要制定办公室复工策略?了解 Chrome 操作系统可以为您提供哪些帮助

为用户或浏览器设置 Chrome 政策

适用于通过 Google 管理控制台管理 Chrome 政策的管理员。

您可以在管理控制台中强制执行 Chrome 政策并将其应用于:

  • 用户帐号,以便在用户的不同设备之间同步政策和偏好设置。在任何设备上,只要用户使用受管理的帐号登录 Chrome 浏览器,系统便会应用相应设置。
  • 已注册的浏览器,以便在用户使用受管理的 Microsoft Windows、Apple Mac 或 Linux 计算机打开 Chrome 浏览器时强制执行相应政策。用户无需登录。

第 1 步:了解系统何时会应用设置

系统究竟何时会强制执行您的 Chrome 政策,取决于这些政策是为用户帐号设置的还是为已注册的浏览器设置的。

为用户设置的政策

适用于 Google Workspace、Chrome 浏览器企业支持服务、Chrome 企业版升级、Chromebook 企业版设备和 Cloud Identity。

在任何设备上,只要用户通过受管理的 Google 帐号登录,系统就会应用这类政策,登录的具体对象如下:

在以下情况下,系统不会应用这类政策:

  • 用户登录单位外部的 Google 帐号(例如个人 Gmail 帐号)时
  • 用户以访客身份登录 Chromebook 时

最适合那些应在不同设备之间保持同步的工作设置和偏好设置,例如工作应用、设为主页的标签页、主题背景等。

如需开始设置,请参考:设置 Chrome 浏览器用户级管理政策

为已注册的浏览器设置的政策

  • 当用户在注册了 Chrome 浏览器的计算机(Windows、Mac 或 Linux)上打开该浏览器时,系统就会应用这类政策。
  • 用户无需登录。
  • 最适合那些要在设备一级强制执行的政策,例如安全设置、屏蔽的应用等。

如需开始设置,请参考:设置 Chrome 浏览器云管理

第 2 步:在管理控制台中配置设置

准备工作:要为某一组用户帐号或已注册的 Chrome 浏览器配置设置,请将相应用户或浏览器归入一个单位部门

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备 接着点击 Chrome 管理
  3. 点击左侧的设置 接着点击 用户和浏览器
  4. 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  5. 根据需要配置设置。了解各项设置

    提示:您可以在顶部的搜索框中输入文字,从而快速查找所需设置。

    如果某项设置是从上级单位继承而来,您将看到继承的设置字样。而如果下级单位的设置覆盖了从上级单位继承的设置,您将看到在本单位内指定的设置字样。

  6. 点击保存

    设置通常会在几分钟内生效,但最长可能需要 24 小时才能应用到所有用户。

了解各项设置

对于很多设置来说,您可以强制执行用户无法更改的政策,也可以设置用户可以更改的默认值。举例来说,您可以指定一个所有用户都必须使用的主页,也可以让用户自行设置主页。

大多数政策会同时应用于 Chrome 操作系统中的关联用户和独立用户。如果用户与其登录的 Chrome 操作系统设备受同一网域管理,那么这类用户即为关联用户。如果用户是以受管理用户的身份从其他网域登录设备(例如,<用户>@<网域 A>.com 登录受 <网域 B>.com 管理的设备)或登录的设备为非受管设备,那么这类用户即为独立用户。仅应用于关联用户或独立用户的政策会在管理控制台中明确标记出来。

提示:很多管理员都会保留默认设置,而仅配置启动页、新标签页、应用和扩展程序、主题背景等设置。
 

常规

展开所有部分  |  收起所有部分

用户会话时长上限

控制用户会话的持续时间。剩余的会话时间会显示在用户系统任务栏中的倒计时器上。达到指定的时间后,用户会自动退出登录并结束会话。您可以输入一个介于 1 分钟到 1440 分钟(24 小时)之间的值。如果无需限制会话时长,请不要输入任何值。

自定义头像

使用自定义头像替换默认头像。您可以上传 JPG 格式(.jpg 或 .jpeg 文件)的图片,图片大小不能超过 512 KB。不支持其他文件类型。

自定义壁纸

使用自定义壁纸替换默认壁纸。您可以上传 JPG 格式(.jpg 或 .jpeg 文件)的图片,图片大小不能超过 16 MB。不支持其他文件类型。

自定义主题颜色

指定 Chrome 浏览器主题颜色,用户无法更改该颜色。以 #RRGGBB 十六进制格式在文本字段中输入颜色代码。

如果留空,则用户可以更改其浏览器主题颜色。

登录设置

展开所有部分  |  收起所有部分


指定用户是否可以登录 Chrome 浏览器并将浏览器信息同步到自己的 Google 帐号。

根据需要,从以下选项中选择一项:

  • 禁止登录浏览器:用户无法登录 Chrome 浏览器,也无法将浏览器信息同步到自己的 Google 帐号。
  • 允许登录浏览器:用户可以登录 Chrome 浏览器并能将浏览器信息同步到自己的 Google 帐号。当用户登录 Google 服务(例如 Gmail)后,会自动登录 Chrome 浏览器。
  • 强制要求用户登录才能使用浏览器:强制要求用户在使用 Chrome 浏览器之前必须先登录。Chrome 浏览器不允许次要用户登录。默认情况下,同步功能处于启用状态,且用户无法更改此设置。


指定一个正则表达式,以决定哪些 Google 帐号能被设为 Chrome 浏览器的主帐号。举例来说,如果将值设为 .*@example\.com,则只有 example.com 网域中的帐号才能登录。

如果用户尝试将不符合指定模式的用户名设为浏览器的主帐号,就会显示错误消息。

如果留空,则用户可以将任何 Google 帐号设为 Chrome 浏览器的主帐号。

默认情况下,启用登录拦截功能处于选中状态。当用户在网络上添加 Google 帐号时,系统会显示登录拦截对话框。如此一来,用户在将此帐号移至另一份新的或现有的个人资料中时,或许也能从中获益。

选择在登录屏幕和锁定屏幕上启用显示密码按钮后,用户就可以在 Chrome 操作系统设备上显示自己的密码。用户可以点击密码字段末尾的“显示密码”图标,以显示当前输入的密码。如果您选择在登录屏幕和锁定屏幕上取消“显示密码”按钮,用户就不会看到上述图标。

移动设备

移动版 Chrome(Beta 版)

警告:此功能为实验性功能。在更改此设置前,请先通知您的用户。要提供反馈或报告问题,请填写此表单

通过此设置,您可以选择是否应将受支持的政策应用到移动设备版 Chrome 浏览器。启用此设置之前,您需要先启用 Chrome 浏览器管理服务。启用 Chrome 浏览器管理服务和此设置后,用户若通过贵单位的帐号登录 Android 版 Chrome 浏览器,便会开始接收您设定的设置。用户退出受管理的帐号后,系统会停止应用政策,并删除设备上的本地个人资料。

注册控件

展开所有部分  |  收起所有部分

Microsoft® Active Directory®

您必须以超级用户身份登录,才能执行此任务。

注意:新用户无法再通过 Microsoft Active Directory (AD) 管理 Chrome 操作系统设备。对于 AD 环境中的 Chrome 操作系统设备,我们建议使用云端 Chrome 管理和 Kerberos。有关详情,请参阅管理 Chrome 操作系统设备的政策

启用 Active Directory 管理功能

选择启用 Active Directory 管理功能后,您可以通过 Microsoft Active Directory 或您的管理控制台管理 Chrome 操作系统设备。您可以通过下文所述的“设备管理模式”设置,指定所选单位部门中用户所注册的设备是否与 Active Directory 集成。您可以通过 Google 管理控制台和网域控制器查看相关设备。有关详情,请参阅通过 Active Directory 管理 Chrome 操作系统设备

身份提供商元数据

仅在通过 Active Directory 管理 Chrome 操作系统设备时可用

要让 Active Directory 用户访问 Google Play 商店,您需要上传 Active Directory Federation Services (AD FS) 文件。然后,当用户打开 Google Play 企业版商店时,系统会自动显示您为网域批准的应用。有关详情,请参阅配置网域以访问 Google Play 企业版商店

有关设备加入网域的配置

仅在通过 Active Directory 管理 Chrome 操作系统设备时可用

您可以上传配置模板来尽可能减少用户在将设备添加到 Active Directory 网域时所需要输入的信息量。系统会提示用户只需输入 Chromebook 设备名称并选择配置(例如销售或工程)。

设备管理模式

您可以通过此设置,指定是使用 Microsoft Active Directory 还是管理控制台管理 Chrome 操作系统设备。如果您选择 Active Directory,那么所选单位部门中用户注册的设备会与 Active Directory 集成。您可以使用组策略将政策应用到设备。

设备注册

只有在设备是首次于网域中注册或设备之前已取消配置的情况下,此政策才会生效

如果选择将 Chrome 设备归入当前位置,则当您注册 Chrome 设备后,该设备便会归入您网域的顶级单位部门,并相应地从此单位部门获取设备设置。

如果选择将 Chrome 设备归入用户单位,则在注册 Chrome 设备后,该设备便会归入执行注册的用户所属的单位部门。您为此用户的单位部门所应用的设置会同样应用于该设备。

如果您需要手动注册许多设备,则将 Chrome 设备归入用户单位这一设置便非常有用。注册后,用户的单位部门所独有的设备设置将自动添加到相应设备,而无需再以手动的方式将各台设备移入特定单位部门。

注册期间的资产 ID

此设置可控制用户能否在注册设备时为设备添加资产 ID 和位置信息。

  • 不允许此单位中的用户执行此操作 - 用户无法输入资产 ID 和位置信息。
  • 此单位中的用户可以在注册期间提供资产 ID 和位置 - 用户可以输入设备的资产 ID 和位置信息。

如果您选择允许用户输入资产 ID 和位置信息,则设备信息页面中的对应字段将会显示原先存在的数据。如果原先没有数据存在,这些字段就会留空。在完成注册之前,用户可以修改或输入设备详细信息。用户输入的信息会填充到管理控制台和 chrome://policy 中的资产 ID 和位置字段中。

注册权限

默认情况下,此单位部门中的用户可以注册新设备或重新注册已取消配置的设备。无论是注册新设备还是重新注册已取消配置的设备,均会消耗升级许可。用户也可重新注册已擦除数据或恢复出厂设置的设备。重新注册已擦除数据或恢复出厂设置的设备不会消耗新的升级许可,因为该设备仍处于受管理状态。

如果选择仅允许此单位中的用户重新注册现有设备(不得注册新设备或已取消配置的设备),则用户只能重新注册已擦除数据或恢复出厂设置,但未取消配置的设备。用户无法注册新设备或重新注册已取消配置的设备(只要执行这类操作,就会消耗升级许可)。

如果选择不允许此单位中的用户注册新设备或重新注册现有设备,可禁止用户注册或重新注册任何设备(包括通过强制重新注册来重新注册设备)。

应用和扩展程序

通过“应用和扩展程序”页面,您可以集中处理所有的应用和扩展程序配置工作。有关详情,请参阅查看和配置应用和扩展程序

  • 允许和屏蔽应用
  • 强制安装应用
  • 将应用固定至任务栏
应用设置页面包含应用和扩展程序的其他设置。有关详情,请参阅设置应用和扩展程序政策
  • 安装来源
  • 允许的应用类型
  • 按权限屏蔽扩展程序
  • Chrome 网上应用店首页和权限
任务管理器

默认情况下,允许用户通过 Chrome 任务管理器终止进程处于选中状态。

如果您选择禁止用户通过 Chrome 任务管理器终止进程,则用户仍然可以打开任务管理器,但无法在其中终止进程。这是因为结束进程按钮会呈灰显状态而无法使用。

网站隔离

网站隔离

在 Chrome 设备上为受管理的 Chrome 浏览器用户启用网站隔离功能。隔离您指定的网站和源站。

  • 为所有网站启用网站隔离功能 - 每个网站都会在专门的呈现进程中运行,而且所有网站彼此都是隔离开来的。(如果您未指定任何选项,则此为默认设置)
  • 为所有网站关闭网站隔离功能,下列网站例外 - 只有您指定的网站会分别在单独的进程中运行。您输入的每个网站都会在专门的呈现进程中运行。

您也可以输入一系列源站(以英文逗号分隔),从而将这些源站与其各自对应的网站隔离开来。例如,您可以输入 https://login.example.com 以将其与 https://example.com 下的其余网站隔离开来。

有关详情,请参阅通过网站隔离功能保护数据

网站隔离(Android 版 Chrome)

在 Android 设备上为受管理的 Chrome 浏览器用户启用网站隔离功能。隔离您指定的网站和源站。

请注意:在 Android 设备上启用网站隔离功能会降低 Chrome 浏览器性能,因此该功能默认处于停用状态。

  • 允许用户选择启用网站隔离功能 - 用户可以选择是否启用网站隔离功能。
  • 为所有网站启用网站隔离功能 - 每个网站都会在专门的呈现进程中运行,而且所有网站彼此都是隔离开来的。
  • 为所有网站关闭网站隔离功能,下列网站例外 - 只有您指定的网站会分别在单独的进程中运行。您输入的每个网站都会在专门的呈现进程中运行。

您也可以输入一系列源站(以英文逗号分隔),从而将这些源站与其各自对应的网站隔离开来。例如,您可以输入 https://login.example.com 以将其与 https://example.com 下的其余网站隔离开来。

安全性

展开所有部分  |  收起所有部分

密码管理器

如果您选择始终允许使用密码管理器,则用户便可让 Chrome 浏览器记住密码,并在他们下次登录网站时自动提供密码。如果您选择不允许使用密码管理器,则用户将无法保存新密码,但仍然可以使用之前保存过的密码。选择允许用户决定可允许用户配置密码管理器。

锁定屏幕

启用或停用用户设备上的锁定屏幕。如果您选择不允许锁定屏幕,那么在通常会导致屏幕锁定的情况下,系统会使用户退出。此外,会触发锁定屏幕的闲置设置(例如休眠时锁定屏幕)也会使用户退出。

快速解锁

指定用户能否使用 PIN 码和指纹等快速解锁模式解锁其 Chrome 操作系统设备的锁定屏幕。

如果您选择 PIN 码并关闭暂存模式,则用户可以使用自己的 PIN 码(而不是 Google 帐号密码)通过 Google H1 安全芯片登录 Chrome 操作系统设备。用户可以在进行开箱体验 (OOBE) 设置时创建 PIN 码,也可以在设备上的“安全性与隐私”设置中创建。有时,系统可能仍会提示用户输入密码。例如,用户反复输入错误的 PIN 码,或者您强制用户更改密码。

如果用户使用共用设备,我们建议您不要允许用户使用 PIN 码解锁。

有关详情,请参阅锁定或解锁屏幕

自动提交 PIN 码

让您可以在锁定屏幕和登录屏幕中启用 PIN 码自动提交功能。此功能会更改 PIN 码在 Chrome 操作系统中的输入方式。与用于输入密码的文本字段类似,该功能会向用户显示需要输入几位数的 PIN 码。目前 PIN 码的长度范围在 6 至 12 位之间。

在锁定屏幕上播放媒体

指定用户是否可以在锁定设备的情况下播放媒体内容。

如果设备支持这项播放功能,则当用户锁定设备时,他们仍可通过锁定屏幕控制播放中的媒体内容。锁定屏幕上会显示相关控件,以便用户快速跳到下一曲目或暂停内容,而无需解锁设备。

闲置设置

闲置时间(分钟)

要指定用户的设备在闲置多长时间后进入休眠状态或退出帐号,请输入分钟数。要使用系统默认设置(具体设置因设备而异),请将此框留空。

闲置时执行的操作

选择您希望设备在上述闲置时间结束后执行的操作:

  • 休眠 - 如果您希望设备进入休眠模式,请选择此选项
  • 退出 - 如果您希望当前用户退出帐号,请选择此选项
  • 锁定屏幕 - 如果您希望锁定用户设备的屏幕,但不使其退出帐号,请选择此选项

合上机盖时执行的操作

如果您希望用户的设备在合上机盖后进入休眠状态或将用户退出,请选择此选项。

休眠时锁定屏幕

选择此选项可在设备进入休眠模式时锁定用户的屏幕,您也可以让用户自行决定。如果您选择允许用户进行配置,则用户便可在自己的设备设置中配置此选项。

无痕模式

指定是否允许用户使用无痕模式浏览内容。

如果选择不允许使用无痕模式,系统便会阻止用户打开新的无痕式窗口。Chrome 浏览器不会关闭已经打开的无痕式窗口,也不会阻止用户在这些窗口中打开新标签页。

对于幼儿园到高中 (K-12) 的教育网域,默认设置为不允许使用无痕模式

对于其他所有网域,默认设置为允许使用无痕模式

浏览器历史记录

决定是否允许 Chrome 浏览器保存用户的浏览记录。

清除浏览器历史记录

指定用户能否清除浏览器数据,包括浏览记录和下载记录。

请注意:即使禁止用户清除浏览器数据,也不能确保系统会保留浏览器历史记录和下载记录。例如,如果用户删除自己的个人资料,则系统会一并清除其浏览记录。

强制使用暂存模式

指定用户能否使用暂存模式浏览内容。

借助暂存模式,您的员工可以使用个人笔记本电脑或其信任的共用设备办公,同时降低在其设备上留下任何浏览信息的几率。

请注意:如果您使用此设置,我们建议您不要在管理控制台中停用 Chrome 同步功能。

在线撤消检查

如果您选择执行在线 OCSP/CRL 检查,Chrome 操作系统设备将执行 HTTPS 证书的在线撤消检查。

地理位置

设置是否允许网站跟踪用户的实际位置。

在 Chrome 浏览器中,此政策对应的是用户的 Chrome 设置中的用户选项。您可以设置默认允许或默认拒绝网站跟踪实际位置,也可以让网站在每次请求实际位置时询问用户。

对于在 Chrome 设备上运行的 Android 应用,如果您选择不允许网站检测用户的地理位置,Android 应用就无法访问位置信息。否则,当 Android 应用想要访问位置信息时,系统会请求用户的许可。

适用于运行 Chrome 92 或更高版本的 Chrome 操作系统设备

针对不通过 SAML 单点登录 (SSO) 而登录 Chrome 操作系统设备的用户,设置在登录屏幕上强制执行在线登录的频率。

每当用户在所设的频率周期后退出,就必须通过在线登录流程重新登录。

用户进行在线登录时,会使用 Google 身份服务。通过强制用户定期登录,您可以为要求双重身份验证或多重身份验证的单位提供更多安全保障。

输入所需数值(以天为单位):

