本文適用對象為透過 Google 管理控制台管理 Chrome 政策的管理員。
您可以在管理控制台強制執行要套用於以下項目的 Chrome 政策:
- 使用者帳戶:同步處理使用者在不同裝置上的政策和偏好設定。每當使用者在任何裝置上透過個人的受管理帳戶登入 Chrome 瀏覽器時,系統就會套用設定。
- 已註冊的瀏覽器:當使用者在受管理的 Microsoft Windows、Apple Mac 或 Linux 電腦上開啟 Chrome 瀏覽器時,系統就會強制執行政策,使用者不必登入。
步驟 1:瞭解套用設定的時機
取決於您是針對使用者帳戶或已註冊瀏覽器設定 Chrome 政策,系統強制執行政策的確切時間會有所不同。
針對使用者設定的政策
當使用者透過受管理 Google 帳戶登入下列瀏覽器、裝置或應用程式時,這類政策就會套用:
- 任何 Windows、Mac、Linux、Android 或 iOS 裝置上的 Chrome 瀏覽器
注意:在此情況下,您只能將政策套用至屬於已驗證網域帳戶的使用者帳戶。如果您使用的是已驗證電子郵件的帳戶,則必須驗證網域才能解鎖這項功能。 - Chromebook 或其他 ChromeOS 裝置
- 在支援的 ChromeOS 裝置上執行的 Android 應用程式
在使用者執行下列操作時,這類政策不會在套用:
- 登入不屬於貴機構的 Google 帳戶,例如個人 Gmail 帳戶
- 以訪客身分登入 Chromebook
當您需要在所有裝置上同步處理工作設定和偏好設定時 (例如工作應用程式、首頁分頁、主題等) 時,最適合採用這種設定方式。
針對已註冊瀏覽器設定的政策
- 當使用者在註冊 Chrome 瀏覽器的電腦 (Windows、Mac 或 Linux) 上開啟該瀏覽器時,系統就會套用這類政策,
- 使用者不必登入。
- 當您需要在裝置層級強制執行政策 (例如安全性設定、封鎖的應用程式等) 時,最適合採用這種設定方式。
步驟 2:在管理控制台中調整設定
事前準備:如有需要,請參閱這篇文章,瞭解如何將設定套用至特定部門或群組。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。
如果您已註冊 Chrome Enterprise 基本版,請依序點選「選單」圖示 「Chrome 瀏覽器」「設定」。
- 按一下您要設置的設定。瞭解各項設定。
提示:在畫面頂端的搜尋框中輸入文字即可快速找到設定。
如果是從上層機構沿用的設定,該設定會顯示「沿用」;如果是要覆寫到子機構的設定,該設定會顯示「已在機構內採行」。
-
按一下 [儲存]。 如果是 機構單位,您也可以按一下「覆寫」。
如要日後還原沿用的值,請按一下「沿用」(如果是群組,請點選「取消設定」)。
設定通常會在幾分鐘內生效,但也可能需要經過 24 小時才會套用到所有使用者的裝置上。
瞭解各項設定
許多設定可讓您強制執行使用者不得變更的政策,或設定允許使用者調整的預設設定。舉例來說,您可以為所有使用者都設定同一個首頁,也可以讓使用者自行設定個人偏好的首頁。
大多數政策會同時套用至 Chrome 作業系統上的關聯和非關聯使用者。如果使用者和其登入的 Chrome 作業系統裝置,受到同一個網域管理,該使用者即為關聯使用者。如果使用者以受管理的使用者身分從不同網域登入裝置 (例如 user@domainA.com 登入由 domainB.com 管理的裝置),或登入未受管理的裝置,該使用者即為非關聯使用者。管理控制台會清楚標示只套用至關聯或非關聯使用者的政策。
提示:許多管理員會選擇保留預設設定,只調整起始網頁、新分頁、應用程式和擴充功能,以及主題等設定。
一般
使用者工作階段時間長度上限控制使用者工作階段的持續時間。使用者系統匣的倒數計時器會顯示剩餘的工作階段時間。超過指定時間後,系統會自動將使用者登出,工作階段隨即結束。
輸入 1 分鐘到 1440 分鐘 (24 小時) 之間的值。如果不想限制工作階段長度,請不要輸入值。
您可以上傳您自行擬妥的服務條款協議 (.txt 或 .text 檔案),要求使用者必須接受協議才能登入及啟動工作階段。
使用自訂顯示圖片取代預設顯示圖片。您可以上傳 JPG 格式 (.jpg 或 .jpeg 檔案) 的圖片,檔案大小不超過 512 KB。但不支援其他檔案類型。
使用自訂桌布取代自訂桌布。您可以上傳 JPG 格式 (.jpg 或 .jpeg 檔案) 的圖片,檔案大小不超過 16 MB。但不支援其他檔案類型。
指定 Chrome 瀏覽器主題顏色。如有指定,使用者就無法變更設定。請以 #RRGGBB 這樣的十六進位格式,在文字欄位中輸入顏色。
如保留空白,使用者則可以變更瀏覽器主題的顏色。
開啟或關閉 Chrome 中的 QR code 產生器。
登入設定
瀏覽器登入設定指定使用者是否能夠登入 Chrome 瀏覽器,並將瀏覽器資訊同步處理到自己的 Google 帳戶。
請選擇下列任一選項:
- 禁止登入瀏覽器:使用者無法登入 Chrome 瀏覽器,也無法將瀏覽器資訊同步處理到自己的 Google 帳戶。
- 允許登入瀏覽器:使用者可以登入 Chrome 瀏覽器,亦可將瀏覽器資訊同步處理到自己的 Google 帳戶。Chrome 瀏覽器會在使用者登入 Google 服務 (如 Gmail) 時,自動讓使用者登入。
- 強制使用者登入才能使用瀏覽器:強制使用者在使用 Chrome 瀏覽器前必須先登入。如要禁止次要使用者登入,請使用受管理 Google 身分的個別設定檔設定。
指定規則運算式,決定哪些 Google 帳戶可以設為 Chrome 瀏覽器的主要帳戶。舉例來說,.*@example\.com 會限制登入帳戶必須位於 example.com 網域中。
如果有使用者嘗試使用不符合您指定模式的使用者名稱設定瀏覽器主要帳戶,系統會顯示錯誤訊息。
如果將設定保留空白,使用者就可以將任何 Google 帳戶設為 Chrome 瀏覽器的主要帳戶。
系統會預設選取「啟用登入攔截功能」。有 Google 帳戶新加入網路時,使用者會看到登入攔截對話方塊。如此一來,使用者就可以將該帳戶移到新增或現有的設定檔。
指定使用者在登入受管理 Google 帳戶時,是否需要建立另一個設定檔。
選擇下列其中一個選項:
- 強制建立個別設定檔:代管帳戶是主要帳戶,且新建立的設定檔可能也有次要帳戶。您可以在建立設定檔時匯入現有的瀏覽資料。
- 強制建立個別設定檔並禁止次要受管理帳戶:代管帳戶是主要帳戶,且設定檔沒有次要帳戶。您可以在建立設定檔時匯入現有的瀏覽資料。
- 不強制建立個別設定檔:這是預設選項,不會對代管帳戶做出任何限制。使用者可以直接使用受管理 Google 帳戶,且無須建立另一個設定檔。
- 允許使用者選擇建立個別設定檔:代管帳戶是主要帳戶,且設定檔可能也有次要帳戶。在建立設定檔時,使用者會看到核取方塊,可以選擇保留本機瀏覽資料並將其與代管帳戶建立關聯。本機瀏覽資料包括書籤、歷史記錄、密碼、自動填入資料、開啟的分頁、Cookie、快取、網路儲存空間、擴充功能等。
- 使用者勾選方塊:現有的設定檔資料會與代管帳戶建立關聯,且現有瀏覽資料全都會出現在新設定檔中。
- 使用者未勾選方塊:現有的設定檔會繼續保留,資料不會遺失,並會建立新的設定檔。
- 允許使用者選擇建立個別設定檔,但禁止次要的代管帳戶:作用與「允許使用者選擇建立個別設定檔」相同,但新建立的設定檔不會有次要帳戶。
Education 網域不適用這項功能
指定使用者能否能否將帳戶新增為次要帳戶,並加入到工作階段。詳情請參閱「登入次要帳戶」。
選擇下列其中一個選項:
- 允許代管帳戶的所有使用情況 (預設):沒有任何限制,使用者可在登入畫面和工作階段中,將代管帳戶新增為次要帳戶。
- 禁止在 Chrome OS 中將代管帳戶新增為次要帳戶 (在工作階段中):使用者無法在工作階段中,將代管帳戶新增為次要帳戶。
當您選取「禁止在 Chrome OS 中將代管帳戶新增為次要帳戶 (在工作階段中)」時,這項設定只會套用至 Chrome OS。使用者仍可在其他平台和裝置上 (包括不同平台上的 Chrome 瀏覽器) 新增帳戶。此外,這項設定也不會套用至 Chrome 以外的瀏覽器,但會禁止使用者帳戶以永久性的單一登入存取 Android 以及同步 Android。
選取「在登入畫面和鎖定畫面上啟用密碼顯示按鈕」,可讓使用者選擇在 Chrome OS 裝置上顯示密碼。使用者可以按一下密碼欄位底部的「顯示密碼」圖示,查看當下輸入的密碼。如果您選取「在登入畫面和鎖定畫面上停用密碼顯示按鈕」,使用者就不會看到這個圖示。
適用於 Chrome 111 以上版本。
支援 Microsoft Windows 10 以上版本。
指定 Chrome 使用者是否可以使用 Microsoft Entra ID 自動登入網頁應用程式。
如果選取「啟用 Azure 雲端驗證」,只要使用者透過 Azure 識別資訊提供者支援的帳戶登入電腦,即可在受 Azure 供應商保護的網路資源上自動進行驗證。另外,您也可以強制執行 Azure 條件式存取原則
支援的供應商包括:
- Microsoft Entra ID
- 個人 Microsoft 帳戶識別資訊提供者
- 加入 Microsoft Windows 的公司或學校帳戶
選用:設定 Cloud Identity
Google 提供兩種 Cloud Identity 版本:Cloud Identity 免費版和 Cloud Identity 進階版。詳情請參閱「Cloud Identity 總覽」。
您可以透過 Cloud Identity 啟用 Chrome 同步功能,如此一來,使用者就可以儲存並同步處理資訊。您也可以設定會依據使用者變更的動態政策 (而非依據裝置)。只要使用者登入瀏覽器,即便使用不同裝置,也可以享有相同的 Chrome 瀏覽器體驗。請參閱「瞭解 Chrome 政策管理」。
如要進一步瞭解如何讓 Azure 以單一登入 (SSO) 供應商身分,在管理控制台中自動佈建帳戶,請前往雲端架構中心。允許使用者在 ChromeOS 裝置上選擇 Google 相簿的圖像做為桌布。
詳情請參閱變更背景桌布和螢幕保護程式。
您可以選擇在登入時向使用者顯示觸控板捲動方向畫面,
系統預設為不顯示此畫面。
控制使用者在初次登入時,是否會看見顯示大小設定。
使用者可以透過顯示設定變更顯示大小,縮小或放大畫面中的項目。根據預設,使用者初次登入時不會看見這項設定。如要啟用這項設定,請選取「在登入時呈現顯示大小設定畫面」。
控管是否要在登入時,顯示工作階段內 AI 功能的簡介畫面。
據預設,系統會選取「使用 Chrome 的預設行為」,因此會向受企業管理的使用者略過 AI 簡介畫面,而向非受管使用者顯示。
控管是否要在登入時顯示 Gemini 簡介畫面。
系統會預設選取「使用預設的 Chrome 行為」,也就是向受企業管理的使用者略過 Gemini 簡介畫面,但向非受管使用者顯示。
行動裝置
Android 裝置上的 Chrome指定是否要對 Android 裝置上的 Chrome 瀏覽器套用支援的政策。系統會預設選取「不要對 Android 版 Google Chrome 套用支援的使用者設定」。
如要選取「對 Android 版 Google Chrome 套用支援的使用者設定」,您必須先透過「已登入使用者 Chrome 管理服務」設定開啟 Chrome 瀏覽器管理服務。詳情請參閱「開啟 Chrome 瀏覽器管理服務 (僅限使用者政策)」。
如果選取「對 Android 版 Google Chrome 套用支援的使用者設定」,只要使用者在 Android 裝置上透過代管帳戶登入 Chrome 瀏覽器,系統即會套用您設定的政策。使用者登出代管帳戶後,系統即會停止套用政策,並刪除裝置上的本機設定檔。
指定是否要對 iOS 裝置上的 Chrome 瀏覽器套用支援的政策。系統會預設選取「不要對 iOS 版 Google Chrome 套用支援的使用者設定」。
如要選取「對 iOS 版 Google Chrome 套用支援的使用者設定」,您必須先透過「已登入使用者 Chrome 管理服務」設定開啟 Chrome 瀏覽器管理服務。詳情請參閱「開啟 Chrome 瀏覽器管理服務 (僅限使用者政策)」。
如果選取「對 iOS 版 Google Chrome 套用支援的使用者設定」,只要使用者在 iOS 裝置上透過代管帳戶登入 Chrome 瀏覽器,系統即會套用您設定的政策。使用者登出代管帳戶後,系統即會停止套用政策,並刪除裝置上的本機設定檔。
註冊控制項
裝置註冊只有在裝置首次於網域內註冊或裝置先前已取消佈建時,才會生效
選取「維持 Chrome 裝置目前所在位置」即代表當您註冊 Chrome OS 裝置時,裝置會保留在您網域的頂層機構單位中,而且會套用該頂層機構的裝置設定。
選取「在使用者機構中部署 Chrome 裝置」即代表當您註冊 Chrome OS 裝置時,裝置會位於註冊使用者所在的機構單位中。您為該使用者機構單位套用的設定會用於該裝置。
當您需手動註冊多部裝置時,「在使用者機構中部署 Chrome 裝置」是相當實用的設定。使用者機構單位專屬的裝置設定都會自動新增至裝置,您不需另外以手動方式將註冊完成的裝置逐一移轉到特定機構單位中。
控制使用者是否可在註冊裝置時,新增裝置的資產 ID 和位置。
- 不允許這個機構中的使用者執行這項操作:使用者將無法輸入資產 ID 和位置。
- 這個機構中的使用者可以在註冊過程中提供資產 ID 和位置:使用者可以輸入裝置的資產 ID 和位置。
如果您選擇讓使用者輸入資產 ID 和位置,在「裝置資訊」畫面中,對應的欄位會預先填入現有的資料。如果沒有現有資料,則欄位會留空。使用者可以在完成註冊之前,編輯或輸入裝置的詳細資料。使用者輸入的資訊會填入管理控制台和 chrome://policy 的資產 ID 和位置欄位中。
適用於 ChromeOS 裝置。
根據預設,這個機構單位中的使用者可以註冊新裝置,也可以重新註冊取消佈建的裝置。註冊新裝置或重新註冊取消佈建的裝置時,都需要將裝置升級。使用者也可以重新註冊已抹除資料或恢復原廠設定的裝置,但由於這類裝置仍受到管理,所以不需進行升級。
選取 [僅允許這個機構中的使用者重新註冊現有的裝置 (不得註冊新裝置或已取消佈建的裝置)] 可讓使用者僅重新註冊已抹除資料或恢復原廠設定的裝置,但無法重新註冊已取消佈建的裝置。他們無法註冊新裝置或重新註冊已取消佈建的裝置 (凡是涉及註冊裝置的作業,都需將裝置進行升級)。
選取 [不允許這個機構中的使用者註冊新裝置或重新註冊現有裝置] 會禁止使用者註冊或重新註冊任何裝置,包括使用強制重新註冊功能進行重新註冊。
控管受管理使用者是否必須註冊非自有的裝置。
請選取下列任一選項:
- 不要求使用者註冊裝置 (預設):凡是機構單位中獲派政策的受管理使用者,一律可以在不註冊裝置的情況下登入。
- 要求使用者註冊裝置:凡是機構單位中獲派政策的受管理使用者,都必須註冊裝置。若使用者未完成註冊步驟,他們第一次在裝置上登入時,畫面上就會顯示彈出式視窗,要求使用者切換至註冊流程或使用其他帳戶登入。這個選項能防止受管理使用者在不註冊的情況下登入。如要套用這項設定,必須符合下列條件:
- 裝置先前沒有任何使用者登入過,例如裝置為全新狀態或剛重設為原廠設定。
- 使用者擁有註冊裝置的必要權限。詳情請參閱「註冊權限」一節。
應用程式和擴充功能
應用程式和擴充功能頁面可讓您集中管理所有應用程式和擴充功能佈建。詳情請參閱查看及設定應用程式和擴充功能。
- 允許和封鎖應用程式
- 強制安裝應用程式
- 將應用程式固定至工作列
- 允許的應用程式類型
- 依權限封鎖擴充功能
- Chrome 線上應用程式商店首頁及權限
預設選項會是「允許使用者透過 Chrome 工作管理員結束處理程序」。
如果您選取「禁止使用者透過 Chrome 工作管理員結束處理程序」,使用者還是可以開啟工作管理員,但會因為「結束處理程序」按鈕呈現灰色而無法結束處理程序。
系統將停止支援 Manifest V2 擴充功能。根據 Manifest V2 支援時間表,所有擴充功能都必須遷移至 Manifest V3。
指定使用者是否可在 Chrome 瀏覽器中存取 Manifest V2 擴充功能。
每個 Chrome 擴充功能都有 JSON 格式的資訊清單檔案,名稱為 manifest.json
。資訊清單檔案是擴充功能的藍圖,必須位於擴充功能的根目錄中。
資訊清單檔案中的資訊包括以下內容:
- 擴充功能標題
- 擴充功能版本號碼
- 執行擴充功能所需的權限
詳情請參閱「資訊清單檔案格式」。
請選擇下列任一選項:
- 預設裝置行為 (預設):使用者可以根據系統預設的瀏覽器設定和 Manifest V2 支援時間軸,存取 Manifest V2 擴充功能。
- 停用資訊清單 v2 擴充功能:使用者無法安裝 Manifest V2 擴充功能,且他們現有的擴充功能已停用。
- 啟用資訊清單 v2 擴充功能:使用者可以安裝 Manifest V2 擴充功能。
- 啟用強制安裝的資訊清單 v2 擴充功能:使用者只能存取強制安裝的 Manifest V2 擴充功能。這包括透過 Google 管理控制台的「應用程式和擴充功能」頁面強制安裝的擴充功能。系統會停用所有其他 Manifest V2 擴充功能。無論遷移階段為何,系統一律會提供這個選項。
注意:擴充功能的可用情形也受到其他政策控管。例如,如果在管理控制台中的「應用程式與擴充功能」頁面,透過「權限與網址」設定將 v2 擴充功能列為已封鎖,則資訊清單政策允許的 v2 擴充功能會變更為已封鎖。
網站隔離
網站隔離當您為 ChromeOS 裝置上使用受管理 Chrome 瀏覽器的人員啟用網站隔離功能後,系統就會隔離您指定的網站與來源。
- 為所有網站和以下任意來源啟用網站隔離功能,但允許使用者選擇不啟用這項功能:每個網站都是在專屬的轉譯程序中執行,且所有網站彼此之間不會互相影響,但使用者可以選擇變更這項行為 (如果您未指定任何設定,此即為預設設定)。
- 要求為所有網站和以下任意來源啟用網站隔離功能:每個網站都是在專屬的轉譯程序中執行,彼此之間不會互相影響。
您也可以輸入來源清單 (以半形逗號分隔),將這些來源與各自所屬的網站隔離。舉例來說,如果輸入 https://login.example.com,就能將這個網址從 https://login.example.com 網站的其他部分隔離出來。
詳情請參閱「使用網站隔離功能保護資料」。
當您為 Android 裝置上使用受管理 Chrome 瀏覽器的人員啟用網站隔離功能後,系統就會隔離您指定的網站與來源。
- 僅為登入網站和以下任意來源啟用網站隔離功能:只有登入網站和指定的任意來源是在另外的程序中執行。這裡的每個項目都是在專屬的轉譯程序中執行。
- 允許使用者選擇啟用網站隔離功能:使用者可以選擇是否要啟用網站隔離功能。
- 為所有網站和以下任意來源啟用網站隔離功能:每個網站都是在專屬的轉譯程序中執行,彼此之間不會互相影響。
您也可以輸入來源清單 (以半形逗號分隔),將這些來源與各自所屬的網站隔離。舉例來說,如果輸入 https://login.example.com,就能將這個網址從 https://example.com 網站的其他部分隔離出來。
安全性
密碼管理工具當您選擇「一律允許使用密碼管理工具」時,使用者可讓 Chrome 瀏覽器記住密碼,並在下次登入網站時由 Chrome 瀏覽器自動提供密碼。如果您選擇 [一律不允許使用密碼管理員],使用者將無法儲存新的密碼,但仍然可以使用先前儲存的密碼。如果選取「允許使用者決定」,則會允許使用者設定密碼管理工具。
控管內建密碼管理工具能否從資料庫中刪除無法解密的密碼。使用者無法變更這項設定。無法解密的密碼值不會自動變成可解密狀態,而且即使有修正方法,使用者也必須執行複雜的步驟。
系統預設會選取「刪除無法解密的密碼」。如果使用者將無法解密的密碼儲存在內建密碼管理工具中,就會永久失去這些密碼。仍處於有效狀態的密碼則不受影響。
如果選取「不要刪除無法解密的密碼」,密碼管理工具可能無法正常運作。
您可以指定如何在 ChromeOS 裝置上管理本機資料復原。
您可以選擇下列其中一個選項:
- 延後到遷移階段再啟用帳戶救援功能 (參閱說明中心):(預設) 預設保留使用者資料復原設定。目前,預設選項為「停用帳戶救援功能」。不過,預設選項日後就會變為「啟用帳戶救援功能」。Google 會在實施相關措施前,透過電子郵件通知 IT 管理員。
- 啟用帳戶救援:啟用使用者資料復原功能,且使用者無法變更這項設定。
- 啟用帳戶救援功能並允許使用者覆寫:啟用使用者資料復原功能,但使用者可以進行變更。
- 停用帳戶救援:停用使用者資料復原功能,且使用者無法變更這項設定。
開啟或關閉使用者裝置上的螢幕鎖定功能。如果您選取 [不允許螢幕鎖定],在通常會啟用這項功能的情況下,系統會讓使用者登出。此外,會觸發螢幕鎖定的閒置設定 (例如「休眠時鎖定螢幕」),也會讓使用者登出。
指定使用者是否可以使用快速解鎖模式 (包括 PIN 碼和指紋) 來解鎖 ChromeOS 裝置的螢幕鎖定。
如果您選擇使用 PIN 碼並關閉暫時模式,使用者就可以使用其 PIN 碼 (而無需使用 Google 帳戶密碼),登入配備 Google H1 安全晶片的 ChromeOS 裝置。使用者可在「開箱體驗」(OOBE) 期間,或在裝置的「安全性與隱私權」設定中建立 PIN 碼。系統有時仍會提示使用者輸入密碼,例如使用者重複輸入錯誤的 PIN 碼,或您強制使用者變更密碼的時候。
建議您不要在共用的裝置上,讓使用者透過 PIN 碼解鎖。
詳情請參閱「鎖定或解除鎖定螢幕畫面」。
指定使用者能否透過 PIN 碼或指紋登入支援 WebAuthn 的網站;WebAuthn 是一種安全的網路驗證通訊協定。
這項政策僅是暫時性措施,並會於日後的 Google Chrome 版本中移除。您可以開啟這項設定來檢測問題,並在問題解決後關閉設定。
指定 Google Chrome 是否在傳輸層安全標準 (TLS) 中,提供後量子金鑰協議演算法。根據 Chrome 版本,演算法可能是 NIST 後量子標準的 ML-KEM,或是早期草創疊代標準的 Kyber。在 TLS 連線中提供後量子金鑰協議,可讓支援的伺服器防止使用者流量遭到量子電腦解密。
Kyber 可回溯相容,因此現有 TLS 伺服器和網路中介軟體應該會忽略新選項,並繼續採用先前的選項。
注意:請務必正確導入 TLS,否則裝置採用新選項時可能無法正常運作。舉例來說,裝置遇到無法辨識的選項或產生的訊息較大時,可能會中斷連線。這類裝置不適用於後量子解決方案,也會影響企業轉換至後量子技術的進度。若管理員遇到這種情況,可以向供應商洽詢解決方案。
請選擇下列任一選項:
- 採用預設 Chrome 設定:這是預設選項。Chrome 會依預設推出程序,在 TLS 連線中提供後量子金鑰協議。
- 允許在 TLS 連線中使用後量子金鑰協議:Chrome 會在 TLS 連線中提供後量子金鑰協議,防止使用者流量遭到量子電腦解密。
- 禁止在 TLS 連線中使用後量子金鑰協議:Chrome 不會在 TLS 連線中提供後量子金鑰協議。使用者流量無法受到保護,可能會遭到量子電腦解密。
注意:如果已在「裝置設定」頁面進行「後量子 TLS」設定,其優先順序會高於這項設定。
可讓您啟用在螢幕鎖定畫面及登入畫面自動提交 PIN 碼的功能。這項功能可變更在 ChromeOS 中輸入 PIN 碼的方式。和用於輸入密碼的文字欄位類似,該功能會向使用者顯示 PIN 碼所需的位數。目前允許的輸入範圍是 6 到 12 位數。
指定使用者是否能在裝置鎖定時播放媒體。
如果裝置支援這項播放功能,當使用者鎖定裝置時,仍可透過螢幕鎖定畫面控制播放中的媒體。鎖定畫面會顯示相關控制項,讓使用者選擇快速跳到下一個曲目,或是暫停播放內容,就算裝置未解鎖也無妨。
指定使用者能否以無痕模式瀏覽網頁。
選擇 [不允許無痕模式] 可禁止使用者開啟新的無痕式視窗,而 Chrome 瀏覽器不會關閉原本已經開啟的無痕式視窗,也不會禁止使用者在這些視窗中開啟新分頁。
幼兒園到高中教育機構網域的預設值為「不允許無痕模式」。
其他網域的預設值為「允許無痕模式」。
「強制無痕模式」不適用於 Android。
控制 Chrome 瀏覽器是否儲存使用者的瀏覽記錄。
指定使用者是否能清除瀏覽資料,包括瀏覽記錄和下載記錄。
注意:即使不允許使用者清除瀏覽器資料,系統也不一定會保留使用者的瀏覽器記錄和下載記錄。舉例來說,當使用者刪除了個人資料,系統也會一併刪除他們的瀏覽記錄。
指定使用者是否以暫時模式進行瀏覽。
暫時模式可讓員工使用個人筆記型電腦或信任的共用裝置工作,同時減少瀏覽資訊遺留在個人裝置上的可能性。
注意:如果您使用這項設定,建議您不要在管理控制台停用 Chrome 同步功能。
