为用户或浏览器设置 Chrome 政策

适用于通过 Google 管理控制台管理 Chrome 政策的管理员。

您可以在管理控制台中强制执行 Chrome 政策并将其应用于:

  • 用户帐号,以便在用户的不同设备之间同步政策和偏好设置。在任何设备上,只要用户使用受管理帐号登录 Chrome,系统便会应用相应设置。  
  • 已注册的浏览器,以便在用户于受管理的 Windows、Mac 或 Linux 计算机上打开 Chrome 浏览器时强制执行相应政策。无需登录。

不适用于使用 Chrome 自助服务终端许可注册的 Chrome 设备。

第 1 步:了解何时应用设置

系统何时强制执行您的 Chrome 政策取决于您的应用对象是用户帐号还是已注册的浏览器。

为用户设置的政策

使用 G Suite、Chrome 企业版支持服务、Cloud Identity,或者拥有 Chrome 企业版许可的客户可以享用此功能。

当用户在任何设备上通过受管理的帐号登录时,系统便会应用相应设置:

在以下情况下,系统不会应用设置:

  • 用户登录单位以外的 Google 帐号,例如个人 Gmail 帐号。
  • 用户以访客身份登录 Chromebook。

最适合应在不同设备之间同步的工作设置和偏好设置(工作应用、主页标签、主题背景等)

为已注册的浏览器设置的政策

  • 当用户在计算机(Windows、Mac 或 Linux)上打开已注册的 Chrome 浏览器时,系统便会应用相应设置。
  • 无需登录。
  • 最适合要在设备级别强制执行的政策,例如安全设置、屏蔽应用。

使用入门设置 Chrome 浏览器云管理

第 2 步:在管理控制台中进行设置

准备工作:要为特定用户帐号群组或已注册的 Chrome 浏览器进行设置,请将相应用户或浏览器放入某个单位部门

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页上,转到设备

    要查看“设备”,您可能需要点击底部的更多控件

  3. 点击左侧的 Chrome 管理
  4. 点击用户和浏览器设置
  5. 针对您要进行设置的用户或已注册的浏览器,在左侧选择其所属的单位。

    如要针对所有用户和浏览器进行设置,请选择顶级单位。否则,请选择一个下级单位。了解详情

    重要提示:要应用用户级政策,请确保为此单位启用 Chrome 管理

  6. 根据需要进行设置。了解各项设置

    提示:您可以使用顶部的搜索栏快速查找设置。

    部分设置并不适用于所有设备。您可以点击设置旁边的 lightbulb 了解详情。

    您为一个单位设定的设置会被该单位下级单位的用户或浏览器继承,除非您在下级单位覆盖这些设置。管理控制台中会标明设置是继承的设置还是覆盖后的设置(标记为在本单位内指定的设置)。

  7. 点击底部的保存

    设置通常会在几分钟后生效,但最长可能也需要 24 小时才能应用到所有用户。

了解各项设置

许多设置都会提供选项,让您选择是强制执行用户无法修改的政策,还是设置用户可以修改的默认政策。举例来说,您可以指定所有用户都必须使用的主页,也可以让用户自行设置主页。

提示:许多管理员会保留默认设置,仅配置启动页、新标签页、应用和扩展程序以及主题背景等设置。请参阅常见的政策设置
 

常规设置

自定义头像
使用自定义头像替换默认头像。您可以上传 JPG 格式(.jpg 或 .jpeg 文件)的图片,图片大小不能超过 512 KB。不支持其他文件类型。
自定义壁纸

用您自己的自定义壁纸替换默认壁纸。您可以上传 JPG 格式(.jpg 或 .jpeg 文件)的图片,图片大小不能超过 16 MB。不支持其他文件类型。

Chrome 版 Smart Lock

让您的用户可以在不输入密码的情况下使用 Android 手机解锁其 Chrome 设备。只要您的用户及其 Android 设备在附近并且您已启用此设置,用户便不再需要通过输入密码来解锁自己的 Chrome 设备。

要求:运行 Android 5.0 及更高版本的设备以及运行 Chrome 40 及更高版本的 Chrome 设备。

移动设备

移动版 Chrome(测试版)

警告:此功能为实验性功能。在更改此政策前,请先通知您的用户。欢迎您就此功能提供反馈,或点击此处报告问题

通过此设置,您可以选择是否应将受支持的政策应用到移动设备版 Chrome。启用此设置之前,您需要先启用 Chrome 管理。启用 Chrome 管理和此设置后,用户在通过您单位的帐号登录 Android 版 Chrome 时,便会收到您所设置的设置。要了解 Android 设备是否支持某项政策,请在管理控制台中查看各政策旁边的灯泡图标。用户退出受管理的帐号后,系统会停止应用政策,并删除设备上的本地 Chrome 个人资料。

注册控件

展开所有部分  |  收起所有部分

设备注册

如果选择将 Chrome 设备归入当前位置,则当您注册 Chrome 设备后,该设备便会归入您网域的顶级单位部门中,并相应地从其中获得设备设置。

如果选择将 Chrome 设备归入用户单位,则当您注册 Chrome 设备后,该设备便会归入注册用户所属的单位部门中。您为相应用户的单位部门所应用的设置将同样应用于该设备。

如果您需要手动注册许多设备,则将 Chrome 设备归入用户单位这一设置便非常有用。用户单位独有的设备设置将自动添加到相应设备,而无需在注册后通过执行额外步骤将每个设备手动移至特定单位。

注意:只有当设备是首次在网域中注册或设备之前已取消配置时,此政策才会生效。

注册期间的资产 ID

注册期间的资产 ID 设置可控制用户能否在注册设备时为其添加资产 ID 和位置信息:

  • 如果您选择不允许此单位中的用户执行此操作,则用户将无法输入资产 ID 和位置信息。
  • 如果您选择此单位中的用户可以在注册期间提供资产 ID 和位置,则用户便可输入设备的资产 ID 和位置信息。

如果您选择允许用户输入资产 ID 和位置信息,则设备信息页面中的对应字段将会显示预先存在的数据,若没有现存的数据,这些字段便会留空。在完成注册之前,用户可以修改或输入设备详细信息。这些信息会填充到管理控制台和 chrome://policy 中的资产 ID 和位置字段。

注册权限

默认情况下,单位中的用户可以注册新设备或重新注册已取消配置的设备。无论是注册新设备还是重新注册已取消配置的设备,均会消耗升级许可。用户也可重新注册已擦除数据或恢复出厂设置的设备。重新注册已擦除数据或恢复出厂设置的设备不会消耗新的升级许可,因为该设备仍处于受管理状态。

如果选择仅允许此单位中的用户重新注册现有设备(不得注册新设备或已取消配置的设备),则用户只能重新注册已擦除数据或恢复出厂设置,但未取消配置的设备。用户无法注册新设备或重新注册已取消配置的设备(只要执行这类操作,就会消耗升级许可)。

选择不允许此单位中的用户注册新设备或重新注册现有设备后,即可禁止用户注册或重新注册任何设备(包括通过强制重新注册来重新注册设备)。

许可选择设置

此设置仅适用于旧版管理控制台。

选择在用户登录 Chrome 时应用所有用户政策,并提供受管理的 Chrome 体验后,即可启用 Chrome 浏览器管理功能。在任何设备上,只要用户通过自己的帐号登录 Chrome,系统便会强制执行您为受管理的 Google 帐号设置的政策。

要了解如何设置 Chrome 浏览器用户级管理,请参阅管理 Chrome 浏览器上的用户配置文件

应用和扩展程序

您可以通过新的应用和扩展程序页面集中进行所有应用和扩展程序活动:

  • 允许和屏蔽应用
  • 强制安装应用
  • 将应用固定至任务栏

应用设置页面包含其他应用和扩展程序设置:
  • 安装来源
  • 允许的应用类型
  • 按权限屏蔽扩展程序
  • Chrome 网上应用店首页和权限
任务管理器

借助此设置,您可以禁止用户通过 Chrome 任务管理器终止进程。默认情况下,用户可以使用任务管理器终止进程。

选择允许用户通过 Chrome 任务管理器终止进程,以允许用户使用任务管理器终止进程。

如果您选择禁止用户通过 Chrome 任务管理器终止进程,用户就无法使用任务管理器终止进程。如果您选择此设置,用户仍然可以打开任务管理器,但无法使用任务管理器终止进程,因为结束进程按钮已停用(呈灰显状态)。

网站隔离

网站隔离

在 Chrome 设备上为受管理的 Chrome 浏览器用户启用网站隔离功能。隔离您指定的网站和源站。

  • 为所有网站启用网站隔离功能 - 每个网站都会在专门的呈现进程中运行,而且所有网站彼此都是隔离开来的(如果您未指定任何内容,系统将应用默认设置)。
  • 为所有网站关闭网站隔离功能,下列网站例外 - 仅限您指定在单独的进程中运行的网站。您输入的每个网站都会在专门的呈现进程中运行。

您也可以输入源站列表(以英文逗号分隔),从而将这些源站与其各自对应的网站隔离。例如,您可以输入 https://login.example.com,以将其与 https://example.com 下的其余网站隔离。

有关详情,请参阅通过网站隔离功能保护数据

网站隔离(Android 版 Chrome)

在 Android 设备上为受管理的 Chrome 浏览器用户启用网站隔离功能。隔离您指定的网站和源站。

注意:在 Android 设备上启用网站隔离功能会降低 Chrome 浏览器性能,因此该功能默认处于停用状态。

  • 允许用户选择启用网站隔离功能 - 用户可以选择是否启用网站隔离功能
  • 为所有网站启用网站隔离功能 - 每个网站都会在专门的呈现进程中运行,而且所有网站均彼此隔离。
  • 为所有网站关闭网站隔离功能,下列网站例外 - 仅限您指定在单独的进程中运行的网站。您输入的每个网站都会在专门的呈现进程中运行。

您也可以输入源站列表(以英文逗号分隔),从而将这些源站与其各自对应的网站隔离。例如,您可以输入 https://login.example.com,以将其与 https://example.com 下的其余网站隔离。

安全

展开所有部分  |  收起所有部分

密码管理器

如果您选择始终允许使用密码管理器,则用户便可让 Google Chrome 记住密码,并在他们下次登录网站时自动提供密码。如果您选择不允许使用密码管理器,则用户将无法保存新密码,但仍然可以使用之前保存过的密码。您可以允许用户配置密码管理器,也可将其指定为始终启用或停用

锁定屏幕

选择启用或停用用户设备上的锁定屏幕功能。如果您停用锁定屏幕(不允许锁定屏幕),那么在通常会导致屏幕锁定的情况下,系统会将用户退出。此外,会触发锁定屏幕的闲置设置(例如休眠时锁定屏幕)也会使用户退出。

快速解锁

指定用户能否使用 PIN 码和指纹等快速解锁模式解锁其设备的锁定屏幕。

闲置设置

此设置仅适用于旧版管理控制台(闲置设置)。

闲置时间(分钟)

要指定用户的设备在闲置多长时间后进入休眠状态或退出帐号,请输入分钟数。要使用系统默认设置(具体设置因设备而异),请将此框留空。

闲置时执行的操作

选择您希望设备在闲置时间结束后执行的操作:

  • 休眠 - 如果您希望设备进入休眠模式
  • 退出 - 如果您希望当前用户退出帐号
  • 锁定屏幕 - 如果您希望锁定用户的设备屏幕,但不使其退出帐号

合上机盖时执行的操作

如果您希望用户的设备在合上机盖后进入休眠状态或将用户退出,请选择此选项。

休眠时锁定屏幕

选择当设备进入休眠模式时是否锁定用户的屏幕,或者让用户自行决定。如果您选择允许用户进行配置,则用户便可在自己的设备设置中配置此选项。

无痕模式

指定是否允许用户用无痕模式浏览内容。

如果将此政策设为不允许使用无痕模式,系统便会阻止用户打开新的无痕式窗口。不过系统不会关闭已打开的无痕式窗口,也不会阻止用户在这些窗口中打开新标签页。

浏览器历史记录

决定是否允许浏览器保存用户的浏览记录。

清除浏览器历史记录

指定用户能否清除浏览器数据,包括浏览记录和下载记录。

注意:即使禁止用户清除浏览器数据,也不能确保系统会保留浏览器历史记录和下载记录。例如,如果用户删除自己的个人资料,则系统会一并清除其浏览记录。

强制使用暂存模式

指定用户能否使用暂存模式浏览。

借助暂存模式,您的员工可以使用个人笔记本电脑或其信任的共用设备办公,同时降低在其设备上留下任何浏览信息的可能性。

注意:如果您使用此设置,我们建议您不要停用管理控制台中的 Google Chrome 同步功能。

在线撤消检查

如果选择执行在线 OCSP/CRL 检查,Chrome 设备将执行 HTTPS 证书的在线撤消检查。

地理定位

设置是否允许网站跟踪用户的实际位置。

在 Chrome 中,此政策与用户 Chrome 设置中隐私设置和安全性 > 内容设置 > 位置下方的用户选项对应。您可以设置默认允许或默认拒绝网站跟踪实际位置,也可以让网站在每次请求实际位置时询问用户。

对于在 Chrome 上运行的 Android 应用,如果将此政策默认设为“已拒绝”,Android 应用将无法使用位置信息。如果此政策为任何其他值或未设置,则当 Android 应用想要使用位置信息时,便会请求用户的同意。

单点登录时强制在线登录验证的频率

为基于 SAML 的单点登录帐号设置强制在线登录流程的频率。

当您应用此政策后,如果用户使用的是基于 SAML 的单点登录帐号,那么只要他们在所设的频率周期后退出,就必须通过在线登录流程重新登录。

登录频率选项:

  • 每天
  • 每 3 天
  • 每周
  • 每 2 周
  • 每 3 周
  • 每 4 周
  • 从不

重要提示:使用此政策前,请查看为 Chrome 设备设置 SAML 单点登录中的所有相关要求。

单点登录

允许您为 Chrome 设备启用或停用基于 SAML 的单点登录。

重要提示:使用此政策前,请查看为 Chrome 设备设置 SAML 单点登录中的所有相关要求。

TLS 中的 RC4 加密套件

如果某些旧版服务器需要使用“TLS 中的 RC4 (Rivest Cipher 4) 加密套件”政策,此设置可允许您暂时启用或停用该政策。

注意:RC4 并不安全。我们建议您重新配置服务器以支持 AES 加密。

远程访问客户端

为远程访问客户端配置必要的域名,并阻止用户更改此设置。只有指定网域中的客户端可以连接到托管设备。如果此设置已停用或未设置,则任何网域中经过授权的用户均可连接到托管设备。

本地信任锚证书

本地锚 SHA-1

控制是否允许使用由本地信任锚颁发的 SHA-1 签名证书。启用此设置后,Chrome 将允许使用 SHA-1 签名证书,前提是这些证书成功通过验证,并链接到本地安装的 CA 证书。

本地锚常用名的备用名

控制要允许使用还是屏蔽由本地信任锚颁发的缺少 subjectAlternativeName 扩展程序的证书。启用此设置后,如果服务器证书缺少 subjectAlternativeName 扩展程序,Chrome 将会使用该证书的 commonName 与主机名进行匹配(前提是该证书成功通过验证,并关联到本地安装的 CA 证书)。