  • 0 - 用户始终需要进行在线登录。
  • 1-365:达到设置的频率周期后,用户下次开启会话时必须进行在线登录。

如果留空,则用户无需定期进行在线登录。

如果用户使用 SAML SSO,请配置 SAML 单点登录的登录频率设置。

重要提示:此设置不会为 Chrome 操作系统设备上存储的用户数据(包括在线服务的身份验证令牌)提供额外的静态保护。静态用户数据加密使用离线身份验证因素,例如密码或智能卡。

适用于运行 Chrome 92 或更高版本的 Chrome 操作系统设备

针对不通过 SAML 单点登录 (SSO) 而登录 Chrome 操作系统设备的用户,设置在锁定屏幕上强制执行在线登录的频率。

每当用户在所设频率周期后锁定会话,就必须通过在线登录流程重新登录。

用户进行在线登录时,会使用 Google 身份服务。通过强制用户定期登录,您可以为要求双重身份验证或多重身份验证的单位提供更多安全保障。

输入所需数值(以天为单位):

  • 0 - 用户始终需要在锁定屏幕上进行在线登录。
  • 1-365:达到设置的频率周期后,用户下次解锁屏幕锁定时必须进行在线登录。

如果留空,则用户无需通过定期进行在线登录来解锁屏幕锁定。

如果用户使用 SAML SSO,请配置 SAML 单点登录解锁频率设置。

单点登录

允许您为 Chrome 操作系统设备启用或停用基于 SAML 的单点登录。

重要提示:使用此政策前,请查看为 Chrome 操作系统设备配置 SAML 单点登录中的相关要求。

为基于 SAML 的单点登录帐号设置在登录屏幕上强制执行在线登录流程的频率。

如果用户使用的是基于 SAML 的 SSO 帐号,那么每当用户在所设的频率周期后退出,就必须通过在线登录流程重新登录。

用户进行在线登录时,会使用您所配置的 SAML SSO 服务。通过强制用户定期登录,您可以为要求双重身份验证或多重身份验证的单位提供更多安全保障,并确认用户帐号仍然有效。

登录频率选项:

  • 每天
  • 每 3 天
  • 每周
  • 每 2 周
  • 每 3 周
  • 每 4 周
  • 每次
  • 永不

重要提示:使用此政策前,请查看为 Chrome 操作系统设备配置 SAML 单点登录中的相关要求。此设置不会为 Chrome 操作系统设备上存储的用户数据(包括在线服务的身份验证令牌)提供额外的静态保护。静态用户数据加密使用离线身份验证因素,例如密码或智能卡。

如果用户不使用 SAML SSO,请配置 Google 在线登录频率设置。

适用于运行 Chrome 92 或更高版本的 Chrome 操作系统设备

针对使用 SAML 的用户设置在锁定屏幕上强制执行在线登录的频率。

每当用户在所设频率周期后锁定会话,就必须通过在线登录流程重新登录。

用户进行在线登录时,会使用您所配置的 SAML SSO 服务。通过强制用户定期登录,您可以为要求双重身份验证或多重身份验证的单位提供更多安全保障,并确认用户帐号仍然有效。

输入所需数值(以天为单位):

  • 0 - 用户始终需要在锁定屏幕上进行在线登录。
  • 1-365:达到设置的频率周期后,用户下次解锁屏幕锁定时必须进行在线登录。

如果留空,则用户无需通过定期进行在线登录来解锁屏幕锁定。

如果用户使用 SAML SSO,请配置 Google 在线解锁频率设置。

TLS 中的 RC4 加密套件

如果某些旧版服务器需要使用“TLS 中的 Rivest Cipher 4 (RC4) 加密套件”,此设置可允许您暂时启用或停用该加密套件。

请注意:RC4 并不安全。我们建议您重新配置服务器以支持 AES 加密。

本地信任锚证书

本地锚常用名的备用名

控制要允许使用还是屏蔽由本地信任锚颁发的缺少 subjectAlternativeName 扩展程序的证书。如果选择允许,那么当服务器证书缺少 subjectAlternativeName 扩展程序时,Chrome 浏览器将会使用该证书的 commonName 与主机名进行匹配(前提是该证书成功通过验证,并链接到本地安装的 CA 证书)。

请注意:我们不建议选择允许,因为这可能会使系统绕过 nameConstraints 扩展程序,进而导致无法为指定授权证书限制主机名。

Symantec 公司的旧版公钥基础设施 (PKI)

允许信任 Symantec 公司的旧版公钥基础设施 (PKI) 运营颁发的证书,但这类证书必须以其他方式成功通过验证并链接至公认的 CA 证书。对于非 Chrome 操作系统,只有仍认可 Symantec 旧版基础设施证书的操作系统才适用此政策。如果操作系统某项更新会更改对此类证书的处理方式,那么此政策不再有效。此政策仅用作临时解决方法,旨在为企业弃用旧版 Symantec 证书提供更多过渡时间。

可绕过证书透明度设置的网址

指定在哪些网址中不强制要求证书必须符合证书透明度要求。如此一来,Chrome 浏览器便能使用由证书授权机构 (CA) 颁发,但尚未对外公开的证书。如果 CA 为特定网址颁发的证书不合规定,则 Chrome 浏览器可能无法检测出这些证书。

系统只会匹配网址的主机名部分,且不支持通配符主机名。请参阅允许或禁止访问网站:网址过滤器格式,了解网址语法。

不受证书透明度设置约束的证书授权机构 (CA) 许可名单

如果证书链中的证书含有指定的 subjectPublicKeyInfo 哈希,那么系统便不会强制要求相应证书必须符合证书透明度要求。如此一来,Chrome 浏览器便能使用证书授权机构 (CA) 为某一单位颁发,但尚未对外公开的证书。

要详细了解如何指定 subjectPublicKeyInfo 哈希,请参阅 CertificateTransparencyEnforcementDisabledForCas 政策。

不受证书透明度设置约束的旧证书授权机构 (CA) 许可名单

如果证书链中包含的证书由旧版证书授权机构 (CA) 颁发并拥有指定 subjectPublicKeyInfo 哈希,那么系统便不会强制要求相应证书必须符合证书透明度要求。部分运行 Chrome 浏览器的操作系统信任旧版证书授权机构,但 Chrome 操作系统或 Android 并非如此。Chrome 浏览器可以使用签发给单位,但尚未对外公布的证书。

要详细了解如何指定 subjectPublicKeyInfo 哈希,请参阅 CertificateTransparencyEnforcementDisabledForLegacyCas 政策。

针对已安装 CA 证书的用户管理

控制用户是否可以使用证书管理器导入、修改和移除证书授权机构 (CA) 证书。选择一个选项:

  • 允许用户管理所有证书 - 这是默认设置。用户可以修改所有 CA 证书的信任设置、移除用户导入的证书以及导入证书。
  • 允许用户管理用户证书 - 用户只能管理用户导入的证书,但无法更改内置证书的信任设置。
  • 禁止用户管理证书 - 用户可以查看 CA 证书,但无法管理证书。
用户管理已安装的客户端证书。

控制用户是否可以管理客户端证书。选择一个选项:

  • 允许用户管理所有证书 - 这是默认设置。用户可以管理所有证书。
  • 允许用户管理用户证书 - 用户只能管理用户证书,但无法管理设备级证书。
  • 禁止用户管理证书 - 用户可以查看证书,但无法管理证书。
CPU 任务调度程序

指定是否优化 Intel 超线程技术以提升稳定性或性能。超线程技术能提高处理器资源的利用率和处理器吞吐量。

启用“渲染程序代码完整性”

默认情况下,系统会选择已启用“渲染程序代码完整性”。Chrome 浏览器会阻止未知的和潜在的恶意代码在 Chrome 浏览器的渲染程序进程中加载。

除非必须要在 Chrome 浏览器渲染程序进程中运行的第三方软件存在兼容性问题,否则我们不建议停用此设置。如果您选择已停用“渲染程序代码完整性”,Chrome 浏览器的安全性和稳定性可能会受到影响。

针对输入的凭据启用泄露检测功能

控制 Chrome 是否检查用户名和密码的泄露情况。

如果未启用“安全浏览”功能,则此设置无效。要确保“安全浏览”功能已启用且用户无法更改,请将“安全浏览”设置设为始终启用安全浏览功能。有关详情,请参阅安全浏览

环境身份验证

Chrome 81 及以上版本支持此政策。如果使用的是 Chrome 80 或以下版本,不设置任何政策时,系统会为所有会话(常规、无痕和访客会话)启用环境身份验证。如果使用的是 Chrome 81 及以上版本,不设置任何政策时,系统仅会为常规会话启用环境身份验证。

在 Chrome 81 的无痕模式和访客会话中,环境身份验证 (NTLM/Kerberos) 默认处于停用状态。

Chrome 清理

指定是否允许 Chrome 清理工具定期扫描系统以检测是否存在垃圾软件。

Chrome 清理工具会移除有害的恶意软件并还原所有被篡改的设置。如果发现可疑情况,该工具会让用户选择是否移除。

如果选中允许 Chrome 清理功能定期扫描系统并允许人工扫描,则您可以指定是否与 Google 分享 Chrome 清理功能的运行结果。选择一个选项:

  • 用户可以选择与 Google 分享 Chrome 清理功能的运行结果
  • 一律不与 Google 分享 Chrome 清理功能的运行结果
  • 一律与 Google 分享 Chrome 清理功能的运行结果

如果用户遇到以下问题,也可以通过 chrome://settings 手动触发 Chrome 清理功能:

  • 过多弹出式广告和不应出现的网页
  • 搜索引擎或主页被重定向到不认识的服务或网站

如果您选择禁止 Chrome 清理功能定期执行扫描并禁止人工扫描,则 Chrome 清理功能不会定期执行扫描,用户也无法手动触发扫描。

在 Microsoft Windows 设备上,只有当 Chrome 浏览器符合以下条件时,才能使用 Chrome 清理功能:

  • 已加入 Microsoft Active Directory 网域
  • 在 Windows 10 Pro 中运行
  • 已注册 Chrome 浏览器云管理
第三方代码

指定第三方软件是否可以将可执行代码插入到 Chrome 进程中。

如果您选择禁止在 Chrome 中插入第三方代码,则第三方软件无法将可执行代码注入 Chrome 进程。

对于已加入 Microsoft Active Directory 网域的设备,无论政策设置如何,Chrome 浏览器都不会阻止第三方软件将可执行代码注入其进程。

音频沙盒

指定音频进程是否要与关键系统资源和其他程序隔离开来,以采用沙盒机制。这种做法可以提升系统安全性。

沙盒可以限制音频进程使用其真正需要的资源。

默认设置为使用音频沙盒的默认配置,具体可能会因平台而异。如果您使用的安全软件设置会干扰沙盒,请选择一律不在沙盒中处理音频

关于系统不受支持的警告

对于在不受支持的计算机或操作系统中运行 Chrome 的用户,决定是否向其显示警告。

高级保护计划

默认情况下,注册高级保护计划的用户将获得额外预防措施处于选中状态。

您可以控制已加入高级保护计划的用户是否可以免受在线攻击,例如防止他人在未经授权的情况下访问您的帐号,或避免有害下载内容的侵害。其中的部分功能可能会涉及与 Google 分享数据。例如,已加入高级保护计划的用户能够在下载之前将下载内容发送给 Google,以进行更严格的恶意软件扫描。

选择注册高级保护计划的用户仅能获得标准个人用户保护功能可阻止已加入高级保护计划的用户获得额外保护功能。

覆盖针对不安全来源的限制

指定针对不安全来源的限制不适用于哪些来源(网址)或主机名格式。此政策还可防止网址在地址栏中被标记为不安全

您可以为无法部署传输层安全协议 (TLS) 的旧版应用指定网址,或设置用于内部网络开发的临时服务器。这样,开发者无需在临时服务器上部署 TLS 就能测试需要安全上下文的功能。

在此设置中指定一系列网址的效果等同于将 unsafely-treat-insecure-origin-as-secure 命令行设为包含同一系列网址的逗号分隔列表。

如需详细了解安全上下文,请参阅安全上下文

命令行标记

当用户使用可能不安全的命令行标记启动 Chrome 时,控制是否向其显示安全警告。

如要通过 Microsoft Windows 使用此功能,计算机需要加入 Microsoft Active Directory 网域、在 Windows 10 专业版上运行,或已注册 Chrome 浏览器云管理服务。

如要通过 macOS 使用此功能,计算机需要通过 MDM 进行管理或通过 MCX 加入网域。

弹出式内容交互

指定是否允许以 _blank 为目标打开的弹出式窗口与打开该窗口的网页互动。

  • 禁止以 _blank 为目标打开的弹出式窗口与打开该窗口的网页互动 - 允许以 _blank 为目标打开的弹出式窗口与打开窗口的网页互动,但前提是这些网页已明确接受此类互动。
  • 允许以 _blank 为目标打开的弹出式窗口与打开该窗口的网页互动 - 允许所有以 _blank 为目标打开的弹出式窗口与请求打开窗口的网页互动,除非这些网页已明确拒绝此类互动。
安全令牌移除

指定当用户移除其安全令牌时系统要采取的操作。目前,只有当您配置使用智能卡登录时,此设置才会影响用户会话。有关详情,请参阅在受管理的 Chrome 设备上设置智能卡登录方式

以下是各个选项:

  • - 系统不会执行任何操作。
  • 强制用户退出 - 系统会强制用户退出登录,而用户必须重新登录。
  • 锁定当前会话 - 在用户使用安全令牌重新身份验证前,系统会锁定用户会话。

如果您选择强制用户退出锁定当前会话,系统会显示移除通知持续时间(秒)字段。您可以输入通知(告知用户即将执行的操作)的显示时长(秒数)。如果用户未重新插入其安全令牌,系统会在此通知到期后执行此操作。如果您输入 0,系统将不会显示任何通知,并且会立即执行此操作。

系统通知

仅 Linux

默认情况下,允许使用系统通知处于选中状态。因此,Linux 上的 Chrome 浏览器可以使用系统通知。

选择不允许使用系统通知,即可禁止 Chrome 浏览器使用系统通知。不过,浏览器会使用 Chrome 的消息中心。

传输层安全协议 (TLS) 中的 3DES 加密套件

传输层安全协议 (TLS) 1.0 (RFC 2246) 和 1.1 (RFC 4346) 版本包含基于 3DES(三重数据加密标准)算法的加密套件。加密套件是有关如何使用传输层安全协议 (TLS) 保护网络的说明组,提供有关如何在使用 HTTPS、FTPS、SMTP 和其他网络协议时传输安全数据的重要信息。

3DES 只能提供 112 位的有效安全性。通过启用 TLS 中的 3DES 加密套件,您可以使用此政策暂时保持与过时服务器的兼容性。这只是一种权宜之计,正确的做法是重新配置服务器。

默认设置为在传输层安全协议 (TLS) 中使用 3DES 加密套件的默认设置

远程访问

远程访问客户端

为远程访问客户端配置必要的域名,并禁止用户更改此设置。只有指定网域中的客户端可以连接到主机设备。如果留空,那么任何网域中经过授权的用户均可连接到主机。

防火墙穿越功能

当远程客户端尝试与用户设备建立连接时,您可以启用 STUN(Session Traversal Utilities for NAT,即 NAT 会话穿越实用程序)服务器和 TURN(Traversal Using Relays around NAT,即 NAT 中继穿越实用程序)服务器。

如果您选择启用防火墙穿越功能,远程客户端即使被防火墙隔离,也依然能够发现并连接用户的设备。默认情况下,中继服务器处于启用状态,但您可以选择将其停用。在启用防火墙的情况下,中继服务器允许连接到其他服务器并传输数据,而无需建立直接连接。要限制用户设备中的远程访问主机使用的 UDP 端口范围,请在 UDP 端口范围字段中输入范围的最小值和最大值。如果留空,则任何端口都可以使用。

如果您选择停用防火墙穿越功能,且出站 UDP 连接经由防火墙过滤,则用户的设备只能与本地网络内的客户端设备连接。

会话设置

在面板中显示“退出”按钮

选择在面板中显示“退出”按钮,以在任务栏中明确显示“退出”按钮。对于需要快速退出 Chrome 操作系统设备的用户,此设置非常有用。

Kerberos

展开所有部分  |  收起所有部分

Kerberos 票据

您可以选择启用 Kerberos,以便在 Chrome 操作系统设备上使用 Kerberos 票据,为支持 Kerberos 身份验证的内部资源启用单点登录 (SSO)。这类内部资源可能包括网站、文件共享、证书等。有关详情,请参阅为 Chrome 设备配置 Kerberos 单点登录

记住 Kerberos 密码

指定用户是否可以允许 Chrome 记住 Kerberos 密码,以便用户不必再次输入密码。默认情况下,允许用户记住 Kerberos 密码会处于选中状态。除非需要进行其他身份验证(例如双重身份验证),否则 Chrome 会自动提取 Kerberos 票据。

如果选择不允许用户记住 Kerberos 密码,则 Chrome 永远不会记住密码,并且还会移除之前存储的所有密码。每当需要向 Kerberos 系统进行身份验证时,用户都必须输入密码。

Kerberos 帐号

决定用户是否可以添加 Kerberos 帐号。默认情况下,允许用户添加 Kerberos 帐号会处于选中状态。用户对自己添加的帐号拥有完全控制权,因此,他们可以修改或移除这类帐号。

选择禁止用户添加 Kerberos 帐号后,您只能通过政策添加帐号。

网络

展开所有部分  |  收起所有部分

代理模式

指定 Chrome 操作系统连接到互联网的方式。

如果您保留默认设置(允许用户进行配置),则 Chrome 操作系统设备会默认配置为直接连接,并且用户可以在其 Chrome 设置中更改代理配置。如果您选择任何其他代理模式选项,用户则无法更改此配置。

  • 不使用代理 - Chrome 操作系统设备会始终与互联网建立直接连接,而无需通过代理服务器。
  • 始终自动检测代理 - 会指示 Chrome 操作系统设备使用网络代理自动发现协议 (WPAD) 以确定要连接哪个代理服务器。
  • 始终使用以下指定的代理 - 会设置特定的代理服务器,以便处理来自用户的请求。您需要在显示的代理服务器网址字段中输入代理服务器的网址。代理服务器网址的格式应为 IP 地址:端口,如 192.168.1.1:3128
    如果某些网址应绕过处理其他用户请求的代理服务器,请在要绕过代理的网址(一行一个)字段中输入这些网址。如果您输入了多个网址,请每行列出一个网址。
  • 对于代理服务器自动配置文件网址,请通过始终使用以下指定的代理自动配置插入用于网络连接的 .pac 文件网址。