這項設定可控管 Chrome 保留瀏覽器資料 (例如歷史記錄、Cookie 和密碼) 的時間長度,對於處理機密資料的使用者來說相當實用。
Chrome 會在瀏覽器啟動後 15 秒刪除超過保留期限的資料,並在瀏覽器執行期間每小時執行一次刪除作業。超過您指定時間範圍長度的瀏覽器資料會自動刪除,而您可以指定的最小值為 1 小時。如果留空,Chrome 一律不會自動刪除特定類型的瀏覽資料。
您必須關閉 Google Sync,這項設定才會生效:
- 適用於 Windows、Mac 和 Linux 系統的 Chrome 瀏覽器:將「Chrome 同步和漫遊設定檔 (Chrome 瀏覽器 - 由雲端管理)」設為「禁止同步」
- ChromeOS:將「Chrome 同步 (ChromeOS)」設為「停用 Chrome 同步」
您可以刪除的瀏覽器資料類型如下:
- 瀏覽紀錄
- 下載記錄
- Cookie 和其他網站資料
- 快取的圖片和檔案
- 密碼和其他登入資料
- 自動填入表單資料
- 網站設定
- 代管應用程式的資料快取
如果您選取「執行線上 OCSP/CRL 檢查」,ChromeOS 裝置就會執行 HTTPS 憑證的線上撤銷檢查。
指定是否允許網站追蹤使用者的實際位置。
在 Chrome 瀏覽器中,這項政策對應的選項是使用者 Chrome 設定中的使用者選項。您可以將網站預設為允許或禁止追蹤使用者的實際位置,也可以設為每次網站要追蹤實際位置時再詢問使用者。
對於在 ChromeOS 上執行的 Android 應用程式,如果您選取「不允許網站偵測使用者的地理位置」,Android 應用程式就無法存取位置資訊。如未選取,當 Android 應用程式要存取位置資訊時,會詢問使用者是否同意。
為未使用 SAML 單一登入 (SSO) 服務登入 ChromeOS 裝置的使用者,設定在登入畫面執行強制線上登入的頻率。
每當使用者在設定的頻率週期後登出,就必須執行線上登入的流程。
使用者在線上登入時,會使用 Google 身分識別服務。藉由強制要求使用者定期登入,可以為要求進行雙重驗證或多重驗證的機構提供額外的安全防護。
輸入值 (以天為單位):
- 0:使用者一律必須使用線上登入功能。
- 1 至 365:當達到設定的頻率週期之後,使用者就必須在下次啟動工作階段時進行線上登入。
如果保留空白,使用者就不需要定期進行線上登入。
如果使用者採用 SAML 單一登入 (SSO),請設定 SAML 單一登入服務的登入頻率。
重要事項:這項設定不會為任何儲存於 ChromeOS 裝置中的靜態使用者資料提供額外保護,包括線上服務的驗證權杖。靜態使用者資料加密會以離線驗證要素為基礎 (例如密碼或智慧型卡片)。
為未使用 SAML 單一登入 (SSO) 登入服務 ChromeOS 裝置的使用者,設定在螢幕鎖定畫面執行強制線上登入的頻率。
每當使用者在設定的頻率週期後鎖定工作階段,就必須執行線上登入的流程。
使用者在線上登入時,會使用 Google 身分識別服務。藉由強制要求使用者定期登入,可以為要求進行雙重驗證或多重驗證的機構提供額外的安全防護。
輸入值 (以天為單位):
- 0:使用者一律必須在鎖定畫面中使用線上登入功能。
- 1 至 365:當達到設定的頻率週期之後,使用者就必須在下次解除螢幕鎖定時進行線上登入。
如果保留空白,使用者就不需要定期使用線上登入功能解除螢幕鎖定。
如果使用者採用 SAML 單一登入 (SSO),請設定 SAML 單一登入服務的解鎖頻率。
為 ChromeOS 裝置開啟或關閉 SAML 式單一登入服務。
重要事項:使用這項政策前,請先參閱「為 ChromeOS 裝置設定 SAML 單一登入服務」一文中的規定。
為採用 SAML 的單一登入帳戶 (SSO) 設定在登入畫面執行強制線上登入流程的頻率。
每當使用者在設定的頻率週期後登出,就必須執行線上登入流程才能登入 SAML 式的單一登入 (SSO) 帳戶。
使用者在進行線上登入時,會使用您所設定的 SAML SSO 服務。藉由強制要求使用者定期登入,可以為要求進行雙重驗證或多重驗證的機構提供額外的安全防護,並可以確認該使用者帳戶仍為有效的帳戶。
登入頻率選項:
- 每天
- 每 3 天
- 每週
- 每 2 週
- 每 3 週
- 每 4 週
- 每次
- 永不
重要事項:使用這項政策前,請先參閱「為 ChromeOS 裝置設定 SAML 單一登入服務」一文中的規定。這項設定不會為任何儲存於 ChromeOS 裝置中的靜態使用者資料提供額外保護,包括線上服務的驗證權杖。靜態使用者資料加密會以離線驗證要素為基礎 (例如密碼或智慧型卡片)。
如果使用者未採用 SAML 單一登入 (SSO),請設定 Google 線上登入頻率。
為採用 SAML 的使用者設定在螢幕鎖定畫面中執行強制線上登入的頻率。
每當使用者在設定的頻率週期後鎖定工作階段,就必須執行線上登入的流程。
使用者在進行線上登入時,會使用您所設定的 SAML SSO 服務。藉由強制要求使用者定期登入,可以為要求進行雙重驗證或多重驗證的機構提供額外的安全防護,並可以確認該使用者帳戶仍為有效的帳戶。
輸入值 (以天為單位):
- 0:使用者一律必須在鎖定畫面中使用線上登入功能。
- 1 至 365:當達到設定的頻率週期之後,使用者就必須在下次解除螢幕鎖定時進行線上登入。
如果保留空白,使用者就不需要定期使用線上登入功能解除螢幕鎖定。
如果使用者未採用 SAML 單一登入 (SSO),請設定 Google 線上解鎖頻率。
必須已進行 SAML 單一登入密碼同步處理設定,才適用這個流程。
使用者的 SAML 單一登入 (SSO) 密碼變更後,選擇只要在登入畫面提示使用者變更 ChromeOS 裝置的本機密碼,還是要在螢幕鎖定和登入畫面都提示。系統會預設選取「僅在登入畫面執行線上登入」。
其他資訊:
決定在螢幕鎖定畫面顯示線上重新驗證功能的使用者體驗。
管理員可以設定螢幕鎖定畫面重新驗證功能的觸發條件:
- 針對以指定頻率進行驗證的 Google 身分使用者,請參閱「Google 線上解鎖頻率」。
- 針對以指定頻率進行驗證的 SAML 識別資訊提供者使用者,請參閱「SAML 單一登入解鎖頻率」。
- 以需求為依據的 SAML 識別資訊提供者的使用者,請參閱「SAML 單一登入密碼同步處理流程」。
根據預設,系統會選取「向使用者顯示插頁式畫面,之後再允許線上重新驗證」,建議您在密碼驗證流程中啟用這項設定。針對無密碼驗證流程 (例如徽章驗證),請選取「向使用者顯示線上重新驗證畫面」,確保裝置隨時可用。
可在特定舊版伺服器有需要時,暫時開啟或關閉 TLS 中的 Rivest Cipher 4 (RC4) 加密套件。
注意:RC4 並不安全。建議您重新設定伺服器來支援 AES 加密。
本機起源通用名稱遞補
決定要允許或封鎖由缺少 subjectAlternativeName 延伸的本機信任錨點所核發的憑證。如果選取了 [允許],在憑證缺少 subjectAlternativeName 延伸的情況下,只要憑證成功通過驗證並鏈結至安裝在本機的 CA 憑證,Chrome 瀏覽器就會使用伺服器憑證的 commonName 來比對主機名稱。
注意:不建議為這項設定選取 [允許],因為可能會允許略過 nameConstraints 擴充功能 (用於限定指定授權憑證的主機名稱)。
Symantec 公司的舊版 PKI 基礎架構
允許信任由 Symantec 公司舊版 PKI 作業所核發的憑證,但這類憑證必須成功完成驗證並鏈結至公認的 CA 憑證。非 ChromeOS 的作業系統需要能夠識別 Symantec 舊版基礎架構憑證,這項政策才能運作。如果 OS 經過更新後改變了憑證的處理方式,這項政策將會失效。這項政策屬於臨時替代方案,目的是為了讓企業有較充裕的時間轉換舊版 Symantec 憑證。
指定不強制要求憑證必須符合憑證透明化規定的網址。這樣一來,Chrome 瀏覽器就能使用由憑證授權單位 (CA) 核發,但未對外公開的憑證。如果 CA 為特定網址核發的憑證不合規定,系統可能會無法偵測這些憑證。
系統只會比對網址的主機名稱部分,不支援含萬用字元的主機名稱。如要進一步瞭解網址語法,請參閱「允許或封鎖網站:網址篩選器格式」。
如果憑證鏈結所含的憑證已指定 subjectPublicKeyInfo 雜湊,系統就不會強制要求這些憑證必須符合憑證透明化規定。這樣一來,Chrome 瀏覽器就能使用由憑證授權單位 (CA) 核發給機構,但未對外公開的憑證。
如要進一步瞭解如何指定 subjectPublicKeyInfo 雜湊,請參閱 CertificateTransparencyEnforcementDisabledForCas 政策。
如果憑證鏈結所含的憑證是由舊版憑證授權單位 (CA) 核發,且已指定 subjectPublicKeyInfo 雜湊,系統就不會強制要求這些憑證必須符合憑證透明化規定。雖然有部分執行 Chrome 瀏覽器的作業系統信任舊版 CA,但 ChromeOS 和 Android 並非如此。Chrome 瀏覽器可以使用核發給機構但未對外公開的憑證。
如要進一步瞭解如何指定 subjectPublicKeyInfo 雜湊,請參閱 CertificateTransparencyEnforcementDisabledForLegacyCas 政策。
這項設定可控管使用者是否能透過「憑證管理員」匯入、編輯及移除憑證授權單位 (CA) 的憑證。請選擇下列任一選項:
- 允許使用者管理所有憑證:此為預設選項。使用者將可編輯所有 CA 憑證的信任設定、移除使用者匯入的憑證,以及匯入憑證。
- 允許使用者管理使用者憑證:使用者只能管理使用者匯入的憑證,無法變更內建憑證的信任設定。
- 不允許使用者管理憑證:使用者可以查看 CA 憑證,但無法管理憑證。
控管使用者能否管理用戶端憑證。請選擇下列任一選項:
- 允許使用者管理所有憑證:此為預設選項。使用者可以管理所有憑證。
- 允許使用者管理使用者憑證:使用者只能管理使用者憑證,無法管理裝置通用的憑證。
- 不允許使用者管理憑證:使用者可以查看憑證,但無法管理憑證。
這項政策僅為暫時性措施,我們之後將會停止支援平台提供的憑證驗證器,並一律使用 Chrome Root Store。
指定是否要使用 Chrome Root Store 及內建的憑證驗證器來驗證伺服器憑證。
預設的設定為「可能會使用 Chrome Root Store」,可確保 Chrome Root Store 或系統提供的根層級皆可使用。
如果選取「使用 Chrome Root Store」,Chrome 在執行伺服器憑證驗證時,即會使用內建的憑證驗證器及 Chrome Root Store 做為公開信任來源。
如果選取「不要使用 Chrome Root Store」,Chrome 即會使用系統憑證驗證器和系統根憑證。
如需瞭解支援這項政策的 Chrome 版本最新資訊,請參閱 Chrome Enterprise 政策清單。
指定是否要對 Intel 超執行緒技術進行最佳化,以提升穩定性或效能。超執行緒技術可以更有效率地使用處理器資源,並增加處理器的總處理量。
(建議) 您可以在支援的平台上啟用「轉譯器應用程式容器」設定。
重要事項:停用「轉譯器應用程式容器」設定會削弱轉譯器程序所使用的沙箱,進而對 Google Chrome 的安全性和穩定性造成危害。因此建議只有當必須在轉譯器程序中執行的第三方軟體發生相容性問題時,才停用這項設定。系統預設會選取「已啟用轉譯器程式碼完整性功能」。Chrome 瀏覽器會防止 Chrome 瀏覽器轉譯器程序載入不明且可能有惡意的程式碼。
除非必須在 Chrome 瀏覽器轉譯器程序中執行的第三方軟體發生相容性問題,否則不建議您關閉這項設定。如果您選取「已停用轉譯器程式碼完整性功能」,Chrome 瀏覽器的安全性和穩定性可能會受到影響。
控制 Chrome 是否要檢查使用者名稱和密碼外洩的問題。
如果未開啟安全瀏覽功能,這項設定就不會產生任何效果。如要確保安全瀏覽功能為開啟狀態且使用者無法進行變更,請調整「安全瀏覽功能防護等級」設定。
系統會預設選取「未設定政策」。因此,背景驗證只會在一般工作階段中啟用,不會在無痕模式或訪客工作階段中啟用。
指定 Chrome 清理工具是否要定期掃描系統中的垃圾軟體。
Chrome 清理工具會移除有害的惡意軟體,並還原所有遭盜用的設定。如果發現可疑活動,使用者可以選擇自行移除。
如果選取「允許 Chrome 清理功能定期執行系統掃描,並啟用手動掃描選項」,您可以指定是否要將 Chrome 清理功能的結果提供給 Google。
遇到下列情況時,使用者也可以透過 chrome://settings 手動觸發 Chrome 清理功能:
- 彈出式廣告和未預期的網頁過多
- 搜尋引擎或首頁重新導向至無法辨識的服務或網站
如果您選取 [禁止 Chrome 清理功能定期執行掃描作業,並停用手動掃描選項],Chrome 清理功能就不會執行定期掃描,使用者也不能手動觸發清理作業。
在 Microsoft Windows 中,Chrome 瀏覽器必須符合以下條件,才能使用 Chrome 清理功能:
- 已加入 Microsoft® Active Directory 網域
- 在 Windows 10 專業版上執行
- 已註冊 Chrome Enterprise 基本版
指定第三方軟體是否能在 Chrome 處理程序中插入可執行的程式碼。
如果您選取 [禁止在 Chrome 中插入第三方程式碼],第三方軟體將無法在 Chrome 處理程序中插入可執行的程式碼。
若是已加入 Microsoft Active Directory 網域的裝置,則不論政策的設定為何,Chrome 瀏覽器都不會禁止第三方軟體在處理程序中插入可執行的程式碼。
指定音訊處理程序是否要與重要系統資源和其他程式隔離,藉此採用沙箱機制。這種做法可以提升系統安全性。
沙箱可以限制音訊處理程序使用真正需要的資源。
預設設定為 [使用音訊沙箱的預設設定] (視不同平台而定)。如果您使用的安全軟體設定會干擾沙箱,則請選取「一律不在沙箱中處理音訊」。
決定是否要讓在不支援的電腦或作業系統上執行 Chrome 的使用者看到警告訊息。
指定是否要為已註冊進階保護計畫的使用者啟用線上攻擊防護功能,例如防止他人在未經授權的情況下存取帳戶,或預防有害的下載內容攻擊。部分功能的使用過程可能會與 Google 分享資料,例如,進階保護計畫的使用者可在下載之前,先將下載內容傳送至 Google 進行更嚴格的惡意軟體掃描。
系統預設會選取「註冊進階保護計畫的使用者可以享有額外防護機制」。
如果選取「註冊進階保護計畫的使用者只能使用標準消費者保護機制」,註冊進階保護計畫的使用者就無法享有額外防護措施。
指定針對不安全來源所設的限制不適用於哪些來源 (網址) 或主機名稱模式。這項政策也能避免系統在網址列中對指定網址加上「不安全」標籤。。
您可以為無法部署傳輸層安全標準 (TLS) 的舊版應用程式指定網址,或設定內部網頁開發所需的暫存伺服器。這樣一來,開發人員就能測試需要安全內容的功能,而不必在暫存伺服器上部署傳輸層安全標準 (TLS)。
如果在這項設定中指定網址清單,效果等同於將指令列 unsafely-treat-insecure-origin-as-secure
設為相同網址的清單 (以逗號分隔)。
如要進一步瞭解安全內容,請參閱 Secure Contexts。
控管使用者透過具有安全疑慮的指令列旗標啟動 Chrome 時,是否會看到安全性警告。
如要透過 Microsoft Windows 使用此功能,電腦必須加入 Microsoft Active Directory 網域、以 Windows 10 專業版執行,或是已註冊 Chrome Enterprise 基本版。
macOS 電腦則須使用行動裝置管理 (MDM) 軟體進行管理,或透過 MCX 加入網域。
指定是否允許另開新頁的彈出式視窗 (含 _blank 目標) 與起始網頁互動。
- 不允許另開新頁的彈出式視窗與起始網頁互動:只有在要求開啟彈出式視窗的網頁明確同意與該彈出式視窗互動時,才允許另開新頁的彈出式視窗 (含 _blank 目標) 與起始網頁互動。
- 允許另開新頁的彈出式視窗與起始網頁互動:除非要求開啟彈出式視窗的網頁明確拒絕與該彈出式視窗互動,否則一律允許另開新頁的彈出式視窗 (含 _blank 目標) 與起始網頁互動。
使用者的工作階段中必須安裝 Smart Card Connector 應用程式和智慧型卡片 CSSI 中介軟體應用程式。詳情請參閱「在 ChromeOS 中部署智慧型卡片」。
指定當使用者移除安全性權杖時,系統會採取的動作。目前只有在您設定使用智慧型卡片登入的情況下,這項設定才會影響使用者工作階段。詳情請參閱「在受管理的 ChromeOS 裝置上設定使用智慧型卡片登入」。
選項如下:
- 無:不採取任何行動。
- 將使用者登出:使用者會登出工作階段,而必須重新登入。
- 鎖定目前的工作階段:使用者的工作階段會遭到鎖定,直到他們利用安全性權杖重新驗證為止。
如果您選取 [將使用者登出] 或 [鎖定目前的工作階段],系統就會顯示「移除通知持續時間 (秒)」欄位。您可以在其中輸入秒數,系統會在這段時間內顯示一則通知,告知使用者即將執行的動作。如果使用者未重新插入安全性權杖,系統即會在通知到期之後執行動作。如果您輸入 0,則系統不會顯示通知,並會立即執行動作。
預設選項為 [允許使用系統通知]。因此,Linux 上的 Chrome 瀏覽器可以使用系統通知。
選取 [不允許使用系統通知] 則會禁止 Chrome 瀏覽器使用系統通知,改用 Chrome 的訊息中心。
指定 ChromeOS 裝置的初始螢幕亮度。對於以 AC 和電池作為電源的裝置,選取「設定初始螢幕亮度」,然後輸入介於 15 至 100 之間的螢幕亮度百分比數值。使用者可以進行變更。
這項政策將在 Chrome 第 100 版後移除。
針對 Chrome 94 以上版本,指定是否允許未列入許可清單的嵌入資源 (例如 iframe) 要求使用者分享螢幕畫面。網頁設計人員可以使用 display-capture 權限政策,控制嵌入資源是否可以呼叫 getDisplayMedia() 來擷取畫面或應用程式視窗 (包括音訊)。
選擇下列任一選項:
- 拒絕不安全的多媒體內容存取要求:這是預設選項。在跨來源的子瀏覽環境中執行的程式碼,必須經由網頁設計人員加入許可清單中,才能要求使用者分享螢幕畫面。
- 允許從未加入許可清單的環境提出的多媒體內容存取要求:在跨來源的子瀏覽環境中執行的程式碼,即使未加入許可清單之中,也可以要求使用者分享螢幕畫面。
注意:系統可能會有其他限制,導致使用者無法分享螢幕畫面。
適用於 Chrome 96 至 100 版
在 Chrome 97 到 100 版中,第三方內容的 WebSQL 會預設為停用狀態,而 Chrome 101 以上版本則會將其完全移除。
根據預設,系統會選取「不允許第三方內容中的 WebSQL」,並停用第三方內容中的 WebSQL。
選取「允許第三方內容中的 WebSQL」可強制再次啟用第三方內容中的 WebSQL。
您可以在不安全的環境中強制啟用 WebSQL。
自 Chrome 109 版起,WebSQL 在不安全的環境中會預設為停用,但您可以透過這項政策加以啟用。
如果您選取了「在不安全內容中啟用 WebSQL」,即便在不安全的環境中也無法停用 WebSQL。
您可以禁止使用者關閉 WebSQL。
自 Chrome 101 版本起,WebSQL 會預設為啟用,但您可以使用 chrome://flags 關閉 WebSQL。如果您選取「強制啟用 WebSQL」,則無法關閉 WebSQL。
傳輸層安全標準 (TLS) 1.0 (RFC 2246) 和 1.1 (RFC 4346) 這兩個版本包含採用 3DES (三重數據加密算法) 的加密套件。加密套件是說明如何透過傳輸層安全標準 (TLS) 來保護網路的指示,並提供基本的資訊,說明如何在使用 HTTPS、SMTP 及其他網路通訊協定時傳輸安全的資料。
3DES 只提供 112 位元的有效安全性。您可以在傳輸層安全標準 (TLS) 中啟用 3DES 加密套件,藉此使用這項政策暫時維持與舊版伺服器之間的相容性。這種做法只是權宜之計,您還是必須重新設定伺服器。
預設設定為 [在傳輸層安全標準 (TLS) 中使用 3DES 加密套件的預設設定]。
適用於 Chrome 瀏覽器 96 至 103 版。
系統會預設選取「套用 U2F Security Key API 淘汰作業的預設設定。」,並會套用 U2F Security Key API 的預設行為。在 Chrome 瀏覽器 98 至 103 版中,U2F Security Key API 會預設為停用。在 Chrome 104 以上版本中,U2F Security Key API 則會完全移除。
選取「允許使用已淘汰的 U2F Security Key API」,即可在 Chrome 瀏覽器 96 至 103 版中繼續使用 U2F Security Key API。
您可以指定使用者在輸入使用者名稱和密碼後,能否關閉所收到的密碼外洩快訊。使用者隨時可以還原該警示。如要進一步瞭解這項設定對使用者有何影響,請參閱「變更 Google 帳戶中的低安全性密碼」。
預設設定為「允許關閉密碼外洩快訊」。
進行此設定之前,請務必先與您的法律團隊合作,確認當地所有的隱私權與資料保護規定
控管特定網頁應用程式是否可一次自動擷取多個螢幕畫面。
如果網站與您在「設定」欄位中所指定的來源 (網址) 模式相符,即可自動擷取所有螢幕畫面,無須獲得使用者明確授權。
如果將「設定」欄位留空,任何網頁應用程式都無法一次自動擷取多個螢幕畫面。
輸入來源值清單 (每行一個),例如:
https://www.example.com
[*.]example.edu
經加密的 ClientHello (ECH) 是傳輸層安全標準 (TLS) 的擴充功能,可對 ClientHello 訊息的敏感欄位進行加密,進一步保障隱私權。ECH 會代管特殊的 HTTPS RR DNS 記錄,網站可選擇是否使用,以免敏感欄位 (如伺服器名稱) 的資訊外洩到網路中。
由於 ECH 是不斷變化的通訊協定,因此在 Chrome 中的運作方式也會有所變動。這項暫時政策控制的是初始的實驗性實作,並會在通訊協定確立之後替換為最終控制項。
如果您選取預設的「啟用經過 TLS 加密的 ClientHello 實驗」,Chrome 瀏覽器即會遵循 ECH 的預設推出程序。
經過 TLS 加密的 ClientHello 實驗為啟用狀態時,Chrome 是否使用 ECH 會取決於伺服器是否支援、HTTPS DNS 記錄是否可用,或是推出狀態。
您可以為工作站指令碼啟用嚴格 MIME 類型檢查。
選擇下列任一選項:
- 規定工作站指令碼的 JavaScript MIME 類型:工作站指令碼會針對 JavaScript 採用嚴格 MIME 類型檢查,而且使用舊版 MIME 類型的工作站指令碼會遭到拒絕。(如果您未指定任何設定,此即為預設設定。)
- 針對工作站指令碼採用寬鬆 MIME 類型檢查:工作站指令碼會採用寬鬆 MIME 類型檢查,而使用舊版 MIME 類型 (如文字或純文字) 的工作指令碼則可繼續載入並執行。
您可以控管使用者的 Chrome 廣告隱私權設定體驗。
如果您選取「允許 Google Chrome 判斷是否要顯示 Privacy Sandbox 提示」,使用者就會看到一個說明相關選項的方塊,並可透過該方塊選擇偏好設定。
如果您選取「不要向使用者顯示 Privacy Sandbox 提示」,則可關閉或控制使用者是否能夠開啟/關閉下列設定:
- 廣告主題
- 網站建議廣告
- 廣告評估
如果系統設定支援,請開啟或關閉在較少特殊權限的 AppContainer (LPAC) 沙箱執行列印服務。
根據預設,系統會選取「在 LPAC 沙箱中執行列印服務 (如適用)」。
請只在第三方軟體發生問題,導致列印服務無法在 LPAC 沙箱內正常運作時,才選取「在較不安全的沙箱中執行列印服務」。但請注意,Chrome 瀏覽器的安全性較低,因為用於列印的服務可能會在較不安全的沙箱設定下執行
這項政策僅是暫時性措施,我們會在日後的 Chrome 版本中予以移除。
您可以強制 Chrome 不要對從平台信任商店載入的信任錨點強制執行已編碼的限制。
目前 X.509 憑證可能會對限制進行編碼,例如憑證擴充功能中的名稱限制。在 Chrome 中,系統會對從平台憑證商店載入的憑證強制執行這類限制。
如果您私人根憑證中已編碼的限制發生問題,這項設定可暫時停止強制執行限制並同時修正憑證問題,讓您有機會解決這類問題。
您可以指定要在 origin-keyed 代理程式叢集或 site-keyed 代理程式叢集中隔離文件。根據預設,文件會隔離在 origin-keyed 代理程式叢集中。
