome 浏览器的操作系统信任旧版证书授权机构,但 ChromeOS 或 Android 并非如此。Chrome 浏览器可以使用签发给组织,但尚未对外公布的证书。
要详细了解如何指定 subjectPublicKeyInfo 哈希,请参阅 CertificateTransparencyEnforcementDisabledForLegacyCas 政策。
控制用户是否可以使用证书管理器导入、修改和移除证书授权机构 (CA) 证书。选择一个选项:
- 允许用户管理所有证书 - 这是默认设置。用户可以修改所有 CA 证书的信任设置、移除用户导入的证书以及导入证书。
- 允许用户管理用户证书 - 用户只能管理用户导入的证书,但无法更改内置证书的信任设置。
- 禁止用户管理证书 - 用户可以查看 CA 证书,但无法管理证书。
控制用户是否可以管理客户端证书。选择一个选项:
- 允许用户管理所有证书 - 这是默认设置。用户可以管理所有证书。
- 允许用户管理用户证书 - 用户只能管理用户证书,但无法管理设备级证书。
- 禁止用户管理证书 - 用户可以查看证书,但无法管理证书。
此政策只是暂时性政策。系统将不再支持平台提供的证书验证程序,且将始终使用 Chrome 根存储区。
指定是否使用 Chrome 根存储区和内置的证书验证程序来验证服务器证书。
如果选择默认的可使用 Chrome 根存储区选项,则可确保 Chrome 根存储区和系统提供的根目录均可使用。
如果选择使用 Chrome 根存储区,则 Chrome 会使用 Chrome 根存储区作为公共信任来源,通过内置的证书验证程序来验证服务器证书。
如果选择不使用 Chrome 根存储区,则 Chrome 会使用系统证书验证程序和系统根证书。
如需了解支持此政策的 Chrome 里程碑的最新信息,请参阅 Chrome 企业版政策列表。
指定是否优化 Intel 超线程技术以提升稳定性或性能。超线程技术能提高处理器资源的利用率和处理器吞吐量。
(推荐)您可以在支持的平台上启用“渲染程序应用容器”配置。
重要提示:如果您停用“渲染程序应用容器”配置,渲染程序进程使用的沙盒会弱化。这会对 Google Chrome 的安全性和稳定性产生不利影响。我们建议您仅在与必须在渲染程序进程内部运行的第三方软件之间存在兼容性问题时停用此设置默认情况下,系统会选择已启用“渲染程序代码完整性”。Chrome 浏览器会阻止未知的和潜在的恶意代码在 Chrome 浏览器的渲染程序进程中加载。
除非必须要在 Chrome 浏览器渲染程序进程中运行的第三方软件存在兼容性问题,否则我们不建议停用此设置。如果您选择已停用“渲染程序代码完整性”,Chrome 浏览器的安全性和稳定性可能会受到影响。
控制 Chrome 是否检查用户名和密码的泄露情况。
如果未启用“安全浏览”功能,则此设置无效。要确保“安全浏览”功能已启用且用户无法更改,请配置安全浏览保护级别设置。
默认情况下,No policy set(未设置政策)已选中。因此,系统只会在常规会话中启用环境身份验证,而不会在无痕模式或访客会话中启用。
指定是否允许 Chrome 清理工具定期扫描系统以检测是否存在垃圾软件。
Chrome 清理工具会移除有害的恶意软件并还原所有被篡改的设置。如果发现可疑情况,该工具会让用户选择是否移除。
如果选中允许 Chrome 清理功能定期扫描系统并允许人工扫描,则您可以指定是否与 Google 分享 Chrome 清理功能的运行结果。
如果用户遇到以下问题,也可以通过 chrome://settings 手动触发 Chrome 清理功能:
- 过多弹出式广告和不应出现的网页
- 搜索引擎或主页被重定向到不认识的服务或网站
如果您选择禁止 Chrome 清理功能定期执行扫描并禁止人工扫描,则 Chrome 清理功能不会定期执行扫描,用户也无法手动触发扫描。
在 Microsoft Windows 设备上,只有当 Chrome 浏览器符合以下条件时,才能使用 Chrome 清理功能:
- 已加入 Microsoft Active Directory 网域
- 在 Windows 10 Pro 中运行
- 已注册 Chrome Enterprise 核心版
指定第三方软件是否可以将可执行代码插入到 Chrome 进程中。
如果您选择禁止在 Chrome 中插入第三方代码,则第三方软件无法将可执行代码注入 Chrome 进程。
对于已加入 Microsoft Active Directory 网域的设备,无论政策设置如何,Chrome 浏览器都不会阻止第三方软件将可执行代码注入其进程。
指定音频进程是否要与关键系统资源和其他程序隔离开来,以采用沙盒机制。这种做法可以提升系统安全性。
沙盒可以限制音频进程使用其真正需要的资源。
默认设置为使用音频沙盒的默认配置,具体可能会因平台而异。如果您使用的安全软件设置会干扰沙盒,请选择一律不在沙盒中处理音频。
对于在不受支持的计算机或操作系统中运行 Chrome 的用户,决定是否向其显示警告。
指定已加入高级保护计划的用户是否可以免受在线攻击,例如防止他人在未经授权的情况下访问用户的帐号,或避免有害下载内容的侵害。部分功能可能会涉及与 Google 分享数据。例如,已加入高级保护计划的用户能够在下载之前将下载内容发送给 Google,以进行更严格的恶意软件扫描。
默认情况下,注册高级保护计划的用户将获得额外预防措施处于选中状态。
选择注册高级保护计划的用户仅能获得标准个人用户保护功能可阻止已加入高级保护计划的用户获得额外保护功能。
指定针对不安全来源的限制不适用于哪些来源(网址)或主机名格式。此政策还可防止网址在地址栏中被标记为不安全。
您可以为无法部署传输层安全协议 (TLS) 的旧版应用指定网址,或设置用于内部网络开发的临时服务器。这样,开发者无需在临时服务器上部署 TLS 就能测试需要安全上下文的功能。
在此设置中指定一系列网址的效果等同于将 unsafely-treat-insecure-origin-as-secure
命令行设为包含同一系列网址的逗号分隔列表。
如需详细了解安全上下文,请参阅安全上下文。
当用户使用可能不安全的命令行标记启动 Chrome 时,控制是否向其显示安全警告。
如要通过 Microsoft Windows 使用此功能,计算机需要加入 Microsoft Active Directory 网域、在 Windows 10 专业版上运行,或已注册 Chrome Enterprise 核心版。
如要通过 macOS 使用此功能,计算机需要通过 MDM 进行管理或通过 MCX 加入网域。
指定是否允许以 _blank 为目标打开的弹出式窗口与打开该窗口的网页互动。
- 禁止以 _blank 为目标打开的弹出式窗口与打开该窗口的网页互动 - 允许以 _blank 为目标打开的弹出式窗口与打开窗口的网页互动,但前提是这些网页已明确接受此类互动。
- 允许以 _blank 为目标打开的弹出式窗口与打开该窗口的网页互动 - 允许所有以 _blank 为目标打开的弹出式窗口与请求打开窗口的网页互动,除非这些网页已明确拒绝此类互动。
必须为用户会话安装 Smart Card Connector 应用和智能卡 CSSI 中间件应用。请参阅在 ChromeOS 中部署智能卡。
指定当用户移除其安全令牌时系统要采取的操作。目前,只有当您配置使用智能卡登录时,此设置才会影响用户会话。有关详情,请参阅在受管理的 ChromeOS 设备上设置智能卡登录方式。
以下是各个选项:
- 无 - 系统不会执行任何操作。
- 强制用户退出 - 系统会强制用户退出登录,而用户必须重新登录。
- 锁定当前会话 - 在用户使用安全令牌重新身份验证前,系统会锁定用户会话。
如果您选择强制用户退出或锁定当前会话,系统会显示移除通知持续时间(秒)字段。您可以输入通知(告知用户即将执行的操作)的显示时长(秒数)。如果用户未重新插入其安全令牌,系统会在此通知到期后执行此操作。如果您输入 0,系统将不会显示任何通知,并且会立即执行此操作。
默认情况下,允许使用系统通知处于选中状态。因此,Linux 上的 Chrome 浏览器可以使用系统通知。
选择不允许使用系统通知,即可禁止 Chrome 浏览器使用系统通知。不过,浏览器会使用 Chrome 的消息中心。
指定 ChromeOS 设备的初始屏幕亮度。选择设置初始屏幕亮度,然后输入交流电和电池电源对应的屏幕亮度百分比值(15 到 100 之间)。用户可以更改设置。
在 Chrome 版本 100 之后,此政策将被移除。
对于 Chrome 94 或更高版本,请指定未列入许可名单的嵌入式资源(如 iframe)能否请求用户共享其屏幕。网页设计人员可以使用 display-capture 权限政策,控制嵌入式资源能否调用 getDisplayMedia() 来捕获屏幕或应用窗口(包括音频)。
选择一个选项:
- 拒绝要求访问显示内容的不安全的请求 - 这是默认设置。对于在跨域子浏览环境中运行的代码,只有当网页设计人员将代码列入许可名单时,才能请求用户共享其屏幕。
- 批准未列入许可名单的上下文发出的访问显示内容的请求 - 对于在跨域子浏览环境中运行的代码,即使未将代码列入许可名单,也可以请求用户共享其屏幕。
注意:可能存在其他限制,并且可能会造成用户无法共享屏幕。
控制用户是否可以进行远程调试。默认情况下,允许进行远程调试选项处于选中状态。用户可以通过指定 --remote-debugging-port
和 --remote-debugging-pipe
命令行开关来进行远程调试。
支持 Chrome 96 至 100(含 96 和 100)版
在 Chrome 97 到 100 版中,第三方上下文中的 WebSQL 默认处于关闭状态。在 Chrome 101 及更高版本中,第三方上下文中的 WebSQL 已完全移除。
默认情况下,不允许第三方上下文中的 WebSQL 处于选中状态,而第三方上下文中的 WebSQL 将保持关闭状态。
选择允许第三方上下文中的 WebSQL,以强制重新启用第三方上下文中的 WebSQL。
您可以强制要求在不安全上下文中启用 WebSQL。
从 Chrome 109 版开始,WebSQL 在不安全上下文中默认停用,不过您可以使用此政策启用该功能。
如果您选择在不安全上下文中启用 WebSQL,则无法在不安全上下文中停用 WebSQL。
您可以禁止用户关闭 WebSQL。
从 Chrome 101 版开始,WebSQL 默认处于开启状态,但您可以使用 chrome://flags 将其关闭。如果您选择强制启用 WebSQL,则无法关闭 WebSQL。
传输层安全协议 (TLS) 1.0 (RFC 2246) 和 1.1 (RFC 4346) 版本包含基于 3DES(三重数据加密标准)算法的加密套件。加密套件是有关如何使用传输层安全协议 (TLS) 保护网络的说明组,提供有关如何在使用 HTTPS、SMTP 和其他网络协议时传输安全数据的重要信息。
3DES 只能提供 112 位的有效安全性。通过启用 TLS 中的 3DES 加密套件,您可以使用此政策暂时保持与过时服务器的兼容性。这只是一种权宜之计,正确的做法是重新配置服务器。
默认设置为在传输层安全协议 (TLS) 中使用 3DES 加密套件的默认设置。
Chrome 浏览器 96 至 103(含)版本支持此功能。
默认情况下,应用默认的 U2F API 弃用设置处于选中状态。系统会应用 U2F Security Key API 的默认行为。在 Chrome 浏览器 98 至 103 版中,U2F Security Key API 默认处于停用状态。在 Chrome 104 及更高版本中,U2F Security Key API 已完全移除。
选择允许使用已弃用的 U2F Security Key API 以继续在 Chrome 浏览器版本 96 至 103 中使用 U2F Security Key API。
您可以指定用户能否关闭输入其用户名和密码后收到的任何密码泄露警报。他们可以随时恢复警报。要详细了解此操作会对用户造成怎样的影响,请参阅更改 Google 帐号中的不安全密码。
默认设置为允许关闭密码泄露警报。
在配置此设置前,请务必与您的法务团队确认当地的所有隐私权和数据保护要求
控制是否允许特定 Web 应用一次性自动截取多个屏幕画面。
符合您在配置字段中指定的来源(网址)格式的网站可以自动截取所有屏幕界面,而无需用户明确许可。
如果您将配置字段留空,则表示不允许任何 Web 应用一次性自动截取多个屏幕画面。
输入来源值列表(一行一个)。例如:
https://www.example.com
[*.]example.edu
经过加密的 ClientHello (ECH) 是 TLS 的一项扩展功能,用于加密 ClientHello 消息的敏感字段并加强隐私保护。网站可以自主选择启用此功能,以通过托管特殊的 HTTPS RR DNS 记录,避免将敏感字段(如服务器名称)的信息泄露到网络。
由于 ECH 协议目前尚在不断演变,因此 Chrome 的实现可能会发生变化。这是一项临时性政策,用于控制最初的实验性实现。在该协议最终确定后,此政策将被替换为最终控件。
如果您选择默认的启用经过 TLS 加密的 ClientHello 实验,则 Chrome 浏览器会遵循 ECH 的默认发布流程。
启用经过 TLS 加密的 ClientHello 实验后,Chrome 是否使用 ECH 取决于服务器支持情况、HTTPS DNS 记录的可用性以及发布状态。
您可以为工作器脚本启用严格的 MIME 类型检查。
选择一个选项:
- 要求工作器脚本的 MIME 类型必须是 JavaScript - 工作器脚本对 JavaScript 采用严格的 MIME 类型检查,并且使用旧版 MIME 类型的工作器脚本会遭到拒绝(如果您未指定任何设置,则此选项为默认设置)。
- 对工作器脚本执行宽松的 MIME 类型检查 - 工作器脚本采用宽松的 MIME 类型检查,并且使用旧版 MIME 类型(例如文本或纯文本)的工作器脚本会继续加载和执行。
您可以控制 Chrome 广告隐私设置方面的用户体验。
如果您选择允许 Google Chrome 确定是否显示 Privacy Sandbox 提示,那么您的用户会看到一个提示框,其中会说明他们可以进行的选择,并且他们将能够设定自己的偏好设置。
如果您选择不向用户显示 Privacy Sandbox 提示,则您可以停用以下设置,或是控制您的用户是否可以自行选择是启用还是停用以下设置:
- 广告主题
- 网站建议的广告
- 广告衡量
为打印服务开启或关闭权限较低的 AppContainer (LPAC) 沙盒(如果系统配置支持)。
默认情况下,在 LPAC 沙盒中运行打印服务(若适用)处于选中状态。
仅当第三方软件导致打印服务无法在 LPAC 沙盒中正常运行时,才应选择在安全性较低的沙盒中运行打印服务。不过请注意,Chrome 浏览器的安全性较低,因为用于打印的服务可能会在安全性较弱的沙盒配置中运行
这是一项临时性政策,会在日后发布的 Chrome 版本中移除。
您可以使 Chrome 不强制执行编码为从平台受信任证书存储区加载的信任锚的限制条件。
目前,X.509 证书可能会对证书扩展项中的限制条件(例如名称限制条件)进行编码。在 Chrome 中,系统会强制执行从平台证书存储区加载的证书中的此类限制条件。
如果您在私有根中编码的限制条件出现问题,此设置将为您留出时间来解决这些问题,具体方法是在纠正证书问题时暂时不强制执行限制条件。
您可以指定是将某个文档隔离在以源为键的代理集群中,还是隔离在以网站为键的代理集群中。默认情况下,文档隔离在以源为键的代理集群中。
这可让浏览器更灵活地实施技术。特别是,Chrome 将使用此作为提示,将源放在自己的进程中,受资源或平台限制。
按源隔离文档时,您无法再设置 document.domain 访问函数。
按键隔离文档时,您可以设置 document.domain 访问函数。这与旧版行为一致。
如需了解详情,请参阅此同源政策博客。
您可以为用户不必事先执行操作即可调用的文件或目录选择器 API 指定来源(网址)或主机名格式。
每行输入一个格式,并为网域添加 [*.] 前缀,以涵盖所有子网域。您最多只能输入 1000 个网址。
如果您未输入任何网址,则所有来源都需要用户事先执行操作才能调用这些 API。
如要详细了解有效网址格式,请参阅企业政策网址格式。
您可以指定来源(网址)或主机名格式,以显示屏幕截图的媒体选择工具,而无需用户事先执行操作。
每行输入一个格式,并为网域添加 [*]. 前缀,以涵盖所有子网域。您最多只能输入 1000 个网址。
如果您未输入任何网址,那么所有来源都需要用户事先执行操作才能显示截屏截图的媒体选择工具。
如要详细了解有效网址格式,请参阅企业政策网址格式。
指定用户能否在往返缓存 (bfcache) 中存储带有“Cache-Control: no-store”
(CCNS) 标头的页面。
Bfcache 是一项浏览器优化功能,可实现即时往返导航。它可以显著提升用户(尤其是网络或设备速度较慢的用户)的浏览体验。
带有 CCNS 标头的文档无法在所有浏览器上进入 bfcache,因为它们可能包含最初可以访问但之后就无法访问的敏感内容。这在共用设备上尤为重要。为了在不泄露敏感信息的情况下取消屏蔽大多数 CCNS 页面的 bfcaching,Chrome 浏览器会将页面存储在 bfcache 中,包含敏感信息的页面除外 (GitHub)。
如果此政策已启用,那么除非触发缓存逐出操作,否则可以从 bfcache 恢复带有 CCNS 标头的页面;例如,当网站发生仅限 HTTP 的 Cookie 变化时。如果此政策已停用,那么带有 CCNS 标头的页面不会存储在 bfcache 中。
设备绑定会话凭据功能正在逐步向用户推出。
指定是否通过使用与设备进行加密绑定的凭据来防止 Google 身份验证 Cookie 被盗用。凭借身份验证 Cookie,Google 网站可以了解您的身份并相应地提供一些个性化功能。
默认情况下,使用默认的 Chrome 设置处于选中状态。Chrome 浏览器会在设备绑定会话凭据功能推出后使用该功能,具体取决于该功能当前所处的发布阶段。
如果想要在该功能发布之前便能保护 Google 身份验证 Cookie 免遭盗用,您可以选择启用设备绑定会话凭据。之后,Chrome 浏览器会定期向 Google 服务器提供设备所有权的加密证明。
指定是否在可能的情况下尽量将用于本地数据存储的加密密钥绑定到 Chrome 浏览器。默认情况下,启用应用绑定加密处于选中状态。
如果选择停用应用绑定加密,则会降低 Chrome 的安全性。因为在这种情况下,未知的潜在恶意应用将能够检索用于保护数据的加密密钥。
仅当存在类似下面的兼容性问题时,才应选择停用应用绑定加密:
- 其他应用需要合法访问 Chrome 数据。
- 加密的用户数据需要在不同计算机之间完全传输。
- Chrome 可执行文件的完整性和位置信息不一致。
控制 Windows 上 Chrome 浏览器的动态代码设置。
通过动态代码创建功能,攻击者可以在用户不知情或未经许可的情况下,将自己的恶意代码注入其他计算机或其他软件环境中。
默认情况下,Chrome 浏览器允许创建动态代码。关闭此设置会为浏览器进程开启任意代码保护 (ACG),从而阻止 Chrome 浏览器创建动态代码,进而提高安全性。潜在的恶意动态代码和第三方代码无法更改浏览器行为。
注意:这可能会导致必须在浏览器进程中运行的第三方软件出现兼容性问题。如需了解详情,请参阅进程缓解政策。
远程访问
远程访问客户端为远程访问客户端配置必要的域名,并禁止用户更改此设置。只有指定网域中的客户端可以连接到主机设备。如果留空,那么任何网域中经过授权的用户均可连接到主机。
指定远程访问主机必须使用的主机域名,用户无法更改这些域名。必须使用以任一指定域名注册的帐号,才能共享主机。如果留空,则可以使用任何用户帐号共享主机。
当远程客户端尝试与用户设备建立连接时,您可以启用 STUN(NAT 会话穿越实用程序)服务器和 TURN(NAT 中继穿越实用程序)服务器。
如果您选择启用防火墙穿越功能,远程客户端即使被防火墙隔离,也依然能够发现并连接用户的设备。默认情况下,中继服务器处于启用状态,但您可以选择将其停用。在启用防火墙的情况下,中继服务器允许连接到其他服务器并传输数据,而无需建立直接连接。要限制用户设备中的远程访问主机使用的 UDP 端口范围,请在 UDP 端口范围字段中输入范围的最小值和最大值。如果留空,则任何端口都可以使用。
如果您选择停用防火墙穿越功能,且出站 UDP 连接经由防火墙过滤,则用户的设备只能与本地网络内的客户端设备连接。
指定用户设备上是否允许远程支持连接。
如果您选择阻止远程支持连接,则无法启动远程支持主机,也无法将其配置为接受传入连接。
此政策不会影响远程访问场景,也不会阻止管理员连接到受管理的 ChromeOS 设备。
您可以指定可使用剪贴板同步功能在客户端和主机之间传输的内容大小上限(字节)。这既会影响远程访问情形,也会影响远程支持情形。
您可向 Maximum size in bytes(大小上限[字节])字段添加值,另外需要注意以下几点:
- 传入和传出主机的任何剪贴板数据都仅限于您输入的值。
- 如果您输入的值是 0,则不允许使用剪贴板同步功能。
- 如果您将此字段留空,则此设置无效。
- 如果您添加的值不在最小值 (0) 和最大值 (2147483647) 的范围内,则主机可能无法启动。
指定企业管理员是否可以通过管理控制台打开与受管理的 ChromeOS 设备的远程支持连接。
如果您选择禁止来自企业管理员的远程支持连接,则无法启动远程支持主机,也无法将该主机配置为接受来自管理控制台的传入连接。要详细了解 Chrome 远程桌面会话,请参阅远程访问 ChromeOS 设备。
此政策不会影响远程访问场景。
会话设置
在任务栏中显示“退出”按钮选择在任务栏中显示“退出”按钮,以在任务栏中明确显示“退出”按钮。对于需要快速退出 ChromeOS 设备的用户,此设置非常有用。
Kerberos
Kerberos 票据您可以选择启用 Kerberos,以便在 Chrome OS 设备上使用 Kerberos 票据,为支持 Kerberos 身份验证的内部资源启用单点登录 (SSO)。这类内部资源可能包括网站、文件共享、证书等。有关详情,请参阅为 Chrome OS 设备配置 Kerberos 单点登录。
指定用户是否可以允许 Chrome 记住 Kerberos 密码,以便用户不必再次输入密码。默认情况下,允许用户记住 Kerberos 密码会处于选中状态。除非需要进行其他身份验证(例如双重身份验证),否则 Chrome 会自动提取 Kerberos 票据。
如果选择不允许用户记住 Kerberos 密码,则 Chrome 永远不会记住密码,并且还会移除之前存储的所有密码。每当需要向 Kerberos 系统进行身份验证时,用户都必须输入密码。
决定用户是否可以添加 Kerberos 帐号。默认情况下,允许用户添加 Kerberos 帐号会处于选中状态。用户对自己添加的帐号拥有完全控制权,因此,他们可以修改或移除这类帐号。
选择禁止用户添加 Kerberos 帐号后,您只能通过政策添加帐号。
指定当用户在设备上手动添加新的 Kerberos 票据时,用于自动填充 Kerberos 用户名对话框的域名。
如果您在 Kerberos 域名字段中输入域名,则 Kerberos 用户名会预填充该域名。当用户输入用户名时,系统会将该用户名与预填充的域名串联起来。如果用户输入的内容包含“@”,系统不会显示预填充的域名,输入的内容也不会受到影响。
如果您将 Kerberos 域名字段留空,系统不会显示任何预填充的域名,也不会使用任何预填充的域名来自动填充用户名字段。为手动创建的新票据指定建议的 Kerberos 配置属性(krb5 配置)。
请从下列选项中选择一项:
- 自定义 Kerberos 配置 - 您在自定义配置字段中输入的自定义配置会作为建议的配置并显示在 Kerberos 身份验证对话框的高级部分中。如果您将自定义配置字段留空,则系统会删除建议的 ChromeOS 配置。
- 使用建议的 Kerberos 配置 - 系统采用建议的 ChromeOS 配置,并会在 Kerberos 身份验证对话框的高级部分显示该配置。
网络
代理模式指定 Chrome 操作系统连接到互联网的方式。
如果您保留默认设置(允许用户进行配置),则 Chrome 操作系统设备会默认配置为直接连接,并且用户可以在其 Chrome 设置中更改代理配置。如果您选择任何其他代理模式选项,用户则无法更改此配置。
- 不使用代理 - Chrome 操作系统设备会始终与互联网建立直接连接,而无需通过代理服务器。
- 始终自动检测代理 - 会指示 Chrome 操作系统设备使用网络代理自动发现协议 (WPAD) 以确定要连接哪个代理服务器。
- 始终使用以下指定的代理 - 会设置特定的代理服务器,以便处理来自用户的请求。您需要在显示的代理服务器网址字段中输入代理服务器的网址。代理服务器网址的格式应为 IP 地址:端口,如 192.168.1.1:3128。
如果某些网址应绕过处理其他用户请求的代理服务器,请在要绕过代理的网址(一行一个)字段中输入这些网址。如果您输入了多个网址,请每行列出一个网址。 - 对于代理服务器自动配置文件网址,请通过始终使用以下指定的代理自动配置插入用于网络连接的 .pac 文件网址。
Chrome 操作系统如何处理无效代理
PROXY (foo) 是代理自动配置脚本中代理服务器的命名方式。如果您的第一个代理不起作用,Chrome 会尝试第二个代理,并将第一个代理标记为无效代理。
目前,当 Chrome 应用通过 PAC 解析的代理列表时,会根据代理之前是否可用重新排列代理选项。举例来说,在应用“PROXY foo1; PROXY foo2;”时,如果 Chrome 在上一次尝试 foo1 时出现超时(在过去 5 分钟内),则 Chrome 可能会先尝试从 foo2 开始。
如果 foo2 成功,则 Chrome 会将 foo1 标记为无效代理,并重新排列代理列表的优先顺序,对后续的所有其他请求优先采用 foo2。
对于 Chrome 操作系统设备,管理网址需要一个指向互联网的直接路径。通过代理过滤可能会导致功能运行异常。
在 Chrome 操作系统中运行的 Android 应用
如果您在受支持的 Chrome 操作系统设备上启用了 Android 应用,则可针对 Android 应用使用部分代理设置。Android 应用可能会选择应用您指定的设置。通常来说,使用 Android System WebView 或内置网络堆栈的应用会选择应用您的设置。您可以选择如下设置:
- 永不使用代理服务器- 系统会通知 Android 应用未配置任何代理。
- 使用系统代理设置或固定服务器代理 - 系统会向 Android 应用提供 HTTP 代理服务器地址和端口。
- 自动检测代理服务器 - 系统会向 Android 应用提供脚本网址“http://wpad/wpad.dat”,并且不会使用代理自动检测协议中的其他部分。