Chrome 操作系统如何处理无效代理

PROXY (foo) 是代理自动配置脚本中代理服务器的命名方式。如果您的第一个代理不起作用,Chrome 会尝试第二个代理,并将第一个代理标记为无效代理。

目前,当 Chrome 应用通过 PAC 解析的代理列表时,会根据代理之前是否可用重新排列代理选项。举例来说,在应用“PROXY foo1; PROXY foo2;”时,如果 Chrome 在上一次尝试 foo1 时出现超时(在过去 5 分钟内),则 Chrome 可能会先尝试从 foo2 开始。

如果 foo2 成功,则 Chrome 会将 foo1 标记为无效代理,并重新排列代理列表的优先顺序,对后续的所有其他请求优先采用 foo2。

对于 Chrome 操作系统设备,管理网址需要一个指向互联网的直接路径。通过代理过滤可能会导致功能运行异常。

在 Chrome 操作系统中运行的 Android 应用

如果您在受支持的 Chrome 操作系统设备上启用了 Android 应用,则可针对 Android 应用使用部分代理设置。Android 应用可能会选择应用您指定的设置。通常来说,使用 Android System WebView 或内置网络堆栈的应用会选择应用您的设置。您可以选择如下设置:

  • 永不使用代理服务器- 系统会通知 Android 应用未配置任何代理。
  • 使用系统代理设置固定服务器代理 - 系统会向 Android 应用提供 HTTP 代理服务器地址和端口。
  • 自动检测代理服务器 - 系统会向 Android 应用提供脚本网址“http://wpad/wpad.dat”,并且不会使用代理自动检测协议中的其他部分。
  • .pac 代理脚本 - 系统会向 Android 应用提供脚本网址。
针对强制门户忽略代理设置

指定 Chrome 操作系统是否可以在进行强制门户身份验证时跳过已配置的代理服务器。例如,着陆页或登录页面等强制门户页面(在 Chrome 检测到互联网成功连接之前,系统会提示用户在此页面接受相应条款或登录)。

可通过以下方式设置已配置的代理服务器:

  • 在管理控制台中使用代理模式设置
  • 由用户在自己的 Chrome 操作系统设备上,前往 chrome://settings 自行设置
  • 通过允许设置或修改代理的应用或扩展程序进行设置

如果您将此政策设为为强制门户页面忽略政策,那么 Chrome 会在新窗口中打开强制门户页面,并忽略为当前用户配置的所有设置和限制。如果您将其设为为强制门户页面保留政策,那么 Chrome 会在新的浏览器标签页中打开强制门户页面,并应用当前用户的政策和限制。

支持的身份验证方案

指定支持的 HTTP 身份验证方案。当服务器或代理接受多种身份验证方案时,系统会选择其支持的安全性最高的身份验证方案。您可以通过停用特定身份验证方案来替换默认行为。

  • 基本版 - 最不安全的方法,在不加密的情况下进行身份验证。
  • 摘要式身份验证 - 比基本身份验证更安全的质询响应方案。
  • NTLM 身份验证 - (NT LAN Manager) 更高级的质询响应方案,比摘要式身份验证更安全。
  • 协商 - 最安全的身份验证方案。如果此选项可用,我们推荐您选择此选项。如果不可用,我们推荐您使用 NTLM 身份验证。
允许在 HTTP 连接中使用基本身份验证

默认情况下,Chrome 浏览器允许在不安全的 HTTP 连接中使用基本身份验证。如果您选择只能在 HTTPS 连接中使用基本身份验证方案,则 Chrome 浏览器仅允许在 HTTPS 连接中使用基本身份验证。

注意:如果您未在“支持的身份验证方案”下指定基本,那么系统就会忽略这项设置。

NTLMv2 身份验证

NTLMv2 身份验证默认处于启用状态。除非遇到向后兼容性问题,否则我们不建议您停用此设置。选择停用 NTLMv2 身份验证会降低身份验证的安全性。

SSL 记录分割

仅在 Chrome 操作系统设备上受支持

选择启用 SSL 记录分割功能后,即可在 Chrome 中进行 SSL 记录分割。记录分割是针对 SSL 3.0 和 TLS 1.0 中某个弱项的解决方法,但可能会导致出现与部分 HTTPS 服务器和代理无法兼容的问题。

已启用 SSL 最低版本

指定用户可使用的传输层安全协议 (TLS) 的最低版本。

SSL 错误覆盖

指定用户能否绕过 SSL 警告并继续访问相关页面。

允许覆盖 SSL 错误的网域

通过此设置,您能够输入用户可以绕过 SSL 警告的一系列域名。只有当原域名位于这份域名列表中时,用户才可以绕过 SSL 警告。

输入网址值列表(每行一个)。例如:

https://www.example.com
[*.]example.edu

 

有关详情,请参阅企业版政策网址格式

注意:如果启用了 SSL 错误覆盖,此政策会被忽略。

数据压缩代理

使用 Google 托管的代理服务器优化网站内容,从而减少移动数据使用量并加快移动网页加载速度。

您可以选择始终启用数据压缩代理始终停用数据压缩代理。默认设置为允许用户决定

WebRTC UDP 端口

通过此设置,您可以指定用户在进行 WebRTC 连接时使用的 UDP 端口范围。端口范围在 1024 至 65535 之间,且最大端口值应大于或等于最小端口值。

本地 IP 的 WebRTC ICE 候选网址

通过此设置,您可以为本地 IP 的网页即时通信交互式连接创建 (WebRTC ICE) 添加候选网址。

Google 服务会通过调用 Chrome API 为启用了此设置的客户收集 WebRTC 事件。WebRTC 则通过用户数据报协议 (UDP) 传输数据。

每行只能输入一个网址,但可以使用通配符 *

系统会将您添加到此列表中的网址格式与请求网址的安全来源进行比对。如果找到匹配内容,系统就会在 WebRTC ICE 候选路径中显示本地 IP 地址。否则,本地 IP 地址将会隐藏,被 mDNS 主机名取代。

QUIC 协议

通过此设置,您可以允许用户在 Chrome 中使用快速 UDP 互联网连接 (QUIC) 协议。QUIC 是一种传输协议,与传输控制协议 (TCP) 相比,该协议能缩短延迟时间。有关详情,请参阅 Chromium

DNS-over-HTTPS

控制每个查询通过 HTTPS 协议进行远程域名系统 (DNS) 解析的默认模式。DNS-over-HTTPS (DoH) 有助于提高用户浏览网页时的安全性和隐私性。例如,攻击者将无法查看您访问了哪些网站,也无法将您转到钓鱼式攻击性质的网站。

根据需要,选择一个选项:

  • 停用 DNS-over-HTTPS - Chrome 绝不会将 DoH 查询发送到 DNS 服务器。
  • 启用 DNS-over-HTTPS,且允许改用不安全的方法 - 如果有支持 DoH 的 DNS 服务器可用,则 Chrome 会先发送 DNS-over-HTTPS 查询。如果收到错误消息,或者没有支持 DoH 的服务器可用,则 Chrome 只会向该服务器发送 DNS 查询。
  • 启用 DNS-over-HTTPS,且禁止改用不安全的方法 - Chrome 只会将 DoH 查询发送到 DNS 服务器。

如果您启用了 DoH,则可以添加您想要向用户提供的 DoH 解析器的 URI 模板列表。

默认设置为启用 DNS-over-HTTPS,且允许改用不安全的方法。但是,该设置有时会恢复为停用 DNS-over-HTTPS,且用户无法进行更改。如果 Chrome 检测到家长控制或企业政策的存在,就会发生这种情况。出现以下情况时,Chrome 会检测到企业政策:

  • 您在已加入网域的计算机上管理 Chrome 浏览器。
  • 您为 Chrome 浏览器设置了至少一项有效政策。
内置 DNS 客户端

通过此设置,您可以指定是否在 Chrome 浏览器中使用内置 DNS 客户端。

在 macOS、Android 和 ChromeOS 中,内置 DNS 客户端会默认处于启用状态,并且用户可以更改此设置。

此政策不会影响 DNS-over-HTTPS。如要更改 DNS-over-HTTPS 行为,请参阅 DNS-over-HTTPS 设置

CORS 旧版模式

通过跨域资源共享 (CORS),用户可以访问其他网域资源,同时可以保护贵单位免遭意外的跨域网络访问。

对于 Chrome 浏览器和运行 Chrome 操作系统版本 79 及更高版本的设备,新的 CORS 实施方式 (Out-Of-Renderer CORS) 会对网络请求(包括 Chrome 扩展程序)执行 CORS 检查。与之前的 CORS 实施方式相比,Out-Of-Renderer CORS 更加严格和安全。举例来说,CORS 协议之前会忽略已修改的请求 HTTP 标头,而 Out-Of-Renderer CORS 协议会对此加以检查。

指定 Chrome 浏览器能否使用旧版 CORS 协议,该协议的安全性和严格程度低于 Out-Of-Renderer CORS。

CORS 检查绕过

通过跨域资源共享 (CORS),用户可以访问其他网域资源,同时可以保护贵单位免遭意外的跨域网络访问。

对于 Chrome 浏览器和运行 Chrome 操作系统版本 79 及更高版本的设备,新的 CORS 实施方式 (Out-Of-Renderer CORS) 会对网络请求(包括 Chrome 扩展程序)执行 CORS 检查。与之前的 CORS 实施方式相比,Out-Of-Renderer CORS 更加严格和安全。举例来说,CORS 协议之前会忽略已修改的请求 HTTP 标头,而 Out-Of-Renderer CORS 协议会对此加以检查。

要使 Chrome 扩展程序和特定 HTTP 标头免于 CORS 检查,请选择启用检查绕过设置

始终开启的 VPN

指定在用户启动设备后立即处理 Android 和 Chrome 操作系统用户流量的 Android VPN 应用。出于安全原因,系统流量(例如操作系统和政策更新)不会经由虚拟专用网 (VPN) 传输。如果 VPN 连接失败,所有用户流量都将被拦截,直到重新建立 VPN 连接为止。请从用户设备上自动安装的 Android VPN 应用列表中进行选择。

选择不允许用户手动断开 VPN 连接,防止用户手动断开 VPN 连接。

有关详情,请参阅设置虚拟专用网(Android 版 VPN 应用)

集成式身份验证服务器

指定哪些服务器可以使用集成 Windows 身份验证 (IWA)。当 Chrome 收到由此许可名单中的代理服务器或服务器发出的身份验证请求时,系统便会启用集成式身份验证机制。

如要指定多个服务器名称,您必须使用英文逗号分隔。允许使用通配符 *,

如果留空,则 Chrome 会尝试检测某台服务器是否在内网上。如果该服务器在内网上,则 Chrome 会响应相应 IWA 请求。如果 Chrome 检测到此服务器位于互联网上,便会忽略来自该服务器的 IWA 请求。

Kerberos 委托服务器

指定 Chrome 可委托哪些服务器使用集成 Windows 身份验证 (IWA)。

如要指定多个服务器名称,您必须使用英文逗号分隔。允许使用通配符 *,

如果留空,那么即使检测到某台服务器在内网上,Chrome 也不会将用户凭据委派给它。

Kerberos 票据委托

指定是否遵循密钥分发中心 (KDC) 政策委派 Kerberos 票据。

Kerberos 服务主体名称

指定用来生成 Kerberos 服务主体名称 (SPN) 的名称来源。

Kerberos SPN 端口

指定生成的 Kerberos 服务主体名称 (SPN) 是否包含非标准端口。

跨域身份验证

指定是否允许页面中的第三方子内容弹出 HTTP 基本身份验证对话框。

默认引荐来源网址政策

指定 Chrome 默认的引荐来源网址政策。引荐来源网址政策控制网络请求中包含多少引荐来源信息。

如果您选择使用 Chrome 的默认引荐来源网址政策,则系统会使用 strict-origin-when-cross-origin 政策。本政策的目的:

  • 在执行同源请求时发送来源、路径和查询字符串
  • 在执行跨域请求时,仅当协议安全等级相同时(从 HTTPS 到 HTTPS)发送来源
  • 如果目的地安全性较低(从 HTTPS 到 HTTP),则不发送标头

如果您选择将 Chrome 的默认引荐来源网址政策设为先前的引荐来源网址政策,则系统会将先前的 no-referrer-when-downgrade 政策用于网络请求。本政策的目的:

  • 如果协议安全级别保持不变(从 HTTP 到 HTTP,从 HTTPS 到 HTTPS,或从 HTTP 提升到 HTTPS),则发送来源、路径和网址的查询字符串作为引荐来源网址
  • 如果目的地安全性较低(从 HTTPS 到 HTTP),则不发送标头
用户代理客户端提示

指定 Chrome 浏览器能否主动发送包含用户浏览器和环境相关信息的请求。如果可以,服务器便能启用分析功能并自定义响应内容。默认情况下,允许显示用户代理客户端提示会处于选中状态。

不过,如果某些网站限制了部分请求中可包含的字符,这些精细的请求标头可能会导致这些网站无法正常响应。

Signed HTTP Exchange (SXG)

默认情况下,接受通过 Signed HTTP Exchange (SXG) 提供的网络内容选项会处于选中状态,这样可确保内容处于可移植状态或可供其他方重新分发,同时保留内容的完整性和出处。

全局范围的 HTTP 身份验证缓存

通过此设置,您可以使用 HTTP 服务器身份验证凭据为每份个人资料配置一个全局性的缓存文件。

  • (默认)HTTP 身份验证凭据的使用范围仅限顶级网站 - 对于版本 80 及更高版本,Chrome 会按顶级网站界定 HTTP 服务器身份验证凭据的适用范围。也就是说,如果两个网站使用的资源是来自同一个要求进行身份验证的网域,则需要在这两个网站中分别提供凭据,而系统会在各网站重复使用缓存的代理凭据。
  • 在某个网站中输入的 HTTP 身份验证凭据会自动用于其他网站 - 这可能会导致网站容易受到某些类型的跨网站攻击,并会允许使用网址内嵌的凭据向 HTTP 身份验证缓存文件添加条目以对用户进行跨网站跟踪(甚至是在没有 Cookie 的情况下)。

此政策旨在让依靠旧版行为的单位能够更新他们的登录流程;我们将于日后移除这项政策。

要求为本地信任锚执行在线 OCSP/CRL 检查

对于已成功通过验证且已由安装在本地的 CA 证书签名的服务器证书,指定 Chrome 是否会一律执行撤消检查。如果 Chrome 无法获取任何撤消状态信息,则会将此类证书视为已撤消。

默认设置为使用现有的在线撤消检查设置

每个代理的连接数量上限

某些代理服务器无法为单个客户端处理大量并发连接。通过此设置,您可以指定代理服务器的并发连接数上限。该值应大于 6 且小于 100。我们知道,某些 Web 应用采用了挂起 GET,这样会消耗许多连接。该设置的默认值为 32。如果打开的此类 Web 应用过多,将值设为小于 32 就可能会导致浏览器网络卡住。

GSSAPI 库名称

指定 Chrome 进行 HTTP 身份验证应使用的 GSSAPI(通用安全服务应用编程接口)库。您可以将此政策设为库名称或完整路径,例如 GSSAPILibraryName 或 libgssapi_krb5.so.2。如果留空,Chrome 将使用默认的库名称。

HSTS 政策绕过列表

指定可绕过 HTTP 严格传输安全协议 (HSTS) 政策检查的主机名列表。HSTS 政策会强制网络浏览器只能通过安全的 HTTPS 连接(而非 HTTP 连接)与网站交互。

您只能输入单标签主机名;每行一个。必须将主机名规范化:任何 IDN 都必须转换为对应的 A 标签格式,而且所有 ASCII 字母都必须小写。此政策只适用于指定的主机名,不适用于这些主机名的子网域。

您可以通过这项设置,针对支持 HTTP Negotiate 身份验证(例如 Kerberos 身份验证)的 Android 身份验证应用提供的帐号,指定帐号类型。身份验证应用会生成安全代码,用于登录安全等级要求较高的网站。您应该可以从身份验证应用的供应商处获得此信息。有关详情,请参阅 Chromium 项目

启用 DNS 拦截检查功能

默认情况下,执行 DNS 拦截检查会处于选中状态。DNS 拦截检查功能会在浏览器上执行检查,以了解浏览器是否使用了会重定向不明主机名的代理。

将 WebRTC 中的 TLS/DTLS 降级到旧版

这是一项临时性政策,会在日后发布的 Chrome 版本中移除。Linux、Mac、Windows 和 Chrome 操作系统上的 Chrome 浏览器须是版本 87 及以上版本,才支持这项政策。

通过此政策,您可以设置允许将网页即时通信 (WebRTC) 中的旧版传输层安全协议 (TLS) 和数据报传输层安全协议 (DTLS) 降级至过时版本。

默认情况下,禁止将 WebRTC 对等互连降级到过时版本的 TLS/DTLS 协议(DTLS 1.0、TLS 1.0 和 TLS 1.1)会处于选中状态。这样一来,这些 TLS/DTLS 协议版本会处于停用状态。

WPAD 优化

您可以在 Chrome 中启用或停用 WPAD(网络代理自动发现协议)优化功能。

通过 WPAD,Chrome 浏览器等客户端可以在网络中自动寻找并连接缓存服务。这样一来,用户就能更快收到信息。

默认设置为启用网络代理自动发现 (WPAD) 优化功能。如果您选择停用网络代理自动发现 (WPAD) 优化功能,那么 Chrome 必须等待更长时间才能收到基于 DNS 的 WPAD 服务器的响应。

用户无法更改 WPAD 优化设置。

网络身份验证用登录凭据

适用于运行 Chrome 操作系统 89 或更高版本的设备。

指定是否使用用户名和密码向通过 NTLM 身份验证机制提供安全保护的受管理代理验证身份。

如果您选择将网络身份验证用登录凭据用于受管理的代理,那么当身份验证失败时,系统会提示用户输入其用户名和密码。

针对传输层安全协议 (TLS) 的 CECPQ2 后量子密钥协议

指定是否要让 Chrome 遵循椭圆曲线和后量子 2 组合 (CECPQ2) 的默认发布流程;CECPQ2 是传输层安全协议 (TLS) 中的一种后量子密钥协议算法。

CECPQ2 可帮助评估后量子密钥交换算法在用户设备上的性能。

CECPQ2 会导致更多的 TLS 消息产生;在极少数情况下,这种消息会致使部分网络硬件出错。在解决网络问题时,您可以停用 CECPQ2。

Android 应用

展开所有部分  |  收起所有部分

控制 Android 备份和恢复服务

通过此设置,您可以允许用户将 Android 应用中的内容、数据和设置备份到其 Google 帐号。当用户登录其他 Chrome 操作系统设备时,便可恢复其 Android 应用数据。

Google 位置信息服务

设置是否允许 Android 应用跟踪用户的实际位置。

您可以将其设置为:

  • 为 Chrome 操作系统中的 Android 应用停用位置信息服务 - Android 应用将无法访问位置信息。
  • 让用户决定是否允许 Chrome 操作系统中的 Android 应用使用位置信息服务 - 当 Android 应用想要访问位置信息时,系统会请求用户的许可。