這項設定可讓瀏覽器在採用實作技術時更具彈性。具體而言,Chrome 會依據資源或平台限制,使用這項設定作為提示,以將來源放在各自的程序中。
如果您選擇按來源隔離文件,即無法再設定 document.domain 存取子。
如果您選擇按索引鍵來隔離文件,則可以設定 document.domain 存取子。這樣做與舊版行為相符。
詳情請參閱這篇相同來源政策的網誌。
您可以針對檔案或目錄挑選器 API 指定來源 (網址) 或主機名稱模式,如此一來,使用者無須事先執行操作,就可以呼叫這類 API。
請在每行分別輸入一個模式,並在網域前加上 [*.],以包含所有子網域。您最多只能輸入 1000 組網址。
如未輸入任何網址,則所有來源都需要使用者事先執行操作,才能呼叫這類 API。
如要進一步瞭解有效的網址模式,請參閱 Enterprise 政策網址模式格式。
您可以指定來源 (網址) 或主機名稱模式,如此一來,使用者無須事先執行動作,即可顯示螢幕畫面擷取的媒體選擇器。
請在每行分別輸入一個模式,並在網域前加上 [*],以包含所有子網域。您最多只能輸入 1000 組網址。
如未輸入任何網址,所有來源都需要使用者事先執行動作,才能顯示螢幕畫面擷取的媒體選擇器。
如要進一步瞭解有效的網址模式,請參閱 Enterprise 政策網址模式格式。
指定使用者能否在往返快取 (又稱 bfcache) 中,儲存含有 Cache-Control: no-store
(CCNS) 標頭的網頁。
Bfcache 是一種瀏覽器最佳化功能,能讓使用者迅速往返網頁,大幅提升瀏覽體驗,網路/裝置速度較慢的使用者尤其有感。
在所有瀏覽器中,含有 CCNS 標頭的文件都無法儲存至 bfcache,因為這類檔案可能含有敏感內容,僅允許初次存取,之後無法再度存取。對共用裝置來說,這項設計尤其重要。為了在不侵害機密資訊的前提下,解除封鎖大多數 CCNS 網頁的 bfcaching 機制,Chrome 瀏覽器會將網頁儲存在 bfcache 中,但含有機密資訊的網頁除外 (GitHub)。
如果啟用這項政策,就能從 bfcache 還原含有 CCNS 標頭的網頁,除非觸發了快取清除作業 (例如當網站的 HTTP-only Cookie 有所變更時)。如果停用這項政策,含有 CCNS 標頭的網頁將不會儲存在 bfcache 中。
裝置繫結工作階段憑證功能正在逐步向使用者推出。
指定是否使用以加密方式繫結到裝置的憑證,以防止 Google 驗證 Cookie 遭竊。驗證 Cookie 可讓 Google 網站瞭解您的身分並提供個人化功能。
根據預設,「採用預設 Chrome 設定」處於選取狀態。Chrome 瀏覽器會使用裝置繫結工作階段憑證功能 (如果可用),具體取決於這項功能當下的推出階段。
為了防止 Google 驗證 Cookie 在發布時程之前遭竊,請選取「啟用裝置繫結工作階段憑證」。然後,Chrome 瀏覽器就會定期向 Google 伺服器提供持有裝置的加密證明。
指定盡可能將用於本機資料儲存空間的加密金鑰繫結至 Chrome 瀏覽器。根據預設,系統會選取「啟用應用程式繫結加密」。
選取「停用應用程式繫結加密」會降低 Chrome 的安全性。因為可能有惡意的不明應用程式可以擷取用於保護資料的加密金鑰。
請只有在發生相容性問題時,才選取「停用應用程式繫結加密」,例如:
- 其他應用程式需要正當存取 Chrome 資料。
- 加密使用者資料需要在電腦之間完整轉移。
- Chrome 可執行檔的完整性和位置資訊不一致。
控管 Windows 上 Chrome 瀏覽器的動態程式碼設定。
動態程式碼建立功能可讓攻擊者在其他電腦或其他軟體環境中,在未經使用者知情或許可的情況下,插入自己的惡意程式碼。
根據預設,Chrome 瀏覽器允許建立動態程式碼。關閉這項設定後,系統會為瀏覽器程序開啟任意程式碼保護機制 (ACG),藉此防止 Chrome 瀏覽器建立動態程式碼,進而提升安全性。潛在惡意動態程式碼和第三方程式碼無法變更瀏覽器行為。
注意:這可能會導致必須在瀏覽器程序中執行的第三方軟體發生相容性問題。詳情請參閱「處理緩解政策」。
遠端存取
遠端存取用戶端為遠端存取用戶端設定必要的網域名稱,並且禁止使用者變更這項設定。只有來自指定網域的用戶端可以連上主機裝置。如果留空,則所有獲得授權的使用者 (不限來源網域) 都可以連上主機。
指定遠端存取主機必須使用的主機網域名稱;使用者無法變更該名稱,且必須使用以任一指定網域名稱註冊的帳戶,才能共用主機。如果留空,則可透過任何使用者帳戶共用主機。
在遠端用戶端嘗試與使用者裝置建立連線時,您可以啟用 NAT 對談穿越應用程式 (STUN) 和 中繼 NAT 穿越 (TURN) 伺服器。
如果您選取 [啟用防火牆周遊功能],那麼即使遠端用戶端被防火牆隔開,也能偵測到使用者裝置並建立連線。轉送伺服器預設為啟用,但您可以選擇停用。使用防火牆時,可透過轉送伺服器連線至其他對等伺服器及傳輸資料,而不需要直接連線。如要限制使用者裝置的遠端存取主機所使用的 UDP 通訊埠範圍,請在 [UDP 通訊埠範圍] 欄位中,輸入最小值到最大值的範圍。如果留空,則可以使用任何通訊埠。
如果您選取 [停用防火牆周遊功能],且防火牆會篩除傳出 UDP 連線,則使用者裝置只會允許來自區域網路中用戶端電腦的連線。
指定是否允許使用者裝置的遠端支援連線。
如果您選取「禁止遠端支援連線」,就無法啟動遠端支援主機,也無法將主機設為接受外來連線。
這項政策不會影響遠端存取情境,也不會阻止管理員連線至受管理的 ChromeOS 裝置。
您可以指定透過剪貼簿同步功能在用戶端和主機之間傳輸的資料大小上限 (以位元組計)。這項設定會同時影響遠端存取和遠端支援情境。
您可以在「大小上限 (以位元組計)」欄位中新增值,系統即會套用下列規則:
- 主機接收或傳送的任何剪貼簿資料都會受您輸入的值所限制。
- 如果輸入的值是 0,則剪貼簿同步功能將無法使用。
- 如果將欄位留空,這項設定就不會生效。
- 如果新增的值低於下限 (0) 或超出上限 (2147483647),可能會導致主機無法啟動。
指定企業管理員能否透過管理控制台,對受管理的 ChromeOS 裝置開啟遠端支援連線。
如果選取「禁止企業管理員使用遠端支援連線」,就無法啟動遠端支援主機,也無法將遠端支援主機設為接受從管理控制台連入的連線。如要進一步瞭解 Chrome 遠端桌面工作階段,請參閱「從遠端存取 ChromeOS 裝置」。
這項政策不會影響遠端存取情境。
工作階段設定
在系統匣中顯示登出按鈕選取「在系統匣中顯示登出按鈕」即可在檔案櫃中明確顯示登出按鈕。這項設定對於需要快速登出 ChromeOS 裝置的使用者來說相當實用。
Kerberos
Kerberos 票證選取「啟用 Kerberos」,即可在 Chrome OS 裝置上使用 Kerberos 票證,為支援 Kerberos 驗證的內部資源啟用單一登入 (SSO) 服務。內部資源可能包含網站、檔案共用區和憑證等。詳情請參閱「為 Chrome OS 裝置設定 Kerberos 單一登入服務」。
指定使用者是否可以允許 Chrome 記住 Kerberos 密碼,這樣就不必再次輸入密碼。系統預設會選取 [允許使用者記住 Kerberos 密碼]。除非需要額外驗證 (例如雙重驗證),否則 Chrome 會自動擷取 Kerberos 票證。
若選擇 [禁止使用者記住 Kerberos 密碼],則會禁止 Chrome 記住密碼並移除先前儲存的所有密碼。每次使用者需要透過 Kerberos 系統進行驗證時,都必須輸入密碼。
決定使用者是否能新增 Kerberos 帳戶。系統預設會選取 [允許使用者新增 Kerberos 帳戶]。使用者可以完全控管自己新增的帳戶,因此可以修改或移除帳戶。
若選取 [不允許使用者新增 Kerberos 帳戶],則只能使用政策新增帳戶。
指定當使用者在裝置手動新增 Kerberos 票證時,要用於自動完成「Kerberos 使用者名稱」對話方塊的網域。
如果您在「Kerberos 網域」欄位中輸入網域,系統會在「Kerberos 使用者名稱」中預先填入該網域。使用者輸入使用者名稱後,系統就會將名稱連結到該預填網域。如果使用者的輸入內容含有「@」,系統就不會顯示預填網域,輸入內容也不會受到影響。
如果將「Kerberos 網域」欄位留空,系統不會顯示預填網域,也不會用於自動完成使用者名稱欄位。為手動建立的新票證指定建議的 Kerberos 設定屬性 (krb5 設定)。
您可以選擇下列其中一個選項:
- 自訂 Kerberos 設定:您在「自訂設定」欄位中輸入的自訂設定將套用為建議設定,並顯示在 Kerberos 驗證對話方塊中的「進階」部分。如果將「自訂設定」欄位留空,系統會刪除建議的 ChromeOS 設定。
- 使用建議的 Kerberos 設定:系統會套用建議的 ChromeOS 設定,並顯示在 Kerberos 驗證對話方塊的「進階」部分。
網路
Proxy 模式指定 Chrome OS 連上網際網路的方式。
如果維持預設設定 [允許使用者自行設定],則 Chrome 作業系統裝置預設的設定為直接連線,使用者可以在 Chrome 設定中變更 Proxy 設定。如果選擇任何其他「Proxy 模式」選項,使用者將無法變更設定。
- 永不使用 Proxy:代表 Chrome 裝置一律會直接連上網際網路,且不會通過 Proxy 伺服器。
- 一律自動偵測 Proxy:指示 Chrome 作業系統裝置使用「網路 Proxy 自動探索通訊協定」(WPAD) 判斷要連線的 Proxy 伺服器。
- 一律使用以下指定的 Proxy:指定用於處理特定使用者要求的 Proxy 伺服器。您必須在顯示的「Proxy 伺服器網址」欄位中輸入該 Proxy 伺服器的網址。Proxy 伺服器網址的格式為 IP 位址:通訊埠,例如 192.168.1.1:3128。
如要讓任何網址略過處理其他使用者要求的 Proxy 伺服器,請在「要略過 Proxy 的網址 (每行輸入一個網址)」欄位中輸入這些網址。如需填寫多個網址,請分行列出。 - 一律使用以下指定的 Proxy 自動設定:在 Proxy 伺服器自動設定檔網址中插入必須用於網路連線的 .pac 檔案網址。
Chrome 作業系統處理錯誤 Proxy 的方式
PROXY (foo) 是 Proxy 自動設定指令碼中的 Proxy 伺服器命名方式。如果您的第一個 Proxy 無法使用,Chrome 會嘗試第二個 Proxy,並將第一個 Proxy 標示為錯誤的 Proxy。
目前,當 Chrome 套用透過 PAC 解析的 Proxy 清單時,會根據 Proxy 過去的可用性來重新安排 Proxy 選項。舉例來說,當套用「PROXY foo1; PROXY foo2;」時,如果 Chrome 上次嘗試 foo1 時遇到逾時情形 (在過去 5 分鐘內),Chrome 就可能會先嘗試 foo2。
如果 foo2 成功,則 Chrome 會將 foo1 標示為錯誤的 Proxy,並重排 Proxy 清單的優先順序,對後續的其他所有要求優先採用 foo2。
如果是 Chrome 作業系統裝置,管理網址必須有網際網路的直接路徑。透過 Proxy 進行篩選可能導致功能運作與預期不符。
在 Chrome 作業系統執行的 Android 應用程式
如果您已為支援的 Chrome 作業系統裝置啟用 Android 應用程式,則可針對 Android 應用程式調整部分 Proxy 設定。Android 應用程式會自動套用您指定的 Proxy 設定 (通常是使用 Android System WebView 或內建網路堆疊的應用程式)。各選項的行為如下所列:
- 一律不使用 Proxy 伺服器:Android 應用程式會知悉系統未設定 Proxy。
- 使用系統 Proxy 設定或固定的伺服器 Proxy:系統會提供 HTTP Proxy 伺服器位址和通訊埠給 Android 應用程式。
- 自動偵測 Proxy 伺服器:系統會將指令碼網址「http://wpad/wpad.dat」提供給 Android 應用程式,並且不使用 Proxy 自動偵測通訊協定的其他部分。
- .pac Proxy 指令碼:系統會將指令碼網址提供給 Android 應用程式。
指定 Chrome OS 是否可讓網頁認證入口驗證略過經設定的 Proxy 伺服器。舉例來說,使用者會在網頁認證入口網頁 (例如到達網頁或登入網頁) 收到提示,要求他們接受條款或登入,之後 Chrome 才會偵測到成功的網際網路連線。
Proxy 伺服器的設定方法如下:
- 在管理控制台中使用「Proxy 模式」設定
- 由使用者自己在 Chrome 裝置的 chrome://settings 中設定
- 透過允許設定或修改 Proxy 的應用程式或擴充功能來設定
如果您將這項政策設為 [忽略網頁認證入口頁面政策],Chrome 會在新視窗中開啟網頁認證入口頁面,並忽略已為目前使用者設定的所有設定和限制。如果您將這項政策設為「保留網頁認證入口頁面政策」,Chrome 會在新的瀏覽器分頁中開啟網頁認證入口頁面,並套用目前使用者的政策和限制。
指定支援的 HTTP 驗證機制。當伺服器或 Proxy 接受多個驗證機制時,系統會選取安全性最高且支援的驗證機制。您可以停用特定驗證機制來覆寫預設行為。
- 基本:最不安全的方法,在未加密的情況下處理驗證。
- 摘要:一種挑戰-回應機制,比基本驗證更安全。
- NTLM:(NT LAN 管理員) 一種更進階的挑戰-回應機制,比摘要更安全。
- 交涉:這是最安全的選項。若情況允許,建議您使用這個選項,否則請使用 NTLM。
根據預設,Chrome 瀏覽器允許使用不安全的 HTTP 連線執行基本驗證。如果選取 [需要提供 HTTPS 才能使用基本驗證機制],Chrome 瀏覽器就只允許使用 HTTPS 進行基本驗證。
注意:如果未在「支援的驗證機制」下方指定「基本」,系統就會忽略這項設定。
NTLMv2 驗證功能會預設為開啟狀態。除非遇到回溯相容性方面的問題,否則不建議您關閉這項設定。一旦選取「停用 NTLMv2 驗證」,驗證功能的安全性就會因此下降。
選取「啟用 SSL 記錄分割功能」,即可在 Chrome 中進行 SSL 記錄分割。記錄分割功能是解決 SSL 3.0 和 TLS 1.0 弱點的方法,但可能會導致某些 HTTPS 伺服器和 Proxy 的相容性問題。
為使用者指定傳輸層安全標準 (TLS) 的最低版本。
指定使用者是否能略過安全資料傳輸層 (SSL) 警告並繼續前往頁面。
讓您輸入使用者可以略過安全資料傳輸層 (SSL) 警告的網域名稱清單。使用者只能在這份清單中的來源網域略過 SSL 警告。
輸入網址清單 (每行一個網址)。舉例來說:
https://www.example.com
[*.]example.edu
詳情請參閱 Enterprise 政策網址模式格式。
注意:如果啟用了「SSL 錯誤覆寫」,系統將會忽略這項政策。
指定是否一律開啟或關閉資料壓縮功能。選取「一律啟用資料壓縮 Proxy」,即可使用 Google 代管的 Proxy 伺服器提供經過最佳化的網站內容,藉此減少行動數據使用量並提升行動網路瀏覽速度。
預設選項為「允許使用者決定」。使用者可以開啟或關閉資料壓縮功能。
您可以針對使用者傳出的 WebRTC 連線指定適用的 UDP 通訊埠範圍。通訊埠範圍必須介於 1024 和 65535 之間,且最大值必須大於或等於最小值。
可讓您為本機 IP 新增網頁即時通訊互動連線建立 (WebRTC ICE) 候選網址。
Google 服務會以呼叫 Chrome API 的方式為同意這項行為的客戶收集 WebRTC 事件。WebRTC 則透過用戶資料元協定 (UDP) 傳輸資料。
提醒您,每行只能輸入一個網址,但可以使用萬用字元 *。
系統會將您加入這份清單中的模式與要求網址的安全性來源進行比對。如果找到相符項目,WebRTC ICE 候選項目就會顯示本機 IP 位址。否則,系統會使用 mDNS 主機名稱來隱藏本機 IP 位址。
在 Chrome 中可使用快速 UDP 網際網路連線 (QUIC) 通訊協定。QUIC 是新的傳輸通訊協定,相較於使用傳輸控制通訊協定 (TCP),可以縮短延遲時間。詳情請參閱 Chromium。
決定 WebRTC 在嘗試尋找最佳可用連線時,能夠使用哪些 IP 位址和介面。查看 WebRTC 行為的特定模式相關詳細資料。
系統會預設選取「WebRTC 會使用所有可用介面來搜尋最佳路徑」。
控制每項查詢中透過 HTTPS 通訊協定執行遠端網域名稱系統 (DNS) 解析的預設模式。DNS-over-HTTPS (DoH) 可協助提高使用者瀏覽網路時的安全性和隱私權,例如防止攻擊者觀察您造訪的網站,或將您導向網路詐騙網站。
選擇下列任一選項:
- 停用 DNS-over-HTTPS:Chrome 絕不會將 DoH 查詢傳送至 DNS 伺服器。
- 啟用 DNS-over-HTTPS,而且可以改用不安全查詢:如果支援 DoH 的 DNS 伺服器可供使用,Chrome 會先傳送 DNS-over-HTTPS 查詢。如果收到錯誤訊息,或是無法使用支援 DoH 的伺服器,Chrome 就會改為傳送 DNS 查詢給伺服器。
- 啟用 DNS-over-HTTPS,而且禁止改用不安全查詢:Chrome 只會將 DoH 查詢傳送至 DNS 伺服器。
如果啟用 DoH,您可以新增要提供給使用者的 DoH 解析器 URI 範本清單。
預設設定為 [啟用 DNS-over-HTTPS,而且可以改用不安全查詢]。不過,有時會恢復為 [停用 DNS-over-HTTPS],且使用者無法變更設定。如果 Chrome 偵測到家長監護功能或企業政策,就會發生此情況。在下列情況下,Chrome 會偵測到企業政策:
- 您在已加入網域的電腦上管理 Chrome 瀏覽器。
- 您已為 Chrome 瀏覽器設定至少一個有效政策。
您可以使用身分識別資訊和要使用的鹽值,為 DNS-over-HTTPS 解析器指定 URI 範本。
這項政策與「DNS-over-HTTPS」政策非常類似,可支援指定身分識別資訊。而且此政策在設定之後,會覆寫「DNS-over-HTTPS」政策。
在「設定」下方,執行下列操作:
- 在「含有 ID 的 DNS-over-HTTPS 範本」欄位中,新增 URI 範本。
- ID 前面應加上金錢符號,中間用 ${...} 連接,並括在大括號中。有效 ID 如下所列:
- USER_EMAIL
- USER_EMAIL_DOMAIN
- USER_EMAIL_NAME
- DEVICE_DIRECTORY_ID
- DEVICE_SERIAL_NUMBER
- DEVICE_ASSET_ID
- DEVICE_ANNOTATED_LOCATION
- 如要指定多個 DNS-over-HTTPS 解析器,請以半形空格分隔相應的 URI 範本。
- 如果「DNS-over-HTTPS」政策設為「啟用 DNS-over-HTTPS,而且禁止改用不安全查詢」,則這項政策或「DNS-over-HTTPS」政策中的範本清單不得留空。
- 如果「DNS-over-HTTPS」政策設為「啟用 DNS-over-HTTPS,而且可以改用不安全查詢」,而且已設定這項政策,則系統會使用指定的 URI 範本。如果這項政策留空,系統會使用「DNS-over-HTTPS」政策中的範本清單。如未在任一政策中指定範本 URI,DNS 解析會改用不安全的查詢。
- 如果 URI 範本包含 DNS 變數,系統會使用 GET 方法對解析器發出要求。反之,則使用 POST 方法發出要求。
- ID 前面應加上金錢符號,中間用 ${...} 連接,並括在大括號中。有效 ID 如下所列:
- 在「URI 範本中雜湊 ID 的鹽」欄位新增鹽值,以用於對「含有 ID 的 DNS-over-HTTPS 範本」欄位內含的識別資訊進行雜湊處理。
- 鹽字串的長度介於 8 至 32 個半形字元之間。
- 在 Chrome 114 以上版本中,如果您新增了含有 ID 的 DNS-over-HTTPS 範本,則此為選用欄位。
- 如果未新增任何鹽值,則您所新增範本 URI 中的 ID 進行雜湊處理時,就不會使用鹽。
指定是否要在 Chrome 瀏覽器中使用內建的 DNS 用戶端。
macOS、Android 和 Chrome OS 在預設狀態下會啟用內建的 DNS 用戶端,但使用者可以變更這項設定。
這項政策不會影響 DNS-over-HTTPS。如要變更 DNS-over-HTTPS 行為,請參閱 DNS-over-HTTPS 設定。
跨源資源共享 (CORS) 可讓使用者存取其他網域的資源,同時保護貴機構免受未預期的跨源網路存取所影響。
如果 Chrome 瀏覽器和 ChromeOS 裝置搭載的是 79 以上版本,新的 CORS 導入方式「Out-Of-Renderer CORS」會對網路要求 (包括 Chrome 擴充功能) 執行 CORS 檢查。Out-Of-Renderer CORS 比先前的 CORS 導入方式更嚴格,也更安全。舉例來說,CORS 通訊協定會忽略經過修改的要求 HTTP 標頭,而 Out-Of-Renderer CORS 通訊協定會加以檢查。
指定 Chrome 瀏覽器是否可以使用安全性和嚴格度低於 Out-Of-Renderer CORS 的舊版 CORS 通訊協定。
跨源資源共享 (CORS) 可讓使用者存取其他網域的資源,同時保護貴機構免受未預期的跨源網路存取所影響。
如果 Chrome 瀏覽器和 ChromeOS 裝置搭載的是 79 以上版本,新的 CORS 導入方式「Out-Of-Renderer CORS」會對網路要求 (包括 Chrome 擴充功能) 執行 CORS 檢查。Out-Of-Renderer CORS 比先前的 CORS 導入方式更嚴格,也更安全。舉例來說,CORS 通訊協定會忽略經過修改的要求 HTTP 標頭,而 Out-Of-Renderer CORS 通訊協定會加以檢查。
如要將 Chrome 擴充功能和特定的 HTTP 標頭排除在 CORS 檢查範圍外,請選取 [啟用安全防護措施]。
這項設定僅是暫時性措施,我們會在日後的 Chrome 版本中予以移除。
您可以於 CORS 預檢中與 Access-Control-Allow-Methods 回應標頭進行比對時,控制要求方法是否使用大寫字母。
預設選項會確保要求方法不會使用大寫字母,除非以不區分大小寫的方式與 DELETE、GET、HEAD、OPTIONS、POST 或 PUT 進行比對。
示例
- 回應標頭擷取 (url, {method: 'Foo'}) + "Access-Control-Allow-Methods: FOO" 遭到拒絕。
- 已接受回應標頭擷取 (url, {method: 'Foo'}) + "Access-Control-Allow-Methods: Foo"。
指定在使用者一啟動裝置即處理 Android 和 Chrome OS 使用者流量的 Android VPN 應用程式。基於安全性考量,虛擬私人網路 (VPN) 不適用於系統流量 (例如作業系統和政策更新)。如果 VPN 連線失敗,在重新建立 VPN 連線之前,所有使用者流量都會遭到封鎖。從清單中選擇要在使用者裝置上自動安裝的 Android VPN 應用程式。
選取「禁止使用者手動中斷 VPN 連線」,以防止使用者手動中斷 VPN 的連線。
詳情請參閱「設定虛擬私人網路 (Android VPN 應用程式)」。
指定可以進行整合式 Windows 驗證 (IWA) 的伺服器。當 Proxy 或這份許可清單中的伺服器傳送驗證要求給 Chrome 時,系統就會啟用整合式驗證。
您可以使用萬用字元 * 和 ,,但請務必以半形逗號分隔伺服器名稱。
如果將此欄位留空,Chrome 會嘗試偵測伺服器是否位於內部網路,如果是的話,Chrome 會回應 IWA 要求。但如果 Chrome 偵測的結果顯示伺服器位於網際網路,系統就會忽略該伺服器傳來的 IWA 要求。
指定要讓 Chrome 委派哪些伺服器來進行整合式 Windows 驗證 (IWA)。
您可以使用萬用字元 * 和 ,,但請務必以半形逗號分隔伺服器名稱。
如果這個欄位留空,即使 Chrome 偵測到伺服器位於內部網路,也不會委派使用者憑證。
指定是否要按照金鑰分配中心 (KDC) 政策委派 Kerberos 票證。
指定用來產生 Kerberos 服務主體名稱 (SPN) 的名稱來源。
指定產生的 Kerberos 服務主體名稱 (SPN) 是否應納入非標準通訊埠。