- .pac 代理脚本 - 系统会向 Android 应用提供脚本网址。
指定 ChromeOS 是否可以在进行强制门户身份验证时跳过已配置的代理服务器。例如,着陆页或登录页面等强制门户页面(在 Chrome 检测到互联网成功连接之前,系统会提示用户在此页面接受相应条款或登录)。
可通过以下方式设置已配置的代理服务器:
- 在管理控制台中使用代理模式设置
- 由用户在自己的 ChromeOS 设备上,前往 chrome://settings 自行设置
- 通过允许设置或修改代理的应用或扩展程序进行设置
如果您将此政策设为为强制门户页面忽略政策,那么 Chrome 会在新窗口中打开强制门户页面,并忽略为当前用户配置的所有设置和限制。如果您将其设为为强制门户页面保留政策,那么 Chrome 会在新的浏览器标签页中打开强制门户页面,并应用当前用户的政策和限制。
指定支持的 HTTP 身份验证方案。当服务器或代理接受多种身份验证方案时,系统会选择其支持的安全性最高的身份验证方案。您可以通过停用特定身份验证方案来替换默认行为。
- 基本版 - 最不安全的方法,在不加密的情况下进行身份验证。
- 摘要式身份验证 - 比基本身份验证更安全的质询响应方案。
- NTLM 身份验证 - (NT LAN Manager) 更高级的质询响应方案,比摘要式身份验证更安全。
- 协商 - 最安全的身份验证方案。如果此选项可用,我们推荐您选择此选项。如果不可用,我们推荐您使用 NTLM 身份验证。
默认情况下,Chrome 浏览器允许在不安全的 HTTP 连接中使用基本身份验证。如果您选择只能在 HTTPS 连接中使用基本身份验证方案,则 Chrome 浏览器仅允许在 HTTPS 连接中使用基本身份验证。
注意:如果您未在“支持的身份验证方案”下指定基本,那么系统就会忽略这项设置。
NTLMv2 身份验证默认处于启用状态。除非遇到向后兼容性问题,否则我们不建议您停用此设置。选择停用 NTLMv2 身份验证会降低身份验证的安全性。
选择启用 SSL 记录分割功能后,即可在 Chrome 中进行 SSL 记录分割。记录分割是针对 SSL 3.0 和 TLS 1.0 中某个弱项的解决方法,但可能会导致出现与部分 HTTPS 服务器和代理无法兼容的问题。
指定用户可使用的传输层安全协议 (TLS) 的最低版本。
指定用户能否绕过 SSL 警告并继续访问相关页面。
允许您输入可绕过 SSL 警告的域名列表。只有当原域名位于这份域名列表中时,用户才可以绕过 SSL 警告。
输入网址值列表(每行一个)。例如:
https://www.example.com
[*.]example.edu
有关详情,请参阅企业版政策网址格式。
注意:如果启用了 SSL 错误覆盖,此政策会被忽略。
指定是否始终启用或停用数据压缩功能。选择始终启用数据压缩代理,以使用 Google 托管的代理服务器优化网站内容,从而减少移动数据使用量并加快移动网页加载速度。
默认情况下,系统会选择允许用户决定。用户可以开启或关闭数据压缩功能。
通过此设置,您可以指定用户在进行 WebRTC 连接时使用的 UDP 端口范围。端口范围在 1024 至 65535 之间,且最大端口值应大于或等于最小端口值。
通过此设置,您可以为本地 IP 的网页即时通信交互式连接创建 (WebRTC ICE) 添加候选网址。
Google 服务会通过调用 Chrome API 为启用了此设置的客户收集 WebRTC 事件。WebRTC 则通过用户数据报协议 (UDP) 传输数据。
每行只能输入一个网址,但可以使用通配符 *。
系统会将您添加到此列表中的网址格式与请求网址的安全来源进行比对。如果找到匹配内容,系统就会在 WebRTC ICE 候选路径中显示本地 IP 地址。否则,本地 IP 地址将会隐藏,被 mDNS 主机名取代。
通过此设置,您可以允许用户在 Chrome 中使用快速 UDP 互联网连接 (QUIC) 协议。QUIC 是一种传输协议,与传输控制协议 (TCP) 相比,该协议能缩短延迟时间。有关详情,请参阅 Chromium。
确定 WebRTC 在尝试查找最佳可用连接时使用哪些 IP 地址和接口。详细了解 WebRTC 行为的特定模式。
默认情况下,WebRTC 会在搜索最佳路径时使用所有可用接口处于选中状态。
通过 HTTPS 协议控制每个查询远程解析域名系统 (DNS) 的默认模式。DNS-over-HTTPS (DoH) 有助于提高用户浏览网页时的安全性和隐私性。例如,攻击者将无法查看您访问了哪些网站,也无法将您转到钓鱼式攻击性质的网站。
根据需要,选择一个选项:
- 停用 DNS-over-HTTPS - Chrome 绝不会将 DoH 查询发送到 DNS 服务器。
- 启用 DNS-over-HTTPS,且允许改用不安全的方法 - 如果有支持 DoH 的 DNS 服务器可用,则 Chrome 会先发送 DNS-over-HTTPS 查询。如果收到错误消息,或者没有支持 DoH 的服务器可用,则 Chrome 只会向该服务器发送 DNS 查询。
- 启用 DNS-over-HTTPS,且禁止改用不安全的方法 - Chrome 只会将 DoH 查询发送到 DNS 服务器。
如果您启用了 DoH,则可以添加您想要向用户提供的 DoH 解析器的 URI 模板列表。
默认设置为启用 DNS-over-HTTPS,且允许改用不安全的方法。但是,该设置有时会恢复为停用 DNS-over-HTTPS ,且用户无法进行更改。如果 Chrome 检测到家长控制或企业政策的存在,就会发生这种情况。出现以下情况时,Chrome 会检测到企业政策:
- 您在已加入网域的计算机上管理 Chrome 浏览器。
- 您为 Chrome 浏览器设置了至少一项有效政策。
您可以为 DNS-over-HTTPS 解析器指定 URI 模板,其中包含身份信息和要使用的盐值。
此政策与 DNS-over-HTTPS 政策非常相似,它支持指定标识信息,而且会替换 DNS-over-HTTPS 政策(如果此政策已设置)。
在配置下,执行以下操作:
- 在带有标识符的 DNS-over-HTTPS 模板字段中,添加 URI 模板。
- 这些标识符应以美元符号开头,并用大括号括起来,即 ${...}。以下是有效标识符的列表:
- USER_EMAIL
- USER_EMAIL_DOMAIN
- USER_EMAIL_NAME
- DEVICE_DIRECTORY_ID
- DEVICE_SERIAL_NUMBER
- DEVICE_ASSET_ID
- DEVICE_ANNOTATED_LOCATION
- 若要指定多个 DNS-over-HTTPS 解析器,请使用空格分隔相应的 URI 模板。
- 如果 DNS-over-HTTPS 政策设为“启用 DNS-over-HTTPS,且禁止改用不安全的查询”,那么此政策或 DNS-over-HTTPS 政策中的模板列表不能为空。
- 如果 DNS-over-HTTPS 政策设置为“启用 DNS-over-HTTPS,且允许改用不安全的查询”,并且此政策已设置,那么系统会使用指定的 URI 模板。如果此政策留空,系统会使用 DNS-over-HTTPS 政策中的模板列表。如果未在任一政策中指定模板 URI,DNS 解析会回退到不安全的查询。
- 如果 URI 模板包含 DNS 变量,则向解析器发出的请求会使用 GET。否则,请求会使用 POST。
- 这些标识符应以美元符号开头,并用大括号括起来,即 ${...}。以下是有效标识符的列表:
- 在用于对 URI 模板中的标识符进行哈希处理的盐字段中,添加盐值,以便在对带有标识符的 DNS-over-HTTPS 模板字段中包含的身份信息进行哈希处理时使用。
- 此盐必须是一个长度介于 8 到 32 个字符之间的字符串。
- 在 Chrome 114 及更高版本中,如果您添加了带有标识符的 DNS-over-HTTPS 模板,则此字段是选填字段。
- 如果您不添加任何盐值,则系统会在不使用盐的情况下对您添加的模板 URI 中的标识符进行哈希处理。
在 macOS、Android 和 ChromeOS 中,内置 DNS 客户端默认处于启用状态,并且用户可以更改此设置。
此政策不会影响 DNS-over-HTTPS。如要更改 DNS-over-HTTPS 行为,请参阅 DNS-over-HTTPS 设置。
跨域资源共享 (CORS) 可让用户访问其他网域资源,同时保护您的单位免受意外的跨域网络访问。
对于 Chrome 浏览器以及带有 79 和更高版本的 ChromeOS 设备,新的 CORS 实现 (Out-Of-Renderer CORS) 会对网络请求(包括 Chrome 扩展程序)执行 CORS 检查。与之前的 CORS 实施方式相比,Out-Of-Renderer CORS 更加严格和安全。举例来说,CORS 协议之前会忽略已修改的请求 HTTP 标头,而 Out-Of-Renderer CORS 协议会对此加以检查。
指定 Chrome 浏览器能否使用旧版 CORS 协议,该协议的安全性和严格程度低于 Out-Of-Renderer CORS。
跨域资源共享 (CORS) 可让用户访问其他网域资源,同时保护您的单位免受意外的跨域网络访问。
对于 Chrome 浏览器和运行 ChromeOS 版本 79 及更高版本的设备,新的 CORS 实施方式 (Out-Of-Renderer CORS) 会对网络请求(包括 Chrome 扩展程序)执行 CORS 检查。与之前的 CORS 实施方式相比,Out-Of-Renderer CORS 更加严格和安全。举例来说,CORS 协议之前会忽略已修改的请求 HTTP 标头,而 Out-Of-Renderer CORS 协议会对此加以检查。
要使 Chrome 扩展程序和特定 HTTP 标头免于 CORS 检查,请选择启用检查绕过设置。
这是一项临时性设置,会在日后发布的 Chrome 版本中移除。
您可以控制是否在与 CORS 预检中的 Access-Control-Allow-Methods 响应标头匹配时是否将请求方法转换为大写。
默认选项可确保请求方法不会转换为大写,除非在不区分大小写的情况下与 DELETE、GET、HEAD、OPTIONS、POST 或 PUT 匹配。
示例
- 响应标头 fetch(url, {method: 'Foo'}) + "Access-Control-Allow-Methods: FOO" 会被拒绝。
- 接受响应标头 fetch(url, {method: 'Foo'}) + "Access-Control-Allow-Methods: Foo"。
指定在用户启动设备后立即处理 Android 和 Chrome 操作系统用户流量的 Android VPN 应用。出于安全原因,系统流量(例如操作系统和政策更新)不会经由虚拟专用网 (VPN) 传输。如果 VPN 连接失败,所有用户流量都将被拦截,直到重新建立 VPN 连接为止。请从用户设备上自动安装的 Android VPN 应用列表中进行选择。
选择不允许用户手动断开 VPN 连接,防止用户手动断开 VPN 连接。
有关详情,请参阅设置虚拟专用网(Android VPN 应用)。
指定哪些服务器可以使用集成 Windows 身份验证 (IWA)。当 Chrome 收到由此许可名单中的代理服务器或服务器发出的身份验证请求时,系统便会启用集成式身份验证机制。
如要指定多个服务器名称,您必须使用英文逗号分隔。允许使用通配符 * 和 ,。
如果留空,则 Chrome 会尝试检测某台服务器是否在内网上。如果该服务器在内网上,则 Chrome 会响应相应 IWA 请求。如果 Chrome 检测到此服务器位于互联网上,便会忽略来自该服务器的 IWA 请求。
指定 Chrome 可委托哪些服务器使用集成 Windows 身份验证 (IWA)。
如要指定多个服务器名称,您必须使用英文逗号分隔。允许使用通配符 * 和 ,。
如果留空,那么即使检测到某台服务器在内网上,Chrome 也不会将用户凭据委派给它。
指定是否遵循密钥分发中心 (KDC) 政策委派 Kerberos 票据。
指定用来生成 Kerberos 服务主体名称 (SPN) 的名称来源。
指定生成的 Kerberos 服务主体名称 (SPN) 是否包含非标准端口。
指定是否允许页面中的第三方子内容弹出 HTTP 基本身份验证对话框。
指定未跨域隔离的网站能否使用 SharedArrayBuffers。由于网站兼容性方面的原因,在使用 SharedArrayBuffers 时,Chrome 91 及以上版本需要跨域隔离。
如需了解详情,请参阅 SharedArrayBuffer 更新。
指定 Chrome 默认的引荐来源网址政策。引荐来源网址政策控制网络请求中包含多少引荐来源信息。
如果您选择使用 Chrome 的默认引荐来源网址政策,则系统会使用 strict-origin-when-cross-origin 政策。本政策的目的:
- 在执行同源请求时发送来源、路径和查询字符串
- 在执行跨域请求时,仅当协议安全等级相同时(从 HTTPS 到 HTTPS)发送来源
- 如果目的地安全性较低(从 HTTPS 到 HTTP),则不发送标头
如果您选择将 Chrome 的默认引荐来源网址政策设为先前的引荐来源网址政策,则系统会将先前的 no-referrer-when-downgrade 政策用于网络请求。本政策的目的:
- 如果协议安全级别保持不变(从 HTTP 到 HTTP,从 HTTPS 到 HTTPS,或从 HTTP 提升到 HTTPS),则发送来源、路径和网址的查询字符串作为引荐来源网址
- 如果目的地安全性较低(从 HTTPS 到 HTTP),则不发送标头
指定 Chrome 浏览器能否主动发送包含用户浏览器和环境相关信息的请求。如果可以,服务器便能启用分析功能并自定义响应内容。默认情况下,允许显示用户代理客户端提示会处于选中状态。
如果某些网站限制了部分请求中可包含的字符,这些精细的请求标头可能会导致这些网站无法正常运作。
这是一项临时性设置,日后会从管理控制台中移除。
默认情况下,允许运行更新后的 User-Agent GREASE 算法会处于选中状态。Chrome 浏览器会选择要使用的 User-Agent GREASE 算法。User-Agent GREASE 算法符合最新规范。如果某些网站限制了请求中可包含的字符,更新后的规范可能会导致这些网站无法正常运作。如需了解详情,请参阅 W3C 文档。
默认情况下,接受通过 Signed HTTP Exchange (SXG) 提供的网络内容选项会处于选中状态,这样可确保内容处于可移植状态或可供其他方重新分发,同时保留内容的完整性和出处。
使用 HTTP 服务器身份验证凭据为每份个人资料配置一个全局性的缓存文件。
- (默认)HTTP 身份验证凭据的使用范围仅限顶级网站 - 对于版本 80 及更高版本,Chrome 会按顶级网站界定 HTTP 服务器身份验证凭据的适用范围。也就是说,如果两个网站使用的资源是来自同一个要求进行身份验证的网域,则需要在这两个网站中分别提供凭据,而系统会在各网站重复使用缓存的代理凭据。
- 在某个网站中输入的 HTTP 身份验证凭据会自动用于其他网站 - 这可能会导致网站容易受到某些类型的跨网站攻击,并会允许使用网址内嵌的凭据向 HTTP 身份验证缓存文件添加条目以对用户进行跨网站跟踪(甚至是在没有 Cookie 的情况下)。
此政策旨在让依靠旧版行为的组织能够更新他们的登录流程;我们将于日后移除这项政策。
对于已成功通过验证且已由安装在本地的 CA 证书签名的服务器证书,指定 Chrome 是否会一律执行撤销检查。如果 Chrome 无法获取任何撤销状态信息,则会将此类证书视为已撤消。
默认设置为使用现有的在线撤销检查设置。
某些代理服务器无法为单个客户端处理大量并发连接。通过此设置,您可以指定代理服务器的并发连接数上限。该值应大于 6 且小于 100。我们知道,某些 Web 应用采用了挂起 GET,这样会消耗许多连接。该设置的默认值为 32。如果打开的此类 Web 应用过多,将值设为小于 32 就可能会导致浏览器网络卡住。
指定 Chrome 进行 HTTP 身份验证应使用的 GSSAPI(通用安全服务应用编程接口)库。您可以将此政策设为库名称或完整路径,例如 GSSAPILibraryName 或 libgssapi_krb5.so.2。如果留空,Chrome 将使用默认的库名称。
指定可绕过 HTTP 严格传输安全协议 (HSTS) 政策检查的主机名列表。HSTS 政策会强制网络浏览器只能通过安全的 HTTPS 连接(而非 HTTP 连接)与网站交互。
您只能输入单标签主机名;每行一个。必须将主机名规范化:任何 IDN 都必须转换为对应的 A 标签格式,而且所有 ASCII 字母都必须小写。此政策只适用于指定的主机名,不适用于这些主机名的子网域。
您可以通过这项设置,针对支持 HTTP Negotiate 身份验证(例如 Kerberos 身份验证)的 Android 身份验证应用提供的帐号,指定帐号类型。身份验证应用会生成安全代码,用于登录安全等级要求较高的网站。您应该可以从身份验证应用的供应商处获得此信息。有关详情,请参阅 Chromium 项目。
默认情况下,执行 DNS 拦截检查会处于选中状态。DNS 拦截检查功能会在浏览器上执行检查,以了解浏览器是否使用了会重定向不明主机名的代理。
当用户在 Chrome 地址栏中输入单个字词并按 Enter 后,Chrome 会将相应搜索发送给默认搜索服务提供商。如果该字词与某个内网主机的名称相匹配,则用户可能已打算转到该内网主机。
如果允许内网重定向,Chrome 就会针对单个字词的主机名发出 DNS 请求,然后向用户显示信息栏,询问用户是否前往相应网站(前提是网站可以解析)。例如,如果 calendar 与内网主机 http://calendar/ 相匹配,系统便会询问输入 calendar 的用户您是不是要访问 http://calendar/?。
通过内网重定向,Chrome 可确保不会发生 DNS 拦截。DNS 拦截表示,针对任何单一字词主机的每个 DNS 请求都是可解析的,即使没有实际存在的主机也是如此。
如果您的网络环境会解析针对单一字词主机的每个 DNS 请求,那么您应该允许 DNS 拦截检查。这样一来,每次搜索单个字词后,就不会显示信息栏。
默认情况下,使用默认浏览器行为处于选中状态。对于 Chrome 88 或更高版本,系统会默认启用 DNS 拦截检查功能和内网重定向建议。不过,在日后推出的版本中,它们将默认处于停用状态。
虽然您可以使用启用 DNS 拦截检查功能设置来停用该功能,但内网重定向行为设置更为灵活,因为它可让您单独控制内网重定向信息栏。
这是一项临时性政策,会在日后发布的 Chrome 版本中移除。
通过此政策,您可以设置允许将网页即时通信 (WebRTC) 中的旧版传输层安全协议 (TLS) 和数据报传输层安全协议 (DTLS) 降级至过时版本。
默认情况下,禁止将 WebRTC 对等互连降级到过时版本的 TLS/DTLS 协议(DTLS 1.0、TLS 1.0 和 TLS 1.1)会处于选中状态。这样一来,这些 TLS/DTLS 协议版本会处于停用状态。
您可以在 Chrome 中启用或停用 WPAD(网络代理自动发现协议)优化功能。
通过 WPAD,Chrome 浏览器等客户端可以在网络中自动寻找并连接缓存服务。这样一来,用户就能更快收到信息。
默认设置为启用网络代理自动发现 (WPAD) 优化功能。如果您选择停用网络代理自动发现 (WPAD) 优化功能,那么 Chrome 必须等待更长时间才能收到基于 DNS 的 WPAD 服务器的响应。
用户无法更改 WPAD 优化设置。
指定是否使用用户名和密码向通过 NTLM 身份验证机制提供安全保护的受管理代理验证身份。
如果您选择将网络身份验证用登录凭据用于受管理的代理,那么当身份验证失败时,系统会提示用户输入其用户名和密码。
通过选择允许外发连接的一个或多个端口,允许绕过 Google Chrome 内置的受限端口列表。
限制端口是为了防止有人将 Google Chrome 作为媒介来利用网络安全漏洞。设置此政策可能会致使您的网络遭到攻击。此政策是一种临时的变通方案,旨在应对 ERR_UNSAFE_PORT 代码类错误,以便将在被禁用的端口上运行的服务迁移到标准端口(例如端口 80 或 443)。
如果您未设置此政策,则系统会屏蔽所有受限端口。如果您同时选择了有效值和无效值,系统会应用有效值。
此政策会覆盖 --explicitly-allowed-ports 命令行选项。
指定是否要让 Chrome 遵循椭圆曲线和后量子 2 组合 (CECPQ2) 的默认发布流程;CECPQ2 是传输层安全协议 (TLS) 中的一种后量子密钥协议算法。
CECPQ2 可帮助评估后量子密钥交换算法在用户设备上的性能。
CECPQ2 会导致更多的 TLS 消息产生;在极少数情况下,这种消息会致使部分网络硬件出错。在解决网络问题时,您可以停用 CECPQ2。
控制是否允许 Chrome 在发出不安全的 DNS 请求时查询其他 DNS 记录类型。
此设置对通过安全 DNS 进行的 DNS 查询没有任何影响,此类 DNS 查询始终可以查询其他 DNS 类型。
从下列选项中选择一项:
- 允许其他 DNS 查询类型 - 这是默认设置。可以查询其他 DNS 记录类型,包括 HTTPS(DNS 类型 65)、A(DNS 类型 1)和 AAAA(DNS 类型 28)。
- 防止使用其他 DNS 查询类型 - 仅针对 A(DNS 类型 1)和 AAAA(DNS 类型 28)查询 DNS。
这是一项临时性政策,会在日后发布的 Chrome 版本中移除。届时,Chrome 将始终能够查询其他 DNS 类型。
指定网络服务进程是否在已沙盒化的环境中运行。
默认情况下,默认网络服务沙盒配置处于选中状态。网络沙盒的默认配置可能会有所不同,具体取决于 Chrome 版本、当前运行的现场试验和平台。
使用会干扰网络服务沙盒的第三方软件的组织可以选择停用网络服务沙盒,以在不沙盒化的情况下运行网络服务进程。
跨域资源共享 (CORS) 是一项网络标准协议,可让用户访问其他网域的资源,同时保护您的组织免遭意外的跨域网络访问。
CORS 非通配符式请求标头是一种 HTTP 请求标头,不在 Access-Control-Allow-Headers 标头中的通配符符号 (*) 涵盖范围内。Authorization 是 CORS 非通配符式请求标头的唯一组成部分。
如果您选择支持 CORS 非通配符式请求标头,那么当脚本通过 fetch() 和 XMLHttpRequest(带有已添加脚本的 Authorization 标头)发出跨域网络请求时,标头必须在 CORS 预检响应中获得 Access-Control-Allow-Headers 标头的明确允许。也就是说,通配符符号 (*) 不会涵盖 Authorization 标头。
如果您选择不支持 CORS 非通配符式请求标头,那么 Chrome 会允许 CORS 预检响应中 Access-Control-Allow-Headers 标头的通配符符号 (*) 涵盖 Authorization 标头。
Google 计划分阶段逐步降低“用户代理”标头字段中可用信息的详细程度。使用此设置有助于网站测试和兼容性。您可以为所有源启用或停用缩短设置,或通过现场试验或源试用来控制缩短。
如需详细了解用户代理缩短设置及其时间轴,请参阅这篇 Chromium 博客。
当 ChromeOS 或 Chrome 浏览器的主要版本包含 3 位数(而非 2 位数)的用户代理字符串时,某些应用和网站可能会停止运行。对于 Chrome 100 或更高版本,如果强制 Chrome 将 99 作为 User-Agent 字符串中的主要版本,则可防止出现 User-Agent 问题。
选择一个选项:
- User-Agent 字符串的默认浏览器设置 -(默认)用户可以选择是否冻结 User-Agent 字符串中的主要版本。
- 不冻结主要版本 - Chrome 绝不会冻结 User-Agent 字符串中的主要版本。
- 将主要版本冻结为 99 - 在 User-Agent 字符串中将 Chrome 主要版本设为 99,并将实际的主要版本号强制设为次要版本。
因此,Chrome 不会报告用户代理字符串 <major_version>.<minor_version>.<build_number>.<patch_number>,而是报告 99.<major_version>.<build_number>.<patch_number>,其中次要版本会被忽略。
示例:Chrome 100.0.1234.56 版会报告为 99.100.1234.56。
在 Android 和 Linux 平台上沙盒化时,系统域名服务器 (DNS) 解析无法运行。因此,系统 DNS 解析将从网络服务移出,进入未沙盒化的浏览器进程。您可以使用此政策来控制针对网络服务运行系统 DNS 解析 (getaddrinfo()) 的方式。
请按以下方式之一操作:
- 在网络进程内部、外部,或者部分内部部分外部运行系统 DNS 解析 - 系统 DNS 解析在网络服务内部、外部,或者部分内部部分外部运行,具体取决于系统配置和功能标志。
- 在网络进程中运行系统 DNS 解析 - 系统 DNS 解析在网络进程而非浏览器进程中运行。这可能会强制停用网络服务沙盒,从而降低 Google Chrome 的安全性。
- 在网络进程内部或外部运行系统 DNS 解析 - 系统 DNS 解析可能会在网络进程外部运行,具体取决于系统配置和功能标志。
指定未升级到 HTTPS 且在启用 HttpsOnlyMode 时不会显示错误的网址或网址格式列表。
您可以使用此设置来保持对不支持 HTTPS 的服务器的访问权限,而无需关闭自动 HTTPS 升级或允许启用 HTTPS-Only 模式设置。
对于网址列表,必须遵循以下几点:
- 主机名必须规范化。
- 任何 IDN 都必须转换为其 A 标签格式。
- 所有 ASCII 字母都必须小写。
不允许使用一揽子主机通配符,例如 * 或 [*]。必须使用特定的政策停用 HttpsOnlyMode 和 HTTPS 升级。
如需详细了解有效网址格式,请参阅企业政策网址格式。Google Chrome upgrades some navigations from HTTP to HTTPS, when possible. Automatic HTTPS upgrades are allowed by default but you can choose to not allow them.
You can also use the Allowed HTTP URLs setting to exclude specific hostnames or hostname patterns from being automatically upgraded to HTTPS.