已弃用。适用于 Chrome 75 及更低版本。

默认情况下,用户可以添加辅助帐号(例如个人 Gmail 帐号),这样他们不但能使用您为 Google Play 企业版明确批准的 Android 应用,还可使用更多其他 Android 应用。要禁止用户添加辅助 Google 帐号,请勾选 Google 帐号复选框。

证书同步

默认情况下,Chrome 操作系统证书授权机构 (CA) 证书不会同步到 Android 应用。要让 Android 应用使用这些证书,请选择允许在 Android 应用中使用 Chrome 操作系统 CA 证书

启动

展开所有部分  |  收起所有部分

“主页”按钮

指定是否在工具栏中显示主页按钮。在 Chrome 中,此政策对应的是用户 Chrome 设置中的显示“主页”按钮用户设置。

主页

控制用户点击工具栏中的主页按钮时看到的内容。您可以选择允许用户进行配置(默认)、主页始终是“新标签页”主页始终为以下设置的网址

要设置网址,请在文本框中输入相应网址。

新标签页

允许您指定要在“新标签页”页面中打开的网址,并禁止用户更改该网址。如果此政策未设置,那么系统将使用浏览器的默认页面。

启动时加载的网页

允许您指定用户启动 Chrome 设备时应加载的其他网页网址。您在此处列出的任何网页均会显示在其他标签页上。

检查默认浏览器

如果您是 Microsoft Windows 管理员,则此设置只有在运行 Windows 7 的设备上开启才会生效。如果设备运行的是更高的版本,请参阅将 Chrome 设为默认浏览器 (Windows 10)

指定 Chrome 中的默认浏览器检查设置。

  • 允许用户决定(默认)- 用户可以选择将 Chrome 浏览器设为默认浏览器。如果它不是默认浏览器,则用户可以选择是否显示要求将 Chrome 浏览器设为默认浏览器的通知。
  • 尝试在启动过程中将 Chrome 设为默认浏览器(如果 Chrome 目前不是默认浏览器) - Chrome 浏览器在启动时始终会检查自己是否是默认浏览器,并会尽可能自动注册。
  • 禁止 Chrome 在启动过程中检查自身是否为默认浏览器(如果 Chrome 目前不是默认浏览器),并禁止用户将 Chrome 设为默认浏览器 - Chrome 浏览器不会检查自己是否是默认浏览器,用户也无法通过此设置将其设为默认浏览器。
在浏览器启动时是否显示个人资料选择器

指定在浏览器启动时是启用、停用还是强制显示个人资料选择器。

在以下情况下,系统会默认不显示个人资料选择器:

  • 浏览器在访客模式或无痕模式下启动
  • 个人资料目录或网址由命令行指定
  • 用户已明确请求打开某个应用
  • 用户从本地通知中启动了浏览器
  • 只有 1 份可用的个人资料
  • ForceBrowserSignin 政策设为 true

如果您选择允许用户决定,系统会默认在浏览器启动时显示个人资料选择器,但用户可以将其停用。

如果您选择在浏览器启动时不显示个人资料选择器,则个人资料选择器不会显示,且用户无法更改设置。

如果您选择在浏览器启动时一律显示个人资料选择器,则系统会始终显示个人资料选择器,即使只有 1 份个人资料可供使用也是如此。

导入设置

展开所有部分  |  收起所有部分

导入自动填充数据

允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入自动填充表单数据。根据需要执行相应操作:

  • 启用导入自动填充数据的政策 - 自动导入自动填充表单数据。用户可以在以后重新导入。
  • 停用导入自动填充数据的政策 - 首次运行时系统不会导入自动填充表单数据,且用户无法手动导入。
  • 允许用户决定 - 用户可以选择是否手动导入自动填充表单数据。
导入书签

允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入书签。根据需要执行相应操作:

  • 启用导入书签的政策 - 自动导入书签。用户可以在以后重新导入。
  • 停用导入书签的政策 - 首次运行时系统不会导入书签,且用户无法手动导入。
  • 允许用户决定 - 用户可以选择是否手动导入书签。
导入浏览记录

允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入浏览记录。根据需要执行相应操作:

  • 启用导入浏览记录的政策 - 自动导入浏览记录。用户可以在以后重新导入。
  • 停用导入浏览记录的政策 - 首次运行时系统不会导入浏览记录,且用户无法手动导入。
  • 允许用户决定 - 用户可以选择是否手动导入浏览记录。
导入主页

允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入主页设置。根据需要执行相应操作:

  • 启用导入主页的政策 - 自动导入主页设置。用户可以在以后重新导入。
  • 停用导入主页的政策 - 首次运行时系统不会导入主页设置,且用户无法手动导入。
  • 允许用户决定 - 用户可以选择是否手动导入主页设置。
导入已保存的密码

允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入已保存的密码。根据需要执行相应操作:

  • 启用导入已保存密码的政策 - 自动导入保存的密码。用户可以在以后重新导入。
  • 停用导入已保存密码的政策 - 首次运行时系统不会导入已保存的密码,且用户无法手动导入。
  • 允许用户决定 - 用户可以选择是否手动导入保存的密码。
导入搜索引擎

允许用户在首次运行 Chrome 浏览器时,从默认浏览器导入搜索引擎设置。根据需要执行相应操作:

  • 启用导入搜索引擎的政策 - 自动导入搜索引擎设置。用户可以在以后重新导入。
  • 停用导入搜索引擎的政策 - 首次运行时系统不会导入搜索引擎设置,且用户无法手动导入。
  • 允许用户决定 - 用户可以选择是否手动导入搜索引擎设置。

内容

展开所有部分  |  收起所有部分

安全搜索和受限模式

为 Google 搜索上的查询采用安全搜索

通过此设置,您可以启用或停用安全搜索。安全搜索功能可以滤除用户搜索结果中的露骨内容,例如色情内容。您可以选择:

  • 不对 Google 网页搜索查询强制执行安全搜索
  • 始终对 Google 网页搜索查询使用安全搜索 - 用户必须使用安全搜索。

对于幼儿园到高中 (K-12) 的教育网域,默认设置为始终对 Google 网页搜索查询使用安全搜索

对于所有其他网域,默认设置为不对 Google 网页搜索查询强制执行安全搜索

如需了解详情,请参阅为您管理的设备和网络锁定安全搜索设置

YouTube 的受限模式

在为 YouTube 设置限制之前,我们建议您将 Chrome 更新至最新稳定版。

  • 不强制启用 YouTube 受限模式(默认设置)。
  • 至少强制启用 YouTube“适中”受限模式 - 强制用户使用受限模式。该模式会根据视频的内容,通过算法限制哪些视频可供用户观看。

  • 强制启用 YouTube“严格”受限模式 - 强制用户使用“严格”受限模式,进一步限制可供观看的视频。

有关限制级别的详细信息,请参阅管理您单位的 YouTube 设置

屏幕截图

控制是否允许单位中的用户在 Chrome 操作系统设备上使用屏幕截图功能。此政策适用于通过任何方式(包括键盘快捷键,以及使用 Chrome API 获取屏幕截图的应用和扩展程序)生成的屏幕截图。

如果您在单位中受支持的 Chrome 操作系统设备上启用 Android 应用,则屏幕截图政策也适用于这些设备。

录屏

通过此设置,您可以控制是否允许网页提示用户直播相关标签页、窗口或整个屏幕画面。

客户端证书

通过此设置,您可以指定一系列网址格式(以 JSON 字符串表示),以便 Chrome 为这些格式所对应的网站自动选择客户端证书。如果已设定此设置,那么在安装了有效客户端证书的情况下,Chrome 会跳过匹配网站的客户端证书选择提示。如果未设定此设置,系统就不会针对请求证书的网站自动选择客户端证书。

ISSUER/CN 参数可指定证书授权机构的通用名称,而系统自动选择的客户端证书必须将其作为颁发者。

如何设置 JSON 字符串格式:

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}

JSON 字符串示例:

{"pattern": "https://[*.]ext.example.com", "filter": {}},
{"pattern": "https://[*.]corp.example.com", "filter": {}},
{"pattern": "https://[*.]intranet.usercontent.com", "filter": {}}

安全密钥认证

指定网址和网域,使得当设备请求安全密钥认证证书时,系统不会弹出任何提示。

3D 内容

控制 Chrome 浏览器是否允许网页使用 Web-based Graphics Library (WebGL) API 和插件。WebGL 是一种支持 JavaScript 的软件库,可生成互动 3D 图形。

Cookie

默认 Cookie 设置

设置是否允许网站存储浏览信息,例如您的网站偏好设置或个人资料信息。

此设置对应的是 Chrome 设置中的用户 Cookie 选项。您可以允许用户配置此选项,也可以指定始终允许 Cookie、一律不允许 Cookie 或仅在用户访问期间保留 Cookie。

允许采用特定网址格式的网站设置 Cookie

通过此设置,您可以指定一系列网址格式,以便允许采用这些网址格式的网站设置 Cookie。例如,您可以输入以下格式的网址,每个网址各占一行:

  • "http://www.example.com"
  • "[*.]example.edu"

如果您未设置此政策,那么您在默认 Cookie 设置下指定的配置将成为全局默认配置,用户也可自行设置配置。

禁止采用特定网址格式的网站使用 Cookie

通过此设置,您可以指定一系列网址格式,以便不允许采用这些网址格式的网站设置 Cookie。例如,您可以输入以下格式的网址,每个网址各占一行:

  • "http://www.example.com"
  • "[*.]example.edu"

如果您未设置此政策,那么您在默认 Cookie 设置下指定的配置将成为全局默认配置,用户也可自行设置配置。

允许采用特定网址格式的网站使用仅在访问期间有效的 Cookie

通过此政策,您可以指定一系列网址格式,以用于确定允许设置仅在访问期间有效的 Cookie 的网站。您可以输入以下格式的网址,每个网址各占一行:

  • "http://www.example.com"
  •  "[*.]example.edu"

访问结束后,系统将删除 Cookie。如果您未设置此政策,则您在默认 Cookie 设置下指定的配置将成为全局默认配置,用户也可自行设置配置。

第三方 Cookie 屏蔽

允许或阻止第三方 Cookie。默认情况下,用户可自行决定。

旧版 SameSite Cookie 默认行为

开发者可以使用 SameSite 设置来阻止浏览器通过跨站请求发送 Cookie。

对于 Chrome 浏览器 80 及更高版本,SameSite 设置比之前的实施更为严格。除非开发者使用 SameSite=None; Secure 设置来允许仅通过 HTTPS 连接进行跨网站访问,否则系统将禁止从外部访问 Cookie。

您可以暂时将 Chrome 浏览器还原为采用安全性较低的旧版行为。这样,用户就可以继续使用开发者尚未更新的服务,例如单点登录和内部应用。

选择一个选项:

  • 将所有网站的 Cookie 都还原为采用旧版 SameSite 行为 - 如果 Cookie 的设置配置为 SameSite=None,则不需要使用 Secure 属性。对于未指定 SameSite 属性的 Cookie,系统会将其当作设置为 SameSite=None 的 Cookie 进行处理。因此,第三方 Cookie 可以继续跨网站跟踪用户。
  • 让所有网站的 Cookie 都采用 SameSite-by-default 行为 - 对于未指定 SameSite 属性的 Cookie,Chrome 浏览器的处理方式将取决于 Chrome 浏览器中指定的默认行为。

要查看 Chrome 浏览器会如何处理未指定 SameSite 属性的 Cookie,请按以下步骤操作:

  1. 在受管理的设备上,打开 Chrome 浏览器。
  2. 在顶部的地址栏中,输入 chrome://flags
  3. Enter 键。
  4. #same-site-by-default-cookies 部分,阅读说明并检查相应 flag 处于启用还是停用状态。
基于每个网站的旧版 SameSite Cookie 行为

开发者可以使用 SameSite 设置来阻止浏览器通过跨站请求发送 Cookie。

对于 Chrome 浏览器 80 及更高版本,SameSite 设置比之前的实施更为严格。除非开发者使用 SameSite=None; Secure 设置来允许仅通过 HTTPS 连接进行跨网站访问,否则系统将禁止从外部访问 Cookie。

您可以指定希望针对哪些网域暂时将 Chrome 浏览器还原为采用安全性较低的旧版行为。请勿指定方案或端口。如果 Cookie 的设置配置为 SameSite=None,则不需要再使用 Secure 属性。对于未指定 SameSite 属性的 Cookie,系统会将其当作设置为 SameSite=None 的 Cookie 进行处理。因此,第三方 Cookie 可以继续在特定网站跟踪用户。

如果未列出任何网域,则 Chrome 浏览器处理 Cookie 的方式取决于旧版 SameSite Cookie 默认行为设置。如果列出了网域,Chrome 浏览器处理 Cookie 的方式可能会有所不同,具体取决于 Chrome 浏览器中指定的默认行为。

图片

指定是否允许网站显示图片。在显示这些网站上的图片屏蔽这些网站上的图片字段中,您可以逐行添加网址格式。

JavaScript

指定是否允许网站运行 JavaScript。如果您选择不允许任何网站运行 JavaScript,则某些网站可能无法正常运行。

JavaScript IntensiveWakeupThrottling

启用这项政策后,如果相关标签页在后台打开,且处于闲置状态达 5 分钟或更长时间,则 JavaScript 计时器会暂停。对于这类标签页,计时器执行其代码的频率为每分钟仅一次。这样可降低 CPU 负载和电池耗电量。

默认设置为允许使用 Chrome 的逻辑来控制后台 javascript 计时器节流,并支持用户对计时器节流进行配置。该政策由其自身内部逻辑控制,并可以由用户手动配置。

如果您选择强制执行后台 javascript 计时器节流不强制执行后台 javascript 计时器节流,则该政策会强制启用或停用,且用户无法覆盖相应选项。

系统会将此政策应用于每个网页,并在网页加载后,将最近设置的选项应用至网页。用户必须执行一次彻底的重启操作,系统才会将该政策设置应用于所有已加载的标签页。即使各网页采用不同的政策值,也不会影响网页的正常运行。

JavaScript JIT 编译

您可以指定 Google Chrome 是否允许网站在启用 Just Time (JIT) 编译器的情况下运行 v8 JavaScript 引擎。JIT 编译是一种在程序执行期间(而不是之前)使用编译执行计算机代码的方式。

选择一个选项:

  • 允许网站运行 JavaScript JIT 编译(默认)- 网页内容显示的速度可能会更慢,并且部分 JavaScript(包括 WebAssembly)可能会被禁用。
  • 不允许网站运行 JavaScript JIT 编译 - 网页内容可能会以更安全的方式显示。

您还可以添加要允许或禁止运行 JavaScript JIT 编译的特定网址。如需了解有效网址格式,请参阅企业版政策网址格式

通知

指定是否允许网站显示桌面通知。

您可以设为允许或不允许网站显示桌面通知,或者每当网站要显示桌面通知时都询问用户。

注意:如果使用的是 Chrome 64 或更高版本,那么系统将不再允许 JavaScript 提醒打扰用户。过去使用提醒的应用(例如 Google 日历)可以改为发送通知。为此,请将 calendar.google.com 添加到允许这些网站显示通知文本框中。

自动播放视频

通过此设置,您可以指定一系列网址格式,以便允许采用这些网址格式的网页自动播放有声视频内容,而无需征求用户同意。如果您在用户运行 Chrome 期间更改此设置,则该设置只会应用于新打开的标签页。

如需了解有效网址格式,请参阅企业政策网址格式

Flash

对于 Chrome 88 或更高版本,我们已弃用 Flash Player。

设置是否允许网站运行 Adobe Flash Player 等插件。某些网站会使用插件来启用 Chrome 浏览器无法处理的特定类型的网络内容。

PDF 文件

指定如何在 Google Chrome 中打开 PDF 文件。

Chrome 会下载 PDF 文件,并允许用户用系统默认应用打开下载的文件 - 系统会停用 Google Chrome 内部 PDF 查看器,并下载 PDF 文件以便用户使用默认应用打开。

Chrome 会打开 PDF 文件,除非 PDF 插件已关闭 - Chrome 会打开所有 PDF 文件,除非用户已关闭 PDF 插件。

自动打开已下载的文件

自动打开的文件类型

指定要在下载完毕后自动打开的文件类型列表。如果“安全浏览”功能处于启用状态,系统仍会检查文件,并仅会在其通过检查后打开文件。如果留空,则系统仅会自动打开用户允许的文件类型。

请勿添加前导分隔符。举例来说,如果是 .txt 文件,您只需输入 txt 即可。

如要通过 Microsoft Windows 使用此功能,计算机需要加入 Microsoft Active Directory 网域、在 Windows 10 专业版上运行,或已注册 Chrome 浏览器云管理服务。

如要通过 macOS 使用此功能,计算机需要通过 MDM 进行管理或通过 MCX 加入网域。

自动打开的网址

指定网址格式列表,以允许采用这些网址格式的网页自动打开您在自动打开的文件类型中指定的文件类型。

此设置不会对用户选择自动打开的文件类型造成任何影响。

如果您指定一个或多个网址格式,则 Chrome 会自动打开同时符合网址格式和文件类型的文件。此外,Chrome 也会继续自动打开用户允许的文件类型。

如果留空,Chrome 会自动打开您在“自动打开的文件类型”中指定的文件类型,无论其下载网址为何都无妨。

请参阅允许或禁止访问网站:网址过滤器格式,了解网址语法。

弹出式窗口

设置是否允许网站显示弹出式窗口。如果浏览器拦截了某网站的弹出式窗口,用户将会在地址栏看到“已拦截”图标 “已拦截弹出窗口”提醒,并能点击该图标查看已拦截的弹出式窗口。

跨域 JavaScript 对话框

在 Chrome 95 版中,此政策将被移除。

在 Chrome 浏览器 91 或更高版本中,如果 iframe 的来源不是顶级页面,则 Chrome 会阻止该 iframe 触发提示 (window.alert, window.confirm, window.prompt)。因此,嵌入的内容无法欺骗用户,让他们误以为邮件来自他们正在访问的网站或 Chrome 浏览器。

选择允许显示从其他来源的子框架触发的 JavaScript 对话框可还原为先前的处理方式。

卸载期间的弹出式窗口

指定是否允许网站在卸载内容时显示弹出式窗口。

在以下情况下,系统会卸载网页:

  • 用户点击某个链接以离开当前页面
  • 用户在地址栏中输入新的网址
  • 用户点击前进或后退按钮
  • 浏览器窗口关闭
  • 重新加载相应页面

如果浏览器拦截了某网站的弹出式窗口,用户将会在地址栏看到“已拦截”图标 “已拦截弹出窗口”提醒,并能点击该图标查看已拦截的弹出式窗口。

网址拦截

屏蔽的网址

阻止 Chrome 浏览器用户访问特定网址。

要配置此设置,请逐行输入网址(最多 1000 个)。

已屏蔽网址的例外

指定网址屏蔽名单的例外网址。

要配置此设置,请逐行输入网址(最多 1000 个)。

网址语法

每个网址必须包含有效的主机名(例如 google.com)、IP 地址或者代替主机的星号 (*)。星号的功能类似于通配符,代表所有的主机名和 IP 地址。

网址也可以包括:

  • 网址架构,即 http、https 或 ftp(后跟 ://
  • 有效端口值(1 至 65535)
  • 指向资源的路径
  • 查询参数

注意:

  • 要停用子域名匹配功能,请在主机名前面再输入一个英文句号。
  • 您无法使用 user:pass 字段(例如 http://user:pass@ftp.example.com/pub/bigfile.iso),而是要改为输入 http://ftp.example.com/pub/bigfile.iso。
  • 如果同时应用网址屏蔽名单和网址屏蔽名单例外过滤器(路径长度相同),系统会优先应用例外过滤器。
  • 如果主机名前出现额外的英文句号,说明此政策仅过滤完全匹配的主机。
  • 您无法在网址末尾使用通配符,例如 https://www.google.com/* 和 https://google.com/*。
  • 此政策最后才会搜索通配符 (*)。
  • 可选查询是一组键值和仅包含键的标记(用“&”分隔)。
  • 键和值之间用“=”分隔。
  • 查询标记的末尾可以是“*”,用于指定前缀匹配。标记顺序在匹配过程中将被忽略。

示例

已屏蔽的网址条目 结果
example.com 阻止对 example.com、www.example.com 和 sub.www.example.com 的所有请求
http://example.com 阻止对 example.com 及其任何子网域的所有 HTTP 请求,但允许 HTTPS 和 FTP 请求
https://* 阻止对任何网域的所有 HTTPS 请求
mail.example.com 阻止对 mail.example.com 的请求,但不阻止对 www.example.com 或 example.com 的请求
.example.com 屏蔽 example.com,但不屏蔽其子网域(例如 example.com/docs)
.www.example.com 屏蔽 www.example.com,但不屏蔽其子网域
* 除了对屏蔽名单例外网址的请求之外,其他请求一律屏蔽。这其中包括所有网址协议,例如 http://google.com、https://gmail.com 和 chrome://policy。
*:8080 屏蔽对端口 8080 的所有请求
*/html/crosh.html 屏蔽 Chrome Secure Shell(也称为 Crosh Shell)

chrome://settings

chrome://os-settings

屏蔽对 chrome://os-settings 的所有请求

example.com/stuff 屏蔽对 example.com/stuff 及其子网域的所有请求
192.168.1.2 屏蔽对 192.168.1.2 的请求
youtube.com/watch?v=V1 屏蔽 ID 为 V1 的 YouTube 视频

针对 Android 应用使用网址屏蔽名单

如果您为单位中受支持的 Chrome 操作系统设备启用 Android 应用,则网址屏蔽名单和已屏蔽的网址例外将不会应用于使用 Android System WebView 的应用。要为这些应用强制应用屏蔽名单,请在文本文件中指定要屏蔽的网址(参见下文)。然后,将该屏蔽名单应用于 Android 应用。有关详情,请参阅将受管理的配置应用到 Android 应用

以下示例展示了如何定义屏蔽名单网址:

{ "com.android.browser:URLBlocklist": "[\"www.solamora.com\"]" }

对于不使用 Android System WebView 的应用,请参阅应用文档,了解如何通过类似的方法限制访问权限。

Google 云端硬盘同步功能

您可以配置是否允许用户在自己的 Chrome 操作系统设备上使用 Google 云端硬盘同步功能。您可以启用或停用云端硬盘同步功能,也可以让用户自行选择。

此设置对 Chrome 操作系统中的 Google 云端硬盘 Android 应用没有任何影响。要完全禁止系统将内容同步到 Google 云端硬盘,请配置此政策并禁止在受支持的 Chrome 操作系统设备上安装 Google 云端硬盘 Android 应用。有关详情,请参阅在 Chrome 操作系统设备上使用 Android 应用

通过移动网络连接使用 Google 云端硬盘同步功能

您可以配置是否允许用户在自己的 Chrome 操作系统设备上通过移动网络连接使用 Google 云端硬盘同步功能。这项政策对 Chrome 操作系统中的 Google 云端硬盘 Android 应用没有任何影响。

投射

允许用户通过 Chrome 投射

通过此设置,可以控制是否允许用户使用 Chromecast 设备投射 Chrome 标签页中的内容。

在工具栏中显示“投射”图标

指定是否在 Chrome 浏览器工具栏中显示“投射”图标 ""。如果您选择一律在工具栏中显示“投射”图标,则该图标将始终显示在工具栏或菜单中,而且用户无法将其移除。

如果您不允许用户使用投射功能,则无法配置此政策。“投射”图标不会显示在工具栏中。

是否严格处理混合内容

支持 Chrome 80 至 83(含 80 和 83)版

指定 Chrome 浏览器和运行 Chrome 操作系统的设备如何处理不安全的 HTTP 音频、视频和图片混合内容。

默认情况下,Chrome 会严格处理混合内容。在 HTTPS 网站上:

  • 音频和视频会自动从 HTTP 升级为 HTTPS。
  • 如果音频或视频无法通过 HTTPS 播放,则没有备用操作。
  • 对于包含图片的网页,Chrome 会在网址栏中显示警告。

选择对混合内容不进行严格处理,可防止 Chrome 自动将音频和视频升级为 HTTPS,并且不针对图片显示警告。

控制对不安全内容例外情况的使用

对于 Chrome 浏览器和 Chrome 操作系统设备,Google 已开始自动屏蔽混合内容。因此,https:// 页面以后将只加载安全的 https:// 资源,而不会加载 http:// 资源。如需详细了解部署计划,请参阅此 Chromium 博客

选择允许用户添加例外网站,从而允许这些网站加载可屏蔽的混合内容后,用户将能指定哪些网页可以运行混合主动内容。否则,用户将无法加载混合主动内容,例如脚本和 iframe。在用户添加为例外的网站上,Chrome 不会自动将可屏蔽的混合内容从 HTTP 升级为 HTTPS。

要运行包含混合主动内容的网页,请让用户执行以下操作:

  1. 在计算机上打开 Chrome。
  2. 在右上角,依次点击“更多”图标 "" 设置
  3. 在“隐私设置和安全性”下方,点击网站设置
  4. 滚动到不安全内容
  5. 允许部分,点击添加
  6. 添加您想允许显示不安全内容的网页的网址。

注意:您在允许在这些网站上显示不安全内容禁止在这些网站上显示不安全内容设置中指定的网址优先于此设置中指定的网址。

允许在这些网站上显示不安全内容

指定可显示混合主动内容(例如脚本和 iframe)的网页列表。此外,Chrome 不会自动将可屏蔽的混合内容或混合被动内容从 HTTP 升级为 HTTPS。混合被动内容包括图片、音频和视频。

如需详细了解有效网址格式,请参阅企业政策网址格式

禁止在这些网站上显示不安全内容

指定禁止显示混合主动内容(例如脚本和 iframe)的网页列表。此外,Chrome 会自动将可屏蔽的混合内容或混合被动内容从 HTTP 升级为 HTTPS。Chrome 不会加载无法通过 https:// 加载的混合被动内容。混合被动内容包括图片、音频和视频

如需详细了解有效网址格式,请参阅企业政策网址格式

重新启用 Web Components v0 API,直至您升级到 Chrome 第 84 版

在 Chrome 84 版之后,此政策将被移除。

Web Components v0 API(Shadow DOM v0、Custom Elements v0 和 HTML Imports)已于 2018 年被弃用。Chrome 80 及更高版本中已默认停用这些 API。对于 Chrome 浏览器 80 至 84 版(包含 80 和 84)以及运行 Chrome 操作系统 80 至 84 版(包含 80 和 84)的设备,请选择重新启用 Web Components v0 API,以便临时为所有网站重新启用 API。

页面卸载时的同步 XHR 请求

在 Chrome 88 中,此政策将被移除。

此设置适用于 Chrome 浏览器 78 至 88 版(包含 78 和 88)和运行 Chrome 操作系统 78 至 88 版(包含 78 和 88)的设备。通过此设置,您可以指定页面能否在关闭过程中发送 XMLHttpRequest (XHR) 同步请求。例如,用户关闭标签页、退出浏览器、在地址栏中输入新条目等情况。

显示遭遮盖的窗口

当浏览器窗口被其他窗口覆盖时,Chrome 浏览器会检测到窗口被遮挡。在这种情况下,Chrome 浏览器不会在被覆盖的网页上绘制像素。显示空白页有助于降低 CPU 使用率和用电量。

选择停用窗口遮挡检测功能,可防止 Microsoft Windows 设备上的 Chrome 浏览器在被遮挡时显示空白页。

使用旧版窗体控件

在 Chrome 84 及更高的版本中,此政策将被移除。

从 Chrome 83 版开始,我们将更新标准表单控件元素,例如 {select}{button}<input type=date>。这将有助于改进无障碍功能并提升平台统一性。

对于 Chrome 浏览器 83 和 84 版以及运行 Chrome 操作系统版本 83 和 84 版的设备,选择对所有网站使用旧版(M81 之前)窗体控制元素,即可暂时恢复使用旧版窗体控件元素。否则,系统会在 Chrome 83 和 84 版本中推出新窗体控制元素时,使用这些元素。

启用以网址为键的匿名化数据收集功能

对于 Chrome 浏览器和 Chrome 操作系统设备,启用以网址为键的匿名化数据收集功能,系统会将用户访问的每个网站的网址发送给 Google,以便 Google 改善搜索和浏览体验。如果未设置此政策,以网址为键的匿名化数据收集功能将默认处于启用状态,但用户可以自行对其进行更改。

Web Bluetooth API

指定网站是否可以通过 Web Bluetooth API 请求访问蓝牙设备。

默认设置为允许用户决定,即网站可请求访问附近的蓝牙设备,而用户可以决定允许或禁止此类访问。

在外部协议对话框中显示“始终打开”复选框

通过此政策,您可以控制在出现外部协议启动确认提示时是否显示始终打开复选框。当用户点击带协议的链接时,系统会显示一个对话框,询问他们是否想改用应用。启用这项政策后,对话框中会显示复选框。

如果用户勾选该复选框,系统日后便会跳过相关提示,不再针对类似请求询问是否使用应用。如果停用此政策,系统就不会显示该复选框,用户也无法跳过确认提示。

往返缓存

启用往返缓存功能后,您便可存储网页的确切状态。当用户离开网页时,系统可将网页的当前状态保存在往返缓存中。如果用户点击浏览器的返回按钮,网页可能会从缓存中加载并恢复,从而方便用户快速往返浏览。

该功能可能会导致某些未为这种缓存做好准备的网站出现问题。具体而言,某些网站需要在浏览器离开网页时收到系统传送的“取消加载”事件。如果相应网页存储在往返缓存中,“取消加载”事件将不会正常传送。

如果此政策已启用或未设置,则系统会启用往返缓存功能。

PDF 注释

默认情况下,PDF 查看器可在 Chrome 操作系统设备上为 PDF 添加注释。

打印

展开所有部分  |  收起所有部分

打印

您可以启用或停用打印功能。停用打印功能后,用户将无法通过 Chrome 菜单、扩展程序、JavaScript 应用等进行打印。

这项政策对 Chrome 操作系统中的 Android 应用没有任何影响。

已弃用的 Privet 本地打印

指定是否在“打印预览”对话框中显示可用的 Privet 打印机。

打印预览默认值

此设置也适用于受管理的访客会话设备

默认打印机选择

要将默认系统打印机用作 Chrome 的默认打印机,请选择使用默认打印行为

要为用户指定默认打印机,请选择定义默认打印机。在用户打印内容时,Chrome 设备会尝试寻找与您指定的打印机类型和 ID(或名称)相符的打印机,然后将其选作默认打印机。

这项政策对 Chrome 操作系统中的 Android 应用没有任何影响。

打印机类型

选择要搜索的打印机类型,然后将其用作默认打印机。要搜索所有类型,请选择云端和本地打印机

打印机匹配

选择是否要按名称或 ID 搜索打印机。

默认打印机

针对您想要设为默认的打印机,指定一个与其名称或 ID 相匹配的正则表达式。表达式应区分大小写。默认情况下,系统会使用与名称相符的第一个打印机来执行打印。例如:

  • 要匹配名为“Solarmora Lobby”的打印机,请输入 Solarmora Lobby
  • 要匹配 solarmora-lobby-1 或 solarmora-lobby-2 中的打印机,请输入 solarmora-lobby-.$
  • 要匹配 solarmora-lobby-guest 或 solarmora-partner-guest 中的打印机,请输入 solarmora-.*-guest

这项政策对 Chrome 操作系统中的 Android 应用没有任何影响。

本地打印机管理

适用于运行 Chrome 操作系统 67 及更高版本的 Chrome 设备

通过此设置,您可以允许或禁止用户向其 Chrome 设备添加本地打印机。

默认设置为允许用户添加新打印机。要禁止用户添加打印机,请选择不允许用户添加新打印机

要了解如何配置本地打印设置,请参阅管理本地和网络打印机

默认彩色打印模式

指定默认情况下打印模式为彩色打印还是黑白打印。用户可以为单个打印任务选择彩色或黑白打印模式。

限制彩色打印模式

强制用户使用彩色或黑白打印模式。要让用户自行选择彩色或黑白打印模式,请选择不限制彩色打印模式

默认单/双面打印设置

指定用户能否进行双面打印。如果您选择双面打印,请选择是采用长边翻转打印还是短边翻转打印。用户只能在内置双面打印功能的打印机上进行双面打印。用户可以为单个打印任务选择单面或双面打印。

限制单/双面打印模式

强制用户使用内置双面打印功能的打印机进行单面或双面打印。要让用户在单个打印任务中自行选择单面打印还是双面打印,请选择不限制双面打印模式

背景图片打印默认设置

指定默认情况下是否打印背景图片。用户可以选择是否在单个打印任务中打印背景图片。

背景图片打印限制

通过此设置,您可以强制或禁止用户打印背景图片。要让用户自行选择是否在单个打印任务中打印背景图片,请选择允许用户决定

本地打印任务信息

选择在打印任务中包含用户帐号和文件名以在特定(使用与互联网打印协议 (IPP) 兼容的安全 IPP over HTTPS (IPPS) 连接发送的)打印任务的标头中加入用户帐号和文件名。这样一来,您可以启用安全打印和使用情况跟踪等第三方打印功能(如支持)。

请注意:选择在打印任务中包含用户帐号和文件名后,用户就无法使用不支持 IPPS 的打印机进行打印,即使已添加此打印机亦是如此。

打印任务历史记录保留期

指定已完成的打印任务的元数据在 Chrome 设备上的存储时间。输入相应数值(以天为单位)。

  • 要使用系统默认设置(即 90 天),请勿设置此字段。
  • 要无限期存储打印任务的元数据,请输入 -1
  • 要禁止存储打印任务的元数据,请输入 0
删除打印任务记录

适用于运行 Chrome 操作系统的设备。

通过此设置,用户可以使用打印管理应用或通过删除浏览器历史记录来删除打印任务记录。

限制 PIN 码打印模式

适用于内置 PIN 码打印功能的打印机

通过此设置,可以强制用户使用或不使用 PIN 码进行打印。要允许用户选择是否使用 PIN 码进行打印,请选择不限制 PIN 码打印模式

注意:适用于配置了无驱动打印、支持任务-密码属性的打印机,或兼容的基于 PPD 的打印机。

默认 PIN 码打印模式

适用于内置 PIN 码打印功能的打印机

确定 PIN 码打印的默认设置。如果您选择使用 PIN 码,则用户可以在发送打印任务时输入一个 PIN 码,接着他们需要在打印机键盘上输入同一个 PIN 码,才能释放打印任务进行打印。

注意:适用于配置了无驱动打印、支持任务-密码属性的打印机,或兼容的基于 PPD 的打印机。

纸张数量上限

指定单个打印任务可打印的纸张数量上限

如果未设置此政策,则系统不会应用任何限制,用户可以使用任意数量的纸张打印文件。

默认打印页面大小

替换打印机设置的默认页面大小或用户最近使用的页面大小。

从“页面大小”列表中选择所需的页面大小。如果您选择“自定义”,则请输入所需的高度和宽度(以微米为单位)。

如果您输入不兼容的自定义页面大小值,或所选择的页面大小在用户选择的打印机上不可用,则系统会忽略此政策。

打印页眉和页脚

通过此设置,您可以强制或禁止用户打印页眉和页脚。默认设置是用户可以自行决定是否打印页眉和页脚。

已禁止的打印机类型

您可以停用部分打印机类型或打印机目的地,使其无法用于打印。

打印机目的地包括:

  • 基于 Zeroconf (mDNS + DNS-SD) 的协议
  • 基于扩展程序 - 也称为打印提供程序目的地,包括所有属于 Google Chrome 扩展程序的目的地。
  • 另存为 PDF
  • 本地打印机 - 也称为本机打印目的地,包括可供本地设备和共享网络打印机使用的目的地。
  • “保存到 Google 云端硬盘”

选择所有打印机类型相当于停用打印功能,因为没有任何可用来接收要打印的文档的目的地。

如果您未选择任何打印机类型,则用户可以使用所有类型的打印机进行打印。

打印光栅化模式

仅限 Microsoft Windows

通过非 PostScript 打印机进行打印时,需要将部分打印任务光栅化才能正确打印。默认情况下,Google Chrome 会在必要时对整页执行光栅化。

选择快速打印可尽量避免执行光栅化。减少光栅化操作有助于缩小打印任务的规模并提高打印速度。

用户体验

展开所有部分  |  收起所有部分

受管理的书签

您可以推送书签列表,为所有平台(包括移动设备)上的 Chrome 用户提供方便。在 Chrome 设备和 Chrome 浏览器中,书签将显示在书签栏的文件夹中。用户无法修改此文件夹中的内容,但是可以选择将其从书签栏中隐藏。有关详情,请参阅管理书签