指定是否允許網頁中的第三方子內容彈出 HTTP 基本驗證對話方塊。
指定非跨來源隔離的網站是否可以使用 SharedArrayBuffers。基於網路相容性方面的考量,Chrome 91 以上版本在使用 SharedArrayBuffers 時,會要求跨來源隔離。
詳情請參閱 SharedArrayBuffer 更新。
指定 Chrome 的預設參照網址政策。參照網址政策可以控制網路要求應納入多少參照網址資訊。
如果您選取 [使用 Chrome 的預設參照網址政策],則會使用 strict-origin-when-cross-origin 政策。本政策可以:
- 在執行相同的來源要求時傳送來源、路徑和查詢字串
- 在通訊協定安全等級保持不變時只傳送來源,同時執行跨來源要求 (HTTPS 到 HTTPS)
- 不傳送任何標頭至低安全性的目的地 (HTTPS 到 HTTP)
如果您選取 [將 Chrome 的預設參照網址政策設為舊版參照網址政策],則網路要求會使用舊版 no-referrer-when-downgrade 政策。本政策可以:
- 在通訊協定安全等級保持不變、HTTP 到 HTTP 或 HTTPS 到 HTTPS 時傳送網址來源、路徑和查詢字串做為參照網址,或改善 HTTP 到 HTTPS
- 不傳送任何標頭至低安全性的目的地 (HTTPS 到 HTTP)
指定 Chrome 瀏覽器是否可主動傳送要求,提供有關使用者瀏覽器和環境的資訊。這樣一來,伺服器即可啟用數據分析功能並自訂回應內容。根據預設,系統會選取 [允許 User-Agent Client Hints]。
部分網站會限制某些要求所包含的字元,這些精細的要求標頭可能會導致這類網站無法正常運作。
這項設定僅暫時維持運作,管理控制台日後將移除這項政策。
根據預設,系統會選取「允許執行新版 User-Agent GREASE 演算法」,而 Chrome 瀏覽器會選擇要使用的 User-Agent GREASE 演算法。User-Agent GREASE 演算法會採用最新規格。如果網站會限制要求中可包含的字元,更新的規格可能會導致這類網站無法正常運作。詳情請參閱 W3C 文件。
根據預設,系統會選取「接受以 Signed HTTP Exchange 技術提供的網路內容」,這能安全地讓內容保持在可攜狀態或可供其他方轉散布,同時也能保留內容的完整性和出處。
這項政策會針對 HTTP 伺服器驗證憑證設定適用於個別設定檔的單一全域快取。
- (預設) HTTP 驗證憑證的適用範圍涵蓋頂層網站:如果是 Chrome 80 以上版本,Chrome 會依頂層網站限定 HTTP 伺服器驗證憑證的適用範圍。也就是說,如果有兩個網站使用了來自相同驗證網域的資源,則兩個網站都需要在內容中提供憑證,而系統將跨網站重複使用快取的 Proxy 憑證。
- 根據某個網站的內容所輸入的 HTTP 驗證憑證會自動套用至另一個網站的內容:這可能會導致網站遭受某些類型的跨網站攻擊;此外,不肖人士只要透過網址的內嵌憑證在 HTTP 驗證快取中新增項目,就能在各個網站上追蹤使用者,而不必透過 Cookie 進行追蹤。
這項政策旨在讓採用舊版行為的機構有機會更新登入程序;我們將於日後移除這項政策。
指定是否要針對由本機裝載 CA 憑證所簽署並經過成功驗證的伺服器憑證,讓 Chrome 一律執行撤銷檢查。如果 Chrome 無法取得任何撤銷狀態資訊,就會將這些憑證視為已撤銷。
預設設定為「採用現有的線上撤銷檢查設定」。
部分 Proxy 伺服器無法處理單一用戶端的大量並行連線。指定 Proxy 伺服器的並行連線數上限。這項政策的值必須介於 6 到 100 之間。目前已知部分網頁應用程式會耗用許多連線來處理停滯的 GET 動作,預設值為 32。如果設定低於 32 的值,當太多這類網頁應用程式開啟時,可能會導致瀏覽器網路凍結。
指定 Chrome 進行 HTTP 驗證時要使用的 GSSAPI (一般安全性服務應用程式設計介面) 程式庫。請將這項政策設為程式庫名稱或完整路徑,舉例來說,GSSAPILibraryName 或 libgssapi_krb5.so.2。如果將此欄位留空,Chrome 會使用預設的程式庫名稱。
指定會略過 HTTP 嚴格傳輸安全性 (HSTS) 政策檢查的主機名稱清單。HSTS 政策只會透過安全的 HTTPS 連線強制網路瀏覽器與網站互動,一律不會使用 HTTP 連線。
您只能輸入單一標籤主機名稱 (每行一個);主機名稱必須標準化:任何 IDN 都必須轉換為單一標籤格式,且所有 ASCII 字母都必須使用小寫。這項政策只適用於指定的主機名稱,不適用於指定主機名稱的子網域。
您可以透過這項政策,指定支援 HTTP Negotiate 驗證的 Android 驗證應用程式所提供的帳戶類型。驗證應用程式可產生安全碼,用於登入安全等級要求較高的網站。指定這類應用程式提供的帳戶屬於何種帳戶類型。驗證應用程式的供應商應可提供這類資訊。詳情請參閱 Chromium 專案。
系統預設會選取「執行 DNS 攔截檢查功能」。這項作業會在瀏覽器上執行檢查,瞭解瀏覽器是否透過 Proxy 將使用者重新導向未知的主機名稱。
當使用者在 Chrome 網址列中輸入單一字詞並按下 Enter 鍵之後,Chrome 會將其視為搜尋查詢,傳送給預設的搜尋引擎。如果該字詞與內部網路主機的名稱相符,那麼使用者可能是想要前往該主機。
允許內部網路重新導向時,Chrome 會針對單一字詞的主機名稱發出 DNS 要求,然後向使用者顯示資訊列,詢問若可解析該網站,使用者是否要前往。舉例來說,當 calendar 與內部網路主機 http://calendar/ 相符,且使用者在搜尋列中輸入 calendar 時,系統就會詢問使用者「你的意思是想瀏覽 http://calendar/ 嗎?」。
Chrome 使用內部網路重新導向機制,藉此確保不會發生 DNS 攔截的狀況。DNS 攔截表示即便沒有實際主機,也可解析任何單一字詞主機的每一個 DNS 要求。
如果您的網路環境可解析單一字詞主機的所有 DNS 要求,建議您允許 DNS 攔截檢查功能。這樣一來,在搜尋單一字詞後就不會一直出現資訊列。
系統會預設選取「使用預設的瀏覽器行為」。如果您使用的是 Chrome 88 以上版本,系統會預設啟用 DNS 攔截檢查功能和內部網路重新導向建議。不過在日後推出的新版本中,這些功能將會預設為停用。
雖然您可以使用「啟用 DNS 攔截檢查功能」設定來停用 DNS 攔截檢查功能,不過「內部網路重新導向行為」設定在使用上會更有彈性,可讓您分別控制內部網路重新導向資訊列。
這項政策僅是暫時性措施,我們會在日後的 Chrome 版本中予以移除。
允許將網路即時通訊技術 (WebRTC) 的傳輸層安全標準 (TLS) 和資料元傳輸層安全標準 (DTLS) 降級至過時版本。
根據預設,系統會選取 [禁止 WebRTC 點對點連線降級至過時的 TLS/DTLS 通訊協定版本 (DTLS 1.0、TLS 1.0 和 TLS 1.1)]。因此這些 TLS/DTLS 版本已停用。
在 Chrome 中開啟或關閉 WPAD (網路 Proxy 自動探索) 最佳化功能。
Chrome 瀏覽器等用戶端可以透過 WPAD 自動尋找並連接網路中的快取服務。如此一來,使用者就能更快收到資訊。
預設設定為 [啟用「網路 Proxy 自動探索」(WPAD) 最佳化功能]。如果您選取 [停用「網路 Proxy 自動探索」(WPAD) 最佳化功能],Chrome 等待 DNS 型 WPAD 伺服器的時間就必須拉長。
使用者無法變更 WPAD 最佳化功能設定。
指定使用者名稱和密碼能否用來對採取 NTLM 驗證防護機制的受管理 Proxy 進行驗證。
如果您選擇「使用登入憑證對受管理的 Proxy 進行網路驗證」,當驗證失敗時,系統會提示使用者輸入自己的使用者名稱和密碼。
這項政策會選取允許對外連線的一或多個通訊埠,以略過 Google Chrome 內建的受限通訊埠清單。
限制通訊埠的目的是防止有人以 Google Chrome 做為媒介來惡意探索網路安全漏洞。設定這項政策可能會導致您的網路遭受攻擊。這項政策是用來處理錯誤代碼 ERR_UNSAFE_PORT 的暫時性解決方案,可將服務從受封鎖的通訊埠遷移至標準通訊埠 (例如通訊埠 80 或 443)。
如果不設定這項政策,系統會封鎖所有受限的通訊埠;而如果同時選取了有效值和無效值,系統會自動套用有效值。
這項政策會覆寫 --explicitly-allowed-ports 指令列選項。
指定是否要讓 Chrome 遵循預設的橢圓曲線和後量子 2 組合 (CECPQ2) 推出程序;CECPQ2 是傳輸層安全標準 (TLS) 中的後量子金鑰協議演算法。
CECPQ2 可用來評估使用者裝置上後量子金鑰交換演算法的效能。
CECPQ2 會產生更大量的傳輸層安全標準 (TLS) 訊息,在極少數情況下可能觸發某些網路硬體的錯誤。您可以在連線問題解決期間先停用 CECPQ2。
控管 Chrome 能否在提出不安全的 DNS 要求時查詢其他 DNS 記錄類型。
透過安全 DNS 提出的 DNS 查詢不會受到這項設定影響,一律可以查詢其他 DNS 類型。
您可以選擇下列任一選項:
- 允許其他 DNS 查詢類型:此為預設選項,Chrome 可查詢其他 DNS 記錄類型,包含 HTTPS (DNS 類型 65)、A (DNS 類型 1) 和 AAAA (DNS 類型 28)。
- 禁止其他 DNS 查詢類型:Chrome 只會針對 A (DNS 類型 1) 和 AAAA (DNS 類型 28) 查詢 DNS。
這項政策僅是暫時性措施,我們會在日後的 Chrome 版本中予以移除。待這項政策移除後,Chrome 便一律可以查詢其他 DNS 類型。
指定是否要採用沙箱機制來執行網路服務程序。
系統會預設選取「使用網路服務沙箱的預設設定」。網路沙箱的預設設定可能會因 Chrome 版本、目前執行的實測功能以及平台而有所差異。
如果機構使用的第三方軟體會干擾網路服務沙箱運作,可選取「停用網路服務沙箱」,以便在不採用沙箱機制的情況下執行網路服務程序。
跨源資源共享 (CORS) 是一種網路標準通訊協定,可讓使用者存取其他網域的資源,同時防止貴機構遭到未預期的跨源網路存取影響。
CORS 非萬用字元要求標頭是一種 HTTP 要求標頭,不在 Access-Control-Allow-Headers 標頭中萬用字元符號「*」的涵蓋範圍內。只有 Authorization 才是 CORS 非萬用字元要求標頭的一員。
如果您選取「支援 CORS 非萬用字元要求標頭」,那麼當指令碼透過 fetch() 和含有已新增指令碼 Authorization 標頭的 XMLHttpRequest 發出跨源網路要求時,該標頭在 CORS 預檢回應中必須獲得 Access-Control-Allow-Headers 標頭的明確允許。也就是說,萬用字元符號「*」並不會涵蓋 Authorization 標頭。
如果您選取「不支援 CORS 非萬用字元要求標頭」,Chrome 會允許萬用字元符號「*」在 CORS 預檢回應的 Access-Control-Allow-Headers 標頭中涵蓋 Authorization 標頭。
Google 預計分階段逐步降低 User-Agent 標頭欄位可用資訊的詳細程度。使用這項設定對網站測試及相容性有幫助。您可以對所有來源開啟或關閉縮減設定,或者透過實際測試及來源試用進行控管。
如要進一步瞭解 User-Agent 縮減設定及其時間軸,請參閱 Chromium 網誌。
如果 ChromeOS 或 Chrome 瀏覽器主要版本中的使用者代理程式字串為 3 位數 (而非 2 位數),某些應用程式和網站可能會停止運作。針對 Chrome 100 以上版本,可以透過強制 Chrome 將使用者 User-Agent 字串中的主要版本設為 99,避免發生 User-Agent 問題。
選擇下列任一選項:
- 預設為 User-Agent 字串的瀏覽器設定:(預設) 使用者可以選擇是否要凍結 User-Agent 字串中的主要版本。
- 不要凍結主要版本:Chrome 一律不會凍結 User-Agent 字串中的主要版本。
- 將主要版本凍結為 99:將 User-Agent 字串中的 Chrome 主要版本設為 99,強制實際使用的主要版本號碼顯示在子版本位置。
這樣一來,Chrome 回報的使用者代理程式字串就不會是 <主要版本>.<子版本>.<版本號碼>.<修補程式號碼>,而是 99.<主要版本>.<版本號碼>.<修補程式號碼>,也就是省略子版本。
舉例來說,Chrome 100.0.1234.56 版本會回報為 99.100.1234.56。
系統網域名稱伺服器 (DNS) 解析無法在 Android 和 Linux 平台上以沙箱機制執行。因此,我們會將系統 DNS 解析移出網路服務,並改在未採用沙箱機制的瀏覽器程序內執行。您可以使用這項政策針對網路服務控管系統 DNS 解析 (getaddrinfo()) 的執行方式。
選擇下列其中一個選項:
- 在網路程序內部或外部執行系統 DNS 解析,或採取部分在內部、部分在外部執行:系統 DNS 解析會根據系統設定和功能旗標,在網路服務內部或外部執行,或採取部分在內部、部分在外部執行。
- 在網路程序內部執行系統 DNS 解析:系統 DNS 解析會在網路程序內部執行,而不會在瀏覽器處理程序內部執行。這可能會強制停用網路服務沙箱,導致 Google Chrome 的安全性降低。
- 在網路程序內部或外部執行系統 DNS 解析:視系統設定和功能旗標,系統 DNS 解析可能會在網路程序外部執行。
指定即便未升級為 HTTPS,在啟用 HttpsOnlyMode 後也不會顯示錯誤的網址或網址模式清單。
您可以利用這項設定繼續存取不支援 HTTPS 的伺服器,而不需要停用「自動 HTTPS 升級」或「允許啟用僅限 HTTPS 模式」設定。
網址清單需符合下列規則:
- 主機名稱必須經過標準化。
- 任何 IDN 都必須轉換為 A 標籤格式。
- 所有 ASCII 字母都必須使用小寫。
不得使用主機綜合萬用字元,例如 * 或 [*]。如要停用「HttpsOnlyMode」和「HTTPS 升級」設定,必須使用兩者各自的特定政策。
如要進一步瞭解有效網址模式的詳細資訊,請參閱 Enterprise 政策網址模式格式。Google Chrome upgrades some navigations from HTTP to HTTPS, when possible. Automatic HTTPS upgrades are allowed by default but you can choose to not allow them.
You can also use the Allowed HTTP URLs setting to exclude specific hostnames or hostname patterns from being automatically upgraded to HTTPS.
Android 應用程式
控制 Android 備份與還原服務允許使用者將 Android 應用程式的內容、資料和設定備份到 Google 帳戶。當使用者登入其他 ChromeOS 裝置時,便可以還原他們的 Android 應用程式資料。
指定是否允許 ChromeOS 裝置上的 Android 應用程式在初始設定期間,使用 Google 定位服務搜尋裝置位置資訊,並將匿名的位置資料傳送給 Google。完成初始設定後,使用者可啟用或停用定位服務。
選擇下列任一選項:
- 在 ChromeOS 上進行 Android 應用程式初始設定時,停用定位服務:這是預設選項。Android 應用程式無法在初始設定期間使用定位服務。
- 當使用者在 ChromeOS 上進行 Android 應用程式初始設定時,允許他們決定是否針對 Android 應用程式使用定位服務:系統會提示使用者允許 Android 應用程式在初始設定期間使用定位服務。
注意:如果將「地理位置」設為「不允許網站偵測使用者的地理位置」,「Google 定位服務」設定就不會生效。詳情請參閱地理位置設定
已淘汰。Chrome 75 以下版本。
根據預設,使用者可以新增第二個帳戶 (例如個人 Gmail 帳戶),用於存取您明確允許的 Google Play 管理版應用程式以外的其他 Android 應用程式。如要禁止使用者新增第二個 Google 帳戶,請勾選「Google 帳戶」方塊。
根據預設,ChromeOS 憑證授權單位 (CA) 憑證不會同步處理到 Android 應用程式。若要讓 Android 應用程式使用這些憑證,請選取「允許 Android 應用程式使用 ChromeOS CA 憑證」。
根據預設,ChromeOS 可讓 Android 應用程式使用 Android 內建的分享系統,將文字和檔案分享到支援的網頁應用程式。系統會針對已安裝的網頁應用程式將中繼資料傳送給 Google,藉此在 ChromeOS 裝置上產生並安裝這些應用程式與 Android 相容的版本。如要避免這種情況發生,請選取「停用 Android 應用程式到網頁應用程式的分享」。
這項政策僅適用於要遷移至 ARC VM 的 ARM 裝置。
您可以指定當使用者使用 virtio-fs 建立 ARC 資料目錄時,系統要採取的動作。除非 virtio-fs 資料遷移至 virtio-blk,否則 ARCVM 上的 Android 應用程式執行速度可能會較慢。
ARCVM 是在 ChromeOS 上啟動 Android 應用程式的新系統。
選擇下列其中一個選項:
- 不允許使用者手動更新 Android 應用程式:(預設) 系統不會提示使用者執行遷移流程。
- 允許使用者手動更新 Android 應用程式:在登入時,系統會提示使用者執行資料遷移流程。這項作業最多可能需要 10 分鐘的時間。使用者必須在強制更新前的 30 天內進行更新。如未更新,使用者在執行 Android 應用程式時可能會遇到效能問題。
啟動
首頁按鈕指定是否在工具列上顯示「首頁」按鈕。這項政策對應的選項是使用者 Chrome 設定中的使用者設定「顯示首頁」按鈕。
控制使用者按一下工具列上的「首頁」按鈕時看到的內容。您可以選取「允許使用者自行設定」 (預設)、「首頁一律為新分頁」 或「首頁一律為以下設定的網址」。
如要設定網址,請在「首頁網址」欄位中輸入網址。
指定新分頁的網址,且使用者無法變更這項設定。如果留空,系統會使用瀏覽器的預設網頁。
系統預設會選取「在新分頁中顯示內容建議」。Chrome 會根據使用者的瀏覽記錄、興趣喜好或所在位置自動產生內容建議,並在新分頁中顯示。
根據預設,使用者可以自訂新分頁的背景。
如果選取「禁止使用者自訂新分頁的背景」,使用者就無法自訂新分頁的背景。此外,現有的自訂背景會遭到永久移除,即便您日後改回「允許使用者自訂新分頁的背景」也無法恢復。
指定是否要在新分頁的搜尋框中顯示 Google 智慧鏡頭按鈕 (如果支援)。
指定使用者啟動 ChromeOS 裝置後載入的網頁。
您可以選取下列任一選項:
- 允許使用者決定:此為預設設定。使用者可在 Google Chrome 中設定下列任一選項。詳情請參閱「設定首頁和起始網頁」。
- 開啟新分頁:開啟由新分頁政策所設定的新分頁。如果未設定這項政策,系統會使用瀏覽器的預設網頁,且使用者無法變更這項設定。
- 還原上次工作階段:開啟裝置重新啟動前所載入的所有分頁和視窗,且使用者無法變更這項設定。
- 開啟網址清單:您可以新增要在裝置重新啟動後載入的網頁網址。這裡列出的網頁會透過其他分頁開啟,但使用者無法在自己的裝置上新增更多網址。如果您並未新增任何網頁網址,使用者即可在清單中自行新增網址。詳情請參閱「設定首頁和起始網頁」。
- 開啟網址清單並還原前次工作階段:開啟裝置重新啟動前載入的所有分頁和視窗,以及加入的網址清單。網址會在另一個瀏覽器視窗開啟。
注意:如要正確套用這項設定,請確認 ChromeOS 的「在啟動時還原應用程式」設定已設為「只還原 Chrome 瀏覽器」。如果選取「還原所有應用程式和應用程式視窗」選項,系統只會在符合以下情況時套用這項設定:使用者初次在新裝置上啟動新的工作階段時,或是工作階段屬於暫時性質。詳情請參閱「設定應用程式和擴充功能政策」一文。
Microsoft Windows 系統管理員只能在搭載 Windows 7 的電腦上開啟這項設定。如果是更新的版本,請參閱「將 Chrome 設為預設瀏覽器 (Windows10)」。
指定 Chrome 中的預設瀏覽器檢查行為。
- 允許使用者決定 (預設):使用者可以將 Chrome 瀏覽器選為預設瀏覽器。如果 Chrome 瀏覽器並非預設瀏覽器,使用者可以選擇是否讓系統顯示要求將其選為預設瀏覽器的通知。
- 在啟動時嘗試將 Chrome 設為預設瀏覽器 (如果 Chrome 還不是預設瀏覽器):Chrome 瀏覽器一律會在裝置啟動時檢查其是否為預設瀏覽器,並在情況允許時自動登錄為預設瀏覽器。
- 禁止 Chrome 在啟動時檢查自身是否為預設瀏覽器,並禁止使用者將 Chrome 設為預設瀏覽器:Chrome 瀏覽器一律不會檢查自身是否為預設瀏覽器,並禁止使用者將其選為預設瀏覽器。
指定在瀏覽器啟動時要啟用、停用或強制顯示設定檔選擇畫面。選擇下列任一選項:
- 允許使用者決定:瀏覽器預設會在啟動時顯示設定檔選擇畫面,但使用者可予以停用。
- 不要在瀏覽器啟動時顯示設定檔選擇畫面:瀏覽器不會顯示設定檔選擇畫面,使用者也無法變更這項設定。
- 一律在瀏覽器啟動時顯示設定檔選擇畫面:即使只有一個設定檔,瀏覽器也會顯示設定檔選擇畫面。
根據預設,瀏覽器在以下情況不會顯示設定檔選擇畫面:
- 瀏覽器於啟動時採用訪客或無痕模式
- 已透過指令列指定設定檔目錄或網址
- 已明確要求開啟某個應用程式
- 瀏覽器由原生通知啟動
- 目前只有一個設定檔
- 或是 ForceBrowserSignin 政策的設定為 True
匯入設定
匯入自動填入資料讓使用者在 Chrome 瀏覽器首次執行時,從預設的瀏覽器匯入自動填入表單資料。請選擇下列任一選項:
- 啟用自動填入資料匯入功能:自動匯入自動填入表單資料,使用者可在日後重新匯入這些資料。
- 停用自動填入資料匯入功能:瀏覽器在首次執行時不會匯入自動填入表單資料,使用者也無法手動匯入這類資料。
- 允許使用者決定:使用者可以選擇是否要手動匯入自動填入表單資料。
讓使用者在 Chrome 瀏覽器首次執行時,從預設的瀏覽器匯入書籤。請選擇下列任一選項:
- 啟用書籤匯入功能:自動匯入書籤,使用者可在日後重新匯入這些資料。
- 停用書籤匯入功能:瀏覽器在首次執行時不會匯入書籤,使用者也無法手動匯入書籤。
- 允許使用者決定:使用者可以選擇是否要手動匯入書籤。
讓使用者在 Chrome 瀏覽器首次執行時,從預設的瀏覽器匯入瀏覽記錄。請選擇下列任一選項:
- 啟用瀏覽記錄匯入功能:自動匯入瀏覽記錄,使用者可在日後重新匯入這些資料。
- 停用瀏覽記錄匯入功能:瀏覽器在首次執行時不會匯入瀏覽記錄,使用者也無法手動匯入這類記錄。
- 允許使用者決定:使用者可以選擇是否要手動匯入瀏覽記錄。
讓使用者在 Chrome 瀏覽器首次執行時,從預設的瀏覽器匯入首頁設定。請選擇下列任一選項:
- 啟用首頁匯入功能:自動匯入首頁設定,使用者可在日後重新匯入這些資料。
- 停用首頁匯入功能:瀏覽器在首次執行時不會匯入首頁設定,使用者也無法手動匯入這類設定。
- 允許使用者決定:使用者可以選擇是否要手動匯入首頁設定。
讓使用者在 Chrome 瀏覽器首次執行時,從預設的瀏覽器匯入已儲存的密碼。請選擇下列任一選項:
- 啟用已儲存密碼匯入功能:自動匯入已儲存的密碼,使用者可在日後重新匯入這些資料。
- 停用已儲存密碼匯入功能:瀏覽器在首次執行時不會匯入已儲存的密碼,使用者也無法手動匯入這類密碼。
- 允許使用者決定:使用者可以選擇是否要手動匯入已儲存的密碼。
- 啟用搜尋引擎匯入功能:自動匯入搜尋引擎設定,使用者可在日後重新匯入這些資料。
- 停用搜尋引擎匯入功能:瀏覽器在首次執行時不會匯入搜尋引擎設定,使用者也無法手動匯入這類設定。
- 允許使用者決定:使用者可以選擇是否要手動匯入搜尋引擎設定。
內容
安全搜尋和嚴格篩選模式對 Google 搜尋查詢執行安全搜尋
安全搜尋功能可篩選使用者搜尋結果中的煽情露骨內容 (包含色情內容)。您可以選擇開啟或關閉此功能。
幼兒園到高中教育機構網域的預設值為「一律對 Google 網頁搜尋查詢使用安全搜尋」。使用者必須使用安全搜尋。
其他網域的預設值為「不要對 Google 網頁搜尋查詢強制執行安全搜尋」。
詳情請參閱「針對您管理的帳戶、裝置和網路鎖定安全搜尋」。
YouTube 嚴格篩選模式