Android 应用
控制 Android 备份和恢复服务通过此设置,您可以允许用户将 Android 应用中的内容、数据和设置备份到其 Google 帐号。当用户登录其他 ChromeOS 设备时,便可恢复其 Android 应用数据。
指定是否允许 ChromeOS 设备上的 Android 应用在初始设置过程中使用 Google 位置信息服务来搜索设备位置信息,以及向 Google 发送匿名位置数据。完成初始设置后,用户可以开启或关闭位置信息服务。
从下列选项中选择一项:
- 在 ChromeOS 中为 Android 应用进行初始设置时,停用定位服务 - 这是默认设置。在初始设置期间,Android 应用无法使用位置信息服务。
- 当用户在 ChromeOS 中为 Android 应用进行初始设置时,允许他们决定是否使用定位服务 - 在初始设置过程中,系统会提示用户允许 Android 应用使用位置信息服务。
注意:如果将地理位置设为不允许网站检测用户的地理位置,则 Google 位置信息服务设置不会生效。了解地理位置设置
已弃用。适用于 Chrome 75 及更低版本。
默认情况下,用户可以添加辅助帐号(例如个人 Gmail 帐号),这样他们不但能使用您为 Google Play 企业版明确批准的 Android 应用,还可使用更多其他 Android 应用。要禁止用户添加辅助 Google 帐号,请勾选 Google 帐号复选框。
默认情况下,ChromeOS 证书授权机构 (CA) 证书不会同步到 Android 应用。要让 Android 应用使用这些证书,请选择允许在 Android 应用中使用 ChromeOS CA 证书。
默认情况下,ChromeOS 允许 Android 应用使用 Android 的内置分享系统向支持的 Web 应用分享文本和文件。系统会将已安装的 Web 应用的元数据发送给 Google,以在 ChromeOS 设备上生成并安装这些应用与 Android 兼容的版本。如需防止出现这种情况,请选择禁止从 Android 应用分享内容到 Web 应用。
此政策仅适用于向 ARCVM 迁移的 ARM 设备。
您可以指定用户的 ARC 数据目录是使用 virtio-fs 创建时要执行的操作。除非将 virtio-fs 数据迁移到 virtio-blk,否则 Android 应用在 ARCVM 上的运行速度可能会变慢。
ARCVM 是一个用于在 ChromeOS 上发布 Android 应用的新系统。
请按以下方式之一操作:
- 不允许用户手动更新 Android 应用 -(默认)系统不会提示用户完成迁移流程。
- 允许用户手动更新 Android 应用 - 登录时,系统会提示用户完成数据迁移流程。完成此流程最多可能需要 10 分钟时间。 用户必须在 30 天内完成更新,否则系统就会强制更新。如果不更新,用户在运行其 Android 应用时可能会遇到性能问题。
启动
“主页”按钮指定是否在工具栏中显示主页按钮。此政策与用户 Chrome 设置中的显示主页按钮用户设置相对应。
控制用户点击工具栏中的主页按钮时看到的内容。您可以选择允许用户进行配置(默认设置)、主页始终是“新标签页”或主页始终为以下设置的网址。
要设置网址,请在主页网址字段中输入网址。
指定新标签页的网址,且用户无法更改这项设置。如果留空,则系统会使用浏览器的默认页。
默认情况下,在“新标签页”页面上显示内容建议选项处于选中状态。因此,Chrome 会根据用户的浏览记录、兴趣或位置信息在“新标签页”页面上显示自动生成的内容建议。
默认情况下,用户可以自定义“新标签页”页面的背景。
选择不允许用户自定义“新标签页”页面的背景后,用户就无法自定义“新标签页”页面的背景。系统会永久移除现有的自定义背景,即使您之后将该选项还原为允许用户自定义“新标签页”页面的背景,这些被移除的自定义背景也无法恢复。
指定 Google 智能镜头按钮是否会显示在新标签页上的搜索框中(如支持)。
指定用户启动 ChromeOS 设备时要加载的网页。
您可以从下列选项中进行选择:
- 允许用户决定 - 这是默认设置。用户可以在 Google Chrome 中设置以下任一选项。如需了解详情,请参阅设置主页和启动页。
- 打开新标签页 - 打开通过新标签页政策设置的新标签页。如果未设置该政策,系统会使用浏览器的默认页。用户无法更改此设置。
- 恢复上次的会话 - 打开设备重启之前加载的所有标签页和窗口。用户无法更改此设置。
- 打开网址列表 - 您可以添加在重启时加载的网页网址。您在此处列出的网页会通过其他标签页打开,且用户无法在自己的设备上添加更多网址。如果您未添加任何网页网址,则用户可自行在列表中添加网址。如需了解详情,请参阅设置主页和启动页。
- 打开网址列表并恢复上次的会话 - 打开设备重启前加载的所有标签页和窗口,以及您添加的网址列表。这些网址会在单独的浏览器窗口中打开。
注意:若要正确应用此设置,请务必将 ChromeOS 的启动时恢复应用设置设为仅恢复 Chrome 浏览器。如果您选择了恢复所有应用和应用窗口选项,则只有当用户在新设备上首次启动新会话或会话是临时性的时,此设置才适用。如需了解详情,请参阅设置应用和扩展程序政策。
如果您是 Microsoft Windows 管理员,则此设置只有在运行 Windows 7 的设备上开启才会生效。如果设备运行的是更高的版本,请参阅将 Chrome 设为默认浏览器 (Windows 10)。
指定 Chrome 中的默认浏览器检查设置。
- 允许用户决定(默认)- 用户可以选择将 Chrome 浏览器设为默认浏览器。如果它不是默认浏览器,则用户可以选择是否显示要求将 Chrome 浏览器设为默认浏览器的通知。
- 尝试在启动过程中将 Chrome 设为默认浏览器(如果 Chrome 目前不是默认浏览器) - Chrome 浏览器在启动时始终会检查自己是否是默认浏览器,并会尽可能自动注册。
- 禁止 Chrome 在启动过程中检查自身是否为默认浏览器(如果 Chrome 目前不是默认浏览器),并禁止用户将 Chrome 设为默认浏览器 - Chrome 浏览器不会检查自己是否是默认浏览器,用户也无法通过此设置将其设为默认浏览器。
指定在浏览器启动时是启用、停用还是强制显示个人资料选择器。根据需要,选择一个选项:
- 允许用户决定 - 默认情况下,系统会在浏览器启动时显示个人资料选择器,但用户可以将其停用。
- 在浏览器启动时不显示个人资料选择器 - 一律不显示个人资料选择器,且用户无法更改此项设置。
- 在浏览器启动时一律显示个人资料选择器 - 始终显示个人资料选择器,即使只有一份个人资料可供使用也是如此。
默认情况下,如果出现以下情形,则系统不会显示个人资料选择器:
- 浏览器在访客模式或无痕模式下启动
- 个人资料目录或网址由命令行指定
- 用户已明确请求打开某个应用
- 用户从本地通知中启动了浏览器
- 只有 1 份可用的个人资料
- 或 ForceBrowserSignin 政策设为 true
导入设置
导入自动填充数据允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入自动填充表单数据。根据需要执行相应操作:
- 启用导入自动填充数据的政策 - 自动导入自动填充表单数据。用户可以在以后重新导入。
- 停用导入自动填充数据的政策 - 首次运行时系统不会导入自动填充表单数据,且用户无法手动导入。
- 允许用户决定 - 用户可以选择是否手动导入自动填充表单数据。
允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入书签。根据需要执行相应操作:
- 启用导入书签的政策 - 自动导入书签。用户可以在以后重新导入。
- 停用导入书签的政策 - 首次运行时系统不会导入书签,且用户无法手动导入。
- 允许用户决定 - 用户可以选择是否手动导入书签。
允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入浏览记录。根据需要执行相应操作:
- 启用导入浏览记录的政策 - 自动导入浏览记录。用户可以在以后重新导入。
- 停用导入浏览记录的政策 - 首次运行时系统不会导入浏览记录,且用户无法手动导入。
- 允许用户决定 - 用户可以选择是否手动导入浏览记录。
允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入主页设置。根据需要执行相应操作:
- 启用导入主页的政策 - 自动导入主页设置。用户可以在以后重新导入。
- 停用导入主页的政策 - 首次运行时系统不会导入主页设置,且用户无法手动导入。
- 允许用户决定 - 用户可以选择是否手动导入主页设置。
允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入已保存的密码。根据需要执行相应操作:
- 启用导入已保存密码的政策 - 自动导入保存的密码。用户可以在以后重新导入。
- 停用导入已保存密码的政策 - 首次运行时系统不会导入已保存的密码,且用户无法手动导入。
- 允许用户决定 - 用户可以选择是否手动导入保存的密码。
允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入搜索引擎设置。根据需要执行相应操作:
- 启用导入搜索引擎的政策 - 自动导入搜索引擎设置。用户可以在以后重新导入。
- 停用导入搜索引擎的政策 - 首次运行时系统不会导入搜索引擎设置,且用户无法手动导入。
- 允许用户决定 - 用户可以选择是否手动导入搜索引擎设置。
内容
安全搜索和受限模式安全搜索(针对 Google 搜索中的查询)
启用或停用安全搜索功能,该功能可过滤用户搜索结果中的露骨内容(包括色情内容)。
对于幼儿园到高中 (K-12) 的教育网域,默认设置为始终对 Google 网页搜索查询使用安全搜索。用户必须使用安全搜索。
对于所有其他网域,默认设置为不对 Google 网页搜索查询强制执行安全搜索。
如需了解详情,请参阅为您管理的设备和网络锁定安全搜索设置。
YouTube 的受限模式
在为 YouTube 设置限制之前,我们建议您将 Chrome 更新至最新稳定版。
- 不强制启用 YouTube 受限模式(默认设置)。
-
至少强制启用 YouTube“适中”受限模式 - 强制用户使用受限模式。该模式会根据视频的内容,通过算法限制哪些视频可供用户观看。
- 强制启用 YouTube“严格”受限模式 - 强制用户使用“严格”受限模式,进一步限制可供观看的视频。
有关限制级别的详细信息,请参阅管理您组织的 YouTube 设置。
控制是否允许组织中的用户在 ChromeOS 设备上使用屏幕截图功能。此政策适用于通过任何方式(包括键盘快捷键,以及使用 Chrome API 获取屏幕截图的应用和扩展程序)生成的屏幕截图。
如果您在组织中受支持的 ChromeOS 设备上启用 Android 应用,则屏幕截图政策也适用于这些设备。
您可以允许 Chrome 企业版用户创建和查看抓屏。然后,他们可以将抓屏上传到 Google 云端硬盘。
如需详细了解屏幕录制应用,请参阅在 ChromeOS 设备上使用屏幕录制应用录制和共享内容。
控制是否允许特定网站提示用户直播某个标签页、窗口或整个屏幕。
如果您将此政策设为禁止网站提示用户分享录屏,则符合您在此设置中指定的网址格式的网站可以提示用户分享。
系统会将您在以下列表中指定的网址与请求网址的来源进行比对。网址格式中的路径会被忽略。如需详细了解有效网址格式,请参阅企业政策网址格式。
允许在这些网站中对标签页(仅限同一网站的标签页)进行录屏
指定哪些网站能提示用户直播与其来源相同的标签页。在后续的三个字段中,系统会忽略与这个字段中所指定网址格式相符的网站。
允许在这些网站中对标签页进行录屏
指定哪些网站能提示用户直播标签页。在后续的两个字段中,系统会忽略与这个字段中所指定网址格式相符的网站。同样,在与上述字段中的网址格式相符的网站中,系统会忽略此政策。
允许在这些网站中对标签页和窗口进行录屏
指定哪些网站能提示用户直播窗口和标签页。在下一个字段中,系统会忽略与这个字段中所指定网址格式相符的网站。同样,在与上述两个字段中的网址格式相符的网站中,系统会忽略此政策。
允许在这些网站中对标签页、窗口和桌面进行录屏
指定哪些网站能提示用户直播整个屏幕、窗口或标签页。在与上述三个字段中的网址格式相符的网站中,系统会忽略此政策。
控制是否允许网站提示用户直播某个标签页、窗口或整个屏幕画面。
- 允许网站提示用户分享录屏 - 这是默认设置。网页可以使用各种屏幕共享 API(例如 getDisplayMedia() 和 Desktop Capture Extension API)提示用户共享。
- 禁止网站提示用户分享录屏 - 屏幕共享 API 会失败并返回错误。不过,如果某个网站与您在允许在网站中录屏中指定的某个网址匹配,则网页就能够提示用户分享。请参阅“允许在网站中录屏”。
此政策的实现是由于新的行为。如果您的 PPAPI 应用无法按预期运行,此政策允许您使用旧版实现方案。
指定 Pepper 是否可以使用共享图片进行视频解码。
如果您选择允许新实现,浏览器会决定使用哪种实现。如果选择强制使用旧实现,浏览器会一直使用旧版实现方案,直到此政策失效为止。
注意:在浏览器运行期间,只有新启动的渲染程序进程才会反映对此政策的更改。
指定用户能否使用 Chrome 浏览器的分享中心分享当前网页。用户可以通过点击地址栏中的“分享”图标 或浏览器窗口右上角的“更多”图标 来访问分享中心。如果您选择停用桌面分享中心,则用户将不会再在分享中心看到分享图标。
通过此设置,您可以指定一系列网址格式(以 JSON 字符串表示),以便 Chrome 为这些格式所对应的网站自动选择客户端证书。如果已设定此设置,那么在安装了有效客户端证书的情况下,Chrome 会跳过匹配网站的客户端证书选择提示。如果未设定此设置,系统就不会针对请求证书的网站自动选择客户端证书。
ISSUER/CN 参数可指定证书授权机构的通用名称,而系统自动选择的客户端证书必须将其作为颁发者。
如何设置 JSON 字符串格式:
{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}
JSON 字符串示例:
{"pattern": "https://[*.]ext.example.com", "filter": {}}
{"pattern": "https://[*.]corp.example.com", "filter": {}}
{"pattern": "https://[*.]intranet.usercontent.com", "filter": {}}
指定网址和网域,使得当设备请求安全密钥认证证书时,系统不会弹出任何提示。
控制 Chrome 浏览器是否允许网页使用 Web-based Graphics Library (WebGL) API 和插件。WebGL 是一种支持 JavaScript 的软件库,可生成互动 3D 图形。
默认 Cookie 设置
设置是否允许网站存储浏览信息,例如您的网站偏好设置或个人资料信息。
此设置对应的是 Chrome 设置中的用户 Cookie 选项。您可以允许用户配置此选项,也可以指定始终允许 Cookie、一律不允许 Cookie 或仅在用户访问期间保留 Cookie。
允许采用特定网址格式的网站设置 Cookie
通过此设置,您可以指定一系列网址格式,以便允许采用这些网址格式的网站设置 Cookie。例如,您可以输入以下格式的网址,每个网址各占一行:
- "http://www.example.com"
- "[*.]example.edu"
如果您未设置此政策,那么您在默认 Cookie 设置下指定的配置将成为全局默认配置,用户也可自行设置配置。
禁止采用特定网址格式的网站使用 Cookie
通过此设置,您可以指定一系列网址格式,以便不允许采用这些网址格式的网站设置 Cookie。例如,您可以输入以下格式的网址,每个网址各占一行:
- "http://www.example.com"
- "[*.]example.edu"
如果您未设置此政策,那么您在默认 Cookie 设置下指定的配置将成为全局默认配置,用户也可自行设置配置。
允许采用特定网址格式的网站使用仅在访问期间有效的 Cookie
通过此政策,您可以指定一系列网址格式,以用于确定允许设置仅在访问期间有效的 Cookie 的网站。您可以输入以下格式的网址,每个网址各占一行:
- "http://www.example.com"
- "[*.]example.edu"
访问结束后,系统将删除 Cookie。如果您未设置此政策,则您在默认 Cookie 设置下指定的配置将成为全局默认配置,用户也可自行设置配置。
允许或阻止第三方 Cookie。默认情况下,用户可自行决定。
指定在通过 JavaScript 设置的 Cookie 包含控制字符(NULL、回车符和换行符)时,Chrome 对这类 Cookie 的处理方式。
默认情况下,禁止使用被截断的 Cookie处于选中状态。如果存在这些字符,则整个 Cookie 字符串将被忽略。
如果您选择允许使用被截断的 Cookie,则包含这些字符的 Cookie 字符串会被截断,但仍会进行设置。
指定 Chrome 是否支持用户的 First-Party Set (FPS) 相关集成。
通过 FPS,组织可以声明网站之间的关系。这样,浏览器就可以允许出于特定目的进行有限的第三方 Cookie 访问。
开发者可以使用 SameSite 设置来阻止浏览器通过跨站请求发送 Cookie。
对于 Chrome 浏览器 80 及更高版本,SameSite 设置比之前的实施更为严格。除非开发者使用 SameSite=None; Secure
设置来允许仅通过 HTTPS 连接进行跨网站访问,否则系统将禁止从外部访问 Cookie。
您可以暂时将 Chrome 浏览器还原为采用安全性较低的旧版行为。这样,用户就可以继续使用开发者尚未更新的服务,例如单点登录和内部应用。
选择一个选项:
- 将所有网站的 Cookie 都还原为采用旧版 SameSite 行为 - 如果 Cookie 的设置配置为
SameSite=None
,则不需要使用Secure
属性。对于未指定 SameSite 属性的 Cookie,系统会将其当作设置为SameSite=None
的 Cookie 进行处理。因此,第三方 Cookie 可以继续跨网站跟踪用户。 - 让所有网站的 Cookie 都采用 SameSite-by-default 行为 - 对于未指定 SameSite 属性的 Cookie,Chrome 浏览器的处理方式将取决于 Chrome 浏览器中指定的默认行为。
要查看 Chrome 浏览器会如何处理未指定 SameSite 属性的 Cookie,请按以下步骤操作:
- 在受管理的设备上,打开 Chrome 浏览器。
- 在顶部的地址栏中,输入 chrome://flags。
- 按 Enter 键。
- 在 #same-site-by-default-cookies 部分,阅读说明并检查相应 flag 处于启用还是停用状态。
开发者可以使用 SameSite 设置来阻止浏览器通过跨站请求发送 Cookie。
对于 Chrome 浏览器 80 及更高版本,SameSite 设置比之前的实施更为严格。除非开发者使用 SameSite=None; Secure
设置来允许仅通过 HTTPS 连接进行跨网站访问,否则系统将禁止从外部访问 Cookie。
您可以指定希望针对哪些网域暂时将 Chrome 浏览器还原为采用安全性较低的旧版行为。请勿指定方案或端口。如果 Cookie 的设置配置为 SameSite=None
,则不需要再使用 Secure
属性。对于未指定 SameSite 属性的 Cookie,系统会将其当作设置为 SameSite=None
的 Cookie 进行处理。因此,第三方 Cookie 可以继续在特定网站跟踪用户。
如果未列出任何网域,则 Chrome 浏览器处理 Cookie 的方式取决于旧版 SameSite Cookie 默认行为设置。如果列出了网域,Chrome 浏览器处理 Cookie 的方式可能会有所不同,具体取决于 Chrome 浏览器中指定的默认行为。
指定是否允许网站显示图片。在显示这些网站上的图片和屏蔽这些网站上的图片字段中,您可以逐行添加网址格式。
指定是否允许网站运行 JavaScript。如果您选择不允许任何网站运行 JavaScript,则某些网站可能无法正常运行。
启用这项政策后,如果相关标签页在后台打开,且处于闲置状态达 5 分钟或更长时间,则 JavaScript 计时器会暂停。对于这类标签页,计时器执行其代码的频率为每分钟仅一次。这样可降低 CPU 负载和电池耗电量。
默认设置为允许使用 Chrome 的逻辑来控制后台 javascript 计时器节流,并支持用户对计时器节流进行配置。该政策由其自身内部逻辑控制,并可以由用户手动配置。
如果您选择强制执行后台 javascript 计时器节流或不强制执行后台 javascript 计时器节流,则该政策会强制启用或停用,且用户无法覆盖相应选项。
系统会将此政策应用于每个网页,并在网页加载后,将最近设置的选项应用至网页。用户必须执行一次彻底的重启操作,系统才会将该政策设置应用于所有已加载的标签页。即使各网页采用不同的政策值,也不会影响网页的正常运行。
这只是一项临时性政策,计划会在 Chrome 107 版中移除。
指定 JavaScript setTimeout() 的限制取值范围行为。
setTimeout(…, 0) 通常用于分解冗长的 JavaScript 任务,让其他内部任务能够运行并可防止浏览器挂起。
- 系统不会主动对 JavaScript setTimeout() 限制取值范围 - 系统不会主动对 setTimeout 和间隔小于 4 毫秒的 setInterval 限制取值范围。从短期来看,这样可提高性能,但对于滥用该 API 的网站,系统最终还是会对其 setTimeout 限制取值范围。
- 在达到常规嵌套阈值之后,对 JavaScript setTimeout() 限制取值范围—届时,系统将对 setTimeout 和间隔小于 4 毫秒的 setInterval 限制取值范围。这可能会改变网页上任务的顺序,并导致依赖于特定排序的网站出现意外行为。此外,这可能还会对使用大量超时设为 0 毫秒的 setTimeout() 的网站产生负面影响,比如可能会增加 CPU 负载。
您可以指定 Google Chrome 是否允许网站在启用 Just Time (JIT) 编译器的情况下运行 v8 JavaScript 引擎。JIT 编译是一种在程序执行期间(而不是之前)使用编译执行计算机代码的方式。
选择一个选项:
- 允许网站运行 JavaScript JIT 编译(默认)- 网页内容显示的速度可能会更慢,并且部分 JavaScript(包括 WebAssembly)可能会被禁用。
- 不允许网站运行 JavaScript JIT 编译 - 网页内容可能会以更安全的方式显示。
您还可以添加要允许或禁止运行 JavaScript JIT 编译的特定网址。如需了解有效网址格式,请参阅企业版政策网址格式。
您可以指定网站是否可以请求用户授予其访问剪贴板的权限,或者让用户自行决定。您还可以添加网址列表,指定这些网址是否可以向用户请求访问剪贴板。
从下列选项中选择一项:
- 允许用户决定(默认)- 允许网站请求访问权限,但用户可以更改此设置。
- 允许网站请求用户授予剪贴板网站权限 - 允许网站请求用户授予剪贴板的访问权限。
- 不允许任何网站使用剪贴板网站权限 - 禁止所有网站访问剪贴板。
在允许这些网站访问剪贴板字段中,输入可向用户请求访问剪贴板的所有网址。
在禁止这些网站访问剪贴板字段中,输入无法访问剪贴板的所有网址。
如果网址未遭屏蔽,系统会依序优先应用您选择的选项或用户的个人设置。
请勿在两个网址字段中输入相同的网址。如果网址同时符合这两项政策,则系统不会优先应用任一政策。
如需详细了解有效网址格式,请参阅企业政策网址格式。指定是否允许网站显示桌面通知。
您可以设为允许或不允许网站显示桌面通知,或者每当网站要显示桌面通知时都询问用户。
注意:如果使用的是 Chrome 64 或更高版本,那么系统将不再允许 JavaScript 提醒打扰用户。过去使用提醒的应用(例如 Google 日历)可以改为发送通知。为此,请将 calendar.google.com 添加到允许这些网站显示通知文本框中。
通过此设置,您可以指定一系列网址格式,以便允许采用这些网址格式的网页自动播放有声视频内容,而无需征求用户同意。如果您在用户运行 Chrome 期间更改此设置,则该设置只会应用于新打开的标签页。
如需了解有效网址格式,请参阅企业版政策网址格式。
您可以注册一个协议处理程序列表,其中包含用户注册的所有协议处理程序,让这两个集合都可以使用。
协议处理程序是一种能够处理特定类型的链接的应用。例如,mailto: 链接会由邮件客户端协议处理程序处理。当用户点击 mailto: 链接时,浏览器会打开所选应用作为 mailto: 协议的处理程序。
举例来说,如需设置邮件客户端协议处理程序,请执行以下操作:
- 在为您的用户配置默认协议处理程序下,点击 。
- 在网址字段中,输入处理协议架构的应用的网址格式。格式必须包含要用所处理的网址替换的 %s 占位符。此外,网址还必须采用 HTTPS 架构,例如 https://example.com。
- 在协议列表中,选择 mailto。
- 点击保存。
注意:您必须选择 web+ 协议,才能使用自定义协议字段。
用户无法移除您使用此设置添加的协议处理程序。不过,用户可以自行安装新的默认处理程序,然后将该协议处理程序设为默认处理程序。
自 2021 年起,Chrome 已停止为 Flash Player 插件提供支持。
如需了解详情,请访问 Chrome 博客。
设置是否允许网站在 Chrome 浏览器或 Chrome 操作系统设备上运行过期的插件,例如 Adobe Flash Player。某些网站会使用插件来启用 Chrome 浏览器无法处理的特定类型的网页内容。
指定如何在 Google Chrome 中打开 PDF 文件。
Chrome 会下载 PDF 文件,并允许用户用系统默认应用打开下载的文件 - 系统会停用 Google Chrome 内部 PDF 查看器,并下载 PDF 文件以便用户使用默认应用打开。
Chrome 会打开 PDF 文件,除非 PDF 插件已关闭 - Chrome 会打开所有 PDF 文件,除非用户已关闭 PDF 插件。
自动打开的文件类型
指定要在下载完毕后自动打开的文件类型列表。如果“安全浏览”功能处于启用状态,系统仍会检查文件,并仅会在其通过检查后打开文件。如果留空,则系统仅会自动打开用户允许的文件类型。
请勿添加前导分隔符。举例来说,如果是 .txt 文件,您只需输入 txt 即可。
如要通过 Microsoft Windows 使用此功能,计算机需要加入 Microsoft Active Directory 网域、在 Windows 10 专业版上运行,或已注册 Chrome Enterprise 核心版。
如要通过 macOS 使用此功能,计算机需要通过 MDM 进行管理或通过 MCX 加入网域。
自动打开的网址
指定网址格式列表,以允许采用这些网址格式的网页自动打开您在自动打开的文件类型中指定的文件类型。
此设置不会对用户选择自动打开的文件类型造成任何影响。
如果您指定一个或多个网址格式,则 Chrome 会自动打开同时符合网址格式和文件类型的文件。此外,Chrome 也会继续自动打开用户允许的文件类型。