书签栏

通过此设置,可以指定用户能否看到书签栏。默认设置是“允许用户决定”是否显示书签栏。

任务栏位置

指定应用行(也称为任务栏)在用户 Chrome 设备中的位置。

自动隐藏任务栏

指定应用行(也称为任务栏)是否在用户 Chrome 设备中自动隐藏。

如果您选择始终自动隐藏任务栏,用户需要将光标移至任务栏所在一侧屏幕,以查看其应用、书签等。

如果您选择允许用户决定,则用户可以右键点击任务栏,然后勾选或取消选中自动隐藏任务栏

书签修改

通过此设置,您可以允许用户在自己的 Chrome 书签栏中添加、修改或移除书签。

书签栏中的应用快捷方式

指定用户能否在书签栏中看到应用快捷方式。

下载位置

设置 Chrome 设备上的默认下载位置,并指定是否允许用户修改此位置。

此政策仅适用于下载的文件。如果用户选择保存选项 (ctrl+S),则系统会弹出一个窗口,其中显示了所选的本地下载文件夹。

下载位置选项包括:

  • 将本地的 Downloads(下载)文件夹设为默认下载目录,但用户可以自行更改此设置
  • 将 Google 云端硬盘设置为默认值,但允许用户更改
  • 只允许设为 Google 云端硬盘

在您选择将 Google 云端硬盘设置为默认位置,但允许用户更改将本地的 Downloads(下载)文件夹设为默认下载目录,但用户可以自行更改此设置之前,如果用户已明确选择了下载位置,那么系统将遵循用户的最初选项。在您选择这两项政策中的任何一项之前,如果用户尚未选择下载位置,系统会根据您所选政策设置默认下载位置,但用户随后可以更改。

如果您选择只允许设为 Google 云端硬盘(无论之前用户如何选择),系统都会强制将 Google 云端硬盘用作下载文件夹,并且不允许用户更改此设置。但是,用户仍然可以使用“文件”应用在本地文件夹和 Google 云端硬盘之间移动文件。对于 Chrome 90 及更高版本,此设置不会影响在 Chrome 操作系统中截取的屏幕截图。屏幕截图将下载到默认的 Chrome 操作系统下载文件夹,并且不遵循只允许设为 Google 云端硬盘选项。

此设置对 Chrome 操作系统中运行的 Android 应用没有任何影响。系统通常会将 Android 应用下载至映射到 Chrome 操作系统下载文件夹的下载文件夹中,但也可能将其下载到其他位置。

下载位置提示

指定是否在下载前向用户询问每个文件的保存位置。选择一个选项:

  • 允许用户决定 - 允许用户选择是否希望为每次下载的文件指定保存位置。要调整下载设置,用户需打开 Chrome 并转到“更多”图标 "" 接着点击 设置 接着点击 高级 接着点击 下载内容
  • 不询问用户(直接开始下载)- 将文件下载到默认下载位置,而不询问用户要将文件保存到何处。要设置默认下载位置,请配置下载位置设置。
  • 下载之前先询问用户将文件保存在何处 - 允许用户为每次下载选择文件保存位置。
拼写检查

通过此设置,可以指定用户能否使用拼写检查。从下列选项中选择一项:

  • 允许用户决定 - 此为默认设置。用户可以在语言设置中启用或停用拼写检查。
  • 停用拼写检查 - 对所有来源停用拼写检查,且用户无法启用该功能。拼写检查服务政策无效。
  • 启用拼写检查 - 启用拼写检查,且用户无法停用该功能。在 Microsoft Windows、Chrome 操作系统和 Linux 设备上,用户仍然可以针对单个语言启用或停用拼写检查。
拼写检查服务

选择启用拼写检查网络服务,以始终允许 Chrome 使用 Google 网络服务解决用户所输入文字中出现的拼写错误。有关详情,请参阅针对拼写错误的建议

默认情况下,系统会选择允许用户决定。用户可以启用或停用增强型拼写检查。

如果拼写检查设置设为停用拼写检查,则拼写检查服务设置无效。

首选语言

指定 Chrome 浏览器使用的首选语言。从显示的列表中选择所需的语言。然后,按偏好以降序对列表进行排序。

用户可以转到 chrome://settings/languages,然后在根据您的偏好设置对语言进行排序下查看语言列表。您指定的首选语言始终显示在列表顶部,用户无法移除它们或对其重新排序。但是,用户可以在下方添加自己的首选语言并对其重新排序。用户还能完全控制浏览器的界面语言和翻译/拼写检查设置,除非其他政策已强制执行这些设置。

如果您不指定任何首选语言,用户便可更改整个首选语言列表。

Google 翻译

通过此设置,您可以配置是否允许 Chrome 使用 Google 翻译服务。如果允许,当网页采用的不是用户 Chrome 设备上指定的语言,就可使用该服务翻译网页内容。您可以允许 Chrome 始终提供翻译或一律不提供翻译,也可让用户自行选择。

备用错误页面

控制 Chrome 浏览器无法连接到某网址时是否针对该网页显示建议。用户会看到转到该网站的其他部分或搜索该网页等建议。

对应用户 Chrome 设置中的使用网络服务帮助解决导航错误用户选项。您可以允许用户配置此选项,也可以将其指定为始终启用或始终停用。

开发者工具

控制“工具”菜单是否显示“开发者工具”选项。借助开发者工具,网站开发者和程序员可以深入到浏览器和他们的 Web 应用的内部。要详细了解这些工具,请参阅开发者工具概览

企业版客户的默认设置为允许使用内置开发者工具(强制安装的扩展程序除外)。此设置表示所有用于打开开发者工具或 JavaScript 控制台的键盘快捷键、菜单条目和上下文菜单条目通常都处于启用状态,但在使用企业政策强制安装的扩展程序中则处于停用状态。

非受管用户的默认设置为始终允许使用内置开发者工具。如要在任何情况下都停用开发者工具,请选择一律不允许使用内置开发者工具

如果您为单位中受支持的 Chrome 设备启用 Android 应用,此设置也会控制 Android 开发者选项的访问权限。如果将此政策设置为一律不允许使用内置开发者工具,用户将无法访问开发者选项。如果将此政策设置为其他值,或者不设置此政策,用户可通过在 Android 设置应用中点按 7 次版本号来访问开发者选项。

表单自动填充

通过此设置,可以指定是否允许用户使用自动填充功能来简化在线表单的填写过程。用户首次填写表单时,Chrome 会自动保存输入的信息,例如姓名、地址、电话号码或电子邮件地址。

您可以允许用户配置此选项,也可将其指定为始终启用或停用。

付款方式

控制是否允许网站检查用户有无已保存的付款方式。

表情符号建议

可让您启用或停用用户在 Chrome 设备上输入内容时的表情符号建议功能。

DNS 预提取

启用 DNS 预提取后,Chrome 会查询所显示网页上所有链接的 IP 地址,以便在用户点击链接时提高加载速度。

您可以允许用户配置此选项,也可将其指定为始终启用或停用。

网络联想查询

通过此设置,您可以决定是否要让 Chrome 预测网络操作。您可能希望 Chrome 使用网络联想查询服务,从而更快速地加载网页,或者当用户在地址栏中输入搜索字词和网址时帮助填充相关内容。

作为管理员,您可以停用或要求使用预测网络操作。您也可以选择允许用户决定,这样系统就会为 Chrome 启用此设置。然后,用户便可更改自己的网络联想查询服务设置。

添加个人资料

默认情况下,用户可以在 Chrome 浏览器中添加个人资料,以单独保存自己的 Chrome 信息(包括书签、历史记录、密码和其他设置)。个人资料非常适合与其他人共用一台计算机的用户,也适合希望使用不同帐号(例如工作帐号和个人帐号)的用户。选择禁止添加新的个人资料,以阻止用户在 Chrome 浏览器中添加新的个人资料。

多帐号登录权限

在使用此设置前,请查看允许多个用户同时登录

对于在 Chrome 设备上运行的 Android 应用,即使您选择用户访问权限不受限制(允许将任何用户添加至其他任何用户的会话),系统也只会允许主要用户使用 Android 应用。如果您选择主要用户必须是受管理的帐号(次要用户则不必),那么只要设备支持 Android 应用,而且您已在单位中启用这些应用,主要用户就可以使用这些 Android 应用。

登录辅助帐号

允许用户登录设备后在浏览器窗口和 Google Play 中切换使用不同的帐号。

注意:如果您将 Android 应用列入许可名单,则用户无法在 Google Play 中切换到辅助帐号。

  1. 根据需要选择操作步骤:
    • 如要允许用户在浏览器中登录任何 Google 帐号,请选择允许用户登录任何辅助 Google 帐号。有关详情,请参阅 Google 帐号类型
    • 如要禁止用户在浏览器中登录或退出 Google 帐号,请选择禁止用户登录或退出辅助 Google 帐号
    • 要仅允许用户通过指定的一系列 Google Workspace 网域使用帐号访问 Google 服务,请选择仅允许用户登录下方设置的 Google Workspace 网域
  2. 如果您仅允许用户登录特定 Google Workspace 网域,请执行以下操作:
    1. 请务必列出贵单位的所有网域,否则您的用户可能会无法访问 Google 服务。如要查看您的网域列表,请点击网域列表下方的单位网域
    2. 如要添加 @gmail.com 和 @googlemail.com 一类的个人 Google 帐号,请在列表中输入 consumer_accounts。您还可以允许用户访问特定帐号,但禁止访问其他帐号。有关详情,请参阅禁止访问个人用户帐号
  3. 如果您仅允许用户登录特定 Google Workspace 网域,或禁止用户在浏览器中登录或退出帐号,则您还需执行以下操作:
    1. 设置登录限制,仅允许您单位中的用户登录运行 Chrome 操作系统的设备。有关详情,请参阅登录限制
    2. 关闭设备上的访客浏览功能。有关详情,请参阅访客模式
    3. 禁止用户在无痕模式下浏览内容。请参阅无痕模式
浏览器访客模式

控制是否允许用户以访客身份登录 Chrome 浏览器。如果您选择允许通过浏览器访客模式登录(默认),用户就可以以浏览器访客模式启动会话,且所有窗口均处于无痕模式。用户退出访客模式后,其浏览活动记录也会从设备上删除。

启用此设置后,您还可以设置允许通过浏览器访客模式和个人资料登录(默认)。这样,用户能够以访客身份登录,以及使用新的和现有的个人资料。要强制执行访客会话,并禁止用户通过个人资料登录,请选择仅允许通过浏览器访客模式登录

如果您选择禁止通过浏览器访客模式登录,则 Chrome 浏览器会禁止启动访客个人资料。

统一桌面(Beta 版)

此设置也适用于受管理的访客会话和自助服务终端应用

要允许用户在多个显示器或电视屏幕上显示同一个窗口,您可以选择为用户提供统一桌面模式选项。默认情况下,此功能处于停用状态。用户可以停用统一桌面并仍使用 2 个外接显示器,但同一个窗口只会在其中一个显示器上显示,即使桌面已扩展到这 2 个显示器也是如此。

  • 系统最多只支持 2 个外部显示器。
  • 统一桌面只能在分辨率相同的显示器上使用。
  • 启用统一桌面后,当用户将显示器连接到设备时,系统会将统一桌面模式设为默认模式。
收集 WebRTC 事件日志

要允许 Web 应用为您的用户生成和收集 WebRTC 事件日志,请选择允许收集 WebRTC 事件日志。这些日志可以帮助 Google 识别并解决与音频和视频会议相关的问题。这些日志中包含一些诊断信息,例如 RTP 数据包的收发时间和大小、网络拥堵情况反馈,以及与语音帧和视频帧的时间和质量相关的元数据。日志中没有会议的视频或音频内容。

要收集 Google Meet 客户的日志,您必须在 Google 管理控制台中同时启用此设置和客户端日志上传政策

已停用的系统功能

指定在 Chrome 设备上停用哪些系统功能。我们建议您使用此设置来停用相机、操作系统设置和浏览器设置,而无需使用网址拦截设置或按 ID 屏蔽应用和扩展程序。

当用户尝试打开您已停用的功能时,系统会显示一条消息,告知他们该功能已被管理员屏蔽。

小恐龙游戏

控制用户能否在设备离线时通过 Chrome 浏览器或运行 Chrome 操作系统的设备玩小恐龙游戏。从下列选项中选择一项:

  • 允许用户在设备离线时通过 Chrome 浏览器玩小恐龙游戏,但已注册的 Chrome 设备除外 - 设备离线时,用户无法在已注册的 Chrome 设备上玩小恐龙游戏,但可以在 Chrome 浏览器中玩此款游戏。
  • 允许用户在设备离线时玩小恐龙游戏 - 设备离线时,用户可以玩小恐龙游戏。
  • 不允许用户在设备离线时玩小恐龙游戏 - 设备离线时,用户无法玩小恐龙游戏。
推荐之前安装过的应用

当搜索框为空时,控制 Chrome 设备上的启动器是否推荐之前安装在其他设备上的应用。从下列选项中选择一项:

  • 在 Chrome 操作系统启动器中显示推荐的应用
  • 不在 Chrome 操作系统启动器中显示推荐的应用
建议的内容

用户打开 Chrome 设备上的启动器并开始在搜索框中输入内容时,Google Chrome 会显示建议的内容,包括网页地址和应用。

地址栏中的网址

Chrome 86 及更高版本

指定用户是否可以在地址栏中看到网页的完整网址。

部分用户在地址栏中看到的不是完整的网址,而是只显示域名的默认网址。这有助于保护用户免受一些常见的网上诱骗策略的侵害。

从下列选项中选择一项:

  • 显示默认网址。除非使用受管理的 Chrome 设备,否则用户可以切换到完整网址。
  • 显示默认网址
  • 显示完整网址
共享剪贴板

指定启用 Chrome 同步后,已登录用户是否可以在 Chrome 桌面设备和 Android 设备之间复制和粘贴文本。默认情况下,共享剪贴板功能处于启用状态。

全屏模式

指定在具有适当权限的情况下,用户、应用和扩展程序是否可以使用全屏模式。默认设置为允许使用全屏模式。

全屏提醒

指定当设备从睡眠状态或暗屏幕恢复时是否应显示全屏提醒。

默认情况下,系统会显示一条提醒,以提醒用户在输入密码之前先退出全屏。选择唤醒设备时停用全屏提醒以关闭此提醒。

宣传内容

通过此设置,您可以指定 Chrome 浏览器是否使用整个标签页显示产品信息,以帮助用户登录 Chrome、选择 Chrome 作为默认浏览器或了解产品功能。

首次运行时将窗口最大化

适用于运行 Chrome 操作系统的设备。

通过此设置,您可以指定 Chrome 是否在用户首次运行 Chrome 时一律最大化第一个窗口。

启用媒体推荐内容

默认情况下,浏览器会显示为用户量身定制的媒体推荐内容。这些推荐内容是根据用户的行为(例如用户经常访问的网站或网页搜索)生成的。停用此政策后,系统将对用户隐藏这些推荐内容。

文件选择对话框

允许用户在 Chrome 中打开包含可打开和可选择文件的对话框。如果停用此政策,那么只要用户执行可开启文件选择对话框的操作(例如导入书签、上传文件和保存链接),系统就会显示一条消息,同时拦截文件选择对话框。

允许用户提供反馈

指定用户是否可以使用菜单 接着点击 帮助 接着点击 报告问题或组合键来向 Google 发送反馈。

默认设置为允许使用用户反馈

轻触搜索

您可以为用户启用或停用轻触搜索功能。

通过轻触搜索功能,用户可以按住某个字词或词组直到屏幕底部显示相关叠加画面,然后执行搜索。用户只需点按叠加画面,即可完成搜索,系统也会显示搜索结果。

默认设置为允许用户使用轻触搜索功能。用户可以自行启用或停用该功能。

在工具栏中显示浏览器实验性功能图标

指定用户是否可以通过工具栏中的图标访问实验性浏览器功能。

注意:无论此政策是已启用还是已停用,chrome://flags 和任何其他可用于开启和关闭浏览器功能的方法都能正常起作用。

Google 智能镜头摄像头辅助搜索

指定用户能否在 Android 设备上使用 Google 智能镜头,以详细了解图片。

要详细了解用户可以如何使用图片在网络上搜索,请参阅在 Chrome 中搜索网络信息

已连接的设备

展开所有部分  |  收起所有部分

Smart Lock

在运行 Android 5.0 Lollipop 及更高版本的设备以及运行 Chrome 40 及更高版本的 Chrome 操作系统设备上提供。

让用户不必输入密码,直接使用 Android 手机即可解锁其 Chrome 设备。如果用户及其设备在附近,用户便不再需要输入密码即可解锁自己的 Chrome 设备。

即时网络共享
用户可以通过即时网络共享功能,让其他设备共用 Google 手机的移动数据。
消息

用户可以将短信设为在手机和 Chrome 操作系统设备之间保持同步。

注意:如果允许此政策,则用户必须通过完成一个设置流程来明确选择启用这项功能。完成设置流程后,用户即可在其设备上收发短信。

点击通话

通过此设置,您可以指定用户能否在登录状态下将电话号码从 Chrome 操作系统设备发送至 Android 设备。

默认设置为允许用户将电话号码从 Chrome 发送到手机

Phone hub

指定用户能否在 Chrome 操作系统设备上与 Android 手机进行互动。

默认设置为不允许启用 Phone Hub,且用户无法选择启用 Phone Hub。

如果您选择允许启用 Phone Hub,则用户可以选择启用 Phone Hub,系统将显示以下两个选项:

  • 允许启用 Phone Hub 通知 - 如果您启用此选项,已选择启用 Phone Hub 功能的用户将能够在 Chrome 操作系统上收发其手机中的通知。
  • 允许启用 Phone Hub 任务延续功能 - 如果您启用此选项,已选择启用 Phone Hub 功能的用户将能够在 Chrome 操作系统上继续执行尚未完成的任务(例如查看其手机中的网页)。

无障碍功能

请注意:无障碍功能默认设为停用状态,除非用户通过 Chromebook 无障碍设置或使用键盘快捷键启用该功能。我们强烈建议您谨慎停用任何无障碍功能,因为这样做可能会影响残障用户或有特殊需求的用户。如果此政策未设置,用户将可以随时使用无障碍功能。不过,如果您设置了此政策,用户便无法更改或覆盖它。

展开所有部分  |  收起所有部分

无障碍功能快捷键

通过此政策,您可以配置是否停用无障碍功能键盘快捷键。如果此政策未设置,用户将可以使用键盘快捷键;不过,您可以将此政策设置为停用无障碍功能快捷方式

有关详情,请参阅开启 Chromebook 无障碍功能

ChromeVox 语音反馈

ChromeVox 屏幕阅读器可为有视觉障碍的用户提供帮助。启用该功能后,Chromebook 会大声朗读屏幕上的文字。而对于有听力障碍的用户,此功能可在外接的盲文显示屏上显示对应文字。

有关详情,请参阅使用内置屏幕阅读器将盲文设备与 Chromebook 搭配使用

随选朗读

用户可以让系统大声朗读网页上的特定文字,包括特定字词、选定的文字或屏幕上选定的部分。在大声朗读的同时,系统还可以突出显示朗读内容,以供用户逐字查看,从而提供更好的视听体验。