注意:我们不建议启用此设置,因为这可能会使系统绕过 nameConstraints 扩展程序,进而导致无法限制可获授予指定证书的主机名。

Symantec 公司的旧版公钥基础设施 (PKI)

允许信任 Symantec 公司的旧版公钥基础设施 (PKI) 运营签发的证书,但这类证书必须以其他方式成功通过验证并链接至公认的 CA 证书。注意,对于非 Chrome 操作系统,只有仍认可 Symantec 旧版基础设施证书的操作系统才适用此政策。如果操作系统某项更新更改了其对此类证书的处理方式,则此政策不再有效。此政策仅用作临时解决方法,旨在为企业提供更多过渡时间,以便弃用旧版 Symantec 证书。

证书透明度网址白名单

指定在哪些网址中不强制要求证书必须符合证书透明度要求。如此一来,Chrome 浏览器就可以使用证书授权机构 (CA) 签发,但尚未对外公开的证书。如果证书授权机构为特定网址签发的证书不合规定,则 Chrome 浏览器可能无法检测出该证书。

有关网址语法,请参阅 URL Blacklist filter format(网址黑名单过滤器格式)。系统只会匹配网址的主机名部分,且不支持通配符主机名。

证书透明度证书授权机构 (CA) 白名单

如果证书链中的证书含有指定的 subjectPublicKeyInfo 哈希,系统便不会强制要求相应证书必须符合证书透明度要求。如此一来,Chrome 浏览器就便能使用证书授权机构 (CA) 为某一单位签发,但尚未对外公开的证书。

要详细了解如何指定 subjectPublicKeyInfo 哈希,请参阅 CertificateTransparencyEnforcementDisabledForCas 政策。

证书透明度旧证书授权机构 (CA) 白名单

如果证书链中包含由旧证书授权机构 (CA) 签发并拥有指定 subjectPublicKeyInfo 哈希的证书,系统便不会强制要求相应证书必须符合证书透明度要求。部分运行 Chrome 浏览器的操作系统信任旧的证书授权机构,但 Chrome 操作系统或 Android 并不信任。Chrome 浏览器可以使用签发给单位,但尚未对外公布的证书。

要详细了解如何指定 subjectPublicKeyInfo 哈希,请参阅 CertificateTransparencyEnforcementDisabledForLegacyCas 政策。

CPU 任务调度程序

指定是否优化 Intel® 超线程技术以提升稳定性或性能。Intel 超线程技术能提高处理器资源的利用率和处理器吞吐量。

会话设置

在面板中显示“退出”按钮

选择是否要在任务栏中明确显示“退出”按钮。如果需要显眼的退出按钮,以便用户更加轻松便捷地退出 Chrome 设备,这项设置就会十分有用。默认情况下,用户只能通过面板菜单访问退出按钮。

网络

展开所有部分  |  收起所有部分

代理模式

指定 Google Chrome 连接到互联网的方式。

如果您保留默认设置(允许用户进行配置),那么用户就可以在 Chrome 设置中更改代理配置。如果您选择任何其他代理模式选项,用户将无法更改配置。

从不使用代理是指 Chrome 设备始终不通过代理服务器,而是与互联网建立直接连接。如果您未设置政策且用户也未更改配置,则直接连接也是 Chrome 设备的默认配置。

始终自动检测代理会指示 Chrome 设备使用网络代理自动发现协议 (WPAD) 确定要连接到哪个代理服务器。

始终使用以下指定的代理会设置特定的代理服务器,以便处理来自此用户的请求。如果您选择此选项,则需要在下面的代理服务器网址文本框中输入代理服务器的网址。代理服务器网址的格式应为“IP 地址:端口”,例如“192.168.1.1:3128”。对于其他任何代理模式设置,请将其留空。

如果某些网址应绕过处理其他用户请求的代理服务器,请在代理绕过列表文本框中输入这些网址。如果您输入了多个网址,请分行列出这些网址。

始终使用以下指定的代理自动配置。对于代理服务器自动配置文件网址,请插入应用于网络连接的 .pac 文件网址。

在 Chrome 操作系统中运行的 Android 应用

如果您在受支持的 Chrome 设备上启用 Android 应用,则可以针对 Android 应用使用部分代理设置。Android 应用通常会遵循您选择的设置(通常来说,使用 Android 系统 WebView 或内置网络堆栈的应用会遵循以下设置)。

如果您选择永不使用代理服务器,Android 应用就会得知系统未配置任何代理。

如果您选择使用系统代理设置或固定服务器代理,系统就会向 Android 应用提供 HTTP 代理服务器地址和端口。

如果您选择自动检测代理服务器,系统就会向 Android 应用提供脚本网址“http://wpad/wpad.dat”,并且不会使用代理自动检测协议中的其他部分。

如果您选择 .pac 代理脚本,系统就会向 Android 应用提供脚本网址。

支持的身份验证方案

指定 Google Chrome 支持的 HTTP 身份验证方案。当服务器或代理接受多种身份验证方案时,Google Chrome 会选择其支持的安全性最高的身份验证方案。您可以通过停用特定身份验证方案来替换默认行为。

  • 基本身份验证 - 最不安全的方法,在不加密的情况下进行身份验证。
  • 摘要式身份验证 - 比基本身份验证更安全的质询响应方案。
  • NTLM 身份验证 - (NT LAN Manager) 更高级的质询响应方案,比摘要式身份验证更安全。
  • 协商身份验证 - 最安全的身份验证方案。请优先考虑此方案(如有)。否则,请使用 NTLM 身份验证方案。
SSL 记录分割

启用此设置将允许在 Chrome 中进行 SSL 记录分割。记录分割是针对 SSL 3.0 和 TLS 1.0 中某个弱项的解决方法,但可能会导致出现与部分 HTTPS 服务器和代理无法兼容的问题。只有 Chrome 设备支持此功能。

数据压缩代理

数据压缩代理可使用 Google 托管的代理服务器优化网站内容,从而减少移动数据使用量并加快移动网页浏览速度。

您可以选择始终启用数据压缩代理或始终停用数据压缩代理。默认设置为允许用户决定是否使用数据压缩代理

WebRTC UDP 端口

通过此设置,您可以指定用户在进行 WebRTC 连接时使用的 UDP 端口范围。端口范围在 1024 至 65535 之间,且最大端口值应大于或等于最小端口值。

QUIC 协议

通过此设置,您可以在 Chrome 中使用快速 UDP 互联网连接 (QUIC) 协议。QUIC 是一种传输协议。与传输控制协议 (TCP) 相比,该协议能大幅减少延迟时间。详细了解 QUIC 协议。

Android 应用

展开所有部分  |  收起所有部分

控制 Android 备份和恢复服务

您可以允许用户将 Android 应用中的内容、数据和设置备份到其 Google 帐号。如此一来,用户便可在登录其他 Chrome 设备时恢复其 Android 应用数据。

Google 位置信息服务

设置是否允许 Android 应用跟踪用户的实际位置。

如果将此政策设置为为 Chrome 操作系统中的 Android 应用停用位置服务,Android 应用将无法使用位置信息。如果将其设置为让用户决定是否允许 Chrome 操作系统中的 Android 应用使用位置信息服务,则当 Android 应用想要使用位置信息时,系统便会请求用户的同意。

帐号管理

Chrome 操作系统 75 版及更低版本

默认情况下,用户可以添加辅助帐号(例如个人 Gmail 帐号),如此一来,他们不但可以访问您为 Google Play 企业版明确审批的 Android 应用,还可访问更多其他 Android 应用。要禁止用户添加辅助 Google 帐号,请选中 Google 帐号对应的复选框。

证书同步

默认情况下,Google Chrome 操作系统 CA 证书不会同步到 Android 应用。要让 Android 应用使用这些证书,请选择允许在 Android 应用中使用 Chrome 操作系统 CA 证书