如果留空,那么无论其下载网址为何,Chrome 都会自动打开您在“自动打开的文件类型”中指定的文件类型。
如需了解网址语法,请参阅网址屏蔽名单过滤器格式。
设置是否允许网站显示弹出式窗口。如果浏览器拦截了某网站的弹出式窗口,用户将会在地址栏看到“已拦截”图标 ,并能点击该图标查看已拦截的弹出式窗口。
在 Chrome 浏览器 91 或更高版本中,如果 iframe 的来源不是顶级页面,则 Chrome 会阻止该 iframe 触发提示 (window.alert
, window.confirm
, window.prompt
)。因此,嵌入的内容无法欺骗用户,让他们误以为邮件来自他们正在访问的网站或 Chrome 浏览器。
选择允许显示从其他来源的子框架触发的 JavaScript 对话框可还原为先前的处理方式。
我们将在 Google Chrome 版本 117 后移除这项临时性政策。
Chrome 会阻止在沙盒化 iframe 内导航到外部协议。如果您需要更多时间来更新受此限制影响的内部网站,请选择允许在沙盒化 iframe 内导航到外部协议。
默认情况下,不允许在沙盒化 iframe 内导航到外部协议。
有关详情,请参阅 Chrome 平台状态文档。指定是否允许网站在卸载内容时显示弹出式窗口。
在以下情况下,系统会卸载网页:
- 用户点击某个链接以离开当前页面
- 用户在地址栏中输入新的网址
- 用户点击前进或后退按钮
- 浏览器窗口关闭
- 重新加载相应页面
如果浏览器拦截了某网站的弹出式窗口,用户将会在地址栏看到“已拦截”图标 ,并能点击该图标查看已拦截的弹出式窗口。
屏蔽的网址
阻止 Chrome 浏览器用户访问特定网址。
要配置此设置,请逐行输入网址(最多 1000 个)。
已屏蔽网址的例外
指定网址屏蔽名单的例外网址。
要配置此设置,请逐行输入网址(最多 1000 个)。
网址语法
每个网址必须包含有效的主机名(例如 google.com)、IP 地址或者代替主机的星号 (*)。星号的功能类似于通配符,代表所有的主机名和 IP 地址。
网址也可以包括:
- 网址协议,即 http、https(后跟 ://)
- 有效端口值(1 至 65535)
- 指向资源的路径
- 查询参数
注意:
- 要停用子域名匹配功能,请在主机名前面再输入一个英文句号。
- 您无法使用 user:pass 字段(例如 http://user:pass@example.com/pub/bigfile.iso),而是要改为输入 http://example.com/pub/bigfile.iso。
- 如果同时应用“屏蔽的网址”和“屏蔽的网址例外”过滤器(路径长度相同),系统会优先应用例外过滤器。
- 如果主机名前出现额外的英文句号,说明此政策仅过滤完全匹配的主机。
- 您无法在网址末尾使用通配符,例如 https://www.google.com/* 和 https://google.com/*。
- 此政策最后才会搜索通配符 (*)。
- 可选查询是一组键值和仅包含键的标记(用“&”分隔)。
- 键值标记用“=”分隔。
- 查询标记的末尾可以是“*”,用于指定前缀匹配。标记顺序在匹配过程中将被忽略。
示例
已屏蔽的网址条目 | 结果 |
---|---|
example.com | 阻止对 example.com、www.example.com 和 sub.www.example.com 的所有请求。 |
http://example.com | 阻止对 example.com 及其任何子网域的所有 HTTP 请求,但允许 HTTPS 请求 |
https://* | 阻止对任何网域的所有 HTTPS 请求 |
mail.example.com | 阻止对 mail.example.com 的请求,但不阻止对 www.example.com 或 example.com 的请求。 |
.example.com | 屏蔽 example.com,但不屏蔽其子网域(例如 example.com/docs) |
.www.example.com | 屏蔽 www.example.com,但不屏蔽其子网域 |
* | 除了对屏蔽名单例外网址的请求之外,其他请求一律屏蔽。这其中包括所有网址协议,例如 http://google.com、https://gmail.com 和 chrome://policy。 |
*:8080 | 屏蔽对端口 8080 的所有请求 |
*/html/crosh.html | 屏蔽 Chrome Secure Shell(也称为 Crosh Shell) |
chrome://settings chrome://os-settings |
屏蔽对 chrome://os-settings 的所有请求 |
example.com/stuff | 屏蔽对 example.com/stuff 及其子网域的所有请求 |
192.168.1.2 | 屏蔽对 192.168.1.2 的请求 |
youtube.com/watch?v=V1 | 屏蔽 ID 为 V1 的 YouTube 视频 |
针对 Android 应用使用网址屏蔽名单
如果您为组织中受支持的 ChromeOS 设备启用 Android 应用,则网址屏蔽名单和已屏蔽的网址例外将不会应用于使用 Android System WebView 的应用。要为这些应用强制应用屏蔽名单,请在文本文件中指定要屏蔽的网址(参见下文)。然后,将该屏蔽名单应用于 Android 应用。有关详情,请参阅将受管理的配置应用到 Android 应用。
以下示例展示了如何定义屏蔽名单网址:
{ "com.android.browser:URLBlocklist": "[\"www.solamora.com\"]" }
对于不使用 Android System WebView 的应用,请参阅应用文档,了解如何通过类似的方法限制访问权限。
您可以配置是否允许用户在自己的 ChromeOS 设备上使用 Google 云端硬盘同步功能。您可以启用或停用云端硬盘同步功能,也可以让用户自行选择。
此设置对 ChromeOS 中的 Google 云端硬盘 Android 应用没有任何影响。要完全禁止系统将内容同步到 Google 云端硬盘,请配置此政策并禁止在受支持的 ChromeOS 设备上安装 Google 云端硬盘 Android 应用。有关详情,请参阅为使用 ChromeOS 设备的受管理用户部署 Android 应用。
您可以配置是否允许用户在自己的 ChromeOS 设备上通过移动网络连接使用 Google 云端硬盘同步功能。这项政策对 ChromeOS 中的 Google 云端硬盘 Android 应用没有任何影响。
Google ChromeOS 文件同步功能会自动将用户的我的云端硬盘中的 Google 云端硬盘文件设置为可在 Chromebook Plus 设备上离线使用。这取决于用户硬盘中的可用空间。
用户开启 ChromeOS 文件同步功能后,所有新文件都会自动设为可离线使用。如果之后空间不足,则所有新文件都会自动不可离线使用。但是,用户仍可手动将文件设为可离线使用。
选择默认的显示 ChromeOS 文件同步功能后,“文件”应用和设置中会显示文件同步。用户可以开启或关闭文件同步功能。
如果您选择不显示 ChromeOS 文件同步功能,系统就会关闭文件同步功能(如果用户之前已开启该功能)。该功能在“文件”应用和设置中处于隐藏状态,而且用户无法重新开启。已被用户设为可离线使用的现有文件仍可离线使用。用户仍可手动将文件设为可离线使用。允许用户通过 Chrome 投射
通过此设置,可以控制是否允许用户使用 Chromecast 设备投射 Chrome 标签页中的内容。
仅允许 Google Cast 连接到 RFC1918/RFC4193 专用地址上的投放设备
您可以指定 Google Cast 如何根据 IP 地址连接到投放设备。
请从下列选项中选择一项:
- 如果未启用 CastAllowAllIPs 功能,则启用限制 - 允许 Google Cast 仅连接到位于专用 IP 地址的设备,除非设备上的 CastAllowAllIPs 功能已开启。
- 停用限制(允许所有 IP 地址) - 允许 Google Cast 连接到位于任何 IP 地址的设备,而不仅仅是位于 RFC1918/RFC4193 私有地址的设备。
- 启用限制 - 允许 Google Cast 仅连接到位于专用 IP 地址的设备。
如果您不允许用户使用投放功能,则无法配置此政策。
在工具栏中显示“投射”图标
指定是否在 Chrome 浏览器工具栏中显示“投射”图标 。如果您选择一律在工具栏中显示“投射”图标,则该图标将始终显示在工具栏或菜单中,而且用户无法将其移除。
如果您不允许用户使用投射功能,则无法配置此政策。“投射”图标不会显示在工具栏中。
指定用户能否使用相应的 Google Cast 菜单项,通过在投屏管理器中设置的投放设备屏幕上显示的访问代码或二维码,将内容投屏到该投放设备上。
在启用投屏管理器之前,您需要先使用“投屏”设置允许用户进行投屏。有关详情,请参阅投屏。
如需使用此政策,您必须先在“投屏”设置中选择允许用户投屏。
请按以下方式之一操作:
- 启用投屏管理器 - 用户将可以使用访问代码或通过扫描二维码来选择投放设备。系统会显示投屏管理器设备保留时长字段。
- 您可以从投屏管理器设备保留时长列表中,选择在使用代码进行连接后,投屏管理器设备在用户的投屏菜单中保留多久。在此时段内,用户无需重新输入代码,就能向同一设备进行投屏。此时段结束后,投屏管理器设备将从用户的投屏菜单中消失,并且用户必须输入新的代码才能再进行连接。
注意:如果您要为员工组织部门启用投屏管理器,我们建议您将投屏管理器设备保留时长设置为较长的时段。这样教师在连接设备时便无需频繁地输入代码。而对于学生或是您要求其在每次连接时都必须输入代码的其他用户,我们建议您使用默认的立即移除设置。
- 您可以从投屏管理器设备保留时长列表中,选择在使用代码进行连接后,投屏管理器设备在用户的投屏菜单中保留多久。在此时段内,用户无需重新输入代码,就能向同一设备进行投屏。此时段结束后,投屏管理器设备将从用户的投屏菜单中消失,并且用户必须输入新的代码才能再进行连接。
- 停用投屏管理器(默认)- 用户将无法使用访问代码或通过扫描二维码来选择投放设备。
有关详情,请参阅设置 Google Cast 投屏管理器。
支持 Chrome 80 至 83(含 80 和 83)版
指定 Chrome 浏览器和运行 ChromeOS 的设备如何处理不安全的 HTTP 音频、视频和图片混合内容。
默认情况下,Chrome 会严格处理混合内容。在 HTTPS 网站上:
- 音频和视频会自动从 HTTP 升级为 HTTPS。
- 如果音频或视频无法通过 HTTPS 播放,则没有备用操作。
- 对于包含图片的网页,Chrome 会在网址栏中显示警告。
选择对混合内容不进行严格处理,可防止 Chrome 自动将音频和视频升级为 HTTPS,并且不针对图片显示警告。
对于 Chrome 浏览器和 ChromeOS 设备,Google 已开始自动屏蔽混合内容。因此,https:// 页面以后将只加载安全的 https:// 资源,而不会加载 http:// 资源。如需详细了解部署计划,请参阅此 Chromium 博客。
选择允许用户添加例外网站,从而允许这些网站加载可屏蔽的混合内容后,用户将能指定哪些网页可以运行混合主动内容。否则,用户将无法加载混合主动内容,例如脚本和 iframe。在用户添加为例外的网站上,Chrome 不会自动将可屏蔽的混合内容从 HTTP 升级为 HTTPS。
要运行包含混合主动内容的网页,请让用户执行以下操作:
- 在计算机上打开 Chrome。
- 在右上角,依次点击“更多”图标 设置。
- 在“隐私设置和安全性”下方,点击网站设置。
- 滚动到不安全内容。
- 在允许部分,点击添加。
- 添加您想允许显示不安全内容的网页的网址。
注意:您在允许在这些网站上显示不安全内容和禁止在这些网站上显示不安全内容设置中指定的网址优先于此设置中指定的网址。
指定可显示混合主动内容(例如脚本和 iframe)的网页列表。此外,Chrome 不会自动将可屏蔽的混合内容或混合被动内容从 HTTP 升级为 HTTPS。混合被动内容包括图片、音频和视频。
如需详细了解有效网址格式,请参阅企业政策网址格式。
指定禁止显示混合主动内容(例如脚本和 iframe)的网页列表。此外,Chrome 会自动将可屏蔽的混合内容或混合被动内容从 HTTP 升级为 HTTPS。Chrome 不会加载无法通过 https:// 加载的混合被动内容。混合被动内容包括图片、音频和视频
如需详细了解有效网址格式,请参阅企业政策网址格式。
控制网站能否向更专用网络端点发出请求,以及如何发出。
- 允许用户决定(默认)- 向更专用网络端点发出的请求需遵循有关访问专用网络的网络规范。发出请求的网站必须安全,且用户必须选择接收请求。具体行为取决于用户针对一些功能标志的个人配置,这些功能标志可以通过现场试验来设置,也可以在命令行中设置:包括 BlockInsecurePrivateNetworkRequests、PrivateNetworkAccessSendPreflights 和 PrivateNetworkAccessRespectPreflightResults。
- 允许网站以不安全的方式向任何网络端点发出请求 - 需接受其他跨域检查。
如需详细了解有效网址格式,请参阅企业政策网址格式。
安全网站
如果网站满足“安全上下文”规范中指定的一些最低身份验证和机密性标准,则会被视为安全网站。如需了解详情,请参阅安全上下文。如果网站不符合上述标准,则会被视为不安全。
专用网络端点
在以下情况下,某个网络端点会被视为比另一个端点更专用:
- 该端点的 IP 地址是 localhost,而另一个端点的 IP 地址不是 localhost。
- 该端点的 IP 地址是专用的,而另一个端点的 IP 地址是公开的。
控制 Chrome 对在安全 (HTTPS) 网站内嵌的不安全表单(通过 HTTP 提交的表单)的处理方式。
默认情况下,在不安全的表单中显示警告并停用自动填充功能处于选中状态。因此,当用户提交不安全的表单时,他们会看到整页警告。另外,当用户点击此类表单的字段时,系统会在相应字段旁边显示一个警告气泡,并会在表单中停用自动填充功能。
选择出现不安全的表单时不显示警告,也不停用自动填充功能可防止系统针对不安全的表单显示警告,并且用户可以使用自动填充。
非标准 API window.webkitStorageInfo 已被弃用,我们计划将其移除。
若要继续使用 window.webkitStorageInfo API,您可以使用此设置来重新启用该 API。
在 Chrome 84 之后,此政策将被移除。
Web Components v0 API(Shadow DOM v0、Custom Elements v0 和 HTML Imports)已于 2018 年被弃用。Chrome 80 及更高版本中已默认停用这些 API。对于 Chrome 浏览器以及带有 80 至 84 版(包含 80 和 84 版)的 ChromeOS 设备,请选择重新启用 Web Components v0 API,以便临时为所有网站重新启用 API。
从 Chrome 109 版开始,系统将移除非标准 API Event.path 以提高网页兼容性。
在 Chrome 115 版之前,您可以使用此设置重新启用该 API。默认情况下,Event.path API 在 M109 之前可用,在 M109 及更高版本中不可用。
在 Chrome 115 之后,此政策将被移除。
从 Chrome 106 版开始,CryptoToken 将被移除。
不过,您可以自行选择是否在启动时加载 CryptoToken 组件扩展程序。此设置作为临时解决方法,可以处理由于 chrome.runtime 未定义而无法正常工作的网站,而该问题正是因为移除了 CryptoToken 而导致的。网站不得无条件依赖于 chrome.runtime 得到适当定义。
如果您选择在 Chrome 105 及之前的版本中,启用 CryptoToken 组件扩展程序,则在 Chrome 105 及之前的版本中,系统都会在启动时加载内置的 CryptoToken 组件扩展程序。
如果您选择在 Chrome 107 及之前的版本中,启用 CryptoToken 组件扩展程序,那么在 Chrome 106 和 107 版中,系统会继续在启动时加载内置的 CryptoToken 组件扩展程序。
此政策已从 Chrome 99 中移除。
指定页面能否在关闭过程中发送 XMLHttpRequest (XHR) 同步请求。例如,用户关闭标签页、退出浏览器、在地址栏中输入新条目等情况。
当浏览器窗口被其他窗口覆盖时,Chrome 浏览器会检测到窗口被遮挡。在这种情况下,Chrome 浏览器不会在被覆盖的网页上绘制像素。显示空白页有助于降低 CPU 使用率和用电量。
选择停用窗口遮挡检测功能,可防止 Microsoft Windows 设备上的 Chrome 浏览器在被遮挡时显示空白页。
控制是否允许在 ChromeOS 设备上使用网络文件共享功能。
如果您选择了默认的允许通过网络共享文件,还可以设置以下选项。
NetBIOS 发现
指定网络共享文件功能是否使用 NetBIOS 名称查询请求协议来发现网络上的共享活动。
如果未设置此政策,则受企业管理的用户可以使用 NetBIOS 发现,而不受管理的用户则无法使用。
NTLM 身份验证协议
指定是否允许网络文件共享功能将 NTLM 作为 SMB 装载功能的身份验证协议。
如果未设置此政策,则受企业管理的用户可使用此政策,而不受管理的用户则无法使用。
预配置的网络共享文件
您可以添加预配置的网络共享文件列表,默认情况下该列表会与用户的 ChromeOS 设备共享。
对于每个预配置的网络共享文件,您必须指定以下内容:
- 网址 - 您要共享的文件或资源的网址,例如 smb://server/share,\\shared\resource。
- 模式 - 确定文件的共享方式。网址的选项有下拉菜单或会预先装载。
- 下拉菜单 - 共享网址将被添加到共享发现下拉菜单中。如果文件以下拉菜单形式共享,则表示该文件将添加为下拉菜单中的一个选项,具体路径如下:文件共享网址 -> 添加文件共享 -> 文件管理器 -> 添加新服务 -> SMB 文件共享。
- 预装载模式 - 表示将装载共享网址。当某个文件以预装载形式共享时,该文件会显示在文件管理器的左侧。
在 Chrome 84 及更高的版本中,此政策将被移除。
从 Chrome 83 版开始,我们将更新标准表单控件元素,例如 {select}
、{button}
和 <input type=date>
。这将有助于改进无障碍功能并提升平台统一性。
对于 Chrome 浏览器以及带有 83 和 84 版的 ChromeOS 设备,选择对所有网站使用旧版(M81 之前)表单控制元素,即可暂时恢复使用旧版窗体控件元素。否则,系统会在 Chrome 83 和 84 版本中推出新表单控制元素时,使用这些元素。
指定用户能否访问会滚动到网页文本片段的链接。
如果您启用此设置,则超链接和地址栏网址导航可以定位到网页中的特定文本。当网页完全加载后,就会滚动到相应文本。
您可以指定是否为用户和浏览器会话或受管理的访客会话执行以网址为键的匿名化数据收集。
用户和浏览器会话
对于 Chrome 浏览器和 ChromeOS 设备,启用以网址为键的匿名化数据收集功能,系统会将用户访问的每个网站的网址发送给 Google,以便 Google 改善搜索和浏览体验。
如果未设置此政策,它默认处于启用状态,但用户可以进行更改。
受管理的访客会话
如果您为受管理的访客会话开启此设置,系统会针对强制安装的应用收集以网址为键的指标。如果未设置此政策,该功能默认处于启用状态,且用户无法更改。
指定是否提取网页加载元数据和用于提升浏览体验的机器学习模型。如果您停用此设置,部分功能可能无法正常运行。
AppCache 是一项已弃用的网页功能,可让网站离线保存数据。从 Chrome 89 版本中移除,此时 AppCache 已彻底弃用。详细了解 AppCache 弃用情况。
指定网站是否可以通过 Web Bluetooth API 请求访问蓝牙设备。
默认设置为允许用户决定,即网站可请求访问附近的蓝牙设备,而用户可以决定允许或禁止此类访问。
通过此政策,您可以控制在出现外部协议启动确认提示时是否显示始终打开复选框。当用户点击带协议的链接时,系统会显示一个对话框,询问他们是否想改用应用。启用这项政策后,对话框中会显示复选框。
如果用户勾选该复选框,系统日后便会跳过相关提示,不再针对类似请求询问是否使用应用。如果停用此政策,系统就不会显示该复选框,用户也无法跳过确认提示。
启用往返缓存功能后,您便可存储网页的确切状态。当用户离开网页时,系统可将网页的当前状态保存在往返缓存中。如果用户点击浏览器的返回按钮,网页可能会从缓存中加载并恢复,从而方便用户快速往返浏览。
该功能可能会导致某些未为这种缓存做好准备的网站出现问题。具体而言,某些网站需要在浏览器离开网页时收到系统传送的“取消加载”事件。如果相应网页存储在往返缓存中,“取消加载”事件将不会正常传送。
如果此政策已启用或未设置,则系统会启用往返缓存功能。
默认情况下,PDF 查看器可在 ChromeOS 设备上为 PDF 添加注释。
指定用户能否在“文件”应用中将文件移至回收站。此功能仅适用于支持的文件系统。
从以下选项中选择一项:
- 允许在“文件”应用中将文件发送到回收站(默认)- 用户可以将文件从我的文件下载内容移动到可用的回收站。
- 不允许在“文件”应用中将文件发送到回收站 - 用户无法将文件移动到回收站,但仍然可以访问之前删除的文件。这些文件会在我的文件下载内容下的 .Trash 目录中显示为隐藏文件。
指定用户能否启用始终使用安全连接。连接到使用 HTTPS 的网站比连接到不使用 HTTPS 的网站更安全。当用户开启始终使用安全连接后,Chrome 会尝试通过 HTTPS 加载所有网站,并在用户访问不支持 HTTPS 的网站前显示警告。
选择一个选项:
- 允许用户启用 HTTPS-Only 模式 - 此为默认设置。用户可以开启始终使用安全连接。
- 不允许用户启用 HTTPS-Only 模式 - 用户无法开启始终使用安全连接。
- 强制启用 HTTPS-Only 模式 - Chrome 112 及更高版本支持此设置。始终使用安全连接处于开启状态,且用户无法将其关闭。
您可以使用 HTTP 许可名单设置来阻止此政策将特定主机名或主机名模式从 HTTP 升级为 HTTPS。有关详情,请参阅 HTTP 许可名单。
这是一项临时性设置,会在日后发布的 Chrome 版本中移除。
在 Chrome 95 之后,跨源 WebAssembly 模块共享功能将被移除。您可以使用此设置来重新启用跨源 WebAssembly 模块共享功能,以延长弃用过程中的过渡期。
默认情况下,系统会阻止跨源 WebAssembly 模块共享,且网站只能向同一源内的窗口和工作器发送 WebAssembly 模块。
Chrome 中已弃用 Native Client。如果您有工具依赖于 Native Client,则此政策可让您继续使用旧版代码。
您可以选择允许 Native Client 即使在默认处于停用状态时也能运行,也可以选择使用默认行为。
控制用户是否可以使用购物清单功能。
如果您选择启用购物清单功能,您的用户可以跟踪当前页面上显示的商品价格。跟踪的商品会显示在书签侧边栏中。
指定用户在点击日历中的日期时能否看到活动。
选择启用 Google 日历集成后,用户即可通过“快捷设置”打开自己的日历:
- 使用受管理的 Google 帐号登录 Chromebook。
- 打开“快捷设置”菜单 - 在右下角选择时间。
- 打开日历 - 点击相应日期。
- 浏览日历 - 选择向上和向下箭头。
- 查看 Google 日历活动 - 选择下方带有圆点的日期。
用户登录受管理的 Chromebook 后,会在屏幕右下角的日期旁边看到“受管设备”图标 ,从而知道相应日历由他们的管理员负责管理。
如果您想使用此政策,请在 crbug.com 网站提交 bug,说明您的使用情形,并抄送 {blundell, vasilyt}@chromium.org。
PPB_VideoDecoder(Dev) API 是针对 Adobe Flash 推出的。Chrome 现不再支持 Flash,并且我们将在 ChromeOS 111 版中移除此 API。如果您需要更多时间来迁移旧版应用,可以使用此政策暂时允许浏览器支持该弃用的 API。
您可以强制浏览器支持 PPB_VideoDecoder(Dev) API,也可以允许浏览器做出决定。
这是一项临时性政策,会在日后发布的 Chrome 版本中移除。
默认情况下,Chrome 会通过将网址重写为 HTTPS 来自动升级音频、视频和图片混合内容(HTTPS 网站中的 HTTP 内容)。如果无法通过 HTTPS 访问内容,则不存在回退到 HTTP 的机制。
如需禁止自动升级并允许加载可屏蔽的混合内容,请选择停用混合内容自动升级。在 macOS 13.5 或更高版本中,Google Chrome 可能会将通行密钥或 WebAuthn 创建请求直接定向到 iCloud 钥匙串。如果 iCloud 钥匙串同步功能尚未开启,系统会提示用户通过 iCloud 登录或启用 iCloud 钥匙串同步功能。
请按以下方式之一操作:
- 使用默认的 Chrome 设置 - 默认设置将取决于多种因素,例如是否启用了 iCloud 云盘,以及用户近期是否使用过其 Google Chrome 个人资料中的凭据或在其中创建了凭据。
- 默认尽可能在 iCloud 钥匙串中创建通行密钥 - 只要 WebAuthn 请求与所选选项兼容,系统就会将 iCloud 钥匙串设为默认设置。
- 默认在其他存储区(例如 Google Chrome 个人资料)中创建通行密钥 - 默认情况下,系统不使用 iCloud 钥匙串,并可能会改用之前在 Google Chrome 个人资料中创建凭据的行为。用户仍然可以选择将 iCloud 钥匙串作为一个选项,并且登录时或许仍会看到 iCloud 钥匙串凭据。
此政策只是暂时性政策,日后会被移除。
您可以指定是否在 Accept-Encoding 请求标头中使用 zstd,以及是否支持对经过 zstd 压缩的 Web 内容进行解压缩。Zstandard (zstd) 是一种快速压缩算法,可提供高压缩比。
如果您选择允许 zstd 压缩的 Web 内容,Google Chrome 就会接受使用 zstd 压缩的 Web 内容。
默认情况下,允许将以前的回复用作压缩字典,用于处理日后的请求处于选中状态。因此,Chrome 会使用外部字典(例如 Brotli (sbr) 和 Zstandard (zst-d))来压缩 HTTP 内容,以帮助提高网站的加载速度。Accept-Encoding
标头用于协商字典专用内容编码。
控制是否允许在 Chrome 浏览器中使用已弃用的 CSS 自定义状态 :--foo
语法。
默认情况下,Chrome 浏览器不再支持已弃用的语法。
启用此设置后,您可以在 Chrome 浏览器中延长使用 :--foo
语法的时限。为了避免出现问题,您可能需要暂时继续使用 :--foo
,而不是 :state(foo)
语法。例如,使用 :--foo
语法设置自定义状态属性的 CSS 按钮元素可能无法正常运行,或者可能能够正常运行,但在另一个需要使用 :state(foo)
语法设置自定义状态值的浏览器中显示方式不同。为了确保浏览器之间的互操作性,您可以开始使用新语法 :state(foo)
来替换已弃用的 :--foo
语法的所有实例。