設定 YouTube 的嚴格篩選程度之前,建議您先更新到最新的 Chrome 穩定版。
- 不強制執行 YouTube 嚴格篩選模式 (預設)。
-
強制執行中度以上的 YouTube 嚴格篩選模式:強制使用者使用嚴格篩選模式。該模式會透過演算法,根據影片內容限制使用者可以觀看的影片。
- 強制執行 YouTube 高度嚴格篩選模式:強制使用者使用高度嚴格篩選模式,以加強限制可觀看的影片。
如需進一步瞭解嚴格篩選等級,請參閱「管理貴機構的 YouTube 設定」。
控制是否允許機構中的使用者在 ChromeOS 裝置上拍攝螢幕截圖。無論透過何種方式拍攝螢幕截圖,一律會受到這項政策的規範,包括透過鍵盤快速鍵或使用 Chrome API 拍攝螢幕截圖的應用程式和擴充功能。
如果您已為貴機構中支援的 ChromeOS 裝置啟用 Android 應用程式,這些裝置也會一併套用螢幕截圖政策。
您可以允許 Chrome Enterprise 使用者建立及查看螢幕側錄,並接著上傳到 Google 雲端硬碟。
如要進一步瞭解螢幕側錄,請參閱「使用螢幕側錄應用程式在 Chrome OS 裝置上進行錄製及共用」。
控制特定網站是否可提示使用者直播分頁、視窗或整個螢幕的畫面。
如果將這項政策設為「禁止網站提示使用者分享自己螢幕畫面上的影片串流」,只有當網站與您在這項設定中指定的網址模式相符時,系統才會允許該網站提示使用者進行分享。
系統會將您在下方清單中所指定的網址與要求網址的來源進行比對,並忽略網址模式中的路徑。如要進一步瞭解有效的網址模式,請參閱 Enterprise 政策網址模式格式。
允許這些網站擷取分頁畫面影片 (僅限同一個網站)
指定哪些網站可以提示使用者直播同一來源網站的分頁。當網站符合這個欄位指定的網址模式時,系統在後續的三個欄位都會忽略該網站。
允許這些網站擷取分頁畫面影片
指定可提示使用者直播特定分頁的網站。當網站符合這個欄位指定的網址模式時,系統在後續的兩個欄位都會忽略該網站。同理,當網站與上述欄位的網址模式相符時,系統會忽略這項政策。
允許這些網站擷取分頁與視窗畫面影片
指定可提示使用者直播特定視窗和分頁的網站。當網站符合這個欄位指定的網址模式時,系統在下一個欄位會忽略該網站。同理,當網站與上方兩個欄位中的網址模式相符時,系統會忽略這項政策。
允許這些網站擷取分頁、視窗與桌面畫面影片
指定可提示使用者直播整個螢幕畫面、視窗或分頁的網站。當網站與上方三個欄位的網址模式相符時,系統會忽略這項政策。
控制網站是否可提示使用者直播特定分頁、視窗或整個螢幕的畫面。
- 允許網站提示使用者分享自己螢幕畫面上的影片串流:這是預設選項,網頁可以使用螢幕分享 API (例如 getDisplayMedia() 和螢幕畫面直播擴充功能 API) 提示使用者進行分享。
- 禁止網站提示使用者分享自己螢幕畫面上的影片串流:如果選取此選項,螢幕分享 API 會失敗並傳回錯誤訊息。但如果有特定網站與您在「網站允許擷取螢幕畫面影片」中指定的網址相符,系統即會允許網頁提示使用者進行分享。詳情請參閱「網站允許擷取螢幕畫面影片」一節。
這項政策是因新的運作方式而實施。如有任何 PPAPI 應用程式未正常運作,這項政策可讓您沿用舊的實作方式。
指定 Pepper 能否使用共用圖片進行影片解碼。
如果選取「允許使用新的實作方式」,瀏覽器會自行決定要使用的導入方式。如果選取「強制使用舊的實作方式」後,瀏覽器就會沿用舊的實作方式,直到政策失效為止。
注意:瀏覽器執行期間,只有新啟動的轉譯器程序會反映這項政策的異動。
指定使用者是否可以使用 Chrome 瀏覽器分享中心分享目前的網頁。使用者只要按一下網址列中的「分享」圖示 或瀏覽器視窗右上方的「更多」圖示 ,即可存取分享中心。如果您選擇「停用桌面分享中心」,使用者就不會在分享中心看到分享圖示。
允許您指定網址模式清單 (使用 JSON 字串),讓 Chrome 自動為這些網站選取用戶端憑證。設定完成後,如果已安裝有效的用戶端憑證,Chrome 就會略過相符網站的用戶端憑證選取提示。如果未設定這項政策,則不會為要求憑證的網站自動選取憑證。
ISSUER/CN 參數會指定憑證授權單位的通用名稱,用戶端憑證的核發單位必須符合這些名稱,系統才能自動選取憑證。
如何設定 JSON 字串格式:
{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}
JSON 字串範例:
{"pattern": "https://[*.]ext.example.com", "filter": {}}
{"pattern": "https://[*.]corp.example.com", "filter": {}}
{"pattern": "https://[*.]intranet.usercontent.com", "filter": {}}
指定在裝置要求安全金鑰的認證憑證時,不會顯示提示的網址和網域。
控制 Chrome 瀏覽器是否要允許網頁使用 Web Graphics Library (WebGL) API 和外掛程式。WebGL 是運用 JavaScript 產生互動 3D 圖形的軟體程式庫。
預設 Cookie 設定
設定是否允許網站儲存瀏覽資訊,例如您的網站偏好設定或個人資訊。
這項設定對應的是 Chrome 設定中的使用者 Cookie 選項。您可以讓使用者自行設定選項,或是指定一律允許 Cookie、永不允許 Cookie,或只在使用者工作階段期間保留 Cookie。
允許網址模式的 Cookie
允許您指定可設定 Cookie 的網站網址模式清單,例如,您可以使用下列格式逐行填入網址:
- "http://www.example.com"
- "[*.]example.edu"
如果未設定這項政策,您在「預設 Cookie 設定」之下指定的設定會成為通用的預設設定,使用者也可以自行調整設定。
封鎖網址模式的 Cookie
允許您指定不得設定 Cookie 的網站網址模式清單。例如,您可以使用下列格式逐行填入網址:
- "http://www.example.com"
- "[*.]example.edu"
如果未設定這項政策,您在「預設 Cookie 設定」之下指定的設定會成為通用的預設設定,使用者也可以自行調整設定。
允許網址模式的單一工作階段 Cookie
允許您指定可在工作階段設定 Cookie 的網站網址模式清單。您可以使用下列格式逐行填入網址:
- "http://www.example.com"
- "[*.]example.edu"
系統會在工作階段結束後刪除 Cookie。如果未設定這項政策,您在「預設 Cookie 設定」之下指定的設定會成為通用的預設設定,使用者也可以自行調整設定。
允許或封鎖第三方 Cookie。根據預設,使用者可以自行決定這項設定。
指定 Chrome 如何透過 JavaScript 處理含有以下控制字元的 Cookie 設定:NULL、回車字元和換行字元。
系統預設會選取「禁止使用截斷的 Cookie」。若有這些字元,系統會忽略整個 Cookie 字串。
如果您選取「允許使用截斷的 Cookie」,包含這些字元的 Cookie 字串會遭到截斷,但仍會完成設定。
指定 Chrome 是否支援使用者的第一方集合 (FPS) 相關整合功能。
機構可以透過 FPS 宣告網站之間的關係。這樣一來,瀏覽器就能允許基於特定目的的第三方 Cookie 有限存取權。
開發人員可使用 SameSite 設定,來避免瀏覽器傳送含有跨網站要求的 Cookie。
針對 Chrome 瀏覽器 80 以上版本,SameSite 設定比先前的導入更嚴格。除非開發人員使用 SameSite=None; Secure
設定,僅允許通過 HTTPS 連線的跨網站存取,否則系統會拒絕外部存取 Cookie。
您可以暫時將 Chrome 瀏覽器還原為安全性較低的舊版行為,這樣一來,使用者便可繼續使用開發人員尚未更新的服務,例如單一登入和內部應用程式。
選擇下列任一選項:
- 將所有網站上的 Cookie 還原成舊版 SameSite 行為:具有
SameSite=None
設定的 Cookie 不需要使用Secure
屬性。未指定 SameSite 屬性的 Cookie 都會被視為具有SameSite=None
設定。因此,第三方 Cookie 可以繼續跨網站追蹤使用者。 - 對所有網站上的 Cookie 使用 SameSite 預設行為:針對未指定 SameSite 屬性的 Cookie,Chrome 瀏覽器處理 Cookie 的方式會依 Chrome 瀏覽器中指定的預設行為而定。
查看 Chrome 瀏覽器如何處理未指定 SameSite 屬性的 Cookie:
- 在受管理的電腦上開啟 Chrome 瀏覽器。
- 在頂端的網址列中輸入 chrome://flags。
- 按下 Enter 鍵。
- 詳閱 #same-site-by-default-cookies 的說明,並檢查該旗標為開啟或關閉。
開發人員可使用 SameSite 設定,來避免瀏覽器傳送含有跨網站要求的 Cookie。
針對 Chrome 瀏覽器 80 以上版本,SameSite 設定比先前的導入更嚴格。除非開發人員使用 SameSite=None; Secure
設定,僅允許通過 HTTPS 連線的跨網站存取,否則系統會拒絕外部存取 Cookie。
您可以指定某些網域,讓 Chrome 瀏覽器在這些網域還原為安全性較低的舊版行為,但請不要指定架構或通訊埠。具有 SameSite=None
設定的 Cookie,就不必再使用 Secure
屬性。未指定 SameSite 屬性的 Cookie 都會被視為具有 SameSite=None
設定。因此,第三方 Cookie 可以繼續跨特定網站追蹤使用者。
如果未列出任何網域,則「舊版 SameSite Cookie 預設行為」設定會指定處理 Cookie 的方式。否則,Chrome 瀏覽器處理 Cookie 的方式會依 Chrome 瀏覽器中指定的預設行為而異。
指定是否允許網站顯示圖片。在「顯示這些網站的圖片」和「封鎖這些網站的圖片」部分中,請分行輸入網址模式。
指定是否允許網站執行 JavaScript。如果選取了 [不允許任何網站執行 JavaScript],某些網站可能無法正常運作。
啟用這項政策後,如果分頁是在背景中開啟,且已閒置超過 5 分鐘,則系統會暫停 JavaScript 計時器。針對這類分頁,計時器每分鐘只會執行其程式碼一次。這樣可降低 CPU 負載和耗電量。
預設設定為 [允許背景 JavaScript 計時器的節流由 Chrome 的邏輯控管或由使用者設定]。這項政策會由其本身的內部邏輯控管,並可供使用者手動設定。
如果您選取 [強制背景 JavaScript 計時器節流] 或 [不強制背景 JavaScript 計時器節流],就會強制啟用或停用這項政策,而且使用者無法覆寫這個選項。
系統會將此政策套用到每個網頁,並在網頁載入時套用最近設定的選項。使用者必須徹底重新啟動裝置,系統才會將政策設定套用到所有已載入的分頁。即使每個網頁採用不同的政策設定值,也不會影響正常運作。
這項政策僅是暫時性措施,預計將於 Chrome 107 版移除。
指定 JavaScript setTimeout() 限制取值範圍行為。
setTimeout(…, 0) 常用來細分長時間的 JavaScript 工作,讓其他內部工作得以執行,並可防止瀏覽器停止運作。
- 系統不會主動延遲 JavaScript setTimeout():系統不會主動針對間隔時間小於 4 毫秒的 setTimeouts 和 setIntervals 限制取值範圍。這項設定可提升短期間的執行效能,但對於濫用 API 的網站而言,其 setTimeouts 的取值範圍最終仍會受到限制。
- 系統會在達到一般巢狀閾值後延遲 JavaScript setTimeout():系統會針對間隔時間小於 4 毫秒的 setTimeouts 和 setIntervals 限制取值範圍。這項設定會改變網頁上的工作順序,如果網站仰賴特定工作順序,則會導致網站運作異常。除此之外,如果網站藉由增加 CPU 負載等方式來使用大量逾時為 0 毫秒的 setTimeout(),也會受到這項設定的影響。
您可以指定 Google Chrome 是否允許網站在啟用 Just In Time (JIT) 編譯器的情況下執行 v8 JavaScript 引擎。JIT 編譯是一種在程式執行期間 (而不是執行之前) 使用編譯來執行電腦程式碼的方式。
選擇下列任一選項:
- 允許網站執行 JavaScript JIT (預設):網路內容的顯示速度可能會變慢,且 JavaScript 的某些部分 (包含 WebAssembly) 可能會停用。
- 不允許網站執行 JavaScript JIT:網路內容可能會以較安全的方式轉譯。
您也可以新增要允許或禁止執行 JavaScript JIT 的特定網址。如需有效網址模式的相關資訊,請參閱「Enterprise 政策網址模式格式」。
您可以指定網站能否要求使用者授予剪貼簿存取權,或是讓使用者自行決定設定選項。您也可以新增網站的網址清單,指定網站能否要求使用者授予權限,進而存取剪貼簿。
請選取下列其中一個選項:
- 允許使用者決定 (預設):允許網站要求存取權,但使用者可以變更這項設定。
- 允許網站要求使用者授予剪貼簿網站權限:允許網站向使用者要求存取剪貼簿。
- 不允許任何網站使用剪貼簿網站權限:拒絕所有網站存取剪貼簿。
在「允許這些網站存取剪貼簿」欄位中,輸入可向使用者要求存取剪貼簿的所有網址。
在「禁止這些網站存取剪貼簿」欄位中,輸入無法存取剪貼簿的所有網址。
如果網址未遭到封鎖,系統會優先依序採用您所選取的選項,或是使用者的個人設定。
請勿在上述的兩個欄位中輸入相同的網址。如果網址同時符合這兩項政策,系統不會優先採用任何一項政策。
如要進一步瞭解有效的網址模式,請參閱「Enterprise 政策網址模式格式」。指定是否允許網站顯示桌面通知。
您可以允許或禁止通知,也可以設定讓網站在顯示桌面通知前詢問使用者。
注意︰Chrome 64 以上版本不會出現 JavaScript 提醒,以免干擾使用者。原先使用提醒功能的應用程式 (例如 Google 日曆) 可以改成傳送通知。如有需要,請在「允許這些網站顯示通知」方塊中新增 calendar.google.com。
指定網址模式清單,允許符合這些網址模式的網頁自動播放有聲影片內容,而不必徵得使用者同意。如果您在使用者執行 Chrome 時變更這項設定,所做變更只會套用至新開啟的分頁。
如需有效網址模式的相關資訊,請參閱 Enterprise 政策網址模式格式。
您可以註冊通訊協定處理常式的清單,其中會包含使用者所註冊的通訊協定處理常式,因此二種皆可供使用。
通訊協定處理常式是可處理特定類型連結的應用程式。舉例來說,mailto: 連結會由郵件用戶端通訊協定處理常式處理。當使用者按一下 mailto: 連結時,瀏覽器就會開啟被選為 mailto: 通訊協定處理常式的應用程式。
比方說,您可按下列步驟設定郵件用戶端通訊協定處理常式:
- 在「為使用者設定預設通訊協定處理常式」之下,按一下 圖示。
- 在「網址」欄位中,輸入處理通訊協定配置的應用程式網址模式。該模式必須包含 %s 預留位置,並替換為受處理的網址;且網址也必須採用 HTTPS 架構,例如 https://example.com。
- 在「通訊協定」清單中,選取「mailto」。
- 按一下「儲存」。
注意:只有當您選取「web+」通訊協定時,才會使用「自訂通訊協定」欄位。
使用者無法移除透過這項設定新增的通訊協定處理常式,但可透過自行安裝新的預設處理常式,選取通訊協定處理常式做為預設選項。
Chrome 已於 2021 年停止支援 Flash Player 外掛程式。
前往 Chrome 網誌瞭解詳情。
設定是否允許網站在 Chrome 瀏覽器或 Chrome OS 裝置上執行版本過舊的外掛程式,例如 Adobe Flash Player。網站可用外掛程式來顯示或播放某些 Chrome 瀏覽器無法處理的網頁內容。
指定如何在 Google Chrome 中開啟 PDF 檔案。
Chrome 會下載 PDF 檔案,並讓使用者以系統預設的應用程式開啟:Google Chrome 內的 PDF 檢視器會關閉,改為下載 PDF 檔案並讓使用者以預設的應用程式開啟。
除非 PDF 外掛程式已關閉,否則 Chrome 會開啟 PDF 檔案:除非使用者停用 PDF 外掛程式,否則 Chrome 會開啟所有 PDF 檔案。
要自動開啟的檔案類型
指定要在下載後自動開啟的檔案類型清單。如果安全瀏覽功能為開啟狀態,系統仍會檢查檔案,而檔案必須通過檢查才能開啟。如果將此欄位留空,則只有使用者允許的檔案類型才會自動開啟。
請勿在開頭輸入分隔符。舉例來說,如果是 .txt 檔案,只需輸入 txt 即可。
如要透過 Microsoft Windows 使用此功能,電腦必須加入 Microsoft Active Directory 網域、以 Windows 10 專業版執行,或是已註冊 Chrome Enterprise 基本版。
macOS 電腦則須使用行動裝置管理 (MDM) 軟體進行管理,或透過 MCX 加入網域。
要自動開啟的網址
指定網址模式清單,允許符合這些網址模式的網頁自動開啟您在 [要自動開啟的檔案類型] 中指定的檔案。
使用者選擇要自動開啟哪類檔案,不會受到這項設定影響。
如果您指定一或多個網址模式,Chrome 會自動開啟同時符合網址模式和檔案類型的檔案。此外,只要是使用者允許的檔案類型,也會繼續由 Chrome 自動開啟。
如果將此欄位留空,Chrome 會自動開啟您在「自動開啟」檔案類型中指定的檔案,無論下載來源網址為何都沒有影響。
如要進一步瞭解網址語法,請參閱「允許或封鎖網站:網址篩選器格式」。
設定是否允許網站顯示彈出式視窗。如果瀏覽器封鎖網站的彈出式視窗,使用者會在網址列中看到「已封鎖」圖示 ,按一下該圖示即可查看封鎖的彈出式視窗。
在 Chrome 瀏覽器 91 以上版本中,如果 iframe 的來源不同於頂層網頁,Chrome 會阻止 iframe 觸發提示 (window.alert
、window.confirm
和 window.prompt
)。這樣一來,內嵌內容就無法讓使用者誤以為顯示的訊息是來自造訪的網站或 Chrome 瀏覽器。
選取 [允許從不同來源子頁框觸發的 JavaScript 對話方塊] 可還原成先前的行為。
這項暫時性政策將在 Google Chrome 第 117 版後移除。
Chrome 會封鎖在沙箱 iframe 中瀏覽外部通訊協定的作業,如果您需要更多時間來更新受此限制所影響的內部網站,請選取「允許在沙箱 iframe 中瀏覽外部通訊協定」。
系統會預設選取「禁止在沙箱 iframe 中瀏覽外部通訊協定」。
詳情請參閱 Chrome 平台狀態說明文件。指定是否允許網站在卸載時顯示彈出式視窗。
下列情況會卸載網頁:
- 使用者按一下連結以離開頁面
- 使用者在網址列中輸入新網址
- 使用者按一下下一頁或上一頁按鈕
- 瀏覽器視窗關閉
- 頁面重新載入
如果瀏覽器封鎖網站的彈出式視窗,使用者會在網址列中看到「已封鎖」圖示 ,按一下該圖示即可查看封鎖的彈出式視窗。
封鎖的網址
禁止 Chrome 瀏覽器使用者存取特定網址。
如要進行這項設定,請逐行輸入網址 (最多 1,000 個)。
封鎖網址例外狀況
指定網址封鎖清單的例外狀況。
如要進行這項設定,請逐行輸入網址 (最多 1,000 個)。
網址語法
各個網址必須包含有效的主機名稱 (例如 google.com)、IP 位址,或以星號 (*) 取代主機名稱。星號的用法類似萬用字元,可代表所有主機名稱和 IP 位址。
網址中還可以包含以下內容:
- 網址配置,例如 http 或 https 後面接上 ://
- 介於 1 到 65,535 之間的有效通訊埠值
- 資源路徑
- 查詢參數
注意:
- 如要停止比對子網域,請在主機名稱前面多加一個英文句點 (.)。
- 您無法使用 user:pass 欄位,例如 http://user:pass@example.com/pub/bigfile.iso,但可以輸入 http://example.com/pub/bigfile.iso。
- 同時套用「封鎖的網址」和「封鎖的網址例外狀況」篩選器時 (路徑長度相同),例外狀況篩選器會優先套用。
- 主機名稱前面加上句點時,這項政策只會篩選出名稱完全相符的主機。
- 您無法在網址結尾使用萬用字元,例如 https://www.google.com/* 和 https://google.com/*。
- 政策最後才會搜尋萬用字元 (*)。
- 選擇性查詢是一組鍵/值和僅限鍵的符記,由「&」分隔。
- 鍵/值符記由「=」分隔。
- 查詢標記可選擇以「*」結尾,指出相符的前置字元。系統在比對期間會忽略符記順序。
範例
封鎖的網址項目 | 結果 |
---|---|
example.com | 封鎖所有傳送至 example.com、www.example.com 和 sub.www.example.com 的要求。 |
http://example.com | 封鎖所有傳送至 example.com 及其子網域的 HTTP 要求,但允許 HTTPS 要求 |
https://* | 封鎖傳送至所有網域的 HTTPS 要求 |
mail.example.com | 封鎖傳送至 mail.example.com 的要求,但允許傳送至 www.example.com 或 example.com 的要求 |
.example.com | 封鎖傳送至 example.com 的要求,但允許傳送至其子網域 (例如 example.com/docs) 的要求 |
.www.example.com | 封鎖傳送至 www.example.com 的要求,但允許傳送至其子網域的要求 |
* | 封鎖所有傳送至網址的要求,只允許傳送至封鎖網址例外狀況的網址要求,包括任何網址配置,例如 http://google.com、https://gmail.com 和 chrome://policy。 |
*:8080 | 封鎖所有傳送至通訊埠 8080 的要求 |
*/html/crosh.html | 封鎖 Chrome Secure Shell (也稱為 Crosh Shell) |
chrome://settings chrome://os-settings |
封鎖所有傳送至 chrome://os-settings 的要求 |
example.com/stuff | 封鎖所有傳送至 example.com/stuff 及其子網域的要求 |
192.168.1.2 | 封鎖傳送至 192.168.1.2 的要求 |
youtube.com/watch?v=V1 | 封鎖 ID 為 V1 的 YouTube 影片 |
為 Android 應用程式套用封鎖網址清單
如果您已為貴機構中支援的 ChromeOS 裝置啟用 Android 應用程式,採用 Android System WebView 的應用程式就不會遵循網址封鎖清單和網址封鎖清單例外狀況規定。如要針對這類應用程式強制執行封鎖清單,請以文字檔案列出要加入封鎖清單的網址 (詳情請見下文),然後將封鎖清單套用至 Android 應用程式。詳情請參閱將受管理的設定套用至 Android 應用程式。
以下範例說明如何定義要加入封鎖清單的網址:
{ "com.android.browser:URLBlocklist": "[\"www.solamora.com\"]" }
如果您的應用程式不是使用 Android System WebView,請參閱應用程式說明文件,瞭解如何使用類似的方式限制存取權。
讓您設定使用者能否在 ChromeOS 裝置上與 Google 雲端硬碟進行同步處理。您可以啟用或停用雲端硬碟同步處理功能,也可以讓使用者自行選擇。
ChromeOS 上的 Google 雲端硬碟 Android 應用程式不會受到這項設定影響。如要完全禁止使用者將任何項目同步處理到 Google 雲端硬碟,請設定這項政策,並且不允許在支援的 ChromeOS 裝置上安裝 Google 雲端硬碟 Android 應用程式。詳情請參閱「在 ChromeOS 裝置上為受管理的使用者部署 Android 應用程式」。
讓您設定使用者是否可透過行動網路連線將 ChromeOS 裝置與 Google 雲端硬碟進行同步處理。ChromeOS 上的 Google 雲端硬碟 Android 應用程式不會受到這項政策的影響。