启动

“主页”按钮

指定工具栏中是否显示“主页”按钮。在 Chrome 中,此政策对应的是用户 Chrome 设置中外观下的显示“主页”按钮用户设置

主页

控制主页是否为新标签页,或您的用户能否自行配置。主页是用户在点击上述“主页”按钮时看到的网址。

默认设置为允许用户进行配置,即允许用户在 Chrome 菜单 菜单 中配置自己的新主页。如果您不希望用户更改主页,则可以指定主页始终是“新标签页”主页始终为以下设置的网址

如果您选择主页始终为以下设置的主页网址,请在相应的文本框中输入主页的网址。如果您选择该选项,用户将无法更改自己的 Chrome 主页。

启动时加载的网页

可用于指定用户启动 Chrome 设备时应加载的网页地址。指定的主页将显示在激活的标签页上,而您在此处列出的任何网页均会显示在其他标签页上。

内容

展开所有部分  |  收起所有部分

安全搜索和受限模式

针对 Google 网页搜索查询的 Google 安全搜索

  • 不对 Google 网页搜索查询强制执行安全搜索 - 默认设置。
  • 始终对 Google 网页搜索查询使用安全搜索 - 选择此选项后,您所选的用户将使用安全搜索。

YouTube 的受限模式

  • 不强制启用 YouTube 受限模式 - 默认设置。
  • 至少强制启用 YouTube“适中”受限模式 - 选择此选项后,您所选的用户将使用受限模式。系统会根据视频的内容,通过算法限制哪些视频可供观看。

  • 强制启用 YouTube“严格”受限模式 - 选择此选项后,您所选的用户将使用严格受限模式。此设置会进一步限制可供观看的视频。

我们建议您将设备使用的 Chrome 升级为最新的稳定版本,以便设置 YouTube 限制。

屏幕截图

控制是否允许单位中的用户在 Chrome 设备上使用屏幕截图功能。此政策适用于通过任何方式(包括键盘快捷键,以及使用 Chrome API 获取屏幕截图的应用和扩展程序)生成的屏幕截图。

如果您在单位中受支持的 Chrome 设备上启用 Android 应用,则屏幕截图政策也适用于这些设备。

客户端证书

此设置允许您为 Chrome 应自动选择客户端证书的网站指定网址格式列表(以 JSON 字符串表示)。如果此设置已经过配置,那么在安装了有效客户端证书的情况下,Chrome 会跳过匹配网站的客户端证书选择提示。如果您未设置此政策,系统就不会针对请求证书的网站自动选择客户端证书。

ISSUER/CN 参数可指定认证机构的通用名称,系统自动选择的客户端证书必须将其作为颁发者。

如何设置 JSON 字符串的格式:

{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"证书颁发者名称"}}}

JSON 字符串示例:

{"pattern": "https://[*.]ext.example.com", "filter": {}}、
{"pattern": "https://[*.]corp.example.com", "filter": {}}、
{"pattern": "https://[*.]intranet.usercontent.com", "filter": {}}

安全密钥认证

指定网址和网域,使得当相应网站请求安全密钥认证证书时,系统不会为其弹出任何提示。

3D 内容

控制浏览器是否允许网页使用 WebGL API 和插件。WebGL(基于网络的图形库)是一种启用 JavaScript 的软件库,可生成互动 3D 图形。

Cookie

默认 Cookie 设置

设置是否允许网站存储浏览信息,例如您的网站偏好设置或个人资料信息。

此设置对应 Chrome 设置中 Cookie 部分的用户选项。您可以允许用户配置该选项,也可指定始终允许 Cookie、一律不允许 Cookie 或仅在用户访问期间保留 Cookie。

允许使用针对网址格式的 Cookie

可让您指定一系列网址格式,以用于确定允许设置 Cookie 的网站。例如,您可以逐行输入“http://www.example.com”或“[*.]example.edu”格式的网址。如果您未设置此政策,则您在默认 Cookie 设置下指定的配置将为全局默认配置,用户也可自行设置配置。

禁止特定网址格式的网站使用 Cookie

可让您指定一系列网址格式,以用于确定不允许设置 Cookie 的网站。例如,您可以逐行输入“http://www.example.com”或“[*.]example.edu”格式的网址。如果您未设置此政策,则您在默认 Cookie 设置下指定的配置将为全局默认配置,用户也可自行设置配置。

允许特定网址格式的网站使用仅在访问期间有效的 Cookie

可让您指定一系列网址格式,以用于确定允许设置仅在访问期间有效的 Cookie 的网站。例如,您可以逐行输入“http://www.example.com”或“[*.]example.edu”格式的网址。访问结束后,系统将删除 Cookie。如果您未设置此政策,则您在默认 Cookie 设置下指定的配置将为全局默认配置,用户也可自行设置配置。

第三方 Cookie 屏蔽

默认设置是允许用户决定是否使用第三方 Cookie 屏蔽。如果您选择允许第三方 Cookie,则 Chrome 会允许使用第三方 Cookie。如果您停用此设置,则 Chrome 会屏蔽第三方 Cookie。

图片

设置是否允许网站显示图片。在显示这些网站上的图片屏蔽这些网站上的图片字段中,您可以逐行添加网址格式。

JavaScript

设置是否允许网站运行 JavaScript。网站开发者经常使用 JavaScript 来提高网站的交互性。如果您停用 JavaScript,则某些网站将无法正常显示。

通知

要启用 Google 日历通知,请按以下说明操作。

设置是否允许网站显示桌面通知。您可以将网站设为默认允许或默认拒绝桌面通知,也可以设为每次网站要显示桌面通知时询问用户。

注意:如果使用的是 Chrome 64 或更高版本,则系统将不再允许 JavaScript 提醒打扰用户。过去使用提醒的应用(例如 Google 日历)可以改为发送通知。要允许通知,请将网址“calendar.google.com”添加到允许这些网站显示通知对应的文本框中。

插件

设置是否允许网站运行插件。插件可用于在网站中启用 Chrome 本身无法处理的特定网络内容。

Adobe® 已宣布将于 2020 年 12 月弃用 Flash® Player®。在 Chrome 76 及更高版本中,Flash 播放器默认处于停用状态。有关详情,请参阅管理用户 Chrome 浏览器中的 Flash

已启用和已停用的插件

已启用的插件指定始终在 Chrome 中启用的插件(例如 Java)列表,并禁止用户更改此设置。插件名称区分大小写,请在每行输入一个插件。

名称中可包含通配符。符号“*”可匹配任意数量的字符,而“?”可指定单个可选的字符。转义字符是“\”,因此如要匹配实际的“*”、“?”或“\”字符,请在这些字符前面添加“\”。

例如,在不同行中输入“Chrome PDF 查看器”和“*Gears*”即可启用 Chrome PDF 查看器插件和名称中带有“Gears”的所有插件。注意:如果您在插件设置中屏蔽所有插件,系统将忽略此设置。

已停用的插件指定禁止运行的插件列表。

已停用插件的例外指定用户可在 Chrome 中启用或停用的插件列表(即使其中的插件与已停用插件列表中的一个或多个条目相匹配)。

插件查找器

启用此设置可允许 Chrome 自动搜索并安装用户 Chrome 设备上缺少的插件。

插件授权

默认设置是,系统会在运行可能威胁到安全的插件时向用户请求授权。如果您将此设置更改为始终运行需要授权的插件,则除已过期和已停用的插件以外,其他插件无需先请求用户授权即可在 Chrome 中运行。