注意:如果仅在 Chrome 浏览器上使用的网站仍在使用此语法,则弃用 :--foo
语法可能会导致这些网站的某些 CSS 元素停止按预期工作。
打印
打印您可以启用或停用打印功能。停用打印功能后,用户将无法通过 Chrome 菜单、扩展程序、JavaScript 应用等进行打印。
这项政策对 ChromeOS 中的 Android 应用没有任何影响。
默认情况下,允许使用打印预览选项处于选中状态。如要禁止用户使用内置打印预览,请选择始终使用系统打印对话框而非打印预览。
指定是否在“打印预览”对话框中显示可用的 Privet 打印机。
这些设置也适用于受管理的访客会话设备。
默认打印机选择
要将默认系统打印机用作 Chrome 的默认打印机,请选择使用默认打印行为。
要为用户指定默认打印机,请选择定义默认打印机。在用户打印内容时,ChromeOS 设备会尝试寻找与您指定的打印机类型和 ID(或名称)相符的打印机,然后将其选作默认打印机。
这项政策对 ChromeOS 中的 Android 应用没有任何影响。
打印机类型
选择要搜索的打印机类型,然后将其用作默认打印机。要搜索所有类型,请选择云端和本地打印机。
打印机匹配
选择是否要按名称或 ID 搜索打印机。
默认打印机
针对您想要设为默认的打印机,指定一个与其名称或 ID 相匹配的正则表达式。表达式应区分大小写。默认情况下,系统会使用与名称相符的第一个打印机来执行打印。例如:
- 要匹配名为“Solarmora Lobby”的打印机,请输入 Solarmora Lobby。
- 要匹配 solarmora-lobby-1 或 solarmora-lobby-2 中的打印机,请输入 solarmora-lobby-.$。
- 要匹配 solarmora-lobby-guest 或 solarmora-partner-guest 中的打印机,请输入 solarmora-.*-guest。
这项政策对 ChromeOS 中的 Android 应用没有任何影响。
通过此设置,您可以允许或禁止用户向其 Chrome 设备添加本地打印机。
默认设置为允许用户添加新打印机。要禁止用户添加打印机,请选择不允许用户添加新打印机。
要了解如何配置本地打印设置,请参阅管理本地和网络打印机。
指定默认情况下打印模式为彩色打印还是黑白打印。用户可以为单个打印任务选择彩色或黑白打印模式。
强制用户使用彩色或黑白打印模式。要让用户自行选择彩色或黑白打印模式,请选择不限制彩色打印模式。
指定用户能否进行双面打印。如果您选择双面打印,请选择是采用长边翻转打印还是短边翻转打印。用户只能在内置双面打印功能的打印机上进行双面打印。用户可以为单个打印任务选择单面或双面打印。
强制用户使用内置双面打印功能的打印机进行单面或双面打印。要让用户在单个打印任务中自行选择单面打印还是双面打印,请选择不限制双面打印模式。
指定默认情况下是否打印背景图片。用户可以选择是否在单个打印任务中打印背景图片。
通过此设置,您可以强制或禁止用户打印背景图片。要让用户自行选择是否在单个打印任务中打印背景图片,请选择允许用户决定。
通过此设置,您可以允许或禁止用户向其 Chrome 设备添加本地打印机。
默认设置为允许用户添加新打印机。要禁止用户添加打印机,请选择不允许用户添加新打印机。
要了解如何配置本地打印设置,请参阅管理本地和网络打印机。
指定已完成的打印任务的元数据在 Chrome 设备上的存储时间。输入相应数值(以天为单位)。
- 要使用系统默认设置(即 90 天),请勿设置此字段。
- 要无限期存储打印任务的元数据,请输入 -1。
- 要禁止存储打印任务的元数据,请输入 0。
通过此设置,用户可以使用打印管理应用或通过删除浏览器历史记录来删除打印任务记录。
适用于内置 PIN 码打印功能的打印机
通过此设置,可以强制用户使用或不使用 PIN 码进行打印。要允许用户选择是否使用 PIN 码进行打印,请选择不限制 PIN 码打印模式。
注意:适用于配置了无驱动打印、支持任务-密码属性的打印机,或兼容的基于 PPD 的打印机。
适用于内置 PIN 码打印功能的打印机
确定 PIN 码打印的默认设置。如果您选择使用 PIN 码,则用户可以在发送打印任务时输入一个 PIN 码,接着他们需要在打印机键盘上输入同一个 PIN 码,才能释放打印任务进行打印。
注意:适用于配置了无驱动打印、支持任务-密码属性的打印机,或兼容的基于 PPD 的打印机。
指定单个打印任务可打印的纸张数量上限
如果未设置此政策,则系统不会应用任何限制,用户可以使用任意数量的纸张打印文件。
替换打印机设置的默认页面大小或用户最近使用的页面大小。
从“页面大小”列表中选择所需的页面大小。如果您选择“自定义”,则请输入所需的高度和宽度(以微米为单位)。
如果您输入不兼容的自定义页面大小值,或所选择的页面大小在用户选择的打印机上不可用,则系统会忽略此政策。
通过此设置,您可以强制或禁止用户打印页眉和页脚。默认设置是用户可以自行决定是否打印页眉和页脚。
您可以停用部分打印机类型或打印机目的地,使其无法用于打印。
打印机目的地包括:
- 基于 Zeroconf (mDNS + DNS-SD) 的协议
- 基于扩展程序 - 也称为打印提供程序目的地,包括所有属于 Google Chrome 扩展程序的目的地。
- 另存为 PDF
- 本地打印机 - 也称为本机打印目的地,包括可供本地设备和共享网络打印机使用的目的地。
- “保存到 Google 云端硬盘”
选择所有打印机类型相当于停用打印功能,因为没有任何可用来接收要打印的文档的目的地。
如果您未选择任何打印机类型,则用户可以使用所有类型的打印机进行打印。
通过非 PostScript 打印机进行打印时,需要将部分打印任务光栅化才能正确打印。默认情况下,Google Chrome 会在必要时对整页执行光栅化。
选择快速打印可尽量避免执行光栅化。减少光栅化操作有助于缩小打印任务的规模并提高打印速度。
指定 Chrome 浏览器是否将最近使用的打印机或系统默认打印机用作打印预览的默认选项。默认情况下,系统会选择在打印预览中将上次使用的打印机设为默认选项。
当用户使用 PostScript 打印机进行打印时,不同的 PostScript 生成方法可能会影响打印性能。
默认情况下,生成 PostScript 时,Chrome 浏览器始终会使用 Type 3 字体呈现文字。如需提高某些 PostScript 打印机的打印速度,请选择 Type 42。选择该选项后,Chrome 浏览器会尽可能使用 Type 42 字体呈现文字。
指定用户是否可以在 Microsoft Windows 和 macOS 上以图片形式打印 PDF 文档。
如果您选择允许用户将 PDF 文档作为图片打印,则用户将能够为某些打印机选择将打印任务光栅化为图片,从而实现更清晰的图片输出。
日后,待进程外打印驱动程序功能全面推出后,此政策将被移除。
控制 Google Chrome 是否通过单独的服务进程与打印机驱动程序交互。
如果您启用此设置,Google Chrome 会使用单独的服务进程来执行平台打印任务,包括检查可用打印机、获取打印机驱动程序设置,以及将待打印的文档提交到本地打印机。为此类任务使用单独的服务进程有助于提高稳定性,并减少打印预览中的界面 (UI) 冻结行为。
如果您停用此政策,Google Chrome 会改用浏览器进程执行平台打印任务。
用户体验
受管理的书签您可以推送书签列表,为所有平台(包括移动设备)上的 Chrome 用户提供方便。在 Chrome 设备和 Chrome 浏览器中,书签将显示在书签栏的文件夹中。用户无法修改此文件夹中的内容,但是可以选择将其从书签栏中隐藏。有关详情,请参阅管理书签。
注意:您可以添加受管理的书签,总大小不得超过 500KB。
通过此设置,可以指定用户能否看到书签栏。默认设置是“允许用户决定”是否显示书签栏。
指定应用行(也称为任务栏)在用户 ChromeOS 设备中的位置。
指定应用行(也称为任务栏)是否在用户 ChromeOS 设备中自动隐藏。
如果您选择始终自动隐藏任务栏,用户需要将光标移至任务栏所在一侧屏幕,以查看其应用、书签等。
如果您选择允许用户决定,则用户可以右键点击任务栏,然后勾选或取消选中自动隐藏任务栏。
通过此设置,您可以允许用户在自己的 Chrome 书签栏中添加、修改或移除书签。
指定用户能否在书签栏中看到应用快捷方式。
控制 ChromeOS 设备上的快捷键行为。
选择一个选项:
- 不替换系统快捷键 - 这是默认设置。所有 ChromeOS 快捷键均按预期运行。
- 替换部分系统快捷键 - 包含启动器键的一系列预定快捷键一律不起作用。
- 在全屏模式下替换部分系统快捷键 - 当应用处于全屏模式时,包含启动器键的一系列预定快捷键不起作用。
设置 ChromeOS 设备上的默认下载位置,并指定是否允许用户修改此位置。
此政策仅适用于下载的文件。如果用户选择保存选项 (ctrl + S),则系统会弹出一个窗口,其中显示了所选的本地下载文件。
如果在您选择前两项政策中的一项之前,用户已明确选择下载位置(将 Google 云端硬盘设置为默认位置,但允许用户更改或将本地的 Downloads(下载)文件夹设为默认下载目录,但用户可以自行更改此设置),那么系统将尊重用户的最初选项。在您选择这两项政策中的任何一项之前,如果用户尚未选择下载位置,系统会根据您所选政策设置默认下载位置,但用户随后可以更改。
如果您选择只允许设为 Google 云端硬盘(无论之前用户如何选择),系统都会强制将 Google 云端硬盘用作下载文件夹,并且不允许用户更改此设置。但是,用户仍然可以使用“文件”应用在本地文件夹和 Google 云端硬盘之间移动文件。对于 Chrome 90 及更高版本,此设置不会影响在 ChromeOS 中截取的屏幕截图。屏幕截图将下载到默认的 ChromeOS 下载文件夹,并且不遵循只允许设为 Google 云端硬盘选项。
此设置对 ChromeOS 中运行的 Android 应用没有任何影响。系统通常会将 Android 应用下载至映射到 ChromeOS 下载文件夹的下载文件夹中,但也可能将其下载到其他位置。
指定是否在下载前向用户询问每个文件的保存位置。选择一个选项:
- 允许用户决定 - 允许用户选择是否要在每次下载时指定保存位置。要调整下载设置,用户需打开 Chrome 并转到“更多” 设置 高级 下载内容。
- 不询问用户(直接开始下载)- 将文件下载到默认下载位置,而不询问用户要将文件保存到何处。要设置默认下载位置,请配置下载位置设置。
- 下载之前先询问用户将文件保存在何处 - 用户每次下载时都需要选择文件保存位置。
指定是否在 Google Chrome 中显示新下载的气泡界面。
下载气泡默认处于已启用状态,如果您停用此设置,系统会显示旧的下载文件架界面。
通过此设置,可以指定用户能否使用拼写检查。从下列选项中选择一项:
- 允许用户决定 - 此为默认设置。用户可以在语言设置中启用或停用拼写检查。
- 停用拼写检查 - 对所有来源停用拼写检查,且用户无法启用该功能。拼写检查服务、强制执行了拼写检查的语言和停用了拼写检查的语言设置无效。
- 启用拼写检查 - 启用拼写检查,且用户无法停用该功能。在 Microsoft Windows、ChromeOS 和 Linux 设备上,用户仍然可以针对单个语言启用或停用拼写检查。
如果您选择启用拼写检查,则可以针对特定语言启用或停用拼写检查。对于强制执行了拼写检查的语言和停用了拼写检查的语言,请从显示的列表中选择您要使用或屏蔽的语言。
要禁止用户针对所有语言停用拼写检查,请使用强制执行了拼写检查的语言设置来启用需要检查拼写的语言。
注意:您必须选择启用拼写检查,管理控制台中才会显示强制执行了拼写检查的语言和停用了拼写检查的语言。
选择启用拼写检查网络服务,以始终允许 Chrome 使用 Google 网络服务解决用户所输入文字中出现的拼写错误。
默认情况下,系统会选择允许用户决定。用户可以启用或停用增强型拼写检查。
如果拼写检查设置设为停用拼写检查,则拼写检查服务设置无效。
指定 Google Chrome 使用的语言。
默认设置为使用用户或系统指定的语言,且后备语言区域为 en-US。
指定 Chrome 浏览器使用的首选语言。从显示的列表中选择所需的语言。然后,按偏好以降序对列表进行排序。
用户可以转到 chrome://settings/languages,然后在根据您的偏好设置对语言进行排序下查看语言列表。您指定的首选语言始终显示在列表顶部,用户无法移除它们或对其重新排序。但是,用户可以在下方添加自己的首选语言并对其重新排序。用户还能完全控制浏览器的界面语言和翻译/拼写检查设置,除非其他政策已强制执行这些设置。
如果您不指定任何首选语言,用户便可更改整个首选语言列表。
指定用户在 ChromeOS 设备上可以选择的键盘语言。从显示的列表中选择所需的语言。然后,按偏好程度降序排列所选语言列表。
如果用户已经选择了您不允许使用的键盘语言,则其 ChromeOS 设备的键盘语言会切换到硬件键盘布局(如果允许)或您指定的列表中的第一种语言。
如果您未指定任何语言,则用户可以不受限制地选择所需的键盘语言。
如要详细了解用户如何更改设备的键盘语言,请参阅选择键盘语言和特殊字符。
通过此设置,您可以配置是否允许 Chrome 使用 Google 翻译服务。如果允许,当网页采用的不是用户 ChromeOS 设备上指定的语言时,就可使用该服务翻译网页内容。您可以允许 Chrome 始终提供翻译或一律不提供翻译,也可让用户自行选择。
控制 Chrome 浏览器无法连接到某网址时是否针对该网页显示建议。用户会看到转到该网站的其他部分或搜索该网页等建议。
该设置对应的是用户 Chrome 设置中的使用网络服务帮助解决导航错误这一用户选项。您可以允许用户配置此选项,也可以将其指定为始终启用或始终停用。
开发者工具可用性
控制“工具”菜单是否显示“开发者工具”选项。借助开发者工具,网站开发者和程序员可以深入到浏览器和他们的 Web 应用的内部。要详细了解这些工具,请参阅开发者工具概览。
企业版客户的默认设置为允许使用内置开发者工具(强制安装的扩展程序除外)。此设置表示所有用于打开开发者工具或 JavaScript 控制台的键盘快捷键、菜单条目和上下文菜单条目通常都处于启用状态,但在使用企业政策强制安装的扩展程序中则处于停用状态。
非受管用户的默认设置为始终允许使用内置开发者工具。如要在任何情况下都停用开发者工具,请选择一律不允许使用内置开发者工具。
如果您为组织中受支持的 ChromeOS 设备启用 Android 应用,此设置也会控制 Android 开发者选项的访问权限。如果将此政策设置为一律不允许使用内置开发者工具,用户将无法访问开发者选项。如果将此政策设置为其他值,或者不设置此政策,用户可通过在 Android 设置应用中点按 7 次版本号来访问开发者选项。
扩展程序页面上的开发者模式
控制用户能否在扩展程序页面 chrome://extensions 上使用开发者工具。
默认情况下,系统会选择使用“开发者工具可用性”选项。只要开发者工具可用性未设置为一律不允许使用内置开发者工具,用户便可以在扩展程序页面上使用开发者工具。
如果您选择允许在扩展程序页面上使用开发者工具或不允许在扩展程序页面上使用开发者模式,开发者工具可用性设置将不再控制扩展程序页面上的开发者工具。
指定用户能否使用自动填充功能来简化在线地址填写过程。当用户首次输入地址时,Chrome 会自动保存输入的信息。
您可以停用自动填充功能,也可以允许用户配置此选项。
如果您选择永不自动填充地址表单,自动填充功能绝不会建议或填充地址信息,也不会保存用户在浏览网页时提交的任何其他地址信息。
指定用户能否使用自动填充功能来简化在线填写信用卡详细信息的流程。当用户首次输入信用卡详细信息时,Chrome 会自动保存输入的信息。
您可以停用自动填充功能,也可以允许用户配置此选项。
如果您选择永不自动填充信用卡表单,则自动填充功能绝不会建议或填充信用卡信息,也不会保存用户在浏览网页时提交的任何额外的信用卡信息。
控制是否允许网站检查用户有无已保存的付款方式。
指定默认情况下,虚拟键盘是否会调整布局视口的大小。
注意:此设置只会影响默认的调整大小行为。如果网页使用标记或 Virtual Keyboard API 请求特定行为,则该行为优先。
指定用户能否使用物理键盘的预测性撰写功能。默认情况下,预测性撰写功能处于开启状态。如要关闭物理键盘的预测性撰写功能,请选择停用物理键盘预测性撰写。
指明用户能否使用物理键盘访问自动更正功能。默认情况下,自动更正功能将处于开启状态。如需在物理键盘上关闭自动更正功能,请选择停用物理键盘自动更正功能。
可让您启用或停用用户在 ChromeOS 设备上输入内容时的表情符号建议功能。
启用 DNS 预提取后,Chrome 会查询所显示网页上所有链接的 IP 地址,以便在用户点击链接时提高加载速度。
您可以允许用户配置此选项,也可将其指定为始终启用或停用。
通过此设置,您可以决定是否要让 Chrome 预测网络操作。您可能希望 Chrome 使用网络联想查询服务,从而更快速地加载网页,或者当用户在地址栏中输入搜索字词和网址时帮助填充相关内容。
作为管理员,您可以停用或要求使用预测网络操作。您也可以选择允许用户决定,这样系统就会为 Chrome 启用此设置。然后,用户便可更改自己的网络联想查询服务设置。
默认情况下,用户可以在 Chrome 浏览器中添加个人资料,以单独保存自己的 Chrome 信息(包括书签、历史记录、密码和其他设置)。个人资料非常适合与其他人共用一台计算机的用户,也适合希望使用不同帐号(例如工作帐号和个人帐号)的用户。选择禁止添加新的个人资料,以阻止用户在 Chrome 浏览器中添加新的个人资料。
在使用此设置前,请参阅允许多位用户同时登录。
对于在 ChromeOS 上运行的 Android 应用,即使您选择用户访问权限不受限制(允许将任何用户添加至其他任何用户的会话),系统也只会允许主要用户使用 Android 应用。如果您选择主要用户必须是受管理的帐号(次要用户则不必),那么只要设备支持 Android 应用,而且您已在组织中启用这些应用,主要用户就可以使用这些 Android 应用。
允许用户登录设备后在浏览器窗口和 Google Play 中切换使用不同的帐号。
注意:如果您将 Android 应用列入许可名单,则用户无法在 Google Play 中切换到辅助帐号。
- 根据需要选择操作步骤:
- 如要允许用户在浏览器中登录任何 Google 帐号,请选择允许用户登录任何辅助 Google 帐号。有关详情,请参阅 Google 帐号类型。
- 如要禁止用户在浏览器中登录或退出 Google 帐号,请选择禁止用户登录或退出辅助 Google 帐号。
- 如要仅允许用户使用一系列指定 Google Workspace 网域中的帐号访问 Google 服务,请选择仅允许用户登录下方设置的 Google Workspace 网域。
- 如果您仅允许用户登录特定 Google Workspace 网域,请执行以下操作:
- 请务必列出贵单位的所有网域,否则您的用户可能会无法访问 Google 服务。如要查看您的网域列表,请点击网域列表下方的单位网域。
- 如要添加 @gmail.com 和 @googlemail.com 一类的个人 Google 帐号,请在列表中输入 consumer_accounts。您还可以允许用户访问特定帐号,但禁止访问其他帐号。如需了解详情,请参阅禁止访问个人用户帐号。
- 如果您仅允许用户登录特定 Google Workspace 网域,或禁止用户在浏览器中登录或退出帐号,则您还需执行以下操作:
借助此设置,您可以管理在 Chrome 中显示哪些 Google 帐号。符合您指定模式的帐号会显示在 Chrome 中。否则,系统会将其隐藏。如果留空,设备上的所有 Google 帐号都会显示在 Chrome 中。
输入模式列表,每行一个模式。例如:
*@example.com
user@solarmora.com
可使用通配符 * 匹配 0 个或更多个任意字符。转义字符为 \。因此,如要匹配实际的 * 或 \ 字符,可以在这些字符前面添加 \。
控制是否允许用户以访客身份登录 Chrome 浏览器。如果您选择允许通过浏览器访客模式登录(默认),用户就可以以浏览器访客模式启动会话,且所有窗口均处于无痕模式。用户退出访客模式后,其浏览活动记录也会从设备上删除。
启用此设置后,您还可以设置允许通过浏览器访客模式和个人资料登录(默认)。这样,用户能够以访客身份登录,以及使用新的和现有的个人资料。如要强制执行访客会话,并禁止用户通过个人资料登录,请选择仅允许通过浏览器访客模式登录。
如果您选择禁止通过浏览器访客模式登录,则 Chrome 浏览器会禁止启动访客个人资料。
此设置也适用于受管理的访客会话和自助服务终端应用
要允许用户在多个显示器或电视屏幕上显示同一个窗口,您可以选择为用户提供统一桌面模式选项。默认情况下,此功能处于停用状态。用户可以停用统一桌面并仍使用 2 个外接显示器,但同一个窗口只会在其中一个显示器上显示,即使桌面已扩展到这 2 个显示器也是如此。
- 系统最多只支持 2 个外部显示器。
- 统一桌面只能在分辨率相同的显示器上使用。
- 启用统一桌面后,当用户将显示器连接到设备时,系统会将统一桌面模式设为默认模式。
要允许 Web 应用为您的用户生成和收集 WebRTC 事件日志,请选择允许收集 WebRTC 事件日志。这些日志可以帮助 Google 识别并解决与音频和视频会议相关的问题。这些日志中包含一些诊断信息,例如 RTP 数据包的收发时间和大小、网络拥堵情况反馈,以及与语音帧和视频帧的时间和质量相关的元数据。日志中没有会议的视频或音频内容。
要收集 Google Meet 客户的日志,您必须在 Google 管理控制台中同时启用此设置和客户端日志上传政策。
要允许 Web 应用为您的用户生成和收集 WebRTC 文本日志,请选择允许从 Google 服务收集 WebRTC 文本日志。这些日志可以帮助 Google 识别并解决与音频和视频会议相关的问题。它们包含诊断信息,例如描述传入和传出 WebRTC 流的文本元数据、WebRTC 专属日志条目和其他系统信息。日志中没有会议的视频或音频内容。
要收集 Google Meet 客户的日志,您必须在 Google 管理控制台中同时启用此设置和客户端日志上传政策。
指定用户能否在网页上使用 Google 助理。选择允许在网页上使用 Google 助理,以便用户更快捷地结账和更改密码。不过,Google 助理只会在征得用户同意后运行。
默认情况下,系统会选择允许用户决定。用户可以启用或停用 Google 助理。
默认情况下,“快速解答”设置处于启用状态。“快速解答”功能可以访问所选内容,并将相关信息发送给 Google 服务器,以获取定义、翻译或单位换算结果。在 ChromeOS 设备上,用户可以右键点击或长按选择的文本以显示相关信息。
如果您通过管理控制台停用快速解答功能,用户便无法更改或覆盖这些功能。
指定在 ChromeOS 设备上停用哪些系统功能。我们建议您使用此设置来停用相机、操作系统设置和浏览器设置,而无需使用网址拦截设置或按 ID 屏蔽应用和扩展程序。
当用户尝试打开您已停用的功能时,系统会显示一条消息,告知他们该功能已被管理员屏蔽。
控制用户能否在设备离线时通过 Chrome 浏览器或 ChromeOS 设备玩小恐龙游戏。从下列选项中选择一项:
- 允许用户在设备离线时通过 Chrome 浏览器玩小恐龙游戏,但用户无法在已注册的 ChromeOS 设备上玩此款游戏 - 设备离线时,用户无法在已注册的 ChromeOS 设备上玩小恐龙游戏,但可以在 Chrome 浏览器中玩此款游戏。
- 允许用户在设备离线时玩小恐龙游戏 - 设备离线时,用户可以玩小恐龙游戏。
- 不允许用户在设备离线时玩小恐龙游戏 - 设备离线时,用户无法玩小恐龙游戏。
您可以允许用户在 ChromeOS 上运行 Steam。
Steam 使用 Borealis,这是一个 Linux 容器,用户可在 ChromeOS 设备上玩 Steam 游戏,只需托管 Steam 即可,其中会包含所需的所有软件包、最新驱动程序和依赖项。
对于受管理的 ChromeOS 设备,默认设置为不允许在 ChromeOS 中使用 Steam。不过,非受管用户默认可以使用 Steam。
如果您选择为用户启用 Steam,那么只有当没有其他政策或设置停用 Steam 时,该应用才可用。
当搜索框为空时,控制 Chrome 设备上的启动器是否推荐之前安装在其他设备上的应用。
用户打开 ChromeOS 设备上的启动器并开始在搜索框中输入内容时,Google Chrome 会显示建议的内容,包括网页地址和应用。
指定用户是否可以在地址栏中看到网页的完整网址。
部分用户在地址栏中看到的不是完整的网址,而是只显示域名的默认网址。这有助于保护用户免受一些常见的网上诱骗策略的侵害。
指定启用 Chrome 同步后,已登录用户是否可以在 Chrome 桌面设备和 Android 设备之间复制和粘贴文本。默认情况下,共享剪贴板功能处于启用状态。
指定在具有适当权限的情况下,用户、应用和扩展程序是否可以使用全屏模式。默认设置为允许使用全屏模式。
指定当设备从睡眠状态或暗屏幕恢复时是否应显示全屏提醒。
默认情况下,系统会显示一条提醒,以提醒用户在输入密码之前先退出全屏。选择唤醒设备时停用全屏提醒以关闭此提醒。
列出允许在 ChromeOS 设备解锁后保持全屏模式而不显示通知的网址。如需了解网址语法,请参阅网址屏蔽名单过滤器格式。如果留空,则不允许任何网址在不显示通知的情况下保持全屏模式。
通过此设置,您可以指定 Chrome 浏览器是否使用整个标签页显示产品信息,以帮助用户登录 Chrome、选择 Chrome 作为默认浏览器或了解产品功能。
您可以指定当卡片内容可用时,卡片是否显示在“新标签页”上。卡片根据用户的浏览行为,提醒他们最近执行的搜索。
默认设置为允许用户决定,用户可以决定是否显示卡片。
通过此设置,您可以指定 Chrome 是否在用户首次运行 Chrome 时一律最大化第一个窗口。
指定 Chrome 浏览器能否使用在用户级安装的原生消息传递主机。默认设置为允许使用在用户级安装的原生消息传递主机。无论您选择哪个选项,都会始终允许使用在系统级安装的主机。
为您在屏蔽的原生消息传递主机设置中列出的主机设定例外。输入不希望屏蔽的原生消息传递主机的列表,每行一个主机。
例如,您可以执行以下操作:
- 允许所有原生消息传递主机 - 这是默认设置。将屏蔽的原生消息传递主机和允许的原生消息传递主机留空。
- 屏蔽所有原生消息传递主机 - 在屏蔽的原生消息传递主机部分,输入 * 作为拒绝列表值,并将允许的原生消息传递主机留空。
- 仅允许使用您指定的原生消息传递主机 - 在屏蔽的原生消息传递主机部分,输入 * 作为拒绝列表值。此外,在允许的原生消息传递主机部分,输入您希望允许使用的网域。
请参阅屏蔽的原生消息传递主机。
指定要屏蔽哪些原生消息传递主机,但排除那些在允许的原生消息传递主机设置中明确允许的主机。
例如,您可以执行以下操作:
- 允许所有原生消息传递主机 - 这是默认设置。将屏蔽的原生消息传递主机和允许的原生消息传递主机留空。
- 屏蔽所有原生消息传递主机 - 在屏蔽的原生消息传递主机部分,输入 * 作为拒绝列表值,并将允许的原生消息传递主机留空。
- 仅允许使用您指定的原生消息传递主机 - 在屏蔽的原生消息传递主机部分,输入 * 作为拒绝列表值。此外,在允许的原生消息传递主机部分,输入您希望允许使用的网域。
请参阅允许的原生消息传递主机。
默认情况下,浏览器会显示为用户量身定制的媒体推荐内容。这些推荐内容是根据用户的行为(例如用户经常访问的网站或网页搜索)生成的。停用此政策后,系统将对用户隐藏这些推荐内容。