有关详情,请参阅让系统大声朗读文字

高对比度

高对比度模式会更改字体和背景配色方案,让网页更易于阅读。您可以通过无障碍功能设置或按 Ctrl + 搜索键 + h 来启用此设置。

放大镜

允许用户将屏幕上的内容放大到默认大小的 20 倍。您可以停用放大镜,也可以决定为用户启用哪类放大镜。

有关详情,请参阅放大 Chromebook 屏幕

粘滞键

启用该功能后,用户就能依次按下快捷键组合中的每一个按键,而不必同时按下多个按键。例如,启用粘滞键后,用户如想使用粘贴命令,可以先按 Ctrl 键,再按 V 键,而不必同时按 Ctrl 键和 V 键。对于有肢体障碍的用户,此功能尤为有用。

有关详情,请参阅使用键盘快捷键(一次按一个键)

屏幕键盘

借助此屏幕键盘功能,用户无需按下实体键就能输入字符。屏幕键盘通常用于具有触摸屏界面的设备,但也可以通过触控板、鼠标或外接的操纵杆来使用。

有关详情,请参阅使用屏幕键盘

语音输入

用户可以使用语音(而不是键盘)输入长文档、电子邮件和学校论文。

有关详情,请参阅使用语音输入文字

键盘焦点突出显示功能

当用户使用键盘在屏幕上浏览多个对象时,此功能会突出显示用户正在查看的对象。在用户填写表单或选择选项时,该功能有助于用户确认自己当前在网页上的位置。

文本插入符号突出显示功能

编辑文本时,此功能会突出显示文本插入符号(又称“光标”)周围的区域。

自动点击

当鼠标光标悬停在某个对象上方时,会自动点击或滚动该对象。对于难以点击鼠标或触控板的用户,此功能尤为有用。

有关详情,请参阅自动点击 Chromebook 上的对象

大号光标

此功能可放大鼠标光标,使其在屏幕上更加显眼。

光标突出显示功能

在鼠标光标周围显示彩色聚焦环,使鼠标光标在屏幕上更加显眼。

鼠标主按钮

将鼠标和触控板的主按钮从左键改为右键。如果此政策未设置,那么主按钮将是鼠标左键,但您可以随时进行更改。

单声道音频

更改 Chrome 设备的音频输出,让内置扬声器和头戴式耳机的左右声道保持相同音量。对于双耳听力不同的用户,此设置尤为有用。

图片说明

当用户在 Chrome 中使用屏幕阅读器或其他类似辅助技术时,Google 可为未加标签的网络图片(例如无替代文本的图片)提供说明。Chrome 会将图片发送给 Google 以创建说明,但不会发送任何 Cookie 或其他用户数据,而且 Google 不会保存或记录任何图片内容。

有关详情,请参阅在 Chrome 上获取图片说明

电源和关机

允许使用唤醒锁定

通过此设置,您可以指定是否允许使用唤醒锁定功能进行电源管理。唤醒锁定功能会强制 PowerManager 让屏幕保持开启状态,或让 CPU 在待机模式下仍保持运行。举例来说,如果您需要确保 Wi-Fi 连接充分运作,此功能会很有用。扩展程序可通过 Power Management Extension API 和 ARC 应用请求唤醒锁定。

默认设置是“允许使用唤醒锁定功能”。如果您选择不允许使用唤醒锁定功能,则系统会忽略唤醒锁定请求。

如果您选择允许使用唤醒锁定功能,则还可以根据需要从下列选项中选择一项:

  • 允许使用屏幕唤醒锁定以便进行电源管理
  • 将屏幕唤醒锁定请求降级为系统唤醒锁定请求。

当应用需要持续运行时,屏幕唤醒锁定功能可防止设备屏幕变暗或锁定。

Keepalive 时长

指定最多可延迟多长时间关闭浏览器,以便 Chrome 处理 keepalive 请求。输入 0 到 5 秒之间的值。如果留空,系统将使用默认值 0 秒,Chrome 会立即关闭。

要详细了解 keepalive 请求,请参阅 Fetch standard(Fetch 标准)文档。

多功能框搜索提供程序

搜索建议

通过此设置,您可以为用户启用或停用联想查询服务,帮助用户填充网址或搜索字词。您可以指定始终启用或停用该服务,也可让用户在 Chrome 设置中对其进行配置。

多功能框搜索提供程序

指定默认搜索提供程序的名称。如果您选择将多功能框搜索提供程序设置锁定为以下值,则您将可以自定义以下选项:

多功能框搜索提供程序名称

输入要用于地址栏的名称。如果您没有提供名称,Chrome 就会使用多功能框搜索提供程序搜索网址中的主机名。

多功能框搜索提供程序关键字

指定用作触发搜索的快捷方式的关键字。

多功能框搜索提供程序搜索网址

指定搜索引擎的网址。

网址必须包括“{searchTerms}”字符串,在查询时该字符串将会替换为用户要搜索的字词,例如“http://search.my.company/search?q={searchTerms}”。

如要将 Google 用作您的搜索引擎,请输入以下内容:

{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}ie={inputEncoding}

多功能框搜索提供程序推荐网址

指定用于提供搜索建议的搜索引擎的网址。

网址应包含“{searchTerms}”字符串。进行搜索查询时,此字符串会被替换为用户当前已输入的文本。

如要将 Google 作为提供搜索建议的搜索引擎,请输入以下内容:

{google:baseURL}complete/search?output=chrome&q={searchTerms}

多功能框搜索提供程序即搜即得网址

指定用于提供即搜即得结果的搜索引擎的网址。

网址应包含“{searchTerms}”字符串。进行搜索查询时,此字符串会被替换为用户当前已输入的文本。

多功能框搜索提供程序图标网址

指定搜索提供程序的图标网址。您至少需要访问一次您的搜索提供程序网站,以便在您启用将多功能框搜索提供程序设置锁定为以下值前,系统可以检索和缓存图标文件。

多功能框搜索提供程序编码

指定搜索提供程序支持的字符编码。

编码是代码页名称,如 UTF-8、GB2312 和 ISO-8859-1。系统会按照提供的顺序逐一尝试。默认为 UTF-8。

硬件

展开所有部分  |  收起所有部分

外部存储设备

控制您单位中的用户能否使用 Chrome 设备装载外部驱动器(包括 USB 闪存驱动器、外部硬盘、光存储器、安全数字 (SD) 卡和其他存储卡)。如果您不允许使用外部存储,而用户试图装载外部驱动器,则 Chrome 会通知用户系统正在实施该政策。

如果您选择允许使用外部存储设备(只读),用户便可读取外部设备上的文件,但无法向其写入内容,也无法格式化设备。

此政策不影响 Google 云端硬盘或内存设备,例如保存在“下载”文件夹中的文件。

WebUSB API

您可以指定网站是否可以要求用户授予其访问已连接 USB 设备的权限,或者让用户自行决定。您还可以添加网址列表,指定网址是否可以向用户请求访问已连接的 USB 设备。

是否允许网站请求访问已连接的 USB 设备部分,选择以下任一选项:

  • 让用户决定是否允许网站请求访问权限(默认)- 允许网站请求访问权限,但用户可以更改此设置。
  • 允许网站请求用户授予访问权限 - 允许网站请求用户授予已连接的 USB 设备的访问权限。
  • 不允许任何网站请求访问权限 - 拒绝网站访问已连接的 USB 设备。

允许这些网站请求访问 USB 字段中,输入可向用户请求访问已连接 USB 设备的所有网址。

禁止这些网站请求访问 USB 字段中,输入无法访问已连接 USB 设备的所有网址。

如果网址未遭屏蔽,系统会依序优先应用是否允许网站请求访问已连接的 USB 设备部分中设置的选项或用户的个人设置。

请勿在允许这些网站请求访问 USB禁止这些网站请求访问 USB 字段中输入相同的网址。如果网址同时符合这两项政策,则系统不会优先应用任一政策。

如需详细了解有效网址格式,请参阅企业政策网址格式

音频输入

控制您单位中的用户能否让网站通过 Chrome 设备的内置麦克风访问音频输入。

当用户连接外部音频输入设备时,Chrome 设备上的音频会立即取消静音。

如果您为单位中受支持的 Chrome 设备启用 Android 应用,并且已停用此设置,则系统将为所有 Android 应用停用麦克风输入功能(无一例外)。

允许访问音频输入设备的网址

允许在不提示用户的情况下授予网址使用录音设备的权限。

系统会将此列表中的网址格式与请求网址的安全来源进行比对。如果找到了匹配项,系统将允许相应网址使用录音设备,并且不会提示用户进行确认。

如需详细了解有效的网址格式,请参阅企业政策网址格式

音频输出

控制您单位中的用户是否可以在 Chrome 设备上播放声音。该政策适用于 Chrome 设备上的所有音频输出设备,包括内置扬声器、耳机插孔和连接到 HDMI 和 USB 端口的外部设备。

如果您停用音频输出,Chrome 设备仍然会显示音频控件,但用户无法对其进行更改。同时,设备还会显示静音图标。

此设置对 Chrome 操作系统中的 Google 云端硬盘 Android 应用没有任何影响。

音频处理进程优先级

仅限 Microsoft Windows

控制 Chrome 浏览器音频处理进程的优先级。从下列选项中选择一项:

  • 为 Chrome 音频处理进程使用系统默认的优先级
  • 为 Chrome 音频处理进程使用正常的优先级
  • 为 Chrome 音频处理进程使用高优先级

此设置可让管理员以较高优先级运行音频,以解决音频捕获方面的特定性能问题,日后会被移除。

视频输入

通过此设置,可以指定是否允许网站访问内置 Chrome 设备网络摄像头。

如果您已为单位中受支持的 Chrome 设备启用 Android 应用,此设置便会影响内置摄像头。您也可停用这项设置,这样任何 Android 应用均无法访问内置摄像头。

允许访问视频输入设备的网址

允许在不提示用户的情况下授予网址使用录像设备的权限。

系统会将此列表中的网址格式与请求网址的安全来源进行比对。如果找到了匹配项,系统将允许相应网址使用录像设备,并且不会提示用户进行确认。

如需详细了解有效的网址格式,请参阅企业政策网址格式

注意:如要允许网址使用录像设备,您还可以添加应用 ID。举例来说,添加 hmbjbjdpkobdjpllfobhljndfdfdipjhg 后,网址便可使用 Zoom® Meetings®

GPU

指定是否为图形处理器 (GPU) 启用硬件加速,除非特定 GPU 功能已添加到屏蔽名单。

硬件加速功能使用您设备的 GPU 执行图形密集型任务(例如播放视频或玩游戏),而中央处理器 (CPU) 运行所有其他进程。

键盘

此设置用于决定键盘最上排按键的行为。如果未配置此设置或者将此设置设为媒体键,那么键盘最上排的按键将用作媒体键。如果将该设置设为功能键,则这些键将用作功能键(例如 F1、F2)。在这两种情况下,用户均能够更改相应行为。此外,按住搜索键即可将媒体键转换为功能键(反之亦然)。

Serial Port API

您可以指定网站是否可以要求用户授予其访问串行端口的权限,或者让用户自行决定。您还可以添加网址列表,指定网址是否可以向用户请求访问串行端口。

控制是否允许使用 Serial Port API 部分,选择以下任一选项:

  • 允许用户决定(默认)- 允许网站请求访问权限,但用户可以更改此设置。
  • 允许网站通过 Serial Port API 请求用户授予串行端口访问权限 - 允许网站请求用户授予串行端口访问权限。
  • 不允许任何网站通过 Serial Port API 请求访问串行端口 - 禁止访问串行端口。

允许在这些网站上使用 Serial API 字段中,输入可向用户请求访问串行端口的所有网址。

禁止在这些网站上使用 Serial API 字段中,输入所有不允许访问串行端口的网址。

如果网址未遭屏蔽,系统会依序优先应用控制是否允许使用 Serial Port API 部分中设置的选项或用户的个人设置。

请勿在允许在这些网站上使用 Serial API禁止在这些网站上使用 Serial API 字段中输入相同的网址。如果网址同时符合这两项政策,则系统不会优先应用任一政策。

如需详细了解有效网址格式,请参阅企业政策网址格式

隐私保护屏幕

仅限支持一体化隐私保护电子屏幕功能的 Chrome 设备

指定隐私保护屏幕功能是否始终处于启用或停用状态。您可以启用或停用隐私保护屏幕功能,也可以让用户自行选择。

传感器

您可以指定是否允许网站访问和使用移动传感器和光传感器等传感器。

默认访问权限部分,选择以下任一选项:

  • 让用户决定是否允许网站使用传感器(默认)- 允许网站请求访问权限,但用户可以更改此设置。此访问权限适用于与允许在这些网站上使用传感器禁止在这些网站上使用传感器字段所指定网址不匹配的网站。
  • 允许网站使用传感器 - 允许所有网站使用传感器。
  • 不允许任何网站使用传感器 - 禁止所有网站使用传感器。

允许在这些网站上使用传感器字段中,输入始终允许使用传感器的网址。将每个网址放在相应的行中。

禁止在这些网站上使用传感器字段中,输入一律不允许使用传感器的网址。将每个网址放在相应的行中。

如果未明确允许或屏蔽网址,系统会依序优先应用默认访问权限部分中设置的选项或用户个人设置。

请不要在允许在这些网站上使用传感器禁止在这些网站上使用传感器中输入相同的网址。如果网址同时与这两个字段中的网址匹配,则系统会应用禁止在这些网站上使用传感器,并会禁止使用移动传感器或光传感器。
 

如需详细了解有效网址格式,请参阅企业政策网址格式

Enterprise Hardware Platform API

允许由企业政策安装的扩展程序使用 Enterprise Hardware Platform API。此 API 可处理运行浏览器的硬件平台制造商和型号的扩展程序发出的请求。此政策也会影响 Chrome 内置的组件扩展程序。

用户验证

已验证模式

您可以选择:

  • 已验证的访问权限要求以已验证模式启动 - 设备上处于开发者模式的用户会话一律无法通过“已验证的访问权限”检查。
  • 已验证的访问权限不要求进行启动模式检查 - 允许设备上处于开发模式的用户会话正常运作。
  • 获允接收用户数据的服务帐号 - 列出拥有完整 Google Verified Access API 访问权限的服务帐号(在 Google API 控制台中创建)的电子邮件地址。
  • 能够验证用户但不接收用户数据的服务帐号 - 列出拥有受限 Google Verified Access API 访问权限的服务帐号(在 Google API 控制台中创建)的电子邮件地址。

要了解如何使用这些“已验证的访问权限”设置,管理员应参阅为 Chrome 设备启用“已验证的访问权限”。开发者应参阅 Google Verified Access API 开发者指南

Chrome 管理 - 合作伙伴访问权限

允许企业移动管理 (EMM) 合作伙伴访问设备管理

此设置目前不适用于 Google Workspace 教育版网域

通过此设置,可以允许企业移动管理 (EMM) 合作伙伴以编程方式进行访问,以便为 Chrome 和 Chrome 设备管理用户政策。合作伙伴可使用这种访问权限功能将 Google 管理控制台功能集成到 EMM 控制台中。

启用合作伙伴访问权限后,EMM 合作伙伴就能够管理用于控制用户的 Chrome 和 Chrome 设备使用体验的具体用户政策。因此,EMM 合作伙伴不需要再按管理控制台中的单位部门结构来管理用户政策,而是可以使用 EMM 控制台中配置的结构进行管理。您无法同时使用合作伙伴访问权限和管理控制台为同一用户设置相同的政策。通过合作伙伴访问权限控制功能配置的用户级政策优先于在管理控制台中设置的单位部门政策。要按单位部门为用户强制启用政策,您必须选择停用“Chrome 管理 - 合作伙伴访问权限”

您还可以使用 EMM 控制台来设置设备政策。

受管理的浏览器

云报告

此设置用于控制 Chrome 浏览器的云报告功能。使用 Chrome 浏览器云管理的管理员可以使用这一功能。有关详情,请参阅设置 Chrome 浏览器云管理

启用此设置后,使用 Chrome 浏览器云管理的管理员便可在管理控制台中详细查看单位中使用的 Chrome 浏览器和扩展程序。

Chrome 安全浏览

展开所有部分  |  收起所有部分

安全浏览

指定是否为用户启用 Google 安全浏览功能。

Chrome 中的安全浏览功能有助于阻止用户访问可能包含恶意软件或网上诱骗内容的网站。默认设置是允许用户决定是否使用安全浏览功能。您也可以选择始终启用安全浏览功能始终停用安全浏览功能

帮助我们改进安全浏览功能

指定是否启用扩展报告功能,并向 Google 发送某些系统信息和网页内容,以帮助检测危险应用和网站。

安全浏览可信网域

指定安全浏览功能应信任的网址。安全浏览功能不会检查所列网址中是否存在钓鱼式攻击、恶意软件、垃圾软件或密码重复使用等事件。安全浏览功能的下载保护服务也不会检查托管在这些网域上的下载内容。

下载限制

禁止用户下载危险文件,例如恶意软件或带有病毒的文件。您可以禁止用户下载所有文件,或者被 Google 安全浏览功能识别为危险内容的文件。如果用户尝试下载危险文件,安全浏览功能便会向其显示安全警告。

选择一个选项:

  • 无特殊限制 - 允许下载任何内容。如果安全浏览功能检测到危险网站,则仍会向用户显示警告。不过,用户可以绕过警告并下载相应文件。
  • 拦截危险下载内容 - 允许下载任何内容,但带有“安全浏览”警告标记的危险下载内容除外。
  • 拦截可能有危险的下载内容 - 允许下载任何内容,但带有“安全浏览”警告标记的潜在危险下载内容除外。用户无法绕过警告并下载文件。
  • 禁止所有下载恶意软件的操作 - 允许下载任何内容,但那些已被非常肯定地评估为恶意软件的下载内容除外。与选择“拦截危险下载内容”不同,如果您选择“禁止所有下载恶意软件的操作”,系统不会考虑文件类型,而是会考虑主机。
  • 拦截所有下载内容 - 禁止下载任何内容。
禁止绕过安全浏览警告

指定用户能否绕过安全浏览警告,并访问欺诈性或危险网站或下载可能有害的文件。

密码防护警示

指定您能否禁止用户在危险网站或未列入贵单位许可名单的网站上重复使用他们的密码。禁止在多个网站上重复使用密码可以防止单位中用户的帐号遭到盗用。

您可以指定要从“安全浏览”网址列表中排除的网域。对于已列入许可名单的网域,系统不会就以下方面进行检查:

  • 重复使用密码
  • 网上诱骗或欺骗性社交工程网站
  • 包含恶意软件或垃圾软件的网站
  • 有害的下载内容

根据用户通常在哪个网页中输入密码来登录其帐号,指定这类网页的网址。如需在 2 个网页内完成登录流程,请根据用户在哪个网页中输入密码来添加相应的网址。当用户输入密码时,系统会在本地存储不可撤消的哈希,并用其检测是否有重复使用密码的情况。请确保您所指定的更改密码的网址符合这些准则

SafeSites 网址过滤器

允许您启用或停用 SafeSites 网址过滤器。此过滤器使用 Google Safe Search API 来判断是否将网址归类为色情内容。

选择一个选项:

  • 不滤除提供成人内容的网站
  • 滤除提供成人内容的顶级网站(但不滤除嵌入式 iframe) - 系统不会向用户显示色情网站。

对于 K-12 EDU 网域,默认设置为滤除提供成人内容的顶级网站(但不滤除嵌入式 iframe)

对于其他所有网域,默认设置为不滤除提供成人内容的网站

禁止在特定网域中针对相似域名显示广告

针对网址与其他网站非常相似的网站,Chrome 正在推出新的“安全提示”功能。如果网站疑似仿冒其他网站,此界面就会向用户发出警告。

一般情况下,当 Google Chrome 认定网站可能正试图仿冒用户熟悉的另一个网站时,就会在网站上显示这类警告。通过设置此政策,您可禁止在所列网站上针对相似网址显示警告。

例如,倘若此列表包含“foo.example.com”或“example.com”,诸如“https://foo.example.com/bar”之类的网址便可能不会显示这类警告。

含侵扰性广告的网站

您可以禁止在含侵扰性广告的网站上展示广告。

默认设置为允许所有网站展示广告

Chrome 更新

展开所有部分  |  收起所有部分

组件更新

通过此设置,您可以指定是否自动更新 Chrome 浏览器组件,如 Widevine DRM(适用于加密媒体)。

此政策无法适用于所有组件。如需例外组件的完整清单,请参阅 ComponentUpdatesEnabled

重新启动通知

适用于 Chrome 83 及更高版本

指定如何通知用户重新启动 Chrome 浏览器或运行 Chrome 操作系统的设备,以获取最新更新。从下列选项中选择一项:

  • 没有重新启动通知 - 启用默认最低级别的通知。Chrome 浏览器会通过对菜单稍作改动来提示用户需要重新启动。在 Chrome 操作系统中,系统任务栏中的通知会提示用户重新启动。
  • 显示建议重新启动的通知 - 系统会反复向用户显示一条消息,提示他们应重新启动 Chrome 浏览器或 Chrome 设备。用户可以关闭该通知,这样就能在选择重新启动 Chrome 浏览器或 Chrome 设备前,继续使用旧版 Chrome 浏览器或 Chrome 操作系统。
  • 在一段时间后强制重新启动 - 用户可以关闭该通知,但在特定一段时间内,系统会反复向用户显示一条消息,提示他们需要重新启动 Chrome 浏览器或 Chrome 设备。

如果您要向用户显示通知,则可以设置一个时间段(1 至 168 小时),让系统在此期间反复通知用户重新启动 Chrome 浏览器或 Chrome 设备。要使用系统默认设置(168 小时或 7 天),请勿设置相应字段。

对于 Chrome 设备,您可以设置初始静默期,在这段时间内,系统不会通知用户重启 Chrome 设备。初始静默期过后,用户会看到第一条通知,告知他们重新启动 Chrome 设备以应用更新。默认情况下,Chrome 设备只会在您指定的时间段内的最后 3 天(而非整个时间段)显示通知。

使用 Chrome 设备时,请将更新后自动重启设备设置设为允许自动重启,这样一来,在更新应用后设备将会自动重启。这样可以最大程度地减少用户看到的通知数量。要详细了解如何在 Chrome 设备上配置自动更新,请参阅自动更新设置

禁止自动更新检查

指定每天禁止 Chrome 浏览器自动检查更新的时间段。请输入:

  • 开始时间 - 以 24 小时制格式 (hh:mm) 输入一个时间,系统每天从该时间起禁止浏览器检查更新。
  • 持续时间(分钟) - 根据您希望在多长时间内禁止浏览器检查更新,输入相应的时长(以分钟为单位)。
自动更新检查周期

指定 Chrome 浏览器每隔几小时会自动检查更新。如果输入 0,系统会停用所有自动更新检查(不推荐)。

下载网址类别覆盖

选择尝试提供便于缓存的下载网址,以便 Google 更新服务器尝试在回复中为更新负载提供便于缓存的网址。这样有助于减少带宽用量并缩短响应时间。

Chrome 浏览器更新

指定设备是否会在新版 Chrome 浏览器发布时进行自动更新。

为了确保用户受到最新安全更新的保护,我们强烈建议选择始终允许更新。运行早期版本的 Chrome 浏览器会使您的用户面临已知的安全问题。指定目标版本前缀覆盖,然后选择回滚到目标版本,这样即可暂时回滚到 Chrome 浏览器的 3 个最新主要版本。

要详细了解如何管理 Chrome 浏览器更新,请参阅管理 Chrome 更新(管理控制台)

用户数据快照上限

指定 Chrome 浏览器在发生紧急回滚时保留的用户数据快照数量。

每次实施完 Chrome 浏览器重大版本更新后,系统都会为用户浏览数据的某些部分创建用户数据快照。这些快照可供日后执行 Chrome 浏览器紧急版本回滚更新时使用。

如果 Chrome 浏览器回滚到用户保留的某个版本,系统便会恢复相应快照中的数据,例如书签和自动填充数据。

如果此政策设为特定值,则系统将仅保存该数量的快照。例如,如果设为 6,则系统只会保存最近的 6 张快照,并删除在此之前保存的所有其他快照。

如果此政策设为 0,则系统不会保留任何快照。如果未设置此政策,则系统会默认保存 3 张快照。

Legacy Browser Support

Open all  |  Close all

Legacy Browser Support

Specifies whether users can open some URLs in an alternative browser, such as Microsoft Internet Explorer.

Delay before launching alternative browser

Specifies the length of time, in seconds, that it takes to open the alternative browser. During this time, users see an interstitial page that lets them know they're switching to another browser. By default, URLs immediately open in the alternative browser, without showing the interstitial page.

Use Internet Explorer site list

Allows you to use your Internet Explorer site list to control whether URLs open in Chrome browser or Internet Explorer.

Legacy Browser Support site list

Specifies the URL of the XML file that contains the list of website URLs that open in an alternative browser. You can review this 示例 XML 文件.

URL to list of websites to open in either browser

Specifies the URL of the XML file that contains the list of website URLs that do not trigger a browser switch.

Websites to open in alternative browser

Specifies a list of website URLs that open in an alternative browser.

Websites to open in either browser

Specifies a list of website URLs that do not trigger a browser switch.

Alternative browser parameters

By default, only the URL is passed as a parameter to the alternative browser. You can specify parameters to be passed to the alternative browser’s executable. Parameters that you specify are used when the alternative browser is invoked. You can use the special placeholder ${url} to specify where the URL should appear in the command line.

You don't have to specify the placeholder if it's the only argument or if it should be appended to the end of the command line.

Alternative browser path

Lets you specify the program that's used as an alternative browser. For example, for Windows computers, the default alternative browser is Internet Explorer.

You can specify a file location or use one of these variables:

  • ${chrome}—Chrome browser
  • ${firefox}— Mozilla Firefox
  • ${ie}—Internet Explorer
  • ${opera}—Opera
  • ${safari}—Apple Safari
Chrome parameters

Windows only

Specifies the parameters to be passed to Chrome browser's executable when returning from the alternative browser. By default, only the URL is passed as a parameter to Chrome browser. Parameters that you specify are used when Chrome browser is invoked. You can use the special placeholder ${url} to specify where the URL should appear in the command line.

You don't have to specify the placeholder if it's the only argument or if it should be appended to the end of the command line.

Chrome path

Windows only

Specifies the executable of Chrome browser to be launched when returning from the alternative browser.

You can specify a file location or use the variable ${chrome}, which is the default installation location for Chrome browser.

Keep last Chrome tab

Specifies whether to close Chrome browser after the last tab in the window switches to the alternative browser.

Chrome browser tabs automatically close after switching to the alternative browser. If you specify Close Chrome completely and the last tab is open in the window before switching, Chrome browser closes completely.

网络文件共享功能设置

NTLM 身份验证

指定是否允许网络共享文件功能将 NTLM 作为 SMB 装载功能的身份验证协议。

如果未设置此政策,则受企业管理的用户可使用此政策,而不受管理的用户则无法使用。
NetBIOS 发现

指定网络共享文件功能是否使用 NetBIOS 名称查询请求协议来发现网络上的共享活动。

如果未设置此政策,则受企业管理的用户可以使用 NetBIOS 发现,而不受管理的用户则无法使用。
允许通过网络共享文件
允许您管理是否允许用户使用网络共享文件功能。
预配置的网络共享文件
下表列出了预配置的网络文件共享的不同字段:
字段 说明
网址 您要共享的文件或资源的网址,例如 smb://server/share、\\shared\resource
模式 确定文件的共享方式。
下拉菜单 共享网址将被添加到共享发现下拉菜单中。如果文件以下拉菜单形式共享,则表示该文件将添加为下拉菜单中的一个选项,具体路径如下:“文件共享网址”->“添加文件共享”->“文件管理器”->“添加新服务”->“SMB 文件共享”。
预装载模式 表示将装载共享网址。当某个文件以预装载形式共享时,该文件会显示在文件管理器的左侧。

 

虚拟机 (VM) 和开发者

命令行访问权限

指定用户是否可以访问命令行 (CLI) 以管理虚拟机 (VM)。

如果启用了此政策,则用户可以使用虚拟机管理 CLI。

Linux 虚拟机(Beta 版)

通过此设置,您可以控制用户能否使用虚拟机来运行 Linux 应用。

默认设置是禁止用户使用所需的虚拟机来运行 Linux 应用,且用户不可使用 $6 容器。此政策适用于启动新的 $6 容器,而非已在运行的容器。

如果您选择允许用户使用所需的虚拟机来运行 Linux 应用,则只需设置以下政策,所有用户即可使用 $6 容器:

  • 虚拟机 - 始终启用虚拟机
  • 无关联用户可否使用 Linux 虚拟机(Beta 版)- 允许没有关联的用户使用所需的虚拟机来运行 Linux 应用

注意:对于个人用户版 Chrome 操作系统设备,此功能已不是 Beta 版。对于受管设备和用户,此功能仍是 Beta 版。

端口转发

指定是否允许用户配置向虚拟机 (VM) 容器转发端口的功能。

如果您选择不允许用户启用并配置向虚拟机容器转发端口的功能,系统会停用端口转发功能。

来源不受信任的 Android 应用

允许您控制个人用户对来源不受信任的 Android 应用的使用。此设置不适用于 Google Play。

默认设置为禁止用户使用来源不受信任的 Android 应用。

如果用户的设备处于受管理状态,则系统会阻止用户安装来源不受信任的应用,除非设备和用户政策都被设为允许使用来源不受信任的 Android 应用。

如果用户的设备不受管理,则只有当用户为设备所有者时,其才可以安装来源不受信任的应用,方法为:首先登录设备,然后将用户政策设为允许使用来源不受信任的 Android 应用。

Parallels Desktop

展开所有部分  |  收起所有部分

Parallels Desktop

控制用户是否可以通过 Parallels Desktop for Chromebook 在自己的 Chrome 企业版设备上访问 Microsoft Windows 应用及文件,包括 Microsoft Office。

如果您选择允许用户使用 Parallels Desktop,则必须接受最终用户许可协议。

Parallels Desktop 的 Windows 映像

指定用户在使用 Parallels Desktop 之前,下载到他们的 Chromebook 的 Microsoft Windows 映像的网址和 Windows 映像文件的 SHA-256 哈希。

所需磁盘空间

指定运行 Parallels Desktop 所需的磁盘空间(以 GB 为单位)。默认值为 20GB。

如果您设置了所需的可用磁盘空间值,而用户设备检测到的剩余空间小于该值,则该设备无法运行 Parallels。因此,我们建议您先检查未压缩虚拟机 (VM) 映像的大小以及您要安装的额外数据或应用的大小,然后再确定所需的磁盘空间值。

诊断信息

要允许 Parallels 生成和收集用户的事件日志,请选择允许与 Parallels 分享诊断数据。如需详细了解日志中收集的信息,请参阅 Parallels 客户体验计划

其他设置

展开所有部分  |  收起所有部分

指标报告

指定 Chrome 浏览器是否会将使用情况统计信息和崩溃情况相关的数据发送给 Google。您可以允许用户配置此选项,也可以将其指定为始终启用或始终停用。

使用情况统计信息包含偏好设置、按钮点击情况和内存使用情况等信息。如果用户开启了改善搜索和浏览体验,则可能包含网页网址或个人信息。

崩溃报告中包含崩溃发生时的系统信息,并且可能包含网页网址或个人信息,具体取决于触发崩溃报告时发生的情况。

要详细了解我们会收集这些报告中的哪些信息以及如何处理,请阅读 Chrome 的隐私权政策

已登录用户的 Chrome 管理服务

指定当用户在任意设备上使用其 Google 帐号登录 Chrome 时,系统是否会强制执行您在管理控制台中设置的用户级 Chrome 政策。此设置默认设为在用户登录 Chrome 时应用所有用户政策,并提供受管理的 Chrome 体验

为了向后兼容,您可以让用户以不受管理用户的身份登录 Chrome。选择在用户登录 Chrome 时不应用任何政策。允许用户以非受管用户的身份访问并使用 Chrome。然后,当用户登录 Chrome 后,他们将不会再收到您在管理控制台中设置的用户级政策,包括应用和扩展程序。

关闭并重新开启 Chrome 管理服务,可能会导致某些用户的帐号发生变化。在重新开启此功能之前,请先通知您的用户。Chrome 管理服务处于关闭状态时,用户可能以不受管用户的身份登录。再次开启此设置后,Android 应用可能会被移除,或者用户可能无法再在 Chrome 设备上同时登录多人。

如果您使用管理控制台管理 Chrome 设备,则无需启用 Chrome 管理服务以应用政策。即使您关闭了此设置,用户级政策也适用于这些 Chrome 设备。

要了解如何设置 Chrome 浏览器用户级管理,请参阅管理 Chrome 浏览器上的用户配置文件

Chrome 浏览器内存用量上限

您可以设置单个 Chrome 浏览器会话的内存用量上限,这样一来,超出内存用量上限后,浏览器标签页就会自动关闭,以节省内存空间。如果设置了此政策,一旦超出内存用量上限,浏览器标签页就会关闭,以节省内存空间。不过,如果此政策未设置,那么仅当检测到所用机器的物理内存容量即将用尽时,浏览器才会尝试节省内存空间。

磁盘缓存目录

指定 Chrome 用来在磁盘中存储缓存文件的目录。

如果您在“磁盘缓存目录”字段中输入变量,即使用户已定义磁盘缓存 dir 参数,Chrome 也会使用该目录。如果未设置此政策,则系统会使用默认缓存目录,并且用户可以通过定义磁盘缓存 dir 参数来替换此设置。

Chrome 会管理卷的根目录内容。为避免丢失数据或发生其他错误,请勿将变量设置到根目录或有其他用途的目录。

如需查看支持的变量列表,请参阅支持的目录变量

磁盘缓存大小

指定在磁盘上缓存文件的 Chrome 存储空间限制。

如果您将此政策设为指定的大小,即使用户已定义了磁盘缓存大小参数,Chrome 也会使用指定的缓存大小。(小于几兆字节的值都会四舍五入。)

如果您不设置此政策,Chrome 会使用默认的缓存大小,且用户可以进行更改。

后台模式

指定关闭 Chrome 浏览器后,后台应用是否继续运行。

如果启用了此政策,那么当 Chrome 浏览器关闭后,后台应用和当前浏览会话(包括任何会话 Cookie)仍处于活动状态。用户可以随时使用系统任务栏中显示的图标将其关闭。

允许用户决定 - 后台模式最初处于停用状态,不过用户可以在浏览器设置中进行控制。

停用后台模式 - 后台模式已停用,且用户无法在浏览器设置中进行控制。

启用后台模式 - 后台模式已启用,且用户无法在浏览器设置中进行控制。

Google 时间服务

控制 Google Chrome 是否不定期向 Google 服务器发送查询以检索准确的时间戳。默认设置为允许查询。

政策提取延迟

指定收到政策失效通知与从设备管理服务提取新政策之间的最大延迟(以毫秒为单位)。

有效值范围为 1000(1 秒)至 300000(5 分钟)。如果您输入的值小于 1 秒,系统会使用 1 秒。如果您输入的值大于 5 分钟,系统会使用 5 分钟。

如果您未设置此政策,则系统会使用默认值(10 秒)。

Wi-Fi 网络配置同步

指定 Wi-Fi 网络配置是否可以在 Chrome 操作系统设备和已连接的 Android 手机之间同步。

如果您选择默认的不允许 Wi-Fi 网络配置在 Google Chrome 操作系统设备和已连接的 Android 手机之间同步,则用户无法同步 WLAN 网络配置。

如果您选择允许 Wi-Fi 网络配置在 Google Chrome 操作系统设备和已连接的 Android 手机之间同步,则用户就可以在 Chrome 操作系统设备和已连接的 Android 手机之间同步 Wi-Fi 网络配置。不过,用户必须通过完成一个设置流程来明确选择启用这项功能。

已登录用户的 Chrome 管理服务

已登录用户的 Chrome 管理服务

指定当用户在任意设备上使用其 Google 帐号登录 Chrome 时,系统是否会强制执行您在管理控制台中设置的用户级 Chrome 政策。此设置默认设为在用户登录 Chrome 时应用所有用户政策,并提供受管理的 Chrome 体验

为了向后兼容,您可以让用户以不受管理用户的身份登录 Chrome。选择在用户登录 Chrome 时不应用任何政策。允许用户以非受管用户的身份访问并使用 Chrome。然后,当用户登录 Chrome 后,他们将不会再收到您在管理控制台中设置的用户级政策,包括应用和扩展程序。

关闭并重新开启 Chrome 管理服务,可能会导致某些用户的帐号发生变化。在重新开启此功能之前,请先通知您的用户。Chrome 管理服务处于关闭状态时,用户可能以不受管用户的身份登录。再次开启此设置后,Android 应用可能会被移除,或者用户可能无法再在 Chrome 设备上同时登录多人。

如果您使用管理控制台管理 Chrome 设备,则无需启用 Chrome 管理服务以应用政策。即使您关闭了此设置,用户级政策也适用于这些 Chrome 设备。

要了解如何设置 Chrome 浏览器用户级管理,请参阅管理 Chrome 浏览器上的用户配置文件

“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?
您有什么改进建议?
搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
true
410864
false