过期插件

默认设置是向用户请求运行过期插件的权限。选择禁用过期插件将会禁止此类插件在 Chrome 中运行。允许将过期插件用作正常插件表示过期插件可像正常插件一样运行。

弹出式窗口

设置是否允许网站显示弹出式窗口。只要浏览器拦截某网站的弹出式窗口,地址栏中便会显示 “已拦截弹出窗口”提醒 图标。用户可通过点击该图标查看已拦截的弹出式窗口。

网址拦截

网址黑名单

阻止 Chrome 用户访问特定网址。

要配置此政策,请逐行输入网址(最多 1000 个)。

网址黑名单例外

指定网址黑名单的例外网址。

要配置此政策,请逐行输入网址(最多 1000 个)。

网址语法

每个网址必须包含有效的主机名(例如 google.com)、IP 地址或者代替主机的星号 (*)。星号的功能类似于通配符,代表所有的主机名和 IP 地址。

网址也可以包括:

  • 网址架构,即 http、https 或 ftp(后跟 ://
  • 有效端口值(1 至 65535)
  • 指向资源的路径
  • 查询参数

请注意以下事项:

  • 要选择停用子域名匹配功能,请在主机名前面再输入一个英文句号。
  • 您无法使用 user:pass 字段(例如 http://user:pass@ftp.example.com/pub/bigfile.iso),而是要改为输入 http://ftp.example.com/pub/bigfile.iso。
  • 如果同时应用“黑名单”和“黑名单例外”过滤器(路径长度相同),系统会优先应用例外过滤器。
  • 如果主机名前出现额外的英文句号,说明此政策仅过滤完全匹配的主机。
  • 您无法在网址末尾使用通配符,例如 https://www.google.com/* 和 https://google.com/*
  • 此政策最后才会搜索通配符 (*)。
  • 可选查询是一组键值和仅包含键的标记(用“&”分隔)。
  • 键值标记用“=”分隔。
  • 查询标记的末尾可以是“*”,用于指定前缀匹配。标记顺序在匹配过程中将被忽略。

示例

网址黑名单条目 结果
example.com 屏蔽对 example.com、www.example.com 和 sub.www.example.com 的所有请求
http://example.com 屏蔽对 example.com 及其任何子网域的所有 HTTP 请求,但允许 HTTPS 和 FTP 请求
https://* 屏蔽对任何网域的所有 HTTPS 请求
mail.example.com 屏蔽对 mail.example.com 的请求,但不屏蔽对 www.example.com 或 example.com 的请求
.example.com 屏蔽 example.com,但不屏蔽其子网域(例如 example.com/docs)
.www.example.com 屏蔽 www.example.com,但不屏蔽其子网域
* 除了对黑名单例外网址的请求之外,其他请求一律屏蔽。这其中包括所有网址架构,例如 http://google.com、https://gmail.com 和 chrome://policy
*:8080 屏蔽对端口 8080 的所有请求
*/html/crosh.html 屏蔽 Chrome Secure Shell(也称为“Crosh Shell”)
chrome://settings-frame 屏蔽对 chrome://settings 的所有请求
example.com/stuff 屏蔽对 example.com/stuff 及其子网域的所有请求
192.168.1.2 屏蔽对 192.168.1.2 的请求
youtube.com/watch?v=V1 屏蔽 ID 为 V1 的 YouTube 视频

针对 Android 应用使用黑名单

如果您为单位中受支持的 Chrome 设备启用 Android 应用,则网址黑名单和网址黑名单例外将不会应用于使用 Android System WebView 的应用。要为这些应用强制应用黑名单,请在文本文件中指定要列入黑名单的网址(参见下文)。然后,将黑名单逐个应用于 Android 应用

以下示例展示了如何定义黑名单网址:

{ "com.android.browser:URLBlacklist": "[\"www.solamora.com\"]" }

对于不使用 Android System WebView 的应用,请参阅应用文档,了解如何通过类似的方法限制访问权限。

Google 云端硬盘同步功能

可让管理员配置是否允许用户在自己的 Chrome 设备上与 Google 云端硬盘进行同步。管理员可以启用或停用云端硬盘同步功能,也可以让用户在自己的本地 Chrome 设置中进行选择。

这项政策对 Chrome 操作系统中的 Google 云端硬盘 Android 应用没有任何影响。要完全禁止系统将内容同步到 Google 云端硬盘,请配置此政策并禁止在受支持的 Chrome 设备上安装 Google 云端硬盘 Android 应用。

通过移动网络连接使用 Google 云端硬盘同步功能

让管理员配置是否允许用户在自己的 Chrome 设备上通过移动网络连接(例如 3G 网络连接)使用 Google 云端硬盘同步功能。管理员可以启用或停用连接蜂窝网络时的云端硬盘同步功能。

这项政策对 Chrome 操作系统中的 Google 云端硬盘 Android 应用没有任何影响。

投射

允许用户通过 Chrome 投射

决定用户能否使用 Chromecast 设备投射 Chrome 标签页中的内容

在工具栏中显示“投射”图标

指定是否在 Chrome 浏览器工具栏中显示“投射”图标 投射。如果您选择一律在工具栏中显示“投射”图标,则该图标将始终显示在工具栏或菜单中,而且用户无法将其移除。

如果您不允许用户使用投射功能,则无法配置此政策。“投射”图标不会显示在工具栏中。

打印

展开所有部分  |  收起所有部分

打印

您可以启用或停用打印功能。停用打印功能后,用户将无法通过 Chrome 菜单、扩展程序、JavaScript 应用等进行打印。

这项政策对 Chrome 操作系统中的 Android 应用没有任何影响。

打印预览

如果选择允许使用打印预览后,您的用户便可在使用 Google 云打印时查看打印预览。如果选择始终使用系统打印对话框而非打印预览,系统在打印时便会使用计算机的打印对话窗口(而非云打印)。

Google 云打印提交设置

此设置可允许或阻止用户登录云打印服务进行打印。如果停用此设置,使用 Windows、Mac 和 Linux 的用户仍可使用系统打印对话框进行打印,但使用 Chrome 操作系统的用户将无法进行打印。

Google 云打印代理

如果启用此设置,则用户 Windows、Mac 或 Linux 计算机上的 Chrome 浏览器便可用作 Google 云打印和已与设备关联的打印机之间的代理。您的用户可以访问 https://www.google.com/cloudprint 并使用其 Google 帐号登录,从而设置 Google 云打印。

如果停用此设置,系统便会禁止 Chrome 与 Google 云打印共享您设备的打印机。

打印预览默认值

注意:此政策也适用于受管理的访客会话

默认打印机选择

要将默认系统打印机用作 Chrome 的默认打印机,请选择使用默认打印行为

要为用户指定默认打印机,请选择定义默认打印机。当用户执行打印时,Chrome 会寻找与您指定的打印机类型和 ID(或名称)相符的打印机,然后将其选作默认打印机。

这项政策对 Chrome 操作系统中的 Android 应用没有任何影响。

打印机类型

选择要搜索的打印机类型,然后将其用作默认打印机。要搜索所有类型,请选择云端和本地打印机

打印机匹配

选择是否要按名称或 ID 搜索打印机。

默认打印机

针对您想要设为默认的打印机,指定一个与其名称或 ID 相匹配的正则表达式。表达式应区分大小写。默认情况下,系统会使用与名称相符的第一个打印机来执行打印。例如:

  • 要匹配名为“Solarmora Lobby”的打印机,请输入 Solarmora Lobby
  • 要匹配 solarmora-lobby-1 或 solarmora-lobby-2 中的打印机,请输入 solarmora-lobby-.$
  • 要匹配 solarmora-lobby-guest 或 solarmora-partner-guest 中的打印机,请输入 solarmora-.*-guest