允许用户在 Chrome 中打开包含可打开和可选择文件的对话框。如果停用此政策,那么只要用户执行可开启文件选择对话框的操作(例如导入书签、上传文件和保存链接),系统就会显示一条消息,同时拦截文件选择对话框。
指定用户是否可以使用菜单 帮助 报告问题或组合键来向 Google 发送反馈。
默认设置为允许使用用户反馈。
您可以为用户启用或停用轻触搜索功能。
通过轻触搜索功能,用户可以按住某个字词或词组直到屏幕底部显示相关叠加画面,然后执行搜索。用户只需点按叠加画面,即可完成搜索,系统也会显示搜索结果。
默认设置为允许用户使用轻触搜索功能。用户可以自行启用或停用该功能。
指定用户是否可以通过工具栏中的图标访问实验性浏览器功能。
注意:无论此政策是已启用还是已停用,chrome://flags 和任何其他可用于开启和关闭浏览器功能的方法都能正常起作用。
指定用户能否在 Android 设备上使用 Google 智能镜头,以详细了解图片。
要详细了解用户可以如何使用图片在网络上搜索,请参阅在 Chrome 中搜索网络信息。
您可以允许用户在上下文菜单中查看和使用 Google 智能镜头区域搜索菜单项。
如果您选择停用 Google 智能镜头区域搜索,则即使用户设备支持 Google 智能镜头区域搜索,用户也不会在上下文菜单中看到该菜单项。
控制 ChromeOS 设备上的媒体库应用中是否可以集成 Google 智能镜头。
默认情况下,系统会选择启用智能镜头集成。在媒体库应用中,用户可以使用 Google 智能镜头搜索所选内容。
支持 Chrome 93 至 102(含 93 和 102)版。
Chrome 93 及更高版本新增了一个用于安全连接的地址栏图标。默认情况下,使用默认图标表示安全连接处于选中状态。选择使用锁形图标表示安全连接,即可继续使用现有的锁形图标表示安全连接。
控制是否在“新标签页”页面上显示中间槽通知。
指定是否在用户尝试退出浏览器时显示警告对话框。
指定浏览器是否可以过滤网址参数。
默认情况下,浏览器可以过滤网址参数。也就是说,当用户从上下文菜单中选择在无痕式窗口中打开链接时,过滤器可能会移除某些参数。
指定向用户推荐的 ChromeOS 设备的界面主题:浅色主题、深色主题或自动模式。
自动模式会于日出和日落时自动在深色主题和浅色主题之间切换。用户可以在系统设置中更改主题。
您可以指定 Google Chrome 是否请求受管用户同意,以便在非受管设备上共享设备信号以获得访问权限。设备信号可能包括操作系统信息、注册表或文件存在状态。
默认设置为在非受管设备上请求同意共享信号。允许或禁止在您指定的网站上自动全屏显示,而无需提示用户授予权限。
用户可以允许使用独立式 Web 应用,但自动全屏设置会覆盖用户的个人设置。管理员可以使用此设置允许或屏蔽更多网址。
注意:对于此设置或用户配置中未指定的网站,系统会提示用户允许或禁止全屏显示。
如需详细了解此设置,请参阅自动全屏内容设置。
如需详细了解有效网址格式,请参阅企业政策网址格式。 允许使用通配符 (*)。
允许 Google 应用和服务中的信息显示在用户的 ChromeOS 设备上。
默认情况下,允许集成处于选中状态。您在配置中选中的情境集成(例如 Tasks 和 Google 日历)会显示在用户的设备上。
系统只会针对已启用的 Google 应用和服务以及未被屏蔽的网址显示相关信息。例如,如要使用 Google 日历情境集成,请确保将 Google 日历集成设置为启用 Google 日历集成;详情请参阅 Google 日历集成设置。
如果选择停用集成,系统会为所有 Google 应用和服务关闭情境集成功能。
控制默认的键盘可聚焦滚动条行为。
如果指针设备、触控板或触摸屏不是用户浏览网页的最佳方式,他们可以使用键盘浏览网页并访问可聚焦的元素,例如文本、按钮、图标等。
以前,只有在 tabindex 明确设置为 0 或更高时,滚动条元素才能获得键盘焦点。启用此设置后,滚动条默认可通过键盘聚焦、可点击聚焦和程序化聚焦。默认情况下,将滚动条设置为可聚焦,这样无法(或不想)使用鼠标的用户就可以使用键盘上的 Tab 键和箭头键来聚焦内容。
注意:此行为仅适用于没有可通过键盘聚焦的子项的滚动条,例如按钮。如果滚动条已包含一个按钮,则 Tab 键焦点会跳过滚动器,直接聚焦到按钮。
如果您关闭此设置,默认情况下,滚动控件不可聚焦。
已连接的设备
Smart Lock允许用户在没有密码的情况下使用附近的 Android 手机解锁 ChromeOS 设备。有关详情,请参阅利用 Android 手机解锁您的 Chromebook。
用户可以通过即时网络共享功能,让其他设备共用 Google 手机的移动数据。
用户可以将短信设为在手机和 ChromeOS 设备之间保持同步。
注意:如果允许此政策,则用户必须通过完成一个设置流程来明确选择启用这项功能。完成设置流程后,用户即可在其设备上收发短信。
通过此设置,您可以指定用户能否在登录状态下将电话号码从 ChromeOS 设备发送至 Android 设备。
默认设置为允许用户将电话号码从 Chrome 发送到手机。
指定用户能否开启“附近分享”功能,与附近的 Android 和 ChromeOS 设备分享文件。默认情况下,禁止用户启用附近分享功能处于选中状态。
如要详细了解用户如何在 ChromeOS 设备上开启和使用“附近分享”功能,请参阅与您附近的设备分享文件。指定用户能否在 ChromeOS 设备上与 Android 手机进行互动。
默认设置为不允许启用 Phone Hub,且用户无法选择启用 Phone Hub。
如果您选择允许启用 Phone Hub,则用户可以选择启用 Phone Hub,同时系统还会显示另外 2 个选项:
- 允许启用 Phone Hub 通知 - 指定已选择启用 Phone Hub 的用户能否在 ChromeOS 上收发其手机中的通知。
- 允许启用 Phone Hub 任务延续功能 - 指定已选择启用 Phone Hub 的用户能否在 ChromeOS 上继续执行尚未完成的任务(例如查看其手机中的网页)。
您可以禁止用户通过某些方式流式传输应用,例如点击 Phone Hub 通知。
默认设置为允许用户流式传输应用。
无障碍功能
请注意:无障碍功能默认设为停用状态,除非用户通过 Chromebook 无障碍设置或使用键盘快捷键启用该功能。我们强烈建议您谨慎停用任何无障碍功能,因为这样做可能会影响残障用户或有特殊需求的用户。如果此政策未设置,用户将可以随时使用无障碍功能。不过,如果您设置了此政策,用户便无法更改或覆盖它。
语音反馈ChromeVox 屏幕阅读器可为有视觉障碍的用户提供帮助。启用该功能后,Chromebook 会大声朗读屏幕上的文字。而对于有听力障碍的用户,此功能可在外接的盲文显示屏上显示对应文字。
有关详情,请参阅使用内置屏幕阅读器和将盲文设备与 Chromebook 搭配使用。
用户可以让系统大声朗读网页上的特定文字,包括特定字词、选定的文字或屏幕上选定的部分。在大声朗读的同时,系统还可以突出显示朗读内容,以供用户逐字查看,从而提供更好的视听体验。
有关详情,请参阅让系统大声朗读文字。
高对比度模式会更改字体和背景配色方案,让网页更易于阅读。在 ChromeOS 设备上,用户可以在无障碍设置中开启高对比度模式,也可以通过按搜索键 + Ctrl + h 或启动器键 + Ctrl + h 开启该模式。
允许用户将屏幕上的内容放大到默认大小的 20 倍。您可以关闭屏幕放大镜,或选择用户可以使用哪些类型的屏幕放大镜。
有关详情,请参阅放大 Chromebook 屏幕。
用户可以按顺序输入快捷键组合,而不必一次按下多个按键。例如,启用粘滞键后,用户可以先按 Ctrl 键再按 V 键,而不必同时按 Ctrl 键和 V 键。
有关详情,请参阅使用键盘快捷键(一次按一个键)
允许用户在设备处于平板电脑模式时输入字符,而无需使用实体键。屏幕键盘通常用于具有触摸屏界面的设备,但也可以通过触控板、鼠标或外接的操纵杆来使用。
如需了解详情,请参阅使用屏幕键盘。
注意:您设置这项政策后,用户将无法更改设置。
如果您启用了无障碍屏幕键盘设置,或者用户在其设备上启用了启用屏幕键盘 ChromeOS 设置,则此设置不会产生任何影响。
如果您停用了无障碍屏幕键盘设置,或者用户在其设备上停用了启用屏幕键盘 ChromeOS 设置,则系统会应用您为此设置选择的选项。
如果您选择了在平板电脑模式和笔记本电脑模式下均启用触控屏幕键盘,那么屏幕键盘将始终显示,即使有实体键盘也不例外。
屏幕键盘可能会改用紧凑布局,具体取决于输入法。
如需详细了解虚拟键盘政策的运作方式,请参阅虚拟键盘政策。
用户可以使用语音(而不是键盘)输入长文档和电子邮件。
有关详情,请参阅使用语音输入文字
当用户使用键盘在屏幕上浏览时,此功能会突出显示用户正在查看的对象。用户在填写表单或选择选项时,可以更轻松地查看自己在网页上的位置。
编辑文本时,此功能会突出显示文本插入符号(又称“光标”)周围的区域。
当鼠标光标悬停在某个对象上方时,会自动点击或滚动该对象。对于难以点击鼠标或触控板的用户,此功能尤为有用。
有关详情,请参阅自动点击 Chromebook 上的对象。
此功能可放大鼠标光标,使其在屏幕上更加显眼。
在鼠标光标周围显示彩色聚焦环,使鼠标光标在屏幕上更加显眼。
将鼠标和触控板的主按钮从左键改为右键。默认情况下,鼠标左键是主按钮,但您可以随时更改。
更改 Chrome 设备的音频输出,让内置扬声器和头戴式耳机的左右声道保持相同音量。对于双耳听力不同的用户,此设置尤为有用。
指定是否启用无障碍功能的键盘快捷键。默认情况下,用户可以使用键盘快捷键。如需关闭此功能,请选择停用无障碍快捷方式。
有关详情,请参阅开启 Chromebook 无障碍功能。
显示或隐藏系统任务栏菜单中的无障碍功能选项。如要让用户能够快速使用无障碍功能,您可以选中在系统任务栏菜单中显示无障碍功能选项。
有关详情,请参阅开启 Chromebook 无障碍功能。
当用户在 Chrome 中使用屏幕阅读器或其他类似辅助技术时,Google 可为未加标签的网络图片(例如无替代文本的图片)提供说明。Chrome 会将图片发送给 Google 以创建说明,但不会发送任何 Cookie 或其他用户数据,而且 Google 不会保存或记录任何图片内容。
有关详情,请参阅在 Chrome 上获取图片说明。
使用内容提取和文字转语音合成,控制网页是否大声朗读文字。
默认设置为始终允许大声朗读。
这只是一项临时性政策,计划会在 Chrome 137 版中移除。
指定无障碍工具能否使用 Chrome 的界面自动化提供程序。我们正在逐步向用户推出 Chrome 的界面自动化无障碍框架提供程序,您可以使用此设置来控制其在您组织中的部署。
使用界面自动化无障碍框架的无障碍工具和其他工具可能需要更新,才能与 Chrome 的界面自动化提供程序正常搭配运行。如果选择停用界面自动化提供程序,则可暂时停用 Chrome 的界面自动化提供程序,并继续单独使用 Microsoft 的兼容性 shim。这样,您可以有更多时间来与第三方提供商合作,对您的工具相应更新并修复因改用 Chrome 的界面自动化提供程序而可能导致的兼容性问题。
如果选择启用界面自动化提供程序,则可让您尽早选择使用 Chrome 的界面自动化提供程序,并可确保采用较新的界面自动化无障碍框架的第三方无障碍工具能够继续按预期运行。这些工具还可以使用 Chrome 的 Microsoft Active Accessibility 提供程序。
默认情况下,使用默认的 Chrome 设置处于选中状态。Chrome 的界面自动化提供程序可通过变体版本框架进行设置。
电源和关机
省电模式指定是否开启设备的省电模式。开启此设置可确保帧速率被限制,从而降低功耗。
如果您选择最终用户可以控制此设置,则用户可以在 chrome://settings/performance 中开启或关闭省电模式。
注意:当设备通过电池供电时启用选项已被弃用。在 Chrome 121 版及更高版本中,此选项会在设备通过电池供电且电池电量不足时开启省电模式。
通过此设置,您可以指定是否允许使用唤醒锁定功能进行电源管理。唤醒锁定功能会强制 PowerManager 让屏幕保持开启状态,或让 CPU 在待机模式下仍保持运行。例如,如果您想确保 Wi-Fi 连接保持高效运行,唤醒锁定就非常有用。扩展程序可通过 Power Management Extension API 和 ARC 应用请求唤醒锁定。
默认情况下,允许使用唤醒锁定功能处于选中状态。此外,您还可以配置屏幕唤醒锁定。要禁止设备在应用需要保持运行时变暗或锁定屏幕,请选择允许使用屏幕唤醒锁定以便进行电源管理。
如果您选择不允许使用唤醒锁定功能,则系统会忽略唤醒锁定请求。
指定最多可延迟多长时间关闭浏览器,以便 Chrome 处理 keepalive 请求。输入 0 到 5 秒之间的值。如果留空,系统将使用默认值 0 秒,Chrome 会立即关闭。
如需详细了解 keepalive 请求,请参阅提取标准文档。
您可以启用自适应充电模式以暂缓充电进程,从而延长设备的电池寿命。
您将设备插入充电器后,自适应充电模式会根据设备需要的电量自动调整发送到设备的电量。这意味着您的设备不会过度充电。过度充电可能会损坏电池。
当自适应充电模式暂缓充电进程时,电池电量会保持在某个水平,例如 80%。在用户需要时,它会将设备充电到 100%。
合上机盖时执行的操作
如果您希望用户的设备在合上机盖时进入休眠状态、退出账号、关机或不执行任何操作,请选择此选项。用户会话的默认值为休眠,受管理的访客会话的默认值为退出。
交流电源/电池闲置操作
您可以为交流电源和电池电源添加的延迟值相同。
如果用户的设备在连接到交流电源或电池供电时处于闲置状态,请选择您是否希望用户的设备进入休眠状态、使用户退出账号、关机或不执行任何操作。默认值为休眠。
对于您输入延迟的所有字段,需要遵守以下规则:
- 指定延迟(以秒为单位)。
- 输入的值必须设置为大于 0 的值才能触发指定操作。
- 如果输入 0 ,则不在空闲时执行指定的操作。
- 将此框留空可使用系统默认设置(具体因设备而异)。
- 屏幕变暗延迟值 ≤ 屏幕关闭延迟值 ≤ 屏幕锁定延迟值 ≤ 空闲延迟值(不包括值为 0 或未设置的延迟)。
- 空闲警告延迟值 ≤ 空闲延迟值。
- 如果空闲延迟值 = 0,则表示不执行任何其他操作,属于特殊情况。
在以下字段中输入值;
- 交流电源/电池闲置延迟(以秒为单位)- 指定用户设备执行所选操作之前闲置多久(以秒为单位)。
- 交流电源/电池闲置警告延迟(以秒为单位)- 指定闲置时长(以秒为单位),之后用户设备就会显示警告,提示设备即将执行您所选的操作。仅当您选择的闲置操作为退出账号或关机时,系统才会显示警告。如果您已选择休眠或不执行任何操作,请输入 0 或留空。
- 交流电源/电池屏幕调暗延迟(以秒为单位)- 指定用户设备的屏幕调暗前的闲置时间(以秒为单位)。
- 交流电源/电池屏幕关闭延迟(以秒为单位)- 指定用户设备屏幕关闭前的闲置时间(以秒为单位)。
- 交流电源/电池屏幕锁定延迟(以秒为单位)- 指定用户设备屏幕锁定前的闲置时间(以秒为单位)。
休眠或合上机盖时锁定屏幕
选择当设备进入休眠状态或合上机盖时是否锁定用户的屏幕,或者让用户自行决定。如果您选择允许用户进行配置,则用户便可在自己的设备设置中配置此选项。
如果设备插入基座时使用了外接显示器,在合盖后不会锁定。在这种情况下,只有当外接显示器被移除且盖子仍处于闭合状态时,设备才会锁定。
注意事项
- 除非屏幕唤醒锁定或允许使用唤醒锁定设置处于关闭状态,否则部分扩展程序(如 Imprivata)可以覆盖电源管理设置。如需了解详情,请参阅唤醒锁定。
- 目前,您无法更改锁定屏幕的屏幕变暗延迟时间和屏幕关闭延迟时间。现有的屏幕变暗和屏幕关闭延迟仅适用于在用户会话或受管理的访客会话期间调暗或关闭屏幕。
- 屏幕锁定设置可能不适用于处于开发者模式的设备。
- 您可以使用交流电源/电池屏幕锁定延迟(以秒为单位)设置,在闲置操作开始前锁定屏幕。您可以使用休眠或合上机盖时锁定屏幕设置,控制是合上机盖时锁定屏幕,还是设备在闲置延迟后进入休眠状态时锁定屏幕。如果通过上述某一设置关闭了锁定屏幕操作,屏幕可能仍会锁定,具体取决于其他设置的值。
- 如果 AllowScreenLock 政策处于启用状态,则设备可能会使用户退出账号,而不是锁定屏幕。有关详情,请参阅为用户或浏览器设置 Chrome 政策中的锁定屏幕设置。
- 如需在设备进入闲置状态时锁定屏幕,请将闲置操作设置为不执行任何操作,并输入相等的屏幕锁定和闲置延迟值。
控制是否可以延长 ChromeOS 设备上的屏幕变暗延迟时间。
启用智能调暗模式默认处于选中状态。如果智能变暗模式延长了屏幕变暗的时间,系统会自动调整用户屏幕关闭、锁定或进入休眠状态所需的时间,以使这些时间与原先设置的屏幕变暗延迟时间保持相同的时间间隔。
如果您选择停用智能调暗模式,智能调暗模式将不会影响屏幕调暗。您可以设置用户活动时屏幕变暗延迟时间的百分比和演示时屏幕变暗延迟时间的百分比,其中缩放比例必须至少为 100%。
- 用户活动时屏幕变暗延迟时间的百分比 - 增加屏幕变暗延迟时间的百分比(如果用户在屏幕变暗时或屏幕关闭后不久变为活跃状态)。
- 演示时屏幕变暗延迟时间的百分比 - 增加屏幕变暗延迟时间的百分比(如果用户使用 ChromeOS 设备进行演示)。
控制 ChromeOS 设备上的音频活动是否会影响电源管理。
禁止在播放音频时执行闲置操作默认处于选中状态。在音频播放期间,系统不会将用户视为处于闲置状态,这样就不会造成闲置超时,因此也不会执行闲置操作。即使有音频活动,屏幕仍会在达到配置的超时值后变暗、关闭并锁定。
控制 ChromeOS 设备上的视频活动是否会影响电源管理。
禁止在播放视频时执行闲置操作默认处于选中状态。在视频播放期间,系统不会将用户视为处于闲置状态,这样就不会造成闲置超时,因此也不会执行闲置操作。即使有视频活动,屏幕仍会在达到配置的超时值后变暗、关闭并锁定。
指定何时开始实施电源管理延迟和会话时长限制,是在会话启动时还是在首次用户活动发生后。默认情况下,在会话启动后才开始实施电源管理延迟和会话时长限制处于选中状态。
您可以选择浏览器在指定的时间段内闲置时执行的操作。
在浏览器空闲超时(分钟)字段中,输入设备闲置多久后,浏览器才会执行您选择的操作。您可以输入的最短时长为 1 分钟。
如果您将浏览器空闲超时(分钟)字段留空或不选择任何操作,则浏览器不会执行任何操作。
用户输入由操作系统 API 定义,包括移动鼠标或使用键盘输入内容等操作。
多功能框搜索提供程序
搜索建议通过此设置,您可以为用户启用或停用联想查询服务,帮助用户填充网址或搜索字词。您可以指定始终启用或停用该服务,也可让用户在 Chrome 设置中对其进行配置。
指定默认搜索提供程序的名称。如果您选择将多功能框搜索提供程序设置锁定为以下值,则您将可以自定义以下选项:
多功能框搜索提供程序名称
输入要用于地址栏的名称。如果您没有提供名称,Chrome 就会使用多功能框搜索提供程序搜索网址中的主机名。
多功能框搜索提供程序关键字
指定用作触发搜索的快捷方式的关键字。
多功能框搜索提供程序搜索网址
指定搜索引擎的网址。
网址必须包括“{searchTerms}”字符串,在查询时该字符串将会替换为用户要搜索的字词,例如“http://search.my.company/search?q={searchTerms}”。
如要将 Google 用作您的搜索引擎,请输入以下内容:
{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}ie={inputEncoding}
多功能框搜索提供程序推荐网址
指定用于提供搜索建议的搜索引擎的网址。
网址应包含“{searchTerms}”字符串。进行搜索查询时,此字符串会被替换为用户当前已输入的文本。
如要将 Google 作为提供搜索建议的搜索引擎,请输入以下内容:
{google:baseURL}complete/search?output=chrome&q={searchTerms}
多功能框搜索提供程序即搜即得网址
指定用于提供即搜即得结果的搜索引擎的网址。
网址应包含“{searchTerms}”字符串。进行搜索查询时,此字符串会被替换为用户当前已输入的文本。
多功能框搜索提供程序图标网址
指定搜索提供程序的图标网址。您至少需要访问一次您的搜索提供程序网站,以便在您启用将多功能框搜索提供程序设置锁定为以下值前,系统可以检索和缓存图标文件。
多功能框搜索提供程序编码
指定搜索提供程序支持的字符编码。
编码是代码页名称,如 UTF-8、GB2312 和 ISO-8859-1。系统会按照提供的顺序逐一尝试。默认为 UTF-8。
提供一个网站列表,以便用户在地址栏中使用预定义的快捷字词迅速搜索该列表中的网站。例如,您可以创建指向贵组织公司内网和最常用工具等的预定义快捷字词。用户在地址栏中输入 @shortcut,或只输入 shortcut,然后按空格键或 Tab 键,即可触发搜索。
输入要配置的快捷字词的详细信息:
- 网站或网页 - 在地址栏中向用户显示的名称。
例如,输入 Workspace。 - 快捷字词 - 用户输入的用于触发搜索的关键字。快捷字词可以包含纯文字和字符,但不得包含空格,也不得以 @ 符号开头。快捷字词必须是唯一的。
例如,输入 ws。然后,用户在地址栏中输入 ws 即可触发搜索。 - 网址 - 要搜索的网址。输入搜索引擎结果页面的网址,然后使用 {searchTerms} 代替查询字词。
例如,输入 https://drive.google.com/corp/drive/search?q={searchTerms} - 默认选用 - 如果某快捷字词被选择为默认选用的条目,则当用户在地址栏中输入 @ 时,该快捷字词会作为建议的字词显示。用户最多可选择 3 个条目作为默认选用的条目。
指定用户能否同时在侧边栏和网页中查看最新的 Google 搜索结果。了解如何在侧边栏中打开搜索结果。
如果您选择不在浏览器侧边栏显示最近的 Google 搜索结果,用户就不会看到该图标。
硬件
外部存储设备控制您单位中的用户能否使用 Chrome 设备装载外部驱动器(包括 USB 闪存驱动器、外部硬盘、光存储器、安全数字 (SD) 卡和其他存储卡)。如果您不允许使用外部存储,而用户试图装载外部驱动器,则 Chrome 会通知用户系统正在实施该政策。
如果您选择允许使用外部存储设备(只读),用户便可读取外部设备上的文件,但无法向其写入内容,也无法格式化设备。
此政策不影响 Google 云端硬盘或内存设备,例如保存在“下载”文件夹中的文件。
您可以指定网站是否可以要求用户授予其访问已连接 USB 设备的权限,或者让用户自行决定。您还可以添加网址列表,指定网址是否可以向用户请求访问已连接的 USB 设备。
在是否允许网站请求访问已连接的 USB 设备部分,选择以下任一选项:
- 让用户决定是否允许网站请求访问权限(默认)- 允许网站请求访问权限,但用户可以更改此设置。
- 允许网站请求用户授予访问权限 - 允许网站请求用户授予已连接的 USB 设备的访问权限。
- 不允许任何网站请求访问权限 - 拒绝网站访问已连接的 USB 设备。
在允许这些网站请求访问 USB 字段中,输入可向用户请求访问已连接 USB 设备的所有网址。
在禁止这些网站请求访问 USB 字段中,输入无法访问已连接 USB 设备的所有网址。
如果网址未遭屏蔽,系统会依序优先应用是否允许网站请求访问已连接的 USB 设备部分中设置的选项或用户的个人设置。
请勿在允许这些网站请求访问 USB 和禁止这些网站请求访问 USB 字段中输入相同的网址。如果网址同时符合这两项政策,则系统不会优先应用任一政策。
如需详细了解有效网址格式,请参阅企业政策网址格式。
您可以指定一个网站列表,其中的网站可通过供应商 ID 和产品 ID 连接到 USB 设备。系统会自动向客户端上的相应 Web 应用授予对这些设备的访问权限。
在 WebUSB API 允许访问的设备部分,执行以下操作:
- 点击尚未配置任何 USB 设备旁边的 。
- 输入网址格式,以指定将自动获得 USB 设备访问权限的网站。
- 对于 VID-PID 下的每个网址,请输入相应的供应商 ID 和产品 ID。
- 点击保存。
系统会将您在列表中指定的网址与请求网址的来源进行比对。网址格式中的路径会被忽略。如需详细了解有效网址格式,请参阅企业政策网址格式。
注意事项
- 所有设备和网址都必须有效,否则系统会忽略此政策。
- VID-PID 字段中的每个网址都可以添加供应商 ID 和产品 ID。如果您不添加供应商 ID,则此政策会匹配任何设备。如果您不添加产品 ID,则此政策会匹配拥有指定供应商 ID 的任何设备。
- 任何包含产品 ID 但没有供应商 ID 的政策都是无效的。
- 此政策会覆盖 WebUSB API 设置和用户的偏好设置。
- 此政策仅会对通过 WebUSB API 访问 USB 设备产生影响。若要通过 Web Serial API 授权访问 USB 设备,请参阅 SerialAllowUsbDevicesForUrls 政策。
列出可使用特定供应商 ID 和产品 ID 自动连接到 HID 设备的网站网址。
您列出的网址会与请求网址的来源相匹配。网址格式中的路径会被忽略。如需详细了解有效网址格式,请参阅企业版政策网址格式。
对于每个网址,请以英文冒号分隔的十六进制数对 (VID:PID) 形式输入您要允许访问的设备的供应商标识符 (VID) 和商品标识码 (PID)。每台设备需占用一行。
注意事项
- 对于列表中的每一项,网址和设备 ID 都必须有效。否则,系统会忽略该项。
- 对于每台设备,您可以输入供应商 ID 和产品 ID。
- 如果您不添加供应商 ID,则此政策会匹配任何设备。
- 如果您不添加产品 ID,则此政策会匹配拥有指定供应商 ID 的任何设备。
- 任何包含产品 ID 但没有供应商 ID 的政策都是无效的。
- 此政策的优先级高于 DefaultWebHidGuardSetting 和 WebHidBlockedForUrls 以及用户的偏好设置。
控制您组织中的用户能否让网站通过 ChromeOS 设备的内置麦克风访问音频输入。
当用户连接外部音频输入设备时,ChromeOS 设备上的音频会立即取消静音。
如果您为组织中受支持的 ChromeOS 设备启用了 Android 应用,并且停用了此设置,则系统将为所有 Android 应用停用麦克风输入功能(无一例外)。
允许在不提示用户的情况下授予网址使用录音设备的权限。
系统会将此列表中的网址格式与请求网址的安全来源进行比对。如果找到了匹配项,系统将允许相应网址使用录音设备,并且不会提示用户进行确认。
如需详细了解有效的网址格式,请参阅企业政策网址格式
控制您组织中的用户是否可以在 ChromeOS 设备上播放声音。该政策适用于 ChromeOS 设备上的所有音频输出设备,包括内置扬声器、耳机插孔和连接到 HDMI 和 USB 端口的外部设备。
如果您停用音频输出,ChromeOS 设备仍然会显示音频控件,但用户无法对其进行更改。同时,设备还会显示静音图标。
此设置对 ChromeOS 中的 Google 云端硬盘 Android 应用没有任何影响。
控制 Chrome 浏览器音频处理进程的优先级。
此设置可让管理员以较高优先级运行音频,以解决音频捕获方面的特定性能问题,日后会被移除。
指定网址是否可以访问任何类型的视频输入,而不仅仅是内置摄像头。
默认情况下,启用网站和应用的相机输入处于选中状态。如果网址不是您在允许访问视频输入设备的网址中指定的网址,系统会提示用户授予视频拍摄权限。
如果您选择停用网站和应用的相机输入,则只有您在允许访问视频输入设备的网址中指定的网址可以使用视频拍摄功能。
此政策还会影响受支持的 ChromeOS 设备上的 Android 应用。例如,如果您为组织中受支持的 ChromeOS 设备启用了 Android 应用,则可以禁止 Android 应用使用内置摄像头。