Google ChromeOS 提供同步處理檔案功能,可自動將「我的雲端硬碟」中的 Google 雲端硬碟檔案設為可離線使用,方便使用者透過 Chromebook Plus 裝置存取。這項功能是否適用取決於使用者雲端硬碟的可用空間。
使用者開啟 ChromeOS 的同步處理檔案功能後,所有新檔案都會自動設為可離線使用。如果日後儲存空間不足,所有新檔案將不再自動設為可離線使用。不過,使用者仍可手動將檔案設為可離線使用。
如果選取預設的「顯示 ChromeOS 同步處理檔案功能」選項,「檔案」應用程式和「設定」就會顯示這項功能,且使用者可自行開啟或關閉。
如果選取「不要顯示 ChromeOS 同步處理檔案功能」,但使用者先前已開啟同步處理檔案功能,則系統會關閉這項功能。屆時這項功能將不會顯示在「檔案」應用程式和「設定」中,使用者也無法重新開啟。使用者設為可離線使用的現有檔案維持不變,且使用者仍可手動將檔案設為可離線使用。允許使用者從 Chrome 投放內容
決定使用者是否可以使用 Chromecast 裝置從 Chrome 分頁投放內容。
限制 Google Cast 只能連線至 RFC1918/RFC4193 私人位址上的投放裝置
您可以指定 Google Cast 如何根據 IP 位址連線到 Cast 裝置。
選擇下列其中一個選項:
- 未開啟 CastAllowAllIPs 功能時啟用限制:允許 Google Cast 只透過私人 IP 位址連線到裝置,除非裝置上的 CastAllowAllIPs 功能已開啟。
- 停用限制 (允許所有 IP 位址):允許 Google Cast 透過所有 IP 位址連線到裝置,而不僅僅是 RFC1918/RFC4193 私人位址。
- 啟用限制:允許 Google Cast 僅透過私人 IP 位址連線到裝置。
如果不要讓使用者投放內容,則不須設定這項政策,
在工具列中顯示投放圖示
指定「投放」圖示 是否要出現在 Chrome 的瀏覽器工具列中。如果選取 [一律在工具列中顯示 Google Cast 圖示],這個圖示會一直出現在工具列或溢位選單中,且使用者無法自行移除。
如果不要讓使用者投放內容,則不須設定這項政策,「投放」圖示也不會出現在工具列中。
指定使用者是否可透過存取碼或掃描投放裝置上顯示的 QR code,在 Google Cast 選單中選擇將內容投放至投放管理員所設定的投放裝置。
在啟用投放管理員之前,您必須先透過 Cast 設定允許使用者投放內容。詳情請參閱投放一節。
如要使用這項政策,您必須先在 Cast 設定中選取「允許使用者使用投放功能」。
選擇下列其中一個選項:
- 啟用投放管理員:使用者可透過存取碼或掃描 QR code 來選取投放裝置,且畫面上會顯示「投放管理員裝置保留時間」欄位。
- 在「投放管理員裝置保留時間」清單中,您可以選取時間長度,指定使用者以存取碼連線後,投放管理員裝置保留在使用者投放選單中的時間。在這段期間內,使用者不必重新輸入存取碼,就能將內容投放到同一個裝置上。這段期間過後,投放管理員裝置就不會顯示在使用者的投放選單中,使用者必須輸入新的存取碼才能連線。
注意:如果您要為機構單位的教職員啟用投放管理員,建議您將「投放管理員裝置保留時間」設定成較長的時間。如此一來,老師就無須經常輸入存取碼。如果您要求學生或使用者每次連線都須使用存取碼,則建議您使用預設設定「立即移除」。
- 在「投放管理員裝置保留時間」清單中,您可以選取時間長度,指定使用者以存取碼連線後,投放管理員裝置保留在使用者投放選單中的時間。在這段期間內,使用者不必重新輸入存取碼,就能將內容投放到同一個裝置上。這段期間過後,投放管理員裝置就不會顯示在使用者的投放選單中,使用者必須輸入新的存取碼才能連線。
- 停用投放管理員 (預設):使用者無法透過存取碼或掃描 QR code 來選取投放裝置。
詳情請參閱「設定 Google 投放管理員」。
適用於 Chrome 80 至 83 版
指定 Chrome 瀏覽器和 ChromeOS 裝置如何處理不安全的 HTTP 音訊、影片和圖片複合型內容。
根據預設,Chrome 會嚴格處理複合型內容。在 HTTPS 網站上:
- 取得音訊和影片的方式會自動從 HTTP 升級為 HTTPS。
- 如果無法透過 HTTPS 取得音訊或影片,並不會改用 HTTP。
- 針對含有圖片的網頁,Chrome 會在網址列中顯示警告訊息。
選取 [停用嚴格處理混合內容的設定] 即可防止 Chrome 自動升級為透過 HTTPS 取得音訊和影片,亦不會針對圖片顯示警告訊息。
針對 Chrome 瀏覽器和 ChromeOS 裝置,Google 已開始自動封鎖複合型內容。因此,往後 https:// 網頁只會載入安全的 https:// 資源,而不會載入 http:// 資源。如要進一步瞭解推出計畫,請參閱這篇 Chromium 網誌。
選取 [允許使用者新增例外網站,讓特定網站顯示可封鎖的複合型內容],使用者就能指定可執行有效複合型內容的特定網頁。否則,使用者就無法載入有效複合型內容,例如指令碼和 iframe。在使用者新增的例外網站上,Chrome 不會自動將可選擇性封鎖的複合型內容的取得方式從 HTTP 升級為 HTTPS。
如要執行含有效複合型內容的網頁,請使用者進行下列操作:
- 在電腦上開啟 Chrome。
- 依序按一下右上方的「更多」圖示 和 [設定]。
- 在 [隱私權和安全性] 底下,按一下 [網站設定]。
- 捲動至 [不安全的內容]。
- 在「允許」部分,按一下 [新增]。
- 新增您要允許的網頁網址。
注意:您在「允許這些網站的不安全內容」和「封鎖這些網站上的不安全內容」設定中指定的網址優先順序高於這項設定。
指定可顯示有效複合型內容 (例如指令碼和 iframe) 的網頁清單。此外,Chrome 不會自動將可選擇性封鎖的複合型內容或被動式複合型內容的取得方式從 HTTP 升級為 HTTPS。被動式複合型內容包括圖片、音訊和影片。
如需有效網址模式的相關資訊,請參閱 Enterprise 政策網址模式格式。
指定不可顯示有效複合型內容 (例如指令碼和 iframe) 的網頁清單。此外,Chrome 會自動將可選擇性封鎖的複合型內容或被動式複合型內容的取得方式從 HTTP 升級為 HTTPS。Chrome 不會載入無法透過 https:// 載入的被動式複合型內容。被動式複合型內容包括圖片、音訊和影片
如需有效網址模式的相關資訊,請參閱 Enterprise 政策網址模式格式。
控管網站是否可以向更私密的網路端點傳送要求及其方式。
- 允許使用者決定 (預設):向更私密的網路端點傳送要求時需遵循私人網路存取權網路規格。提出要求的網站必須安全無虞,而使用者則必須選擇接受要求。使用者可以透過實際測試或指令列來對多個功能旗標調整個人設定,包含 BlockInsecurePrivateNetworkRequests、PrivateNetworkAccessSendPreflights 和 PrivateNetworkAccessRespectPreflightResults,而這些設定將會決定確切的行為。
- 允許網站以不安全的方式,向任何網路端點傳送要求:網站需通過其他跨來源檢查。
如需有效網址模式的相關資訊,請參閱 Enterprise 政策網址模式格式。
安全網站
如果網站符合「安全環境」規範中定義的驗證及機密性最低標準,系統即會將其判定為安全網站。詳情請參閱「安全環境」。如果網站未符合列出的標準,系統會將其判定為不安全。
私人網路端點
當網路端點符合以下條件時,私密程度較高:
- 其 IP 位址為 localhost,且其他網路端點的 IP 位址不是 localhost。
- 其 IP 位址為私人位址,且其他網路端點的 IP 位址為公開位址。
控管 Chrome 如何處理內嵌在安全 HTTPS 網站中,但透過 HTTP 提交的不安全表單。
預設選項為「顯示警告,並停用不安全表單的自動填入功能」。當提交不安全表單時,使用者會看到整頁的警告。此外,當使用者的焦點在表單欄位上時,表單欄位旁邊會顯示警告泡泡,且系統會關閉該表單的自動填入功能。
如果選取「不針對不安全的表單顯示警告,亦不停用自動填入功能」,系統就不會針對不安全表單顯示警告,且使用者也可以使用自動填入功能。
非標準 API window.webkitStorageInfo 已淘汰,我們也計劃將這個 API 移除。
如要使用 window.webkitStorageInfo API,您可以透過這項設定將其重新啟用。
這項政策將在 Chrome 84 版後移除。
Web Components v0 API (Shadow DOM v0、Custom Elements v0 和 HTML Imports) 已在 2018 年淘汰,且 Chrome 80 以上版本會預設停用這些 API。如果是 Chrome 瀏覽器和搭載 ChromeOS 80 到 84 版的裝置,請選取「重新啟用 Web Components v0 API」,暫時重新啟用所有網站的 API。
非標準 API Event.path 將自 Chrome 109 版起移除,以改善網路相容性。
在 Chrome 115 版以前,您仍可使用這項設定來重新啟用該 API。預設設定為 Event.path 的 API 在 M109 以前的版本中仍可供使用,但無法在 M109 及以後的版本中使用。
這項政策將在 Chrome 115 版後移除。
CryptoToken 將自 Chrome 106 版起移除。
您可以選擇是否要在啟動時載入 CryptoToken 元件。移除 CryptoToken 會導致 chrome.runtime 呈現未定義狀態,進而造成網站異常,而這項政策可做為臨時替代方案。網站不可仰賴無條件定義的 chrome.runtime。
如果您選取「在 Chrome 105 以下版本中啟用 CryptoToken 元件擴充功能」,Chrome 105 版以下的版本即會在啟動時載入內建的 CryptoToken 元件擴充功能。
如果您選取「在 Chrome 107 以下版本中啟用 CryptoToken 元件擴充功能」,Chrome 106 版和 107 版仍會在啟動時載入 CryptoToken 元件擴充功能。
這項政策已在 Chrome 99 版中遭到移除。
指定網頁是否能在網頁關閉期間,傳送同步 XMLHttpRequest (XHR) 要求。關閉期間包括使用者關閉分頁、結束瀏覽器、在網址列輸入新內容等的時候。
當瀏覽器視窗被其他視窗覆蓋時,Chrome 瀏覽器就會偵測到視窗遮蔽的情況。如果發生該情況,Chrome 瀏覽器就不會在被覆蓋的網頁上繪製像素。顯示空白網頁有助於降低 CPU 使用率和耗電量。
選取 [停用視窗遮蔽的偵測功能],Microsoft Windows 裝置的 Chrome 瀏覽器就不會在網頁被覆蓋時顯示空白網頁。
控制是否允許 ChromeOS 裝置使用網路檔案共用功能。
如果選取預設的「允許網路檔案共用」,您也可以設定下列選項。
NetBIOS 搜尋
指定網路檔案共用功能是否要使用 NetBIOS 名稱查詢要求通訊協定,找出在網路上共用的內容。
如果不設定這項政策,受企業管理的使用者將可使用 NetBIOS 搜尋功能,其他一般使用者則無法使用這項功能。
NTLM 驗證通訊協定
指定網路檔案共用功能是否要以 NTLM 做為 SMB 掛接的驗證通訊協定。
如果不設定這項政策,受企業管理的使用者將可使用這項政策,一般使用者則無法使用這項政策。
預先設定的網路檔案共用區
您可以新增預先設定的網路檔案共用區清單,清單也會列出使用者 ChromeOS 裝置預設共用的檔案。
針對每個預先設定的網路檔案共用區,您必須指定下列項目:
- 網址:您要共用的檔案或資源網址,例如 smb://server/share 和 \\shared\resource。
- 模式:決定檔案共用的方式。網址的選項為下拉式選單或已預先掛接。
- 下拉式選單:共用網址會新增至檔案共用搜尋下拉式選單。如果您將檔案做為下拉式選單與他人共用,此檔案會新增為 [檔案共用網址] -> [新增檔案共用區] -> [檔案管理員] -> [新增服務] -> [SMB 檔案共用] 下方下拉式選單的選項。
- 預先掛接:表示系統將會掛接共用網址。如果您將檔案做為預先掛接共用,此檔案會顯示在檔案管理員的左側。
這項政策將在 Chrome 84 版後移除
我們將於 Chrome 83 版起開始更新標準表單控制項元素 (例如 <select>
、<button>
和 <input type=date>
),以期改善無障礙功能,並在各種平台上提供更一致的體驗。
如果 Chrome 瀏覽器和 ChromeOS 裝置搭載的是 83 或 84 版,請選取「針對所有網站使用舊版 (M81 以下版本) 表單控制項元素」,暫時還原為舊版的表單控制項元素。否則,在 Chrome 83 版和 84 版推出更新版表單控制項元素時,即會使用更新版元素。
指定使用者是否可前往會捲動至網頁中特定文字片段的連結。
如果啟用這項設定,超連結和網址列的網址導覽功能可以指定網頁中的特定文字。網頁完全載入後,就會捲動至該文字。
您可以指定是否要對下列項目執行輸入網址匿名資料收集功能:使用者和瀏覽器工作階段,或受管理的訪客工作階段。
使用者和瀏覽器工作階段
對於 Chrome 瀏覽器和 ChromeOS 裝置,輸入網址匿名資料收集功能會將使用者造訪的每個網站網址傳送給 Google,以提供更完善的搜尋和瀏覽體驗。
如果未設定這項政策,系統預設會啟用功能,但使用者可自行變更。
受管理的訪客工作階段
為受管理的訪客工作階段開啟設定後,系統會針對強制安裝的應用程式收集輸入網址指標。如果未設定這項政策,系統預設會啟用功能,且使用者無法自行變更。
指定是否要擷取網頁載入中繼資料,以及強化瀏覽體驗的機器學習模型。如果停用這項設定,部分功能可能會無法正常運作。
AppCache 是一項讓網站離線儲存資料的網頁功能,目前已經淘汰,且會在 Chrome 第 89 版中移除並完全停用。進一步瞭解 AppCache 的淘汰情況。
指定網站是否可以透過 Web Bluetooth API 要求藍牙裝置存取權。
預設設定是 「允許使用者自行決定」,亦即網站可向附近的藍牙裝置要求存取權,然後由使用者決定要允許或禁止該存取行為。
控管外部通訊協定的啟動確認提示中是否要顯示「一律開啟」方塊。當使用者點選導向通訊協定的連結時,系統會顯示對話方塊,詢問他們是否想改用應用程式。啟用這項政策後,對話方塊中就會顯示核取方塊。
如果使用者勾選方塊,日後系統便會略過提示,不再針對類似要求詢問是否要使用應用程式。如果停用這項政策,系統則不會顯示核取方塊,使用者將無法略過確認提示。
您可以啟用往返快取功能,藉此儲存網頁的確切狀態。當使用者離開網頁時,系統可能會將網頁的目前狀態保存在往返快取中。這時只要點選瀏覽器的返回按鈕,網頁可能就會透過快取載入並還原,方便使用者快速往返瀏覽。
這項功能可能會讓某些未預期會受此快取影響的網站無法正常運作,尤其是瀏覽器離開時需要傳送「卸載」事件的網站。如果網頁進入往返快取,系統就不會傳送「卸載」事件。
如果將這項政策設為啟用,或「不」設定,系統會啟用往返快取功能。
根據預設,在 ChromeOS 裝置上的 PDF 檢視器可以為 PDF 加上註解。
指定使用者是否可在「檔案」應用程式中將檔案移至垃圾桶。這項功能僅適用於支援的檔案系統。
請選擇下列任一選項:
- 允許在「檔案」應用程式中將檔案移至「垃圾桶」 (預設):使用者可以將檔案從「我的檔案」「下載」移至可用的垃圾桶。
- 禁止在「檔案」應用程式中將檔案移至「垃圾桶」:使用者無法將檔案移至垃圾桶,但仍然可以存取先前刪除的檔案。這些檔案會在「我的檔案」「下載」下方的「.Trash」目錄中,顯示為隱藏的檔案。
指定使用者能否啟用「一律使用安全連線」設定。相較於未使用 HTTPS 的網站,連線至使用 HTTPS 的網站會更加安全。啟用「一律使用安全連線」後,Chrome 會嘗試透過 HTTPS 載入所有網站,並在使用者要造訪未支援 HTTPS 的網站之前先顯示警告訊息。
選擇下列任一選項:
- 允許使用者啟用僅限 HTTPS 模式:此為預設選項,使用者可以啟用「一律使用安全連線」。
- 禁止使用者啟用僅限 HTTPS 模式:使用者無法啟用「一律使用安全連線」。
- 強制啟用僅限 HTTPS 模式:適用於 Chrome 112 以上版本。系統會啟用「一律使用安全連線」,且使用者無法停用。
您可以使用「HTTP 許可清單」設定,防止這項政策將特定主機名稱或主機名稱模式從 HTTP 升級為 HTTPS。詳情請參閱「HTTP 許可清單」。
這項設定僅是暫時性措施,我們會在日後的 Chrome 版本中予以移除。
在 Chrome 第 95 版後,系統將移除跨來源 WebAssembly 模組共用功能。您可以使用這項設定來重新啟用跨來源 WebAssembly 模組共用功能,藉此延長淘汰程序中的過渡期。
預設設定為禁止共用跨來源 WebAssembly 模組,且網站只能將 WebAssembly 模組傳送至相同來源的視窗和工作站。
Native Client 已在 Chrome 中淘汰。如果您的工具需要使用 Native Client,這項政策可讓您繼續使用舊版程式碼。
即使 Native Client 預設為停用,您也可以選擇允許執行,或是選擇使用預設行為。
控制使用者是否能存取購物清單功能。
若選取「啟用購物清單功能」,使用者就能追蹤目前頁面顯示的產品價格,追蹤的產品會顯示在書籤側邊面板中。
指定是否允許使用者在日曆中點選日期時看到自己的活動。
選取「啟用 Google 日曆整合功能」即可讓使用者透過「快速設定」開啟日曆:
- 使用受管理 Google 帳戶登入 Chromebook。
- 開啟快速設定:選取右下方的時間。
- 開啟日曆:按一下日期。
- 瀏覽日曆:點選向上和向下箭頭。
- 查看 Google 日曆活動:選取下方有圓點的日期。
使用者登入受管理的 Chromebook 時,會在畫面右下方的日期旁看到受管理的裝置圖示 ,讓使用者知道管理員已管理日曆。
如要使用這項政策,請前往 crbug.com 回報錯誤,說明您的用途並在「副本」欄位中新增 {blundell, vasilyt}@chromium.org。
當初推出 PPB_VideoDecoder(Dev) API 的原因是 Adobe Flash。有鑑於 Chrome 不再支援 Flash,我們將在 ChromeOS 111 版中移除這個 API。如果需要更多時間遷移舊版應用程式,可以使用這項政策暫時允許瀏覽器支援已淘汰的 API。
您可以選擇強制瀏覽器支援 PPB_VideoDecoder(Dev) API,或是讓瀏覽器自行決定。
這項政策僅是暫時性措施,我們會在日後的 Chrome 版本中予以移除。
根據預設,Chrome 會將網址重新寫入 HTTPS,藉此自動升級音訊、影片和圖片複合型內容 (HTTPS 網站上的 HTTP 內容)。如果無法透過 HTTPS 取得內容,則不會改用 HTTP。
如要封鎖自動升級功能,並允許載入可封鎖的複合型內容,請選取「停用複合型內容自動升級」。您可以允許或禁止使用者開啟第三方儲存空間分區功能。第三方儲存空間分區功能會在第三方內容中分割儲存空間和通訊 API,並防止某些類型的端管道跨網站追蹤。
詳情請參閱儲存空間分區。
您也可以設定網址模式清單,指定頂層來源,也就是分頁上網址列中的網址,藉此封鎖第三方儲存空間分區。系統會將清單中的模式視為來源,而非網址,因此您不需要指定路徑。
如果想進一步瞭解有效的網址模式,請參閱 Enterprise 政策網址模式格式。如果使用 macOS 13.5 以上版本,Google Chrome 可能會直接將密碼金鑰或 WebAuthn 的建立要求導向 iCloud 鑰匙圈。如果尚未開啟 iCloud 鑰匙圈同步功能,系統會提示使用者使用 iCloud 登入,或啟用 iCloud 鑰匙圈同步功能。
選擇下列其中一個選項:
- 採用預設 Chrome 設定:預設採用的模式取決於多項因素,例如 iCloud 雲端硬碟是否啟用,以及使用者最近是否在 Google Chrome 設定檔中使用或建立憑證。
- 預設為盡可能使用 iCloud 鑰匙圈建立密碼金鑰:只要 WebAuthn 要求可與該項選項相容,系統預設會使用 iCloud 鑰匙圈。
- 預設為在其他儲存區 (例如 Google Chrome 設定檔) 建立密碼金鑰:系統預設不會使用 iCloud 鑰匙圈,且可能會改用先前的做法,也就是在 Google Chrome 設定檔中建立憑證。使用者仍可選擇使用 iCloud 鑰匙圈建立密碼金鑰,但登入時仍可能會看到 iCloud 鑰匙圈憑證。
這項政策只是暫時性措施,日後將予以移除。
您可指定是否要在 Accept-Encoding 要求標頭中使用 zstd,以及能否解壓縮使用 zstd 壓縮的網路內容。Zstandard (zstd) 是一種快速壓縮演算法,能夠達成高壓縮率。
如果選取「允許 zstd 壓縮的網路內容」,Google Chrome 就會接受使用 zstd 壓縮的網路內容。
根據預設,系統會選取「允許使用先前的回應做為壓縮字典,處理日後的要求」。因此,Chrome 會使用 Brotli (sbr) 和 Zstandard (zst-d) 等外部字典壓縮 HTTP 內容,協助網站加快載入速度。Accept-Encoding
標頭可用來協調字典專屬內容編碼。
控管 Chrome 瀏覽器是否允許使用已淘汰的 CSS 自訂狀態 :--foo 語法
。
根據預設,Chrome 瀏覽器已不再支援已淘汰的語法。
開啟這項設定後,您就能延長在 Chrome 瀏覽器上使用 :--foo
語法的時程。為避免發生問題,您可能需要暫時繼續使用 :--foo
語法,而非 :state(foo)
語法。舉例來說,如果 CSS 按鈕元素的自訂狀態屬性是使用 :--foo
語法設定,可能無法正常運作,或是在其他瀏覽器中顯示不正常 (因為該瀏覽器需要使用 :state(foo)
語法中的自訂狀態值)。為確保瀏覽器之間的互通性,您可以開始使用新的語法 :state(foo)
取代已淘汰的 :--foo
語法。
注意:如果 Chrome 瀏覽器專用網站仍在使用 :--foo
語法,則在該語法淘汰後,部分 CSS 元素可能會停止正常運作。
列印
列印您可以啟用或停用列印功能。如果停用列印功能,使用者將無法從 Chrome 選單、擴充功能、JavaScript 應用程式等處執行列印。
在 ChromeOS 上執行的 Android 應用程式不會受到這項政策影響。
系統會預設選取「允許使用列印預覽」。如要禁止使用者使用內建的列印預覽,請選取「一律使用系統列印對話方塊,而不使用列印預覽」。
指定列印預覽對話方塊中是否要顯示可用的 Privet 印表機。
受管理的訪客工作階段裝置也適用這些設定。
預設印表機選項
如要將系統預設的印表機設為 Chrome 的預設印表機,請選取「使用預設列印行為」。
如要為使用者定義預設印表機,請選取「定義預設印表機」。如果使用者要列印,ChromeOS 裝置會嘗試尋找符合您指定機型和 ID 或名稱的印表機,然後選取該印表機做為預設印表機。
在 ChromeOS 上執行的 Android 應用程式不會受到這項政策影響。
印表機類型
選取要讓系統搜尋的印表機類型,以做為預設印表機使用。如要搜尋所有類型,請選取「雲端和本機」。
印表機比對
如果您要透過名稱或 ID 搜尋印表機,請選取這個動作。
預設印表機
請為您想選為預設印表機的印表機名稱或 ID 指定一個相符的規則運算式,運算式須區分大小寫。系統會預設使用符合名稱的第一個印表機來執行列印。例如:
- 如要選取名稱符合 Solarmora Lobby 的印表機,請輸入 Solarmora Lobby。
- 如要選取名稱符合 solarmora-lobby-1 或 solarmora-lobby-2 的印表機,請輸入 solarmora-lobby-.$。
- 如要選取名稱符合 solarmora-lobby-guest 或 solarmora-partner-guest 的印表機,請輸入 solarmora-.*-guest。
在 ChromeOS 上執行的 Android 應用程式不會受到這項政策影響。
讓您允許或禁止使用者將原生印表機新增至 Chrome 裝置。
預設設定是 [允許使用者新增印表機]。如要禁止使用者新增印表機,請選取「禁止使用者新增印表機」。
如要進一步瞭解如何設定原生列印功能,請參閱管理本機和網路印表機。
指定預設為進行彩色列印或黑白列印。使用者可以針對個別列印工作選擇進行彩色或黑白列印。
強制使用者以彩色或黑白進行列印。如要允許使用者自行選擇以彩色或黑白進行列印,請選取「不限制彩色列印模式」。