这项政策对 Chrome 操作系统中的 Android 应用没有任何影响。

本地打印机

此设置仅适用于旧版管理控制台(本地 Chrome 操作系统打印)。

您可以为本地或网络打印机指定打印设置,以便用户在未设置 Google 云打印的情况下打印内容。当您添加打印机后,相应打印机将自动显示在用户的 Chrome 打印机列表中。要了解如何指定本地打印设置,请参阅管理本地和网络打印机

本地打印机管理

借助此设置,您可以允许或禁止用户向 Chrome 设备添加本地打印机。

默认设置为允许用户添加新打印机。要禁止用户添加打印机,请选择不允许用户添加新打印机

此设置适用于运行 Chrome 操作系统 67 版及更高版本的 Chrome 设备。要了解如何指定本地打印设置,请参阅管理本地和网络打印机

默认彩色打印模式

指定默认情况下打印模式为彩色打印还是黑白打印。用户可以为单个打印任务选择彩色或黑白打印模式。

限制彩色打印模式

强制用户使用彩色或黑白打印模式。将此政策设为不限制彩色打印模式,让用户自行选择彩色或黑白打印模式。

默认单/双面打印设置

指定用户能否进行双面打印。如果您选择双面打印,请选择是采用长边距打印还是窄边距打印。用户只能在内置双面打印功能的打印机上进行双面打印。用户可以为单个打印任务选择单面或双面打印。

限制单/双面打印模式

强制用户使用单面或双面模式进行打印。将此政策设为不限制双面打印模式,以便用户为单个打印任务选择单面或双面打印模式。

用户体验

展开所有部分  |  收起所有部分

受管理的书签

您可以生成书签列表,以方便所有平台(包括移动设备)上的 Chrome 用户。在 Chrome 设备和桌面版 Chrome 上,书签将显示在 Chrome 书签栏的文件夹中。用户无法修改此文件夹中的内容,但是可以选择将其从书签栏中隐藏。在 Chrome 移动设备上,此文件夹也显示为书签内的文件夹。

书签栏

默认设置是允许用户决定是否使用书签栏。您可以启用或停用此设置,以限定 Chrome 是否显示书签栏。

书签修改

书签修改功能可让用户向自己的 Chrome 书签栏中添加书签,也可让用户修改或移除该书签栏中的书签。管理员可以启用或停用此设置。

下载位置

设置 Chrome 设备上的默认下载位置,并指定是否允许用户修改此位置。下载位置政策选项如下:

  • 将本地的 Downloads(下载)文件夹设为默认下载目录,但用户可以自行更改此设置
  • 将 Google 云端硬盘设置为默认值,但允许用户更改
  • 强制使用 Google 云端硬盘

如果在您选择前两项政策中的一项之前,用户已明确选择下载位置(设置将 Google 云端硬盘设置为默认位置,但允许用户更改或将本地的 Downloads(下载)文件夹设为默认下载目录,但用户可以自行更改此设置),那么系统将尊重用户的最初选项。如果在您选择这两项政策中的一项之前,用户尚未选择下载位置,系统将设置默认位置,但用户以后可以更改。

如果您选择强制使用 Google 云端硬盘(无论之前的用户选项是什么),系统都会强制使用 Google 云端硬盘作为下载文件夹,并且不允许用户更改此设置。但是,用户仍然可以使用文件应用在本地文件夹和 Google 云端硬盘之间移动文件。

这项政策对 Chrome 操作系统中的 Android 应用没有任何影响。系统通常会将 Android 应用下载至映射到 Chrome 操作系统下载文件夹的下载文件夹中,但也可能将其下载到其他位置。

拼写检查服务

可让管理员配置是否在 Chrome 上启用拼写检查网络服务。管理员可以启用或停用拼写检查网络服务,也可以让用户在自己的本地 Chrome 设置中进行选择。

Google 翻译

可让管理员配置是否让 Chrome 使用 Google 翻译功能,该功能可为使用某些语言(未在用户 Chrome 设备上的语言设置中指定的语言)的网页提供内容翻译。管理员可将 Chrome 配置为始终提供翻译或一律不提供翻译,也可让用户在自己的本地 Chrome 设置中进行选择。

备用错误页面

控制 Google Chrome 无法连接到某网址时是否针对您所尝试访问的网页显示建议。用户会看到导航到该网站的其他部分或使用 Google 搜索该网页等建议。

对应 Chrome 设置中的使用网络服务帮助解决导航错误用户选项。您可以允许用户配置此选项,也可以将其指定为始终启用或始终停用。

开发者工具

控制工具菜单是否显示开发者工具选项。开发者工具可让网站开发者和程序员深入到浏览器及其 Web 应用的内部。要详细了解这些工具,请参阅开发者工具概览

G Suite 企业版客户的默认设置为允许使用内置开发者工具(强制安装的扩展程序除外)。这就表示所有用于打开开发者工具或 JavaScript 控制台的键盘快捷键、菜单条目和上下文菜单条目通常都处于启用状态,但在使用企业政策强制安装的扩展程序中则处于停用状态。

非受管用户的默认设置为始终允许使用内置开发者工具。如要在任何情况下都停用开发者工具,请选择一律不允许使用内置开发者工具

如果您为单位中受支持的 Chrome 设备启用 Android 应用,这项政策也会控制 Android 开发者选项的访问权限。如果您将此政策设为一律不允许使用内置开发者工具,用户将无法访问开发者选项。如果您将此政策设为其他值,或者不设置此政策,则用户可通过在 Android 设置应用中点按七次版本号来访问开发者选项。

表单自动填充

指定是否允许用户使用自动填充功能来简化在线表单的填写过程。用户首次填写表单时,Google Chrome 会自动将输入的信息(如姓名、地址、电话号码或电子邮件地址)保存为自动填充项。

对应于“个人资料”页面上的启用自动填充用户选项。您可以允许用户配置此选项,也可将其指定为始终启用或停用。

DNS 预提取

启用预提取 DNS(域名系统)后,Google Chrome 会查询与显示的网页相关的所有链接的 IP 地址,以便更快地加载用户点击的链接。

对应 Chrome 设置中的预测网络操作,以提高网页加载速度用户选项。您可以允许用户配置此选项,也可将其指定为始终启用或停用。

网络联想查询

借助此设置决定是否要让 Chrome 通过联想查询来预测网络操作。您可能希望 Chrome 使用网络联想查询服务,从而更快速地加载网页或当用户在地址栏中输入搜索字词和网址时帮助填充相关内容。

作为管理员,您可以停用或要求使用网络联想查询服务。您也可以选择允许用户决定是否使用网络联想查询,这样系统就会为 Chrome 启用此设置。用户之后可以更改自己的网络联想查询服务设置

多帐号登录权限

在启用多账号登录权限功能前,请仔细阅读允许多个用户同时登录

对于在 Chrome 设备上运行的 Android 应用,即使您将此政策设置为用户访问权限不受限制(允许将任何用户添加至其他任何用户的会话),系统也只会允许主要用户使用 Android 应用。如果此政策已被设为主要用户必须是受管理的帐号(次要用户则不必),那么只要设备支持 Android 应用,而且您已在单位中启用这些应用,主要用户便能使用这些 Android 应用。