指定是否为图形处理器 (GPU) 启用硬件加速,除非特定 GPU 功能已添加到屏蔽名单。
硬件加速功能使用您设备的 GPU 执行图形密集型任务(例如播放视频或玩游戏),而中央处理器 (CPU) 运行所有其他进程。
此设置用于决定键盘最上排按键的行为。如果未配置此设置或者将此设置设为媒体键,那么键盘最上排的按键将用作媒体键。如果将该设置设为功能键,则这些键将用作功能键(例如 F1、F2)。在这两种情况下,用户均能够更改相应行为。此外,按住搜索键即可将媒体键转换为功能键(反之亦然)。
您可以指定网站是否可以要求用户授予其访问串行端口的权限,或者让用户自行决定。您还可以添加网址列表,指定网址是否可以向用户请求访问串行端口。
在控制是否允许使用 Web Serial API 部分,选择以下任一选项:
- 允许用户决定(默认)- 允许网站请求访问权限,但用户可以更改此设置。
- 允许网站通过 Web Serial API 请求用户授予串行端口访问权限 - 允许网站请求用户授予串行端口访问权限。
- 不允许任何网站通过 Web Serial API 请求访问串行端口 - 禁止访问串行端口。
在允许在这些网站上使用 Web Serial API 字段中,输入可向用户请求访问串行端口的所有网址。
在禁止在这些网站上使用 Web Serial API 字段中,输入所有不允许访问串行端口的网址。
如果网址未遭屏蔽,系统会依序优先应用控制是否允许使用 Web Serial API 部分中设置的选项或用户的个人设置。
请勿在允许在这些网站上使用 Web Serial API 和禁止在这些网站上使用 Web Serial API 字段中输入相同的网址。如果网址同时符合这两项政策,则系统不会优先应用任一政策。
如需详细了解有效网址格式,请参阅企业政策网址格式。
您可以指定一个网站列表,其中的网站可通过供应商 ID 和产品 ID 连接到串行设备。系统会自动向客户端上的相应 Web 应用授予对这些设备的访问权限。
在 Web Serial API 允许访问的设备部分,执行以下操作:
- 点击尚未配置任何串行设备旁边的 。
- 输入网址格式,以指定将自动获得串行设备访问权限的网站。
- 对于 VID-PID 下的每个网址,请输入相应的供应商 ID 和产品 ID。
- 点击保存。
系统会将您在列表中指定的网址与请求网址的来源进行比对。网址格式中的路径会被忽略。如要详细了解有效网址格式,请参阅企业政策网址格式。
注意事项
- 所有设备和网址都必须有效,否则系统会忽略此政策。
- VID-PID 字段中的每个网址都可以添加供应商 ID 和产品 ID。如果您不添加供应商 ID,则此政策会匹配任何设备。如果您不添加产品 ID,则此政策会匹配拥有指定供应商 ID 的任何设备。
- 任何包含产品 ID 但没有供应商 ID 的政策都是无效的。
- 此政策会覆盖 Web Serial API 设置和用户的偏好设置。
此政策仅会对通过 Web Serial API 访问串行设备这一操作产生影响。如要授权通过 WebUSB API 访问串行设备这一操作,请参阅 WebUsbAllowDevicesForUrls 政策。
仅限支持一体化隐私保护电子屏幕功能的 ChromeOS 设备。
指定隐私保护屏幕功能是否始终处于启用或停用状态。您可以启用或停用隐私保护屏幕功能,也可以让用户自行选择。
指定网站是否可以请求用户向其授予权限,以使用 File System API 读取主机操作系统文件系统中的文件或目录。您可以添加网址列表,指定网址是否可以向用户请求读取权限。
从下列选项中选择一项:
- 允许用户决定(默认)- 允许网站请求访问权限,但用户可以更改此设置。此访问权限适用于与允许在这些网站上读取文件系统或禁止在这些网站上读取字段所指定网址不匹配的网站。
- 允许网站请求用户授予文件和目录的读取权限 - 允许网站请求用户授予文件和目录的读取权限。
- 不允许网站申请文件和目录的读取权限 - 禁止网站读取文件和目录。
在允许在这些网站上读取文件系统字段中,输入允许向用户请求文件和目录读取权限的所有网址。将每个网址放在相应的行中。
在禁止在这些网站上读取字段中,输入不允许访问文件和目录的所有网址。将每个网址放在相应的行中。
如果未明确允许或屏蔽网址,系统会依序优先应用您在文件系统读取权限下拉菜单中选择的选项或用户个人设置。
请勿在允许在这些网站上读取文件系统和禁止在这些网站上读取中输入相同的网址。如果网址同时符合这两项政策,则系统不会优先应用任一政策。
如需详细了解有效网址格式,请参阅企业政策网址格式。
指定网站是否可以请求用户向其授予权限,以使用 File System API 向主机操作系统文件系统中的文件或目录写入内容。您可以添加网址列表,指定网址是否可以向用户请求写入权限。
从下列选项中选择一项:
- 允许用户决定(默认)- 允许网站请求访问权限,但用户可以更改此设置。此访问权限适用于与允许在这些网站上向文件和目录写入内容或禁止在这些网站上向文件和目录写入内容字段所指定网址不匹配的网站。
- 允许网站请求用户授予对文件和目录的写入权限 - 允许网站请求用户授予对文件和目录的写入权限。
- 不允许网站申请文件和目录的写入权限 - 禁止向文件和目录写入内容。
在允许在这些网站上写入文件系统字段中,输入允许向用户请求文件和目录写入权限的所有网址。将每个网址放在相应的行中。
在禁止在这些网站上写入字段中,输入不允许访问文件和目录的所有网址。将每个网址放在相应的行中。
如果未明确允许或屏蔽网址,系统会依序优先应用您在文件系统写入权限下拉菜单中选择的选项或用户个人设置。
请勿在允许在这些网站上写入文件系统和禁止在这些网站上写入中输入相同的网址。如果网址同时符合这两项政策,则系统不会优先应用任一政策。
如需详细了解有效网址格式,请参阅企业政策网址格式。
从 Chrome 108 版开始,所有 FileSystemSyncAccessHandle 方法都将同步调用。
在 Chrome 110 版之前,您可以通过选择为 FileSystemSyncAccessHandle 重新启用已弃用的异步接口来指定异步调用 FileSystemSyncAccessHandle 方法。
同步处理文件系统条目时,对文件进行读写操作可以提高关键方法的性能。异步操作的开销较高。
您可以指定是否允许网站访问和使用移动传感器和光传感器等传感器。
在默认访问权限部分,选择以下任一选项:
- 让用户决定是否允许网站使用传感器(默认)- 允许网站请求访问权限,但用户可以更改此设置。此访问权限适用于与允许在这些网站上使用传感器或禁止在这些网站上使用传感器字段所指定网址不匹配的网站。
- 允许网站使用传感器 - 允许所有网站使用传感器。
- 不允许任何网站使用传感器 - 禁止所有网站使用传感器。
在允许在这些网站上使用传感器字段中,输入始终允许使用传感器的网址。每个网址各占一行。
在禁止在这些网站上使用传感器字段中,输入一律不允许使用传感器的网址。每个网址各占一行。
如果未明确允许或屏蔽网址,系统会依序优先应用默认访问权限部分中设置的选项或用户个人设置。
请不要在允许在这些网站上使用传感器和禁止在这些网站上使用传感器中输入相同的网址。如果网址与这两个字段中的网址匹配,则系统会应用禁止在这些网站上使用传感器,并会禁止使用移动传感器和光传感器。
如需详细了解有效网址格式,请参阅企业政策网址格式。
允许由企业政策安装的扩展程序使用 Enterprise Hardware Platform API。此 API 可处理扩展程序发出的以下请求:查询当前运行浏览器的硬件平台的制造商和型号。此政策也会影响 Chrome 内置的组件扩展程序。
指定每次 ChromeOS 检测到 USB 设备插入时,用户是否会看到通知。默认情况下,检测到 USB 设备时显示通知处于选中状态。
用户在其设备上插入可与活跃虚拟机共享的 USB 设备时,会看到 ChromeOS 检测到 USB 设备的通知,该通知提示其连接到虚拟机。例如,系统可能会提示用户连接到 Android 应用、Linux、代管式开发环境或 Parallels Desktop。如果您选择检测到 USB 设备时不显示通知,则系统不会再提示用户进行连接,这样用户就无法通过虚拟机访问 USB 设备。
旧版网站兼容性
已停用元素的 MouseEvents此政策是暂时性政策,并且因某项重要的修复而得以实施。如果您的网站依赖之前的异常行为,则此政策可以为您提供一段时间来更新网站。
您可以为已停用的表单控件启用或停用 MouseEvent 调度的新行为。MouseEvent 是当用户与指控设备(如鼠标)互动时发生的事件。
如果您选择从已停用的控件元素调度大多数 MouseEvent,那么所有 MouseEvent 都会调度到已停用的表单控件元素(click、mouseup 和 mousedown 除外)。新事件包括 mousemove、mouseenter 和 mouseleave。
在已停用的表单控件的子级上调度 click、mouseup 和 mousedown 时,其事件路径也会被截断。系统不会在已停用的表单控件或其任何祖先上调度它们。
适用于 Chrome 120 版及更低版本
本政策是暂时性政策,并且因重大修复而实施。如果您的网站依赖之前的异常行为,则此政策为您提供了一定时间对其进行更新。
您可以为 HTMLElement.offsetParent 选择新行为或旧行为。
请在此处查看 polyfill 代码,您可以使用这些代码来提供原本不支持它的旧浏览器所需的现代功能。这只是一项临时性政策,Chrome 117 版中会移除该政策。如果您的网站依赖之前的异常行为,则此政策为您提供了一定时间对其进行更新。
Chrome 行为即将发生变化,用户无法从包含无效 SSL 证书的网页访问不安全的网站。系统会显示一个错误页面,让用户无法以不安全的方式继续。
如果您选择允许继续访问不安全的网站,则可以允许用户继续访问不安全的网站,并留出时间针对新的 Chrome 行为做好准备。
如果您选择默认的使用默认的导航保护功能,则对 Chrome 的更改会在 Chrome 发布过程中自动实施。可用于预览未来版本(此检查默认处于开启状态)的行为。此政策可暂时供需要更多时间更新其系统的管理员继续使用。
您可以指定是否检查本地信任锚颁发的服务器证书的 RSA 密钥使用情况。
X.509 密钥用途扩展声明了证书中密钥的使用方式,确保不会以意想不到的方式使用证书。这有助于防范针对 HTTPS 和其他协议的跨协议攻击。HTTPS 客户端必须检查服务器证书是否与连接的 TLS 参数匹配。
请从下列选项中选择一项:
- 为 RSA 密钥使用情况检查使用默认设置
- 启用 RSA 密钥使用情况检查 - Chrome 会执行检查。这有助于防止操纵浏览器以证书所有者不希望的方式解释密钥的攻击。
- 停用 RSA 密钥使用情况检查 - Chrome 会跳过 HTTPS 连接检查,该连接会协商 TLS 1.2 并使用链接到本地信任锚的 RSA 证书。本地信任锚的示例包括政策提供的或用户安装的根证书。在所有其他情况下,无论此政策设置为何,Google Chrome 都会执行此检查。
暂时恢复不推荐使用和淘汰的变更事件。变更事件会在 IT 系统中存储、修改或删除信息。
默认情况下,在变更事件淘汰日期后将无法触发变更事件。使用此设置可暂时重新启用变更事件,即使已针对普通 Web 用户默认处于停用状态也是如此。
管理通过 JavaScript 实现已废弃前缀视频专用全屏 API 的可用性。
根据需要选择相应选项:
- 使用默认的 Chrome 设置 - 采用默认的
PrefixedVideoFullscreen
API 弃用时间表,并确定该 API 是否适用于网站。 - 停用带前缀的视频全屏 API - 禁止在 JavaScript 中使用带前缀的视频专用全屏 API(例如
Video.webkitEnterFullscreen()
)。只能使用标准全屏 API,例如Element.requestFullscreen()
。 - 启用带前缀的视频全屏 API - 允许在 JavaScript 中使用带前缀的视频专用全屏 API,例如
Video.webkitEnterFullscreen()
。
这是一项临时性政策,会在日后发布的 Chrome 版本中移除。
指定 Chrome 是使用标准 CSS 缩放还是旧版 CSS 缩放。
默认情况下,系统会选择标准 CSS 缩放。选择旧版 CSS 缩放可启用标准化之前的 CSS 缩放行为。这使您有时间迁移到新采用的 CSS 缩放规范。
用户验证
已验证模式默认情况下,已验证的访问权限不要求进行启动模式检查处于选中状态,这会允许处于开发者模式的设备上的用户会话正常运作。如果您选择已验证的访问权限要求以已验证模式启动,那么处于开发者模式的设备上的用户会话一律无法通过“已验证的访问权限”检查。
获允接收用户数据的服务帐号
列出拥有 Google Verified Access API 完整访问权限的服务帐号。这些是在 Google API 控制台中创建的服务帐号。
能够验证用户但不接收用户数据的服务帐号
列出拥有 Google Verified Access API 受限访问权限的服务帐号的电子邮件地址。这些是在 Google API 控制台中创建的服务帐号。
对于“已验证的访问权限”说明:
Chrome 管理 - 合作伙伴访问权限
允许企业移动管理 (EMM) 合作伙伴访问设备管理此设置目前不适用于 Google Workspace 教育版网域
通过此设置,可以允许企业移动管理 (EMM) 合作伙伴以编程方式进行访问,以便为 Chrome 和 ChromeOS 设备管理用户政策。合作伙伴可使用这种访问权限功能将 Google 管理控制台功能集成到 EMM 控制台中。
启用合作伙伴访问权限后,EMM 合作伙伴就能够管理用于控制用户的 Chrome 浏览器和 ChromeOS 设备使用体验的具体用户政策。因此,EMM 合作伙伴不需要再按管理控制台中的组织部门来管理用户政策,而是可以使用 EMM 控制台中配置的结构进行管理。您无法同时使用合作伙伴访问权限和管理控制台为同一用户设置相同的政策。通过合作伙伴访问权限控制功能配置的用户级政策优先于在管理控制台中设置的组织部门政策。要按组织部门为用户强制启用政策,您必须选择停用“Chrome 管理 - 合作伙伴访问权限”。
您还可以使用 EMM 控制台来设置设备政策。
浏览器报告功能
受管理的浏览器报告功能为使用 Chrome Enterprise 核心版的组织启用或停用受管理的浏览器云报告功能。如需详细了解如何通过管理控制台注册和管理 Chrome 浏览器,请参阅设置 Chrome Enterprise 核心版。
选择启用受管理的浏览器云报告功能,即可详细了解贵组织中使用的 Chrome 浏览器和扩展程序。如需了解系统会上传用户设备上的哪些信息,请参阅启用 Chrome 浏览器报告功能。
注意:无论贵组织是否注册 Chrome Enterprise 核心版,此设置始终适用于 ChromeOS。
Turns on or off managed Chrome profiles reporting for the Managed profiles list and details pages in the Google Admin console. A managed Chrome profile is created for a user when they sign in to Chrome with their managed Google Account using Google Workspace or Cloud Identity.
To view the reporting information in the Managed profiles list and details pages you must be subscribed to Chrome Enterprise Core.
The Cloud profile reporting information includes profile-level information, browser-level information, and limited device information. For more details, see View Chrome browser profile details.
Note: To view managed profile reporting for managed Google Accounts, you don’t have to turn on Managed browser reporting and the browser doesn’t need to be enrolled in the browser list. Only the user must be managed using Cloud Identity (Google Workspace), and the Managed profile reporting setting must be turned on.
设置 Chrome 状态报告的上传频率(以小时为单位)。请输入一个介于 3 到 24 小时之间的值。默认值为 24,表示系统每天发送一次报告。
指定您想让 Chrome 报告哪些安全性事件。事件类型包括传输恶意软件、访问不安全的网站和重复使用密码。
如需详细了解如何配置报告并让 Chrome 使用您设置的提供商和配置报告事件,请参阅管理 Chrome 企业版报告连接器。
指定是否根据网址报告在组织内访问的使用旧版技术的网站。您可以使用 Google 管理控制台详细了解使用旧版 Web 平台 API 和功能的已列入许可名单的网站。
注意事项
开启旧版技术报告后,系统会自动将报告数据发送到管理控制台。不过,只有当组织部门中有至少 5 个浏览器处于活跃状态时,报告中才会显示这些数据。数据可能需要几分钟才能显示在报告中。
在配置字段中,添加您要允许在旧版技术报告中显示的所有网址。
- 最多支持 100 个网址,包括所有路径和子网域,每个网址最多 256 个字符。
- 支持 IP 地址。
- 不支持通配符、架构、端口和查询。
注意:为了获得更好的结果,我们建议您使用详细的网址路径。
您添加到配置字段中的网址用于生成报告,并会上传到管理控制台。不匹配的网址会被忽略。
对于 Google Chrome,只有在已使用 Chrome 企业核心版注册相应设备后,此政策才会应用。如需了解详情,请参阅注册通过云管理的 Chrome 浏览器。
如需详细了解旧版技术,请参阅 Chrome 平台状态。Chrome 安全浏览
安全浏览保护等级指定是否为用户启用 Google 安全浏览功能。Chrome 中的安全浏览功能有助于阻止用户访问可能包含恶意软件或网上诱骗内容的网站。
如果您选择“安全浏览”功能会处于开启状态且会在增强模式下运行,则可提高安全性,但需与 Google 分享更多浏览信息。
默认情况下,允许用户决定处于选中状态,用户可以开启或关闭安全浏览功能。如果您选择启用安全浏览功能,用户就无法在 Google Chrome 浏览器中更改或覆盖此设置。
如果您选择允许用户覆盖此设置,用户便可在自己的设备上更改此设置。如果您选择允许用户决定,则此选项不可用。
指定是否启用扩展报告功能,并向 Google 发送某些系统信息和网页内容,以帮助检测危险应用和网站。
指定安全浏览功能应信任的网址。安全浏览功能不会检查所列网址中是否存在钓鱼式攻击、恶意软件、垃圾软件或密码重复使用等事件。安全浏览功能的下载保护服务也不会检查托管在这些网域上的下载内容。
此设置仅适用于已加入 Microsoft Active Directory 网域且在 Windows 10 专业版上运行的实例,或是已注册 Chrome Enterprise 核心版的实例。
默认情况下,对所有下载的文件执行安全浏览检查处于选中状态。因此,Chrome 会发送所有下载的文件以供“安全浏览”功能进行分析,即使文件来自可信来源也是如此。
如果选择不对从可信来源下载的文件执行安全浏览检查,则系统不会将从可信来源下载的文件发送给“安全浏览”功能进行分析。
这些限制适用于从网页内容以及“下载链接”菜单选项触发的下载,但不适用于保存或下载当前显示的页面,也不适用于通过打印选项另存为 PDF 文件。
禁止用户下载危险文件,例如恶意软件或带有病毒的文件。您可以禁止用户下载所有文件或被 Google 安全浏览标记的文件。如果用户尝试下载被“安全浏览”功能标记的文件,系统会显示安全警告。
有关详情,请参阅禁止用户下载有害文件。
选择一个选项:
- 无特殊限制 - 允许下载任何内容。如果安全浏览功能检测到危险网站,则仍会向用户显示警告。不过,用户可以绕过警告并下载相应文件。
- 禁止下载恶意软件的操作 - 允许下载任何内容,但那些已被非常肯定地评估为恶意软件的下载内容除外。与选择“拦截危险下载内容”不同,如果您选择“禁止所有下载恶意软件的操作”,系统不会考虑文件类型,而是会考虑主机。
- 拦截恶意下载内容和危险文件类型 - 允许下载任何内容,但带有“安全浏览”警告标记的危险下载内容除外。
- 拦截恶意、不常见或垃圾下载内容以及危险文件类型 - 允许下载任何内容,但带有“安全浏览”警告标记的潜在危险下载内容除外。用户无法绕过警告并下载文件。
- 拦截所有下载内容 - 禁止下载任何内容。
指定用户能否绕过安全浏览警告,并访问欺诈性或危险网站或下载可能有害的文件。
指定您能否禁止用户在危险网站或未列入贵单位许可名单的网站上重复使用他们的密码。禁止在多个网站上重复使用密码可以防止单位中用户的帐号遭到盗用。
您可以指定要从“安全浏览”网址列表中排除的网域。对于已列入许可名单的网域,系统不会就以下方面进行检查:
- 重复使用密码
- 网上诱骗或欺骗性社交工程网站
- 包含恶意软件或垃圾软件的网站
- 有害的下载内容
根据用户通常在哪个网页中输入密码来登录其帐号,指定这类网页的网址。如需在 2 个网页内完成登录流程,请根据用户在哪个网页中输入密码来添加相应的网址。当用户输入密码时,系统会在本地存储不可撤消的哈希,并用其检测是否有重复使用密码的情况。请确保您所指定的更改密码的网址符合这些准则。
开启或关闭 SafeSites 网址过滤器。此过滤器使用 Google Safe Search API 来判断是否将网址归类为色情内容。
选择一个选项:
- 滤除提供成人内容的顶级网站(但不滤除嵌入式 iframe):对于幼儿园到高中 (K-12) 的教育网域,这是默认设置。系统不会向用户显示色情网站。
- 不滤除提供成人内容的网站:对于其他所有网域,这是默认设置。
针对网址与其他网站非常相似的网站,Chrome 正在推出新的“安全提示”功能。如果网站疑似仿冒其他网站,此界面就会向用户发出警告。
一般情况下,当 Google Chrome 认定网站可能正试图仿冒用户熟悉的另一个网站时,就会在网站上显示这类警告。通过设置此政策,您可禁止在所列网站上针对相似网址显示警告。
例如,倘若此列表包含“foo.example.com”或“example.com”,诸如“https://foo.example.com/bar”之类的网址便可能不会显示这类警告。
允许或禁止在包含侵扰性广告的网站上展示广告。
默认设置为允许所有网站展示广告。
指定是否允许提供误导性体验的网站打开新的窗口或标签页。默认情况下,禁止提供误导性体验的网站打开新的窗口或标签页处于选中状态。
您可以指定 Google Chrome 是否将已启用安全浏览功能的用户提供的可疑下载内容发送给 Google 以扫描是否存在恶意软件。
此政策不会影响 Chrome 企业版接口所配置的任何下载内容分析。
Chrome 企业版连接器
允许使用企业版接口您可以允许管理控制台管理员启用 Chrome 企业版接口。
您可以为一组内容分析连接器选择云服务 API,Chrome 使用这些连接器将 Web 内容附加文件的完整内容和元数据送交分析。
有关详情,请参阅管理 Chrome 企业版数据泄露防护连接器。
您可以为一组内容分析连接器选择云服务 API,Chrome 使用这些连接器发送粘贴在网页上的剪贴板内容的完整信息和元数据以进行分析。
如需了解更多详情,请参阅管理 Chrome 企业版数据泄露防护连接器。
您可以选择一组内容分析连接器的云服务 API,Chrome 使用这些连接器发送打印页面的完整内容和元数据以供分析。
如需了解更多详情,请参阅管理 Chrome 企业版数据泄露防护连接器。
Chrome 更新
组件更新通过此设置,您可以指定是否自动更新 Chrome 浏览器组件,如 Widevine DRM(适用于加密媒体)。
此政策无法适用于所有组件。如需例外组件的完整清单,请参阅 ComponentUpdatesEnabled。
指定如何通知用户重新启动 Chrome 浏览器或 ChromeOS 设备,以获取最新更新。从下列选项中选择一项:
- 没有重新启动通知 - 启用默认最低级别的通知。Chrome 浏览器会通过对菜单稍作改动来提示用户需要重新启动。在 ChromeOS 中,系统任务栏中的通知会提示用户重新启动。
- 显示建议重新启动的通知 - 系统会反复向用户显示一条消息,提示他们应重新启动 Chrome 浏览器或 ChromeOS 设备。用户可以关闭该通知,这样就能在选择重新启动 Chrome 浏览器或 ChromeOS 设备前,继续使用旧版 Chrome 浏览器或 ChromeOS。
- 在一段时间后强制重新启动 - 用户可以关闭该通知,但在特定一段时间内,系统会反复向用户显示一条消息,提示他们需要重新启动 Chrome 浏览器或 ChromeOS 设备。
时间段(小时)
如果您要向用户显示通知,则可以设置一个时间段(1 至 168 小时),让系统在此期间反复通知用户重新启动 Chrome 浏览器或 ChromeOS 设备。要使用系统默认设置(168 小时或 7 天),请勿设置相应字段。
初始静默期(小时)
对于 ChromeOS 设备,您可以设置初始静默期,在这段时间内,系统不会通知用户重启 ChromeOS 设备。初始静默期过后,用户会看到第一条通知,告知他们重新启动 ChromeOS 设备以应用更新。默认情况下,ChromeOS 设备只会在您指定的时间段内的最后 3 天(而非整个时间段)显示通知。
使用 ChromeOS 设备时,请将更新后自动重启设备设置设为允许自动重启,这样一来,在更新应用后设备将会自动重启。这样可以最大程度地减少用户看到的通知数量。要详细了解如何在 ChromeOS 设备上配置自动更新,请参阅自动更新设置。
可以安排重新启动的窗口期的开始时间
注意:设置可以安排重新启动的窗口期可能会造成软件更新延后。
以 24 小时制格式 (hh:mm) 指定一个时间,您在时间段(小时)中设置的重新启动通知期的结束时间将推迟到该时间。您可以将在一段时间后强制重新启动和可以安排重新启动的窗口期(以分钟为单位)一起使用,以指定 Chrome 浏览器和 ChromeOS 设备会在哪个时间范围重新启动,以应用更新。
如果留空,ChromeOS 设备的默认开始时间是用户所在时区的 02:00,而 Chrome 浏览器绝不会推迟重新启动通知期的结束时间。
可以安排重新启动的窗口期(以分钟为单位)
注意:设置可以安排重新启动的窗口期可能会造成软件更新延后。
指定一个时间范围(以分钟为单位),Chrome 浏览器和 ChromeOS 设备会在此窗口期内重启以应用更新。可以将在一段时间后强制重新启动和可以安排重新启动的窗口期的开始时间一起使用。
如果留空,则 ChromeOS 设备的可以安排重新启动的窗口期(以分钟为单位)为 120 分钟。默认情况下,Chrome 浏览器绝不会推后重新启动通知期的结束时间。
指定每天禁止 Chrome 浏览器自动检查更新的时间段。请输入:
- 开始时间 - 以 24 小时制格式 (hh:mm) 输入一个时间,让系统每天从该时间起禁止浏览器检查更新。