指定使用者是否可以進行雙面列印。如果您選擇雙面列印,請選取要讓頁面在紙張的長邊還是短邊接續。使用者只能在內建雙面列印功能的印表機上進行雙面列印。使用者可以針對個別列印工作選擇進行單面或雙面列印。
強制使用者在使用內建雙面列印功能的印表機時,只能以單面或雙面模式列印。如要允許使用者針對個別列印工作選擇單面或雙面列印,請選取「不限制雙面列印模式」。
指定是否要根據預設列印背景圖形。使用者可以選擇是否要針對個別列印工作列印背景圖形。
您可以強制或禁止使用者列印背景圖形。如要允許使用者自行選擇是否要針對個別列印工作列印背景圖形,請選取「允許使用者決定」。
讓您允許或禁止使用者將原生印表機新增至 Chrome 裝置。
預設設定是 [允許使用者新增印表機]。如要禁止使用者新增印表機,請選取「禁止使用者新增印表機」。
如要進一步瞭解如何設定原生列印功能,請參閱管理本機和網路印表機。
指定已完成的列印工作中繼資料儲存在 Chrome 裝置上的時間長度。輸入值 (天)。
- 如要使用系統預設 (90 天),就不用設定這個欄位。
- 如要無限期儲存列印工作中繼資料,請輸入 -1。
- 如果不要儲存列印工作中繼資料,請輸入 0。
允許使用者透過列印管理應用程式或刪除瀏覽記錄的方式,刪除列印工作記錄。
適用於內建 PIN 碼列印功能的印表機
強制使用者使用或不使用 PIN 碼列印。如要允許使用者自行選擇是否要使用 PIN 碼列印,請選取「不限制 PIN 碼列印模式」。
附註:這適用於已完成無驅動程式列印設定,且支援 job-password 屬性的印表機,或是相容的 PPD 印表機。
適用於內建 PIN 碼列印功能的印表機
決定 PIN 碼列印的預設設定。如果您選擇「使用 PIN 碼」,使用者可以在傳送列印工作時輸入代碼。然後,使用者必須在印表機鍵盤上輸入相同的代碼才能釋出列印工作。
附註:這適用於已完成無驅動程式列印設定,且支援 job-password 屬性的印表機,或是相容的 PPD 印表機。
指定使用者每項列印工作可包含的工作表數量上限。
如果未設定這項政策,系統不會套用任何限制,這樣一來,使用者便可列印不限數量的工作表。
覆寫印表機設定的預設頁面大小,或是使用者最後設定的頁面大小。
從「頁面大小」清單中選取所需的頁面大小。如果您選取「自訂」,請輸入所需的高度和寬度 (以微米為單位)。
如果您為自訂頁面大小輸入的值並不相容,或是選取的頁面大小不適用於使用者所選的印表機,系統會忽略這項政策。
您可以透過這項政策強制或禁止使用者列印頁首和頁尾。根據預設,使用者可以決定是否要列印頁首和頁尾。
您可以停用特定類型的印表機或目的地,使其無法用於列印。
印表機目的地包括:
- 可支援無須調整設定 (mDNS 和 DNS-SD) 的通訊協定
- 可支援擴充功能的目的地:也稱為列印服務提供者目的地,其中包含所有屬於 Google Chrome 擴充功能的目的地。
- 另存為 PDF
- 本機印表機:也稱為原生列印目的地,其中包含可供本機電腦和共用網路印表機使用的目的地。
- 儲存至 Google 雲端硬碟
選取所有印表機類型的效果與停用列印功能相同,因為這樣一來,系統傳送列印文件時,就沒有目的地可供使用。
如果您未選取任何印表機類型,使用者就可以使用所有印表機類型進行列印。
透過非 PostScript 印表機進行列印時,需要將部分列印工作光柵化才能正確列印。根據預設,Google Chrome 會視需要為整個頁面執行光柵化。
請選取「快速」,盡可能避免執行光柵化。減少光柵化的數量有助於降低列印工作大小並提高列印速度。
指定 Chrome 瀏覽器要將最近使用或系統預設的印表機設為列印預覽的預設選項。系統會預設選取「將最近使用的印表機設為列印預覽中的預設選項」。
如果使用者透過 PostScript 印表機列印,不同的 PostScript 產生方法可能會影響列印效能。
根據預設,Chrome 瀏覽器在產生 PostScript 時,會一律使用Type 3 字型轉譯文字。如要提高部分 PostScript 印表機的列印速度,請選取「Type 42」,如此一來 Chrome 瀏覽器就會使用 Type 42 字型轉譯文字 (如果具備該字型的話)。
適用於 Windows 和 Mac 系統的 Chrome 瀏覽器。
指定使用者能否在 Windows 和 macOS 中以圖片形式列印 PDF 文件。
如果選取「允許使用者以圖片形式列印 PDF 文件」,使用者就能夠針對特定印表機,選擇將列印工作光柵化並轉換成圖片,以獲得更清晰的圖片輸出效果。
未來使用獨立程序的列印驅動程式功能全面推出後,我們將移除這項政策。
控制 Google Chrome 是否透過獨立的服務程序與印表機驅動程式互動。
如果開啟這項設定,Google Chrome 會使用獨立的服務程序執行平台列印工作,包括檢查可用的印表機、取得印表機驅動程式設定,以及提交要列印的文件至本機印表機。針對這類工作使用獨立的服務程序,將有助於提升穩定性,並減少列印預覽畫面中的使用者介面 (UI) 停止運作狀況。
如果停用這項政策,Google Chrome 會改用瀏覽器程序執行平台列印工作。
使用者體驗
受管理書籤讓您在所有平台上 (含行動裝置) 推送書籤清單,方便 Chrome 使用者使用。在 Chrome 裝置和 Chrome 瀏覽器中,書籤會顯示在書籤列的資料夾內。使用者無法修改這個資料夾的內容,但可以選擇在書籤列中隱藏該資料夾。詳情請參閱「管理書籤」。
注意:您最多可以新增 500 KB 的受管理書籤。
決定使用者能否看到書籤列。「允許使用者決定」是預設設定。
指定應用程式列 (又稱為檔案櫃) 在使用者 ChromeOS 裝置上的位置。
指定是否要在使用者的 ChromeOS 裝置上自動隱藏應用程式列 (又稱為檔案櫃)。
如果您選取「一律自動隱藏檔案櫃」,使用者必須將游標移至畫面側邊的檔案櫃位置,才能查看應用程式、書籤等項目。
如果您選取「允許使用者決定」,使用者可在檔案櫃上按一下滑鼠右鍵,然後勾選或取消勾選「自動隱藏檔案櫃」。
允許使用者新增、編輯或移除 Chrome 書籤列中的項目。
指定使用者能否在書籤列中看到應用程式捷徑。
控制 ChromeOS 裝置上的快速鍵行為。
選擇下列任一選項:
- 不要覆寫系統快速鍵:這是預設選項。所有 ChromeOS 快速鍵都能正常運作。
- 覆寫部分系統快速鍵:預先設定的啟動鍵快速鍵清單一律不會運作。
- 在全螢幕模式下覆寫部分系統快速鍵:應用程式在全螢幕模式下,預先設定的啟動鍵快速鍵清單一律不會運作。
設定 ChromeOS 裝置的預設下載位置,並且指定使用者是否能夠加以變更。
這項政策僅適用於下載的檔案。如果使用者選取「儲存」選項 (ctrl+S),彈出式視窗會顯示所選本機的「下載」資料夾。
如果您選擇「預設使用 Google 雲端硬碟,但允許使用者變更設定」或「預設為本機上的『下載』資料夾,但允許使用者變更設定」,但使用者已經先行選擇下載位置,系統會依循使用者原本的選擇。如果使用者在您選擇前兩種政策之一前尚未決定下載位置,系統會按照預設來設定下載位置,但使用者稍後可以變更此位置。
如果您選擇了「一律使用 Google 雲端硬碟」(不論使用者先前的選擇為何),系統將一律使用 Google 雲端硬碟做為下載資料夾,且使用者無法變更這項設定。不過,使用者依然可以使用檔案應用程式,在本機資料夾和 Google 雲端硬碟之間移動檔案。在 Chrome 90 以上版本,這項設定不會影響在 ChromeOS 上擷取的螢幕截圖;螢幕截圖會使用 ChromeOS 預設的下載資料夾,而不遵循「一律使用 Google 雲端硬碟」選項的設定。
在 ChromeOS 執行的 Android 應用程式不受這項設定限制。Android 應用程式通常會下載到與 ChromeOS 下載資料夾對應的下載資料夾,但也可能下載到其他位置。
指定是否要在使用者每次下載檔案前詢問檔案的儲存位置。選擇下列任一選項:
- 允許使用者決定:使用者可以選擇是否要在每次下載時指定儲存位置。如要調整下載設定,使用者可以開啟 Chrome,並依序選取「更多」圖示 「設定」「進階」「下載」。
- 不詢問使用者 (立即開始下載):將檔案下載到預設下載位置,而不先向使用者詢問儲存位置。如要設定預設的下載位置,請調整下載位置設定。
- 下載檔案前先向使用者詢問儲存位置:使用者可以在每次下載時選擇特定的儲存位置。
指定是否要在 Google Chrome 中顯示新版的下載對話框 UI。
下載對話框預設為啟用,如果您將其停用,則會顯示舊版的下載櫃 UI。
決定使用者是否能使用拼字檢查功能。您可以選擇下列任一選項:
- 允許使用者決定:這是預設的設定。使用者可以在語言設定中開啟或關閉拼字檢查功能。
- 停用拼字檢查:關閉所有來源的拼字檢查功能,且使用者無法開啟。「拼字檢查服務」、「強制啟用拼字檢查功能的語言」和「停用拼字檢查功能的語言」設定不會有任何作用。
- 啟用拼字檢查:開啟拼字檢查功能,且使用者無法關閉這項功能。在 Microsoft Windows、ChromeOS 和 Linux 裝置上,使用者仍可以開啟或關閉個別語言的拼字檢查功能。
選取「啟用拼字檢查」可以開啟或關閉特定語言的拼字檢查功能。請針對「強制啟用拼字檢查功能的語言」和「停用拼字檢查功能的語言」,從提供的清單中分別選取您要使用或停用拼字檢查的語言。
如要禁止使用者關閉每種語言的拼字檢查功能,請使用「強制啟用拼字檢查功能的語言」設定讓指定語言的拼字檢查功能保持開啟。
注意:只有在選取「啟用拼字檢查」後,管理控制台才會顯示「強制啟用拼字檢查功能的語言」和「停用拼字檢查功能的語言」設定。
選取「啟用拼字檢查網路服務」,允許 Chrome 使用 Google 網路服務,在使用者輸入文字的同時,偵測並修正拼字的錯誤。
預設選項為「允許使用者決定」。使用者可以開啟或關閉進階拼字檢查功能。
如果將拼字檢查設定設為 [停用拼字檢查],拼字檢查服務的設定就不會有任何作用。
指定 Google Chrome 所要使用的語言。
預設設定為「使用系統/使用者指定的語言」,預設語言代碼則為 en-US。
指定 Chrome 瀏覽器使用的偏好語言。從清單中選取您要使用的語言,然後依偏好程度遞減排序清單中的語言。
您可以在 chrome://settings/languages 中的「根據你的偏好設定排列語言順序」部分查看語言清單。您指定的偏好語言一律會顯示在清單頂端,且使用者無法移除或重新排序;但是,使用者仍然可以在其下方新增和重新排序個人偏好的語言。使用者也能全面控管瀏覽器的 UI 語言及翻譯和拼字檢查設定,但前提是其他政策未強制執行相關設定。
如果您未指定任何偏好語言,使用者就能變更整份偏好語言清單。
指定使用者可在 ChromeOS 裝置上選擇哪些語言做為偏好語言。您可以從清單中選取要使用的語言,然後依偏好程度遞減排序「所選語言」清單中的語言。
系統會將「所選語言」清單中的第一個語言設定為新使用者的預設語言。
如果使用者已經選擇的語言並未列在您所允許的語言中,則當他們下次登入時,ChromeOS 裝置會切換為您允許的語言。
如果您未指定任何語言,使用者就可以選擇自己偏好的語言,不會受到任何限制。
如要進一步瞭解使用者如何變更裝置語言,請參閱「管理 Chromebook 的語言」。
指定使用者可在 ChromeOS 裝置上選擇的鍵盤語言。從清單中選取您要使用的語言,然後依偏好程度遞減排序「所選語言」清單中的語言。
如果使用者已經選擇的鍵盤語言並未列在您所允許的清單中,其 ChromeOS 裝置的鍵盤語言會切換為硬體鍵盤配置 (如果情況允許),或是指定清單中的第一種語言。
如果您未指定任何語言,使用者就可以選擇自己偏好的鍵盤語言,不會受到任何限制。
如要進一步瞭解使用者如何變更裝置的鍵盤語言,請參閱選擇鍵盤語言與特殊字元。
讓您設定 Chrome 能否使用 Google 翻譯,這項服務可在使用者的 ChromeOS 裝置上使用未指定的語言提供網頁內容翻譯。您可以允許 Chrome 一律提供翻譯、永遠不要翻譯,或讓使用者自行選擇。
控制當 Chrome 瀏覽器無法連線到網址時,是否要顯示建議網頁。系統會提供一些建議,請使用者瀏覽網站的其他部分或搜尋網頁。
相對應的選項是 Chrome 設定中的 [使用網路服務來協助解決瀏覽錯誤] 使用者選項。您可以讓使用者自行設定這個選項,或指定一律開啟或關閉這項設定。
開發人員工具可用性
控制是否在「工具」選單中顯示「開發人員工具」選項。開發人員工具可協助網頁開發人員和程式設計師使用瀏覽器的內部功能,並可充分利用網路應用程式。如要進一步瞭解這些工具,請參閱開發人員工具總覽。
Enterprise 客戶的預設設定是「允許使用內建的開發人員工具 (強制安裝的擴充功能除外)」。這項設定表示,所有用於開啟開發人員工具或 JavaScript 控制台的鍵盤快速鍵、選單項目和內容選單項目基本上都會啟用,但是在依企業政策強制安裝的擴充功能中則會停用。
非受管使用者的預設設定是「一律允許使用內建的開發人員工具」。若要在所有情況下都停用開發人員工具,請選取「永不允許使用內建的開發人員工具」。
如果您已為貴機構中支援的 ChromeOS 裝置啟用 Android 應用程式,這項設定也可一併控制 Android 開發人員選項的存取權。如果設為「永不允許使用內建的開發人員工具」,使用者將無法存取開發人員選項。如果設為任何其他值或不予設定,使用者只要對 Android 設定應用程式中的版本號碼輕觸 7 下,即可存取開發人員選項。
擴充功能頁面的開發人員模式
控制使用者是否可在擴充功能頁面 (chrome://extensions) 使用開發人員工具。
根據預設,系統會選取「使用『開發人員工具可用性』選項」。只要「開發人員工具可用性」未設為「永不允許使用內建的開發人員工具」,使用者就能在擴充功能頁面上使用開發人員工具。
如果選取「允許在擴充功能頁面上使用開發人員工具」或「禁止在擴充功能頁面上使用開發人員模式」,「開發人員工具可用性」設定就不會再控管擴充功能頁面上的開發人員工具。
指定使用者能否使用自動填入功能,以便更輕鬆地在線上填寫地址。使用者首次輸入地址時,Chrome 即會自動儲存輸入的資訊。
您可以關閉自動填入功能,也可以讓使用者自行設定選項。
如果選取「一律不在地址表單中自動填入內容」,自動填入功能就一律不會建議或填入地址資訊,也不會儲存使用者在瀏覽網頁時所提交的任何其他地址資訊。
指定使用者能否使用自動填入功能,以便更輕鬆地在線上填寫信用卡資料。使用者首次輸入信用卡資料時,Chrome 即會自動儲存輸入的資訊。
您可以關閉自動填入功能,也可以讓使用者自行設定選項。
如果選取「一律不在信用卡表單中自動填入內容」,自動填入功能就一律不會建議或填入信用卡資料,也不會儲存使用者在瀏覽網頁時所提交的任何其他信用卡資料。
控管網站是否能檢查使用者有沒有已儲存的付款方式。
指定是否要將虛擬鍵盤預設為會調整版面配置可視區域的大小。
注意:這項設定只會影響預設的調整大小行為。如果頁面透過標記或 Virtual Keyboard API 要求執行特定行為,系統會優先執行該行為。
指定使用者能否在實體鍵盤上使用預測書寫功能。預測書寫功能預設為開啟。如要關閉實體鍵盤的預測書寫功能,請選取「停用實體鍵盤的預測書寫功能」。
指定使用者能否在實體鍵盤上使用自動更正功能。自動更正功能會預設啟用,如要關閉實體鍵盤的自動更正功能,請選取「停用實體鍵盤的自動更正功能」。
選擇是否要在使用者於 ChromeOS 裝置上輸入內容時顯示表情符號建議。
啟用 DNS 預先擷取時,Chrome 會查詢顯示的網頁中所有連結的 IP 位址,以便在使用者點選連結時更快載入內容。
您可以讓使用者自行設定這個選項,或指定一律啟用或停用這項設定。
允許您決定是否讓 Chrome 預測網路動作。您可以讓 Chrome 使用預測服務,以便更快載入網頁,或協助完成使用者在網址列輸入的搜尋內容和網址。
管理員可以停用或要求網路預測服務。如果您選取「允許使用者決定」,這項設定會在 Chrome 中開啟,使用者即可自行變更預測服務設定。
根據預設,使用者可以在 Chrome 瀏覽器中新增設定檔來區隔 Chrome 所儲存的資訊,包括書籤、歷史記錄、密碼和其他設定。設定檔非常適合多人共用一台電腦的情況,也可用來區隔不同用途的帳戶,例如公司帳戶和個人帳戶。選取「禁止新增設定檔」可禁止使用者在 Chrome 瀏覽器中新增設定檔。
使用這項設定之前,請先參閱「允許多位使用者同時登入」。
如果是在 ChromeOS 上執行的 Android 應用程式,即使您選擇「不限制使用者存取權限 (可以將任何使用者加入其他人的工作階段)」,也只有主要使用者能使用 Android 應用程式。如果您選擇「受管理的使用者必須是主要使用者 (不可以是次要使用者)」,只要裝置支援 Android 應用程式,且您已在貴機構中啟用 Android 應用程式,即可透過主要使用者身分使用這些應用程式。
允許使用者登入裝置後,在瀏覽器視窗和 Google Play 中切換帳戶。
注意:若將 Android 應用程式加入許可清單,使用者就無法在 Google Play 中切換至次要帳戶。
- 選擇下列其中一種做法:
- 如要允許使用者在瀏覽器中登入任何 Google 帳戶,請選取 [允許使用者登入任何次要 Google 帳戶]。詳情請參閱 Google 帳戶類型。
- 如要禁止使用者在瀏覽器中登入或登出 Google 帳戶,請選取「禁止使用者登入或登出次要 Google 帳戶」。
- 如要讓使用者只能使用指定 Google Workspace 網域清單中的帳戶存取 Google 服務,請選取「僅允許使用者登入下方設定的 Google Workspace 網域」。
- 如果您僅允許使用者登入特定的 Google Workspace 網域,請同時採取下列措施:
- 請務必列出貴機構的所有網域。如未列出所有網域,使用者可能會無法存取 Google 服務。如要查看您的網域清單,請按一下網域清單下方的 [機構網域]。
- 如要納入 Google 個人帳戶 (例如 @gmail.com 和 @googlemail.com),請在清單內輸入 consumer_accounts。您也可以允許某些帳戶存取服務,同時封鎖其他帳戶的存取權。詳情請參閱「封鎖個人帳戶的存取權」。
- 如果您僅允許使用者登入特定的 Google Workspace 網域,或是禁止使用者在瀏覽器中登入或登出帳戶,請同時採取下列措施:
這項設定可讓您控管會顯示在 Chrome 中的 Google 帳戶。符合您指定模式的帳戶才會顯示在 Chrome 中,不符合的則會隱藏。如果將這項設定留空,則裝置上所有的 Google 帳戶都會顯示在 Chrome 中。
輸入模式清單 (每行一個)。例如:
*@example.com
user@solarmora.com
您可以使用萬用字元 * 來比對零個或多個任意字元。\ 為逸出字元,因此如果要實際比對出 * 或 \ 字元,請在這些字元前方加上 \。
控制是否允許使用者以訪客身分登入 Chrome 瀏覽器。如果您選取 [允許透過瀏覽器訪客模式登入] (預設設定),使用者就能啟動瀏覽器訪客模式工作階段,且所有視窗都會以無痕模式開啟。使用者結束訪客模式後,他們的瀏覽活動會從裝置中刪除。
在啟用這項設定的情況下,您還可以允許透過瀏覽器訪客模式和設定檔登入 (預設設定)。使用者能夠以訪客身分登入,並使用新的和現有的設定檔。如要強制執行訪客工作階段,並禁止使用者透過設定檔登入,請選取 [僅允許透過瀏覽器訪客模式登入]。
如果您選取「禁止透過瀏覽器訪客模式登入」,Chrome 瀏覽器就會禁止使用者啟動訪客設定檔。
受管理的訪客工作階段和資訊站應用程式也適用這些設定
如要讓使用者在多個螢幕或電視上延伸視窗,請選取「允許使用者使用整合桌面模式」。依預設會關閉此功能。使用者可以停用整合桌面並繼續使用 2 個外接螢幕,只是這樣一來即使桌面延伸至 2 個螢幕,個別視窗畫面仍只能單獨顯示於個別螢幕中,無法橫跨多個螢幕。
- 最多可使用 2 個外接螢幕。
- 整合桌面旨在讓使用者運用多個相同解析度的螢幕進行跨螢幕作業。
- 啟用後,當使用者為裝置連接其他螢幕,預設就會開啟整合桌面。
如要允許網頁應用程式產生及收集使用者的 WebRTC 事件記錄,請選取「允許收集 WebRTC 事件記錄」。記錄可協助 Google 識別和解決音訊和視訊會議的問題。這些記錄包含收發 RTP 封包的時間和大小、回報網路壅塞情形,以及有關音訊與視訊畫格時間和品質中繼資料等診斷資訊。記錄不會包含會議的視訊或音訊內容。
如要收集 Google Meet 客戶的記錄,您必須同時啟用這項設定和 Google 管理控制台中的「用戶端記錄上傳政策」。
如要允許網頁應用程式產生及收集使用者的 WebRTC 文字記錄,請選取「允許從 Google 服務收集 WebRTC 文字記錄」。記錄可協助 Google 識別和解決音訊和視訊會議的問題。其中包括診斷資訊,例如說明傳入和傳出 WebRTC 串流的文字中繼資料、WebRTC 特定記錄項目和其他系統資訊。記錄不會包含會議的視訊或音訊內容。
如要收集 Google Meet 客戶的記錄,您必須同時啟用這項設定和 Google 管理控制台中的「用戶端記錄上傳政策」。
指定使用者能否在網路上使用 Google 助理。選取「允許在網路上使用 Google 助理」可加快結帳及變更密碼的速度。不過只有在使用者同意使用時,Google 助理才會執行。
預設選項為「允許使用者決定」。使用者可以開啟或關閉 Google 助理。
「快速解答」設定預設為開啟,有權存取所選內容,以及將相關資訊傳送給 Google 伺服器,以取得定義、翻譯或單位轉換結果。使用者只要在 ChromeOS 裝置上按一下滑鼠右鍵或長按選取的文字,即可顯示相關資訊。
如果您使用管理控制台關閉「快速解答」功能,使用者就無法變更或覆寫設定。
指定要停用 ChromeOS 裝置上的哪些系統功能。建議您使用這項設定來封鎖攝影機、OS 設定和瀏覽器設定,而不使用「網址封鎖」設定,或依 ID 封鎖應用程式和擴充功能。
當使用者嘗試開啟您已停用的功能時,系統會顯示該功能已遭系統管理員封鎖的訊息。
控制使用者是否可在裝置離線時,使用 Chrome 瀏覽器或 ChromeOS 裝置玩恐龍遊戲。您可以選擇下列任一選項:
- 允許使用者在裝置離線時使用 Chrome 瀏覽器玩恐龍遊戲 (已註冊的 ChromeOS 裝置除外):當裝置離線時,使用者可以在 Chrome 瀏覽器上玩恐龍遊戲,但無法在已註冊的 ChromeOS 裝置上遊玩。
- 允許使用者在裝置離線時玩恐龍遊戲:使用者可以在裝置離線時玩恐龍遊戲。
- 禁止使用者在裝置離線時玩恐龍遊戲:使用者無法在裝置離線時玩恐龍遊戲。
您可以開放使用者在 ChromeOS 上執行 Steam。
Steam 使用 Linux 容器 Borealis 代管 Steam,提供所有必要套件、最新驅動程式和依附元件,供使用者在 ChromeOS 裝置上遊玩 Steam 遊戲。
受管理的 ChromeOS 裝置預設為「禁止執行 Steam on ChromeOS」。不過,如果是非受管使用者,則預設可以使用 Steam。
如果您選擇為使用者開啟 Steam,則只有在其他政策和設定都未停用 Steam 時才能使用。
當搜尋框為空白時,控制 Chrome 裝置啟動器是否會推薦其他裝置已安裝的應用程式。
使用者在 ChromeOS 裝置上開啟啟動器並在搜尋框中輸入文字時,Google Chrome 會自動推薦網址、應用程式等內容。
指定使用者是否能在網址列中看到網頁的完整網址。
某些使用者的網址列中不會顯示網頁的完整網址,而只會顯示預設網址,也就是只顯示網域。這有助於防止使用者受到常見網路詐騙手法的侵擾。
指定啟用 Chrome 同步功能時,登入的使用者是否可在 Chrome 桌面和 Android 裝置之間複製及貼上文字。剪貼簿共用功能預設為啟用狀態。
指定在有適當權限的前提下,使用者、應用程式和擴充功能是否能使用全螢幕模式。預設設定為允許使用全螢幕模式。
指定當裝置從休眠或全黑螢幕回到一般使用狀態時,是否要顯示全螢幕警示。
根據預設,系統會顯示警示,提醒使用者先結束全螢幕模式再輸入密碼。選取「喚醒裝置時停用全螢幕快訊」即可關閉這類警示。
列出在 ChromeOS 裝置解鎖後,可保持全螢幕模式且不顯示通知的網址。如要進一步瞭解網址語法,請參閱「允許或封鎖網站:網址篩選器格式」。如果將此欄位留空,則系統不會允許任何網址在不顯示通知的情況下保持全螢幕模式。
指定是否要讓 Chrome 瀏覽器在整個分頁顯示產品資訊,協助使用者登入 Chrome、選擇 Chrome 做為預設瀏覽器,或是瞭解產品功能。
您可以指定當卡片有內容時,是否要在新分頁中顯示卡片。這些卡片會根據使用者的瀏覽行為,呈現使用者近期搜尋的內容。
預設選項為「允許使用者決定」,讓使用者可以自行決定是否要顯示卡片。
指定是否要讓 Chrome 一律在首次執行時,將第一個開啟的視窗最大化。