登录辅助帐号

此设置仅适用于旧版管理控制台。

允许用户登录设备后在浏览器窗口和 Google Play 之间切换帐号。

  1. 选择相应选项:
    • 如要允许用户在浏览器中登录任何 Google 帐号,请选择允许用户登录任何辅助 Google 帐号。详细了解 Google 帐号类型
    • 如要禁止用户在浏览器中登录或退出 Google 帐号,请选择禁止用户登录或退出辅助 Google 帐号
    • 如要仅允许用户使用特定 G Suite 网域列表中的帐号访问 Google 服务,请选择仅允许用户登录下方设置的 G Suite 网域
  2. 如果您仅允许用户登录特定 G Suite 网域,那么:
    1. 请务必列出贵单位的所有网域,否则您的用户可能会无法访问 Google 服务。如要查看您的网域列表,请点击网域列表框下方的单位网域
    2. 如要添加 @gmail.com 和 @googlemail.com 一类的个人 Google 帐号,请在列表中输入 consumer_accounts。您还可以允许用户访问特定帐号,但禁止访问其他帐号。详细了解如何禁止访问个人用户帐号
  3. 如果您仅允许用户登录特定 G Suite 网域,或禁止用户在浏览器中登录或退出帐号,则您还需执行以下操作:
    1. 设置登录限制,仅允许您单位中的用户登录运行 Chrome 操作系统的设备。有关详情,请参阅登录限制
    2. 关闭设备上的访客浏览功能。有关详情,请参阅访客模式
    3. 禁止用户在无痕模式下浏览内容。请参阅无痕模式
统一桌面(测试版)

注意:此政策也适用于受管理的访客会话自助服务终端应用

要允许用户在多个显示屏或电视屏幕上显示某个窗口,您可以选择为用户提供统一桌面模式选项。默认情况下,此功能处于停用状态。用户可以停用统一桌面并仍使用 2 个外部显示屏,但个别窗口只会显示在其中一个显示屏上(即使 2 个显示屏都显示桌面)。

  • 系统最多只支持 2 个外部显示器。
  • 统一桌面专用于在分辨率相同的显示器上运行。
  • 启用统一桌面后,当用户将显示器连接到设备时,系统会将统一桌面模式设为默认模式。
WebRTC 事件日志

如果选择允许收集 WebRTC 事件日志,Web 应用便可为您的用户生成和收集 WebRTC 事件日志。要收集 Google Hangouts Meet 客户的日志,您必须同时启用此政策和应用 然后 G Suite 然后 Google Hangouts 设置 然后 Meet 设置 然后 客户端日志上传政策。

这些日志可以帮助 Google 识别并解决与音频和视频会议相关的问题。这些日志中包含一些诊断信息,例如 RTP 数据包的收发时间和大小、网络拥堵情况反馈,以及与语音帧和视频帧的时间和质量相关的元数据。日志中没有会议的视频或音频内容。

多功能框搜索提供程序

搜索建议

当用户在地址栏中输入内容时,Google Chrome 可以使用联想查询服务帮助您填充网址或搜索字词。例如,如果在地址栏中输入“上海”,浏览器会预测网站 http://www.shanghaidaily.com/ 或搜索字词 [ 上海市 ]。您可以允许用户配置此选项,也可将其指定为始终启用或停用。

对应 Chrome 设置中的在地址栏中输入搜索字词和网址时,借助联想查询服务自动补齐相关内容用户选项

多功能框搜索提供程序

此设置指定默认搜索提供程序的名称。如果您选择将多功能框搜索提供程序设置锁定为以下值,系统就会在下方显示一系列可供您自定义的文本框。

多功能框搜索提供程序名称

为多功能框输入名称。如果您没有提供名称,Chrome 就会使用多功能框搜索提供程序搜索网址中的主机名。

多功能框搜索提供程序关键字

指定用作触发搜索的快捷方式的关键字。

多功能框搜索提供程序搜索网址

指定搜索引擎的网址。

网址必须包括“{searchTerms}”字符串,在查询时该字符串将会替换为用户要搜索的字词,例如“http://search.my.company/search?q={searchTerms}”

如要将 Google 作为您的搜索引擎,请输入以下内容:

{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}ie={inputEncoding}

多功能框搜索提供程序推荐网址

指定用于提供搜索建议的搜索引擎的网址。

网址应包含“{searchTerms}”字符串。进行搜索查询时,此字符串会被替换为用户当前已输入的文本。

如要将 Google 作为提供搜索建议的搜索引擎,请输入以下内容:

{google:baseURL}complete/search?output=chrome&q={searchTerms}

多功能框搜索提供程序即搜即得网址

指定用于提供即搜即得结果的搜索引擎的网址。

网址应包含“{searchTerms}”字符串。进行搜索查询时,此字符串会被替换为用户当前已输入的文本。

多功能框搜索提供程序图标网址

指定搜索提供程序的图标网址。注意:您至少需要访问一次您的搜索提供程序网站,以便在您启用将多功能框搜索提供程序设置锁定为以下值前,系统可以检索和缓存图标文件。

多功能框搜索提供程序编码

指定搜索提供程序支持的字符编码。

编码是代码页名称,如 UTF-8、GB2312 和 ISO-8859-1。系统会按照提供的顺序逐一尝试。默认为 UTF-8。

硬件

展开所有部分  |  收起所有部分

外部存储设备

控制您单位中的用户能否使用 Chrome 设备装载外部驱动器(包括 USB 闪存驱动器、外部硬盘、光存储器、安全数字 (SD) 卡和其他存储卡)。如果您将此政策设置为不允许外部存储,而用户试图装载外部驱动器,则 Chrome 会通知用户系统正在实施该政策。

如果设备管理员将政策配置为允许使用外部存储设备(只读),用户便可通过外部设备读取文件,但无法向其写入内容,也无法格式化设备。

此政策不影响 Google 云端硬盘或内部存储空间,例如保存在“下载”文件夹中的文件。

音频输入

控制您单位中的用户能否让网站通过 Chrome 设备的内置麦克风访问音频输入。

当用户连接外部音频输入设备时,Chrome 设备上的音频会立即取消静音。

如果您为单位中受支持的 Chrome 设备启用 Android 应用,并且已停用这项政策,则系统将为所有 Android 应用停用麦克风输入功能(无一例外)。

音频输出

控制您单位中的用户是否可以在 Chrome 设备上播放声音。该政策适用于 Chrome 设备上的所有音频输出,包括内置扬声器、耳机插孔和连接到 HDMI 和 USB 端口的外部设备。

如果您将此政策配置为停用音频,Chrome 仍然会显示音频控件(但用户无法更改),还会显示静音图标。

这项政策对 Chrome 操作系统中的 Google 云端硬盘 Android 应用没有任何影响。

视频输入

指定是否允许网站访问内置 Chrome 设备网络摄像头。

停用视频输入并不会在 Google 语音和视频聊天中停用网络摄像头。要在 Google 语音和视频聊天中停用网络摄像头,请使用用户和浏览器设置中的获准运行的应用和扩展程序设置来屏蔽以下扩展程序:hfhhnacclhffhdffklopdkcgdhifgngh

如果您在单位中受支持的 Chrome 设备上已启用 Android 应用,这项政策便会影响内置摄像头。您也可停用这项政策,这样任何 Android 应用均无法访问内置摄像头。

键盘

决定键盘最上排按键的行为。如果未设置此政策或者将此政策设为媒体键,那么键盘的顶行按键将用作媒体键。如果将该政策设为功能键,则这些键将用作功能键(例如 F1、F2)。在这两种情况下,用户均能够更改相应行为。此外,按住搜索键即可将媒体键转换为功能键(反之亦然)。

用户验证

已验证模式

已验证的访问权限要求以已验证模式启动:设备上处于开发模式的用户会话一律无法通过“已验证的访问权限”检查。

已验证的访问权限不要求进行启动模式检查:允许设备上处于开发模式的用户会话正常运作。

获允接收用户数据的服务帐号:列出拥有完整 Google Verified Access API 访问权限的服务帐号(在 Google Developer Console 中创建)的电子邮件地址。

能够验证用户但不接收用户数据的服务帐号:列出拥有受限 Google Verified Access API 访问权限的服务帐号(在 Google Developer Console 中创建)的电子邮件地址。

要了解如何使用这些“已验证的访问权限”设置,管理员应参阅为 Chrome 设备启用“已验证的访问权限”。开发者应参阅 Google Verified Access API 开发者指南