- 持续时间(分钟) - 根据您希望在多长时间内禁止浏览器检查更新,输入相应的时长(以分钟为单位)。
指定 Chrome 浏览器每隔几小时会自动检查更新。如果输入 0,系统会停用所有自动更新检查(不推荐)。
选择尝试提供便于缓存的下载网址,以便 Google 更新服务器尝试在回复中为更新负载提供便于缓存的网址。这样有助于减少带宽用量并缩短响应时间。
指定设备在新版 Chrome 浏览器发布时是否自动更新为使用新版本。
为了确保用户受到最新安全更新的保护,我们强烈建议选择允许更新。运行早期版本的 Chrome 浏览器会使您的用户面临已知的安全问题。
如要暂时回滚到 Chrome 浏览器最新的 3 个主要版本,请指定目标版本前缀覆盖,然后选择回滚到目标版本。
您可以为用户选择发布渠道,从而控制何时向他们部署 Chrome 浏览器更新:
- 稳定渠道:(推荐)Chrome 测试团队已对稳定渠道进行充分测试,我们建议您让大部分用户都使用这一渠道。
- Beta 渠道:用户可以提前 4 至 6 周体验即将在 Chrome 稳定版中推出的功能。
- 开发渠道:开发者可以提前 9 至 12 周体验即将在 Chrome 稳定版中推出的功能。
- 扩展稳定渠道:相较于使用稳定渠道,用户收到功能更新的频率更低,但仍会收到安全修复程序。
请参阅 Chrome 浏览器发布渠道了解相关信息,以便决定要为用户选择哪个渠道。
如需详细了解如何管理 Chrome 浏览器更新,请参阅管理 Chrome 更新(Chrome 企业核心版)。
指定 Chrome 浏览器在发生紧急回滚时保留的用户数据快照数量。
每次实施完 Chrome 浏览器重大版本更新后,系统都会为用户浏览数据的某些部分创建用户数据快照。这些快照可供日后执行 Chrome 浏览器紧急版本回滚更新时使用。
如果 Chrome 浏览器回滚到用户保留的某个版本,系统便会恢复相应快照中的数据,例如书签和自动填充数据。
如果此政策设为特定值,则系统将仅保存该数量的快照。例如,如果设为 6,则系统只会保存最近的 6 张快照,并删除在此之前保存的所有其他快照。
如果此政策设为 0,则系统不会保留任何快照。如果未设置此政策,则系统会默认保存 3 张快照。
Chrome 变体版本
变体版本通过使用变体版本,Google 可以在不发布新浏览器版本的情况下,通过有选择地启用或停用一些现有功能,对 Chrome 进行修改。
启用 Chrome 变体版本选项默认处于选中状态。您可以选择仅针对重要的修复启用变体版本,这样系统便只会将涉及重要的安全性或稳定性修复的变体版本应用于您的 Chrome。
注意:我们不建议选择停用变体版本,因为停用可能导致 Chrome 开发者无法及时提供重要的安全性修复。
请参阅管理 Chrome 变体版本框架。
旧版浏览器支持
旧版浏览器支持指定用户能否在备用浏览器(例如 Microsoft Internet Explorer)中打开某些网址。
指定打开备用浏览器所需的时长(以秒为单位)。在此期间,系统会显示一个插页,告知用户当前正在切换到其他浏览器。默认情况下,系统会直接在备用浏览器中打开网址,而不会显示插页。
控制 Chrome 浏览器如何解读您设置的网站列表或灰名单政策。此设置会影响:
- 旧版浏览器支持网站列表 - BrowserSwitcherExternalSitelistUrl
- 使用 Internet Explorer 网站列表 - BrowserSwitcherUseIeSitelist
- 列出可在任一浏览器中打开的网站的列表文件的网址 - BrowserSwitcherExternalGreylistUrl
- 要在备用浏览器中打开的网站 - BrowserSwitcherUrlList
- 在任一浏览器中均可打开的网站 - BrowserSwitcherUrlGreylist
默认情况下,系统会选择默认。不含 / 的规则会在网址主机名中的任意位置寻找子字符串。匹配网址的路径部分时区分大小写。
选择兼容企业模式 IE/Edge 可让网址匹配更加严格。不含 / 的规则只会在主机名末尾进行匹配,它们还必须位于域名边界。匹配网址路径组成部分时不区分大小写。
示例
对于规则 example1.com 和 example2.com/abc:
- 无论采用何种解析模式,http://example1.com/、http://subdomain.example1.com/ 和 http://example2.com/abc 均为匹配的结果。
- 如果选择了默认,则只有 http://notexample1.com/、http://example1.com.invalid.com/ 和 http://example1.comabc/ 是匹配的结果。
- 如果选择了兼容企业模式 IE/Edge,则只有 http://example2.com/ABC 是匹配的结果。
让您可以使用 Internet Explorer 网站列表来控制在 Chrome 浏览器还是 Internet Explorer 中打开网址。
指定一个 XML 文件的网址,该文件包含要在备用浏览器中打开的网站网址的列表。您可以查看此示例 XML 文件。
指定一个 XML 文件的网址,该文件包含不会触发浏览器切换的网站网址的列表。
指定要在备用浏览器中打开的网站网址的列表。
指定不会触发浏览器切换的网站网址的列表。
默认情况下,只有网址会以参数的形式传送至备用浏览器。您可以指定要将哪些参数传送至备用浏览器的可执行文件。系统会在调用备用浏览器时使用您指定的参数。您可以使用特殊占位符 ${url}
来指定网址在命令行中的位置。
如果占位符是唯一的参数或应附加到命令行的末尾,则无需指定占位符。
通过此设置,您可以指定要用作备用浏览器的程序。例如,Windows 计算机默认的备用浏览器是 Internet Explorer。
您可以指定文件位置或使用下列某一变量:
${chrome}
:Chrome 浏览器${firefox}
:Mozilla Firefox${ie}
:Internet Explorer${opera}
:Opera${safari}
:Apple Safari
指定从备用浏览器返回时要传送至 Chrome 浏览器可执行文件的参数。默认情况下,只有网址会以参数形式传送至 Chrome 浏览器。系统会在调用 Chrome 浏览器时使用您指定的参数。您可以使用特殊占位符 ${url}
来指定网址在命令行中的位置。
如果占位符是唯一的参数或应附加到命令行的末尾,则无需指定占位符。
指定从备用浏览器返回时要启动的 Chrome 浏览器可执行文件。
您可以指定文件位置,也可以使用变量 ${chrome}
(即 Chrome 浏览器的默认安装位置)。
指定当窗口中的最后一个标签页切换至备用浏览器后,是否关闭 Chrome 浏览器。
Chrome 浏览器的标签页在切换至备用浏览器后会自动关闭。如果您将此设置指定为完全关闭 Chrome,且在切换浏览器前窗口中只剩最后一个标签页,那么 Chrome 浏览器将会完全关闭。
虚拟机 (VM) 和开发者
命令行访问权限指定用户是否可以访问命令行 (CLI) 以管理虚拟机 (VM)。
如果启用了此政策,则用户可以使用虚拟机管理 CLI。
通过此设置,您可以控制用户能否使用虚拟机来运行 Linux 应用。系统会在启动新的 Linux 容器时应用此设置,而不会将其应用于已在运行的容器。
在受管设备上,默认设为禁止用户使用所需的虚拟机来运行 Linux 应用,并且用户无法使用虚拟机运行 Linux 应用。
但在非受管设备上,默认设为允许用户使用所需的虚拟机来运行 Linux 应用。
如果您不希望用户在其使用的任何设备上使用,则必须明确选择禁止用户使用所需的虚拟机来运行 Linux 应用。
如果您选择允许用户使用所需的虚拟机来运行 Linux 应用,则关联的用户可以使用 Linux 虚拟机。
要为没有关联的用户启用该功能,请在“设备”页面中选择允许没有关联的用户使用所需的虚拟机来运行 Linux 应用。有关详情,请参阅无关联用户能否使用 Linux 虚拟机(Beta 版)。
注意:对于个人用户版 ChromeOS 设备,此功能已不是 Beta 版。对于受管设备和用户,此功能仍是 Beta 版。
通过此设置,您可以控制用户能否备份和恢复 Linux 虚拟机所有已安装的应用、数据和设置。
恢复和备份选项默认处于启用状态。
注意:对于个人用户版 ChromeOS 设备,此功能已不是 Beta 版。对于受管设备和用户,此功能仍是 Beta 版。
指定是否允许用户配置向虚拟机 (VM) 容器转发端口的功能。
如果您选择不允许用户启用并配置向虚拟机容器转发端口的功能,系统会停用端口转发功能。
允许您控制个人用户对来源不受信任的 Android 应用的使用。此设置不适用于 Google Play。
默认设置为禁止用户使用来源不受信任的 Android 应用。
如果用户的设备处于受管理状态,则系统会阻止用户安装来源不受信任的应用,除非设备和用户政策都被设为允许使用来源不受信任的 Android 应用。
如果用户的设备不受管理,则只有当用户为设备所有者时,其才可以安装来源不受信任的应用,方法为:首先登录设备,然后将用户政策设为允许使用来源不受信任的 Android 应用。
指定是否允许在所有设备或除了已注册的 ChromeOS 设备外的所有设备上使用终端系统应用中的 SSH 出站客户端连接,或者不允许在任何设备上使用。
默认情况下,系统会为非受管 ChromeOS 设备启用该设置。
Parallels Desktop
Parallels Desktop适用于 ChromeOS 设备。
控制用户是否可以通过 Parallels Desktop for Chromebook 在自己的 Chrome 企业版设备上访问 Microsoft Windows 应用及文件,包括 Microsoft Office。
如果您选择允许用户使用 Parallels Desktop,则必须接受最终用户许可协议。
适用于 ChromeOS 设备。
指定用户在使用 Parallels Desktop 之前,下载到他们的 Chromebook 的 Microsoft Windows 映像的网址和 Windows 映像文件的 SHA-256 哈希。
适用于 ChromeOS 设备。
指定运行 Parallels Desktop 所需的磁盘空间(以 GB 为单位)。默认值为 20GB。
如果您设置了所需的可用磁盘空间值,而用户设备检测到的剩余空间小于该值,则该设备无法运行 Parallels。因此,我们建议您先检查未压缩虚拟机 (VM) 映像的大小以及您要安装的额外数据或应用的大小,然后再确定所需的磁盘空间值。
适用于 ChromeOS 设备。
要允许 Parallels 生成和收集用户的事件日志,请选择允许与 Parallels 分享诊断数据。如需详细了解日志中收集的信息,请参阅 Parallels 客户体验计划。
设置来源
政策优先顺序指定应用于用户和浏览器的 Chrome 政策的优先顺序(由高到低)。如需了解详情,请参阅了解 Chrome 政策管理。
您可以输入设备端政策列表,系统随后会将不同来源的政策合并。只有列表和字典类型的政策支持合并。
如需了解详情,请参阅了解 Chrome 政策管理。
您可以输入要合并的政策(每行一个),或者使用通配符 * 来合并所有受支持的政策。
如果某项政策在列表中,且相同范围和级别的来源之间存在冲突,则系统会合并这些值以创建新政策。如果不同范围或级别的来源之间存在冲突,则系统会应用优先级最高的政策。
如果某项政策不在列表中,且来源、范围或级别之间存在冲突,则系统会应用优先级最高的政策。
您可以在最终用户的 Chrome 浏览器中检查 chrome://policy,验证这些政策的最终值。
指定与 Google Workspace 帐号关联的政策能否合并到计算机级政策中。
默认设置为不将用户云政策与设备政策合并,并阻止用户级云政策与任何其他来源的政策合并。
只有在同一组织通过 Google 管理控制台管理 Chrome 浏览器和个人资料时,此设置才适用。应用于 Chrome 个人资料的政策可以合并。
您必须将要合并的用户云政策添加到政策合并列表,否则系统会忽略此设置。
其他设置
指标报告指定 Chrome 浏览器是否会将使用情况统计信息和崩溃情况相关的数据发送给 Google。您可以允许用户配置此选项,也可以将其指定为始终启用或始终停用。
使用情况统计信息包含偏好设置、按钮点击情况和内存使用情况等信息。如果用户开启了改善搜索和浏览体验,则可能包含网页网址或个人信息。
崩溃报告中包含崩溃发生时的系统信息,并且可能包含网页网址或个人信息,具体取决于触发崩溃报告时发生的情况。
要详细了解我们会收集这些报告中的哪些信息以及如何处理,请阅读 Chrome 的隐私权政策。
您可以设置单个 Chrome 浏览器会话的内存用量上限,这样一来,超出内存用量上限后,浏览器标签页就会自动关闭,以节省内存空间。如果设置了此政策,一旦超出内存用量上限,浏览器标签页就会关闭,以节省内存空间。不过,如果此政策未设置,那么仅当检测到所用机器的物理内存容量即将用尽时,浏览器才会尝试节省内存空间。
指定是否始终开启或关闭高效模式。选择启用高效模式,以确保系统会于数小时后在后台舍弃标签页以回收内存。
默认情况下,系统会选择允许用户决定。用户可以通过 chrome://settings/performance 开启或关闭高效模式。
指定浏览器永远不会舍弃的网页列表,包括内存压力和高效率模式舍弃页面。
系统会卸载已舍弃的页面并完全回收其资源。与该页面关联的标签页会保留在标签栏中,但切换到它会触发完全重新加载。
如需详细了解有效网址格式,请参阅企业政策网址格式。
指定 Chrome 用来在磁盘中存储缓存文件的目录。
如果您在“磁盘缓存目录”字段中输入变量,即使用户已定义磁盘缓存 dir 参数,Chrome 也会使用该目录。如果未设置此政策,则系统会使用默认缓存目录,并且用户可以通过定义磁盘缓存 dir 参数来替换此设置。
如需查看支持的变量列表,请参阅支持的目录变量。
指定在磁盘上缓存文件的 Chrome 存储空间限制。
如果您将此政策设为指定的大小,即使用户已定义了磁盘缓存大小参数,Chrome 也会使用指定的缓存大小。(小于几兆字节的值都会四舍五入。)
如果您不设置此政策,Chrome 会使用默认的缓存大小,且用户可以进行更改。
指定关闭 Chrome 浏览器后,后台应用是否继续运行。
如果启用了此政策,那么当 Chrome 浏览器关闭后,后台应用和当前浏览会话(包括任何会话 Cookie)仍处于活动状态。用户可以随时使用系统任务栏中显示的图标将其关闭。
允许用户决定 - 后台模式最初处于停用状态,不过用户可以在浏览器设置中进行控制。
停用后台模式 - 后台模式已停用,且用户无法在浏览器设置中进行控制。
启用后台模式 - 后台模式已启用,且用户无法在浏览器设置中进行控制。
控制 Google Chrome 是否不定期向 Google 服务器发送查询以检索准确的时间戳。默认设置为允许查询。
指定收到政策失效通知与从设备管理服务提取新政策之间的最大延迟(以毫秒为单位)。
有效值范围为 1000(1 秒)至 300000(5 分钟)。如果您输入的值小于 1 秒,系统会使用 1 秒。如果您输入的值大于 5 分钟,系统会使用 5 分钟。
如果您未设置此政策,则系统会使用默认值(10 秒)。
指定是否允许用户访问的网站使用 WebXR Device API 创建沉浸式增强现实 (AR) 会话。
默认情况下,允许创建 WebXR immersive-ar 会话处于选中状态。因此,用户可以进入 AR 体验。
如果选择禁止创建 WebXR immersive-ar 会话,则会强制 WebXR Device API 拒绝新建 immersive-ar 会话的请求。当前的 immersive-ar 会话将继续运行。
指定是否将密码、历史记录和设置等 Chrome 信息同步到云端。默认设置为允许 Chrome 同步。
您可以选择在用户关闭所有浏览器窗口时删除的浏览数据类型。此设置的优先级不会高于“清除浏览器历史记录”设置。
如果 Google Chrome 未正常关闭(例如浏览器或操作系统崩溃),系统会在下次加载用户个人资料时清除浏览数据。
指定用户能否在多台设备上同步自己的 Chrome 信息(例如密码、历史记录和书签)。根据需要,选择一个选项:
- 允许 Chrome 同步 - 这是默认设置。如果选择该选项,系统将为用户启用 Chrome 同步功能;Chrome 信息会自动同步到用户的 Google 账号中。
- 允许漫游个人资料 - 用户只需创建一个包含自己 Chrome 信息的 Chrome 个人资料;之后他们便可以在自己在工作单位或学校使用的每台计算机上重复使用该 Chrome 个人资料。在漫游个人资料目录部分,输入 Chrome 浏览器应该用于存储 Chrome 个人资料漫游副本的目录。
- 禁止同步 - 用户只能访问设备上本地存储的 Chrome 信息。
如果您选择了允许 Chrome 同步或允许漫游个人资料,则还可以选择要从同步范围中排除的 Chrome 信息类型(如有)。
如要了解漫游个人资料,请参阅将 Chrome 浏览器与漫游用户个人资料搭配使用。
如果您选择允许 Chrome 同步,那么当用户的身份验证过期后,用户浏览器工具栏的右上角会自动显示已暂停。此外,您还可以使用重新进行身份验证提示打开新的浏览器标签页,受管理的用户可以在该标签页上重新登录。
此政策只能在顶级组织部门中进行设置。
从管理控制台删除浏览器后,您可以使设备令牌失效或将其删除。
当设备在 Chrome Enterprise 核心版中注册后,系统会为设备添加一个唯一的设备令牌。此设备令牌用于在政策刷新和报告同步操作期间在管理控制台中标识浏览器。
如果您选择使令牌无效(默认),则在浏览器从受管理的浏览器列表中删除后,设备令牌会保留在设备上,并被标记为无效。该设备无法在 Chrome Enterprise 核心版中重新注册,而且在手动删除设备令牌并将有效的注册令牌放置在该设备上之前,该设备将一直处于非受管状态。
如果您选择删除令牌,那么当浏览器从受管理的浏览器列表中删除后,设备令牌也会从设备中删除。如果设备部署了有效的注册令牌,那么下次浏览器重启时,您可以在 Chrome Enterprise 核心版中重新注册设备。
如需详细了解设备令牌的存储位置,请参阅注册云管理的 Chrome 浏览器。指定 Wi-Fi 网络配置是否可以在 Chrome 操作系统设备和已连接的 Android 手机之间同步。
如果您选择默认的不允许 Wi-Fi 网络配置在 Google Chrome 操作系统设备和已连接的 Android 手机之间同步,则用户无法同步 WLAN 网络配置。
如果您选择允许 Wi-Fi 网络配置在 Google Chrome 操作系统设备和已连接的 Android 手机之间同步,则用户就可以在 Chrome 操作系统设备和已连接的 Android 手机之间同步 Wi-Fi 网络配置。不过,用户必须通过完成一个设置流程来明确选择启用这项功能。
确定浏览器处于非活动状态多久后会从 Google 管理控制台中删除。如果有任何已注册的浏览器处于非活动状态的时间超过此政策设置的值,系统会将其删除。
此政策的原始默认值是 540 天(18 个月)。最小值是 28 天,最大值是 730 天。
重要提示:如果您降低所设置的政策值,可能会对当前注册的所有浏览器产生全局影响。所有受影响的浏览器都将被视为处于非活动状态,因此会被永久性删除。如需确保已删除的浏览器在下次重启时自动重新注册,请先将设备令牌管理政策值设置为删除令牌,然后再降低此政策的值。重启时,这些浏览器上的注册令牌必须仍然有效。
如需了解详情,请参阅停止 Chrome 浏览器的受管理状态或将其删除。
控制为用户帐号启用还是停用快速配对功能。
快速配对是一种蓝牙配对方式,可将配对的外围设备与 Google 帐号相关联。如此一来,使用同一 Google 帐号登录的其他 ChromeOS 设备和 Android 设备就能自动与相应用户的设备配对。
默认情况下,系统会为企业用户停用此功能,而为非受管用户启用此功能。
指定当有多份证书匹配时,系统是否会提示用户选择一个客户端证书。
如果您选择提示用户做出选择,并且已在客户端证书设置中输入一系列网址格式,那么只要有多份证书与自动选择政策匹配,系统就会要求用户选择客户端证书。
如果您将客户端证书设置留空,则仅当没有证书与自动选择政策匹配时,系统才会提示用户。
如需了解详情,请参阅客户端证书。
Chrome 106 及更高版本已不再支持永久配额。
可以通过查询系统,了解 Web 应用当前已使用的及尚可用的存储空间大小。Google Chrome 会将临时存储空间和永久性存储空间分隔开来,并允许 Web 应用根据需要请求更多存储空间。
在 Chrome 107 版之前,您可以使用此设置来重新启用 webkitRequestFileSystem 的永久配额功能;并且,具有永久类型的 webkitRequestFileSystem 将采用永久配额运行。
如果您选择默认设置停用永久配额,具有永久类型的 webkitRequestFileSystem 将采用临时配额运行。
您可以选择不向 Google 报告与网域可靠性相关的数据。默认设置是,只要 Chrome 用户指标政策允许,便会上传连接到网站时发生的所有网络连接错误的报告。
控制是否在 iOS 设备的备份中包含 Google Chrome 数据。
此设置默认处于开启状态。 如果您关闭此设置,则系统会从 iCloud 和 iOS 设备上的本地备份中排除 Google Chrome 数据(包括 Cookie 和网站本地存储)。
数据控制
数据控制报告您可以允许实时报告由数据控制触发的数据泄露防范事件。报告功能默认处于停用状态。如果您选择启用数据控制事件的报告功能,系统就会启用报告功能。
如需详细了解如何启用数据控制,请参阅设置 ChromeOS 数据控制。
仅适用于拥有 Chrome 企业进阶版许可的受管理用户和浏览器。
控制您组织中的用户是否可以从特定来源复制内容。
您可以指定要禁止、允许或警告用户从特定来源复制的网址。如需详细了解有效网址格式,请参阅企业政策网址格式。
允许从以下来源复制内容,但粘贴到特定目标位置时除外
指定用户可以从中复制内容的来源网址,但粘贴到特定目标位置时除外。例如,您可以允许用户从组织的内部网或知识库中复制内容,但他们只能将这些内容粘贴到内部沟通渠道,而不能粘贴到社交媒体等外部渠道。
- 内容来源 - 指定用户可以从中复制内容的来源网址。您必须填写此字段,相应设置才能生效。
- 在将内容粘贴到以下目标位置时显示警告 - 指定在用户尝试将内容粘贴到这些目标位置时显示警告的目标网址。用户可以在显示警告后选择是否粘贴内容。
- 禁止粘贴到以下目标位置 - 指定用户无法将内容复制并粘贴到的目标网址。
- 阻止粘贴到 - 勾选相关复选框,即可阻止将内容粘贴到其他 Chrome 个人资料、无痕式窗口或非 Chrome 应用。
禁止从以下来源复制内容,但粘贴到特定目标位置时除外
指定用户无法复制的内容的来源网址,但粘贴到特定目标位置时除外。例如,您可以阻止用户复制包含敏感数据的网站上的 Web 内容,并将其粘贴到其他网站或外部应用(例如文本文件或其他浏览器)中。
- 内容来源 - 指定用户无法从中复制内容的来源网址。您必须填写此字段,相应设置才能生效。
- 在将内容粘贴到以下目标位置时显示警告 - 指定当用户尝试粘贴从这些来源复制的内容时会显示警告的目标网址。用户可以在显示警告后选择是否粘贴内容。
- 允许粘贴到以下目标位置 - 指定用户可以将内容复制并粘贴到的目标网址。
仅适用于拥有 Chrome 企业进阶版许可的受管理用户和浏览器。
控制组织中的用户是否可以将内容粘贴到特定目标位置。
您可以指定要禁止、允许或警告用户将内容粘贴到特定目标位置的网址。如需详细了解有效网址格式,请参阅企业政策网址格式。
允许将内容粘贴到以下目标位置(但从特定来源复制时除外)
指定可以将内容粘贴到的目标网址(但从特定来源复制时除外)。例如,您可以允许将内容粘贴到组织的代码库中,但前提是这些内容来自特定的基于 Web 的工作应用,而不是来自开源代码库、竞争对手的网站、非 Chrome 应用(例如记事应用)或非 Chrome 浏览器。
- 粘贴目标位置 - 指定用户可以将内容粘贴到的目标网址。您必须填写此字段,相应设置才能生效。
- 在粘贴从以下来源复制的内容时显示警告 - 指定当用户尝试粘贴从这些来源复制的内容时显示警告的来源网址。用户可以在显示警告后选择是否粘贴内容。
- 禁止粘贴从以下来源复制的内容 - 指定用户无法从中复制和粘贴内容的来源网址。
- 阻止从以下来源粘贴内容:选中相关复选框,即可阻止从其他 Chrome 个人资料、无痕式窗口或非 Chrome 应用粘贴内容。
禁止将内容粘贴到以下目标位置(但从特定来源复制时除外)
指定禁止将内容粘贴到的目标网址(但从特定来源复制时除外)。例如,您可以禁止将内容粘贴到组织的客户关系管理 (CRM) 平台,除非该内容是从 CRM 中复制的。
- 粘贴目标位置 - 指定用户无法将内容粘贴到的目标网址。您必须填写此字段,相应设置才能生效。
- 在粘贴从以下来源复制的内容时显示警告 - 指定当用户尝试粘贴从这些来源复制的内容时显示警告的来源网址。用户可以在显示警告后选择是否粘贴内容。
- 允许粘贴从以下来源复制的内容 - 指定用户可以从中复制和粘贴内容的来源网址。
屏幕截图防范功能适用于 Windows 和 Mac 设备,而屏幕共享防范功能仅适用于 Windows 设备。此设置不适用于 Linux 设备。
仅适用于拥有 Chrome 企业进阶版许可的受管理用户和浏览器。
控制您组织中的用户是否可以在其设备上针对特定网站截取屏幕截图和共享屏幕。此政策适用于通过任何方式(包括键盘快捷键,以及使用 Chrome API 获取屏幕截图的应用和扩展程序)生成的屏幕截图。
您可以指定一系列网址格式,将其作为您所选屏幕截图行为的例外情况。如需详细了解有效网址格式,请参阅企业政策网址格式。
- 启用禁止屏幕截图设置,但以下网址除外 - 指定您要允许屏幕截图和屏幕共享的网站的网址。用户无法在所有网站上截取屏幕截图以及共享屏幕,但您指定的网站除外。
- 停用禁止屏幕截图设置,但以下网址除外 - 指定您要禁止在哪些网站上截取屏幕截图和共享屏幕。用户可以在所有网站(您指定的网站除外)上截取屏幕截图和共享屏幕。
已登录用户的 Chrome 管理服务
已登录用户的 Chrome 管理服务指定当用户在任意设备上使用其 Google 帐号登录 Chrome 时,系统是否会强制执行您在管理控制台中设置的用户级 Chrome 政策。要配置此设置,请点击修改。默认情况下,在用户登录 Chrome 时应用所有用户政策,并提供受管理的 Chrome 体验处于选中状态。
为了向后兼容,您可以允许用户以非受管用户的身份登录 Chrome。请选择在用户登录 Chrome 时不应用任何政策。允许用户以非受管用户的身份访问并使用 Chrome。然后,当用户登录 Chrome 后,他们将不会再收到您在管理控制台中设置的用户级政策,包括应用和扩展程序。
关闭并重新开启 Chrome 管理服务,可能会导致某些用户的帐号发生变化。在重新开启此功能之前,请先通知您的用户。Chrome 管理服务处于关闭状态时,用户可能以不受管用户的身份登录。再次开启此设置后,Android 应用可能会被移除,或者用户可能无法再在 ChromeOS 设备上同时登录多人。
如果您使用管理控制台管理 ChromeOS 设备,则无需启用 Chrome 管理服务以应用政策。即使您关闭了此设置,用户级政策也适用于这些 ChromeOS 设备。
要了解如何设置 Chrome 浏览器用户级管理,请参阅管理 Chrome 浏览器上的用户配置文件。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。