Chrome 管理 - 合作伙伴访问权限

Chrome 管理 - 合作伙伴访问权限

通过 Chrome 管理 - 合作伙伴访问权限用户设置,EMM 合作伙伴能以编程方式访问并管理 Chrome 和 Chrome 设备的用户政策。合作伙伴可使用这种访问权限功能将 Google 管理控制台功能集成到 EMM 控制台中。

启用合作伙伴访问权限后,EMM 合作伙伴就能够管理决定用户的 Chrome 和 Chrome 设备使用体验的个别用户政策。也就是说,EMM 合作伙伴不再需要通过管理控制台单位结构来管理用户政策,而是可以使用 EMM 控制台中配置的结构进行管理。您无法同时使用合作伙伴访问权限和管理控制台为同一用户设置相同的政策。通过合作伙伴访问权限配置的用户级别政策优先于在管理控制台中设置的单位级别政策。要在单位级别为用户强制启用政策,您必须选择停用 Chrome 管理 - 合作伙伴访问权限

您还可以使用 EMM 控制台来设置设备政策。不过,如果您仅订阅 Chrome 自助服务终端服务,则只能设置设备政策。

注意:目前,此设置不适用于 G Suite 教育版网域。

受管理的浏览器

已登录用户的 Chrome 管理服务

此设置仅适用于旧版管理控制台。

选择在用户登录 Chrome 时应用所有用户政策,并提供受管理的 Chrome 体验后,即可启用 Chrome 浏览器管理功能。在任何设备上,只要用户通过自己的帐号登录 Chrome,系统便会强制执行您为受管理的 Google 帐号设置的政策。

要了解如何设置 Chrome 浏览器用户级管理,请参阅管理 Chrome 浏览器上的用户配置文件

云报告

此政策用于控制 Chrome 浏览器的云报告功能。使用 Chrome 浏览器云管理的管理员可以使用此功能。有关详情,请参阅启用浏览器报告的步骤

启用此设置后,使用 Chrome 浏览器云管理功能的管理员便可在管理控制台中详细查看单位中使用的 Chrome 浏览器扩展程序

Chrome 安全浏览

展开所有部分  |  收起所有部分

安全浏览

指定是否为用户启用 Google 安全浏览功能。

Chrome 中的安全浏览功能有助于阻止用户访问可能包含恶意软件或网上诱骗内容的网站。默认设置是允许用户决定是否使用安全浏览功能。您也可以选择始终启用安全浏览功能始终停用安全浏览功能

帮助改进安全浏览功能

指定是否启用扩展报告功能,并向 Google 发送某些系统信息和网页内容,以帮助检测危险应用和网站。

加入白名单的安全浏览网域

指定安全浏览功能应信任的网址。安全浏览功能不会检查所列网址中是否存在网上诱骗、恶意软件、垃圾软件或密码重复使用等事件。安全浏览功能的下载保护服务也不会检查托管在这些网域上的下载内容。

下载限制

禁止用户下载危险文件,例如恶意软件或带有病毒的文件。您可以禁止用户下载所有文件,或者被 Google 安全浏览功能识别为危险内容的文件。如果用户尝试下载危险文件,安全浏览功能便会向其显示安全警告。

将此政策设为下列某个值:

无特殊限制 - 允许下载任何内容。如果安全浏览功能检测到危险网站,则仍会向用户显示警告。不过,用户可以绕过警告并下载相应文件。

拦截危险下载内容 - 允许下载任何内容,但带有“安全浏览”警告标记的危险下载内容除外。

拦截可能有危险的下载内容 - 允许下载任何内容,但带有“安全浏览”警告标记的潜在危险下载内容除外。用户无法绕过警告并下载文件。

拦截所有下载内容 - 禁止下载任何内容。

禁止绕过安全浏览警告

指定用户能否绕过安全浏览警告、访问欺诈性或危险网站或下载可能有害的文件。

密码防护警示

指定您能否禁止用户在危险网站或未列入贵单位白名单的网站上重复使用他们的密码。禁止在多个网站上重复使用密码可以防止单位中用户的帐号遭到盗用。

指定要从 Google 的“安全浏览”网址列表中排除的网域。对于已列入白名单的网域,系统不会就以下方面进行检查:

  • 重复使用密码
  • 网上诱骗或欺骗性社交工程网站
  • 包含恶意软件或垃圾软件的网站
  • 有害的下载内容

指定用户通常通过输入密码登录其帐号的网页的网址。如需在 2 个网页内完成登录流程,请根据用户在哪个网页中输入密码来添加相应的网址。当用户输入密码时,系统会在本地存储不可撤消的哈希,并用其检测是否有重复使用密码的情况。确保您所指定更改密码的网址符合这些准则

旧版浏览器支持

展开所有部分  |  收起所有部分

旧版浏览器支持

指定用户能否在备用浏览器(例如 Microsoft® Internet Explorer®)中打开某些网址。

启动备用浏览器前的延迟时间

指定打开备用浏览器所需的时长(以秒为单位)。在此期间,系统会显示一个插页,告知用户当前正在切换到其他浏览器。默认情况下,系统会直接在备用浏览器中打开网址,而不会显示插页。

使用 Internet Explorer 网站列表

允许您使用 Internet Explorer 网站列表来控制在 Chrome 浏览器还是 Internet Explorer 中打开网址。

旧版浏览器支持网站列表

指定一个 XML 文件的网址,该文件包含要在备用浏览器中打开的网址列表。您可以查看此 示例 XML 文件

可在任一浏览器中打开的网站列表的网址

指定一个 XML 文件的网址,该文件包含不会触发浏览器切换的网站网址的列表。

要在备用浏览器中打开的网站

指定要在备用浏览器中打开的网站网址的列表。

可在任一浏览器中打开的网站

指定不会触发浏览器切换的网站网址的列表。

备用浏览器参数

默认情况下,只有网址会以参数的形式传送至备用浏览器。您可以指定要将哪些参数传送至备用浏览器的可执行文件。系统会在调用备用浏览器时使用您指定的参数。您可以使用特殊占位符 ${url} 来指定网址在命令行中的位置。

如果占位符是唯一的参数或应附加到命令行的末尾,则无需指定占位符。

备用浏览器路径

默认情况下,备用浏览器取决于用户所使用的平台。例如,Windows 计算机默认的备用浏览器是 Internet Explorer。您可通过此设置指定要作为备用浏览器的程序。

您可以指定文件位置或使用下列某一变量:

  • ${chrome} - Chrome 浏览器
  • ${firefox} - Mozilla® Firefox®
  • ${ie} - Internet Explorer
  • ${opera} - Opera®
  • ${safari} - Apple® Safari®
Chrome 参数

仅适用于 Windows

指定从备用浏览器返回时要传递到 Chrome 浏览器可执行文件的参数。默认情况下,只有网址会以参数形式传递至 Chrome 浏览器。系统会在调用 Chrome 浏览器时使用您指定的参数。您可以使用特殊占位符 ${url} 来指定网址在命令行中的位置。

如果占位符是唯一的参数或应附加到命令行的末尾,则无需指定占位符。

Chrome 路径

仅适用于 Windows

指定从备用浏览器返回时要启动的 Chrome 浏览器可执行文件。

您可以指定文件位置,也可以使用变量 ${chrome}(即 Chrome 浏览器的默认安装位置)。

保留最后一个 Chrome 标签页

指定当窗口中的最后一个标签页切换至备用浏览器后,是否关闭 Chrome 浏览器。

Chrome 浏览器的标签页在切换至备用浏览器后会自动关闭。如果将此政策设置为完全关闭 Chrome 浏览器,且在切换浏览器前窗口中只剩最后一个标签页,那么 Chrome 浏览器将会完全关闭。

相关主题

该内容对您有帮助吗?
您有什么改进建议?