指定 Chrome 瀏覽器能否使用安裝於使用者層級的原生訊息傳遞主機。預設設定為「允許使用安裝在使用者層級的原生訊息傳遞主機」。無論您選擇哪個選項,只要主機是安裝於系統層級,瀏覽器就可以使用。
針對您在「原生訊息傳遞主機 (已封鎖)」設定中所列出的主機,指定例外狀況。您可以輸入不會遭到封鎖的原生訊息傳遞主機清單 (每行一個主機)。
例如,您可以:
- 允許所有原生訊息傳遞主機:此為預設設定。將「原生訊息傳遞主機 (已封鎖)」與「允許的原生訊息傳遞主機」留空。
- 封鎖所有原生訊息傳遞主機:在「原生訊息傳遞主機 (已封鎖)」的部分,輸入 * 做為拒絕清單的值,並將「允許的原生訊息傳遞主機」留空。
- 僅允許您指定的原生訊息傳遞主機:在「原生訊息傳遞主機 (已封鎖)」的部分,輸入 * 做為拒絕清單的值。在「允許的原生訊息傳遞主機」的部分則輸入您要允許的網域。
進一步瞭解原生訊息傳遞主機 (已封鎖)。
指定哪些原生訊息傳遞主機會受到封鎖 (除非「允許的原生訊息傳遞主機」設定中有明確允許這些主機)。
例如,您可以:
- 允許所有原生訊息傳遞主機:此為預設設定。將「原生訊息傳遞主機 (已封鎖)」與「允許的原生訊息傳遞主機」留空。
- 封鎖所有原生訊息傳遞主機:在「原生訊息傳遞主機 (已封鎖)」的部分,輸入 * 做為拒絕清單的值,並將「允許的原生訊息傳遞主機」留空。
- 僅允許您指定的原生訊息傳遞主機:在「原生訊息傳遞主機 (已封鎖)」的部分,輸入 * 做為拒絕清單的值。在「允許的原生訊息傳遞主機」的部分則輸入您要允許的網域。
進一步瞭解允許的原生訊息傳遞主機。
在預設狀態下,瀏覽器會根據使用者顯示個人化的媒體推薦內容。系統會根據使用者的行為 (例如經常造訪的網站或網頁搜尋記錄) 提供推薦內容。如果停用這項政策,瀏覽器會向使用者隱藏這類推薦內容。
允許使用者在 Chrome 中開啟內含檔案 (可開啟及選取) 的對話方塊。如果停用這項政策,只要使用者執行會開啟檔案選取對話方塊的動作 (例如匯入書籤、上傳檔案、儲存連結等),就會封鎖檔案選取對話方塊,改在螢幕上顯示訊息。
指定使用者是否可透過以下方式向 Google 提供意見:依序點選「選單」圖示 「說明」「回報問題」,或是按下按鍵組合。
預設設定為「允許使用者提供意見回饋」。
您可以為使用者啟用或停用輕觸搜尋功能。
輕觸搜尋功能可讓使用者按住字詞或詞組,直到畫面底部顯示重疊畫面,方便執行搜尋。使用者只要輕觸重疊畫面,即可搜尋並顯示搜尋結果。
預設設定是「允許使用「輕觸搜尋」功能」,而使用者可以自行開啟或關閉這項功能。
指定使用者是否能透過工具列中的圖示存取瀏覽器實驗功能。
注意:無論這項政策設為啟用或停用,chrome://flags 和其他開啟/關閉瀏覽器功能的方法都能正常運作。
指定使用者是否可在 Android 裝置上使用 Google 智慧鏡頭,從圖片中獲得更多資訊。
如要進一步瞭解使用者如何利用圖片在網路上搜尋資料,請參閱「使用 Chrome 在網路上搜尋資料」。
您可以允許使用者在內容選單中查看及使用 Google 智慧鏡頭區域搜尋選單項目。
如果您選取「停用 Google 智慧鏡頭區域搜尋」,即便系統支援 Google 智慧鏡頭區域搜尋,使用者在內容選單中也不會看到這項功能。
在 ChromeOS 裝置上,控制媒體庫應用程式中 Google 智慧鏡頭整合功能的可用性。
根據預設,系統會選取「啟用智慧鏡頭整合功能」,使用者可以在媒體庫應用程式中,使用 Google 智慧鏡頭搜尋所選內容。
適用於 Chrome 93 至 102 版。
Chrome 93 以上版本會使用新的網址列圖示來表示安全連線。根據預設,系統會選取「使用預設圖示代表安全連線」。如要繼續使用現有的鎖頭圖示來表示安全連線,請選取「使用鎖頭圖示代表安全連線」。
控管新分頁上中間版位公告的顯示設定。
指定當使用者嘗試關閉瀏覽器時,是否要顯示警告對話方塊。
指定瀏覽器能否篩選網址參數。
預設設定為允許瀏覽器篩選網址參數,也就是說,當使用者在內容選單中選取「在無痕式視窗中開啟連結」時,篩選器可能會移除一些參數。
指定在使用者 ChromeOS 裝置上建議使用的 UI 主題:淺色、深色或自動模式。
自動模式會在日出和日落時,自動在深色和淺色主題間切換。使用者可在系統設定中變更主題。
您可以指定 Google Chrome 的設定,決定是否要在非受管裝置上,徵求受管理使用者同意分享裝置信號,以取得存取權。裝置信號可能包括 OS 資訊、登錄檔或檔案是否存在。
預設設定為「在非受管裝置上詢問是否同意分享訊號」。允許或禁止您指定的網站自動進入全螢幕模式,且不提示使用者授予權限。
使用者可以允許隔離網頁應用程式,但自動進入全螢幕模式設定會覆寫使用者的個人設定。管理員可以透過這項設定允許或封鎖其他網址。
注意:未在這項設定或使用者設定中指定的網站,會提示使用者選擇允許或禁止自動進入全螢幕模式。
如要進一步瞭解這項設定,請參閱自動進入全螢幕模式內容設定。
如要進一步瞭解有效的網址模式,請參閱 Enterprise 政策網址模式格式。 可使用萬用字元 (*)。
允許在使用者的 ChromeOS 裝置上顯示 Google 應用程式和服務中的資訊。
預設選項為「允許整合」。您在「設定」 (例如「Tasks」和「日曆」) 中選取的內容整合項目會顯示在使用者的裝置上。
系統只會針對已啟用和未遭封鎖的 Google 應用程式和服務顯示資訊。舉例來說,如要使用 Google 日曆內容整合功能,請確認「整合 Google 日曆」已設為「啟用 Google 日曆整合功能」。相關內容請參閱「Google 日曆整合設定」。
如果選取「停用整合功能」,會關閉所有 Google 應用程式和服務的內容整合功能。
控制預設的鍵盤可聚焦捲軸行為。
如果使用者不想透過滑鼠、觸控板或觸控螢幕瀏覽網頁,可以使用鍵盤瀏覽網頁,並存取可聚焦的元素,例如文字、按鈕、圖示等。
先前,只有在 tabindex 明確設為 0 以上時,捲軸元素才能獲得鍵盤焦點。開啟這項設定後,捲軸預設可透過鍵盤、點按和程式輔助方式聚焦。預設情況下,捲軸可聚焦,因此無法 (或不想) 使用滑鼠的使用者,可以使用鍵盤的 Tab 鍵和方向鍵聚焦內容。
注意:這項行為只適用於沒有可透過鍵盤聚焦子項的捲軸,例如按鈕。如果捲軸已有按鈕,Tab 鍵焦點會略過捲軸,直接將焦點移至按鈕。
如果關閉這項設定,捲動控制項預設為不可聚焦。
已連結的裝置
Smart Lock允許您的使用者不須使用密碼就能透過鄰近的 Android 手機解鎖 ChromeOS 裝置。詳情請參閱使用 Android 手機解鎖 Chromebook。
使用者可以透過 Google 手機使用即時網路共用功能,將手機的行動數據與其他裝置共用。
使用者可以設定讓簡訊在手機和 ChromeOS 裝置間保持同步。
注意:如果允許這項政策,使用者必須完成設定流程以明確啟用這項功能。完成設定程序後,使用者即可在裝置上收發簡訊。
指定登入的使用者是否可以將電話號碼從 ChromeOS 裝置傳送到 Android 裝置。
預設設定是「允許使用者將電話號碼從 Chrome 傳送到手機」。
指定使用者能否啟用鄰近分享功能,與附近的 Android 及 ChromeOS 裝置分享檔案。系統會預設選取「禁止使用者啟用鄰近分享功能」。
如要進一步瞭解使用者如何在 ChromeOS 裝置上開啟並使用鄰近分享功能,請參閱「與附近的裝置分享檔案」。指定使用者可否在 ChromeOS 裝置上與 Android 手機互動。
預設設定為「不允許啟用 Phone Hub 功能」,使用者無法選擇開啟 Phone Hub 功能。
如果您選取「允許啟用 Phone Hub 功能」,使用者即可選擇啟用 Phone Hub 功能,且系統會顯示另外 2 個選項:
- 允許啟用 Phone Hub 通知:指定已開啟 Phone Hub 的使用者能否在 ChromeOS 上傳送或接收手機的通知。
- 允許啟用 Phone Hub 工作接續:指定已開啟 Phone Hub 的使用者能否在 ChromeOS 上繼續完成工作,例如繼續瀏覽手機上的網頁。
您可以禁止使用者透過點選 Phone Hub 通知等方式來串流應用程式。
根據預設,系統允許使用者串流應用程式。
無障礙功能
注意:根據預設,無障礙功能設定為關閉,除非使用者透過 Chromebook 無障礙功能設定或鍵盤快速鍵將其開啟。強烈建議您謹慎考慮後再停用任何無障礙功能,以免對身心障礙或有特定需求的使用者造成困擾。如果不設定這項政策,使用者隨時可以存取這項功能。但如果您設好政策,使用者即無法變更或覆寫設定。
互動朗讀ChromeVox 螢幕閱讀器可協助視障使用者。開啟後,Chromebook 就會大聲讀出畫面上顯示的文字。聽障使用者可利用此功能在連接的點字顯示器上顯示文字。
詳情請參閱使用內建螢幕閱讀器以及將點字裝置和 Chromebook 搭配使用。
使用者可以在大聲朗讀的頁面上聽到特定文字,包括特定字詞、所選文字或畫面的特定段落。透過系統大聲讀出字詞,逐字理解精華片段,讓音訊和視覺體驗更好。
詳情請參閱讓系統大聲讀出文字內容。
高對比模式會變更字型和背景色彩配置,讓頁面更容易閱讀。在 ChromeOS 裝置上,使用者可以在無障礙設定中開啟高對比模式,也可以按搜尋鍵 + Ctrl + H,或是按啟動器 + Ctrl + H。
可讓使用者將畫面放大至預設大小的 20 倍。您可以關閉放大鏡,也可以選擇要讓使用者運用的放大鏡類型。
詳情請參閱「使用放大功能或放大鏡調整 Chromebook 畫面大小」。
使用者可以一次按一個按鍵的方式使用鍵盤快速鍵功能,無須同時按多個按鍵。舉例來說,相黏鍵可讓使用者先按 Ctrl 鍵再按 V 鍵,而不須同時按這兩個鍵。
詳情請參閱「以一次按一個按鍵的方式使用鍵盤快速鍵功能」
讓使用者在裝置處於平板電腦模式時,無須使用實體按鍵,就可以輸入字元。螢幕小鍵盤通常適用於配有觸控螢幕介面的裝置,但也可以透過觸控板、滑鼠或連接的搖桿使用。
詳情請參閱「使用螢幕小鍵盤」。
注意:如果設定這項政策,使用者將無法變更設定。
只要啟用「無障礙功能螢幕小鍵盤」設定,或使用者在裝置上啟用 ChromeOS 設定「啟用螢幕小鍵盤」,這項設定就不會有任何作用
只要停用「無障礙功能螢幕小鍵盤」設定,或使用者在裝置上停用 ChromeOS 設定「啟用螢幕小鍵盤」,系統就會套用您選取的設定。
如果您選取「在平板模式和筆電模式下均啟用觸控式螢幕小鍵盤」,螢幕小鍵盤會一律顯示,即使已有實體鍵盤亦然。
視輸入法而定,螢幕小鍵盤可能會切換為密集配置。
如要進一步瞭解虛擬鍵盤政策的運作方式,請參閱這篇文章。
使用者可以利用語音輸入內容較長的文件和電子郵件,而不須使用鍵盤。
詳情請參閱「使用語音輸入文字」
讓使用者在透過鍵盤瀏覽時,醒目顯示畫面上的物件。這樣一來,使用者在填寫表單或選取選項時,便可輕鬆找出目前的頁面位置。
這項功能會在使用者編輯文字時,醒目顯示插入點 (亦即游標) 周圍的區域。
滑鼠游標會在懸停位置自動點選或捲動。這項功能對於難以點按滑鼠或觸控板的使用者非常實用。
詳情請參閱在 Chromebook 上自動點選物件。
放大滑鼠游標的大小,讓畫面上的游標更醒目。
在滑鼠游標周圍建立有顏色的圓圈,讓使用者更容易在畫面上看到滑鼠游標。
將滑鼠主要按鈕及觸控板順序從左變更為右。滑鼠左鍵會預設為主要按鈕,但您隨時可以變更這項設定。
變更 Chrome 裝置的音訊輸出方式,以便透過左右內建喇叭和耳機播放相同音量。這項設定對於單耳聽力較佳的使用者非常實用。
指定要開啟或關閉無障礙功能的鍵盤快速鍵。根據預設,使用者可以使用鍵盤快速鍵。如要關閉,請選取「停用無障礙功能快速鍵」。
詳情請參閱「開啟 Chromebook 無障礙功能」。
顯示或隱藏系統匣選單中的無障礙選項。選取「顯示系統匣選單中的無障礙選項」即可讓使用者快速存取無障礙功能。
詳情請參閱「開啟 Chromebook 無障礙功能」。
讓使用者在 Chrome 中使用螢幕閱讀器或其他類似的輔助技術,針對未加上標籤的網路圖片取得說明 (例如沒有替代文字的圖片)。Chrome 會將圖片傳送到 Google 來產生說明,但不會傳送 Cookie 或其他使用者資料,且 Google 不會儲存或記錄任何圖片內容。
詳情請參閱「在 Chrome 中取得圖片說明」。
控制網頁是否能使用內容擷取和文字轉語音合成功能來朗讀文字。
預設設定為「一律允許朗讀」。
這項政策僅是暫時性措施,預計將於 Chrome 137 版移除。
指定無障礙工具是否可以使用 Chrome 的 UI 自動化供應器。我們會逐步向使用者推出 Chrome 的 UI 自動化無障礙架構供應器,您可以使用這項設定控管貴機構的部署作業。
無障礙工具和其他使用 UI 自動化無障礙架構的工具,可能需要更新才能與 Chrome 的 UI 自動化供應器妥善搭配運作。選取「停用 UI 自動化供應器」,即可暫時停止使用 Chrome 的 UI 自動化供應器,並繼續只使用 Microsoft 的相容性輔助程式。這使您有時間透過第三方供應器來更新工具,並修正因改用 Chrome 的 UI 自動化供應器而導致的不相容問題。
選取「啟用 UI 自動化供應器」可讓您選擇提早使用 Chrome 的 UI 自動化供應器,並確保具備新版 UI 自動化無障礙架構的第三方無障礙工具繼續正常運作。工具也可以使用 Chrome 的 Microsoft Active Accessibility 供應器。
根據預設,「採用預設 Chrome 設定」處於選取狀態。Chrome 的 UI 自動化供應器是透過變化版本架構來設定。
電源和關機
省電模式指定要開啟或關閉裝置的省電模式。啟用這項設定會降低畫面更新率,減少耗電量。
如果您選取「使用者可以控管這項設定」,使用者就能在 chrome://settings/performance 中開啟或關閉省電模式。
注意:我們已淘汰「在裝置是由電池供電時啟用」選項。如果是 Chrome 121 以上版本,這個選項會在裝置是由電池供電,且電量過低時開啟省電模式。
指定是否允許使用 Wake Lock 進行電源管理。Wake Lock 會強制 PowerManager 保持螢幕開啟狀態,或者讓 CPU 在待機模式下執行。舉例來說,如果您希望確保 Wi-Fi 連線以完整效能執行,這項功能就相當實用。擴充功能可透過電源管理擴充功能 API 和 ARC 應用程式,要求使用 Wake Lock。
系統會預設選取「允許使用 Wake Lock」。此外,您也可以設定「螢幕 Wake Lock」。如要防止裝置在應用程式需要持續執行時變暗或鎖定螢幕,請選取「允許使用螢幕 Wake Lock 以便進行電源管理」。
如果您選取「禁止使用 Wake Lock」,系統就會忽略 Wake Lock 要求。
指定瀏覽器關閉前,為了讓 Chrome 處理保持運作要求而延遲的時間上限。請輸入 0 到 5 秒之間的值。如果留空,系統會使用預設的 0 秒,而 Chrome 會立即關閉。
如需保持運作要求的詳細資料,請參閱擷取標準文件。
您可以啟用自動調節充電模式來控制充電速度,以延長裝置的電池壽命。
將裝置接上充電器後,自動調節充電模式即會根據裝置需求,自動調整傳送的電量,以免過度充電可能會對電池造成損害。
如果自動調節充電模式確實控制了充電速度,電池會維持在一定電量 (例如 80%),並在使用者需要時將裝置電量充飽至 100%。
蓋上機蓋時執行的動作
選擇使用者蓋上機蓋時,要讓裝置進入休眠模式、將使用者登出、關機,或是不必進行任何動作。使用者工作階段的預設設定是「休眠」,受管理訪客工作階段的預設設定則是「登出」。
AC 電源/電池閒置動作
無論是使用 AC 電源或電池供電,可以新增的延遲時間值都相同。
選擇使用者連接 AC 電源或使用電池供電時,要讓閒置的裝置進入休眠模式、將使用者登出、關機,或是不必進行任何動作。預設設定為「休眠」。
下列說明適用於所有輸入延遲時間的欄位:
- 指定的延遲時間應以秒為單位。
- 輸入的值必須大於 0,才能觸發特定動作。
- 輸入 0 代表閒置時一律不執行特定動作。
- 將方塊留空即可使用系統預設值;預設值會因裝置而異。
- 螢幕調暗延遲時間值必須 ≤ 螢幕關閉延遲時間值 ≤ 螢幕鎖定延遲時間值 ≤ 閒置延遲時間值 (延遲時間設為 0 或未設定的情況除外)。
- 閒置警告延遲時間值必須 ≤ 閒置延遲時間值。
- 如果閒置延遲時間值 = 0,代表這是不採取任何動作的特殊情況。
請在下列欄位中輸入值:
- AC/電池閒置延遲時間 (單位:秒):指定使用者的裝置閒置多久後會執行所選動作;請以秒為單位。
- AC/電池閒置警告延遲時間 (單位:秒):指定使用者的裝置閒置多久後,會顯示即將執行所選動作的警告訊息;請以秒為單位。只有您所選的閒置動作為「登出」或「關機」時,系統才會顯示警告訊息。如果選取「休眠」或「不必進行任何動作」,請輸入 0 或留空。
- AC/電池螢幕調暗延遲時間 (單位:秒):指定使用者的裝置閒置多久後會調暗螢幕;請以秒為單位。
- AC/電池螢幕關閉延遲時間 (單位:秒):指定使用者的裝置閒置多久後會關閉螢幕;請以秒為單位。
- AC/電池螢幕鎖定延遲時間 (單位:秒):指定使用者的裝置閒置多久後會鎖定螢幕;請以秒為單位。
休眠或蓋上機蓋時鎖定螢幕
選擇在使用者裝置進入休眠模式或蓋上機蓋時鎖定螢幕,或是讓使用者自行決定。如果您選取「允許使用者自行設定」,使用者就能在裝置設定中設定這個選項。
當裝置在座架充電且使用外接螢幕時,蓋上機蓋並不會鎖定裝置。在這種情況下,裝置只有在機蓋蓋上時中斷連接外接螢幕時才會鎖定。
注意事項
- 除非關閉「螢幕 Wake Lock」或「允許使用 Wake Lock」設定,否則 Imprivata 等部分擴充功能可以覆寫電源管理設定。如要進一步瞭解 Wake Lock,請參閱本節內容。
- 您目前無法變更螢幕鎖定畫面的螢幕調暗和螢幕關閉延遲時間。現有的螢幕調暗和螢幕關閉延遲時間設定,僅適用於在使用者工作階段或受管理訪客工作階段中調暗或關閉螢幕的情況。
- 螢幕鎖定設定可能不適用於在開發模式中執行的裝置。
- 您可以使用「AC/電池螢幕鎖定延遲時間 (單位:秒)」設定,在系統執行閒置動作前鎖定螢幕畫面。如果想決定螢幕鎖定時機是在蓋上機蓋,或是裝置在閒置時間過後進入休眠模式時,可以使用「休眠或蓋上機蓋時鎖定螢幕」設定。不過,即使透過上述任一設定停用螢幕鎖定動作,系統仍可能會因其他設定值而鎖定螢幕。
- 如果開啟「AllowScreenLock」政策,裝置可能會將使用者登出,而不是鎖定螢幕。詳情請參閱「為使用者或瀏覽器設定 Chrome 政策」一文中的「螢幕鎖定」設定。
- 如要在裝置閒置時鎖定螢幕,請將閒置動作設為「不必進行任何動作」,然後為螢幕鎖定和閒置延遲時間輸入相同的值。
控制是否可延長 ChromeOS 裝置的螢幕調暗延遲時間。
系統預設會選取「啟用智慧調光模式」。如果智慧調暗模式將螢幕調暗時間延長,系統會自動調整使用者螢幕的關閉、鎖定或進入休眠狀態的時間,以便與原先設定的螢幕調暗延遲時間保持一致。
如果您選擇「停用智慧調光模式」,此模式就不會影響螢幕調暗設定。您可以設定「使用者活動時延遲調暗螢幕的調整百分比」和「分享螢幕畫面時延遲調暗螢幕的調整百分比」,其中的縮放比例係數必須至少為 100%。
- 使用者活動時延遲調暗螢幕的調整百分比:如果使用者在螢幕調暗時或畫面關閉後不久便開始活動,系統要將螢幕調暗延遲時間延長的百分比。
- 分享螢幕畫面時延遲調暗螢幕的調整百分比:如果使用者透過 ChromeOS 裝置分享螢幕畫面,系統要將螢幕調暗延遲時間延長的百分比。
控制 ChromeOS 裝置上的音訊活動是否會影響電源管理。
根據預設,系統會選取「禁止在播放音訊時執行閒置動作」。音訊播放期間,系統不會將使用者視為閒置狀態,這麼做可防止系統達到閒置逾時限制,而採取因應動作。即使有音訊活動,系統在達到設定的逾時限制後,依然會執行螢幕調暗、關閉和鎖定動作。
控制 ChromeOS 裝置上的影片活動是否會影響電源管理。
根據預設,系統會選取「禁止在播放影片時執行閒置動作」,影片播放期間,系統不會將使用者視為閒置狀態,這麼做可防止系統達到閒置逾時限制,而採取因應動作。即使有影片活動,系統在達到設定的逾時限制後,依然會執行螢幕調暗、關閉和鎖定動作。
指定啟動電源管理延遲和工作階段長度限制的時機,可在工作階段開始時或在初始使用者活動後啟動。根據預設,系統會選取「工作階段開始時,才啟動電源管理延遲和工作階段長度限制」。
您可以選取瀏覽器閒置特定時間後要執行的動作。
在「瀏覽器閒置逾時 (以分鐘為單位)」欄位,輸入使用者未輸入任何內容多久後,瀏覽器便應執行您選取的動作,時長下限為 1 分鐘。
如果將「瀏覽器閒置逾時 (以分鐘為單位)」欄位留空,或未選取任何動作,瀏覽器就不會執行動作。
使用者是否輸入內容 (包括移動滑鼠或用鍵盤打字) 由 Operating System API 判斷。
網址列搜尋引擎
搜尋建議允許您為使用者啟用或停用預測服務,協助完成使用者輸入的網址或搜尋字詞。您可以指定一律啟用或停用,或是讓使用者在 Chrome 設定中自行設定。
指定預設搜尋引擎的名稱。如果您選取「將網址列搜尋引擎設定鎖定為以下的值」,則可以自訂下列選項:
網址列搜尋引擎名稱
輸入用於網址列的名稱。如果您未提供名稱,Chrome 將會使用「網址列搜尋引擎搜尋網址」的主機名稱。
網址列搜尋引擎關鍵字
指定關鍵字,將它設為觸發搜尋的捷徑。
網址列搜尋引擎搜尋網址
指定搜尋引擎網址。
網址必須包含字串「{searchTerms}」,執行查詢時,系統會以使用者搜尋的字詞取代這個字串,例如:「http://search.my.company/search?q={searchTerms}」。
如要使用 Google 做為您的搜尋引擎,請輸入:
{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}ie={inputEncoding}
網址列搜尋引擎建議網址
指定搜尋引擎用來提供搜尋建議的網址。
網址應包含字串「{searchTerms}」,執行查詢時,系統會以使用者輸入的文字取代這個字串。
如要使用 Google 做為您的搜尋引擎並提供搜尋建議,請輸入:
{google:baseURL}complete/search?output=chrome&q={searchTerms}
網址列搜尋引擎互動智慧搜尋網址
指定用來提供互動智慧搜尋結果的搜尋引擎網址。
網址應包含字串「{searchTerms}」,執行查詢時,系統會以使用者輸入的文字取代這個字串。
網址列搜尋引擎圖示網址
指定搜尋引擎的圖示網址。啟用「將網址列搜尋引擎設定鎖定為以下的值」前,您必須存取搜尋引擎網站至少一次,系統才會擷取及快取圖示檔案。
網址列搜尋引擎編碼
指定搜尋引擎支援的字元編碼。
編碼是字碼頁名稱,例如 UTF-8、GB2312 以及 ISO-8859-1,系統會根據順序逐一嘗試這些編碼。預設值為 UTF-8。
提供網站清單,指定使用者可以在網址列中使用預先定義的快捷字詞,快速搜尋哪些網站的內容。舉例來說,您可以為貴機構的公司內部網路、最常用的工具等項目建立預先定義的捷徑。使用者只要在網址列中輸入 @捷徑 (或直接輸入捷徑),按下空白鍵或 Tab 鍵,即可觸發搜尋。
輸入要設定的捷徑詳細資料:
- 網站或網頁:在網址列中向使用者顯示的名稱。
例如輸入 Workspace。 - 捷徑:由使用者輸入,用來觸發搜尋的關鍵字。捷徑可包含純文字和半形字元,但不得含有空格,開頭也不能是 @ 符號。捷徑不得重複。
舉例來說,輸入 ws。接著,使用者在網址列中輸入 ws,就會觸發搜尋。 - 網址:要搜尋的網址。輸入搜尋引擎結果網頁的網址,並以 {searchTerms} 取代查詢的位置。
例如輸入 https://drive.google.com/corp/drive/search?q={searchTerms} - 精選:如果選取「精選」,當使用者在網址列中輸入 @ 時,就會看到建議捷徑。最多只能設訂三個精選項目。
指定使用者是否能同時在側邊面板和網頁中,查看最近的 Google 搜尋結果。瞭解如何在側邊面板中顯示搜尋結果。
如果您選取「不要在瀏覽器側邊面板顯示最近的 Google 搜尋結果」,使用者就不會看到該圖示。
硬體
外部儲存裝置控制是否允許機構中的使用者在 Chrome 裝置上掛接外部硬碟,包括 USB 隨身碟、外接硬碟、光學儲存裝置、SD 卡和其他記憶卡。如果您不允許外部儲存裝置,一旦使用者嘗試掛接外部硬碟,Chrome 就會通知使用者,說明正在執行該政策。
如果您選擇「允許外部儲存裝置 (唯讀)」,使用者可從外部裝置讀取檔案,但無法寫入內容,也無法將裝置格式化。
這項政策不會影響 Google 雲端硬碟或內部儲存空間,例如儲存在「下載」資料夾中的檔案。
您可以指定網站是否可以要求使用者授予已連接 USB 裝置的存取權,或是讓使用者自行決定設定選項。您也可以新增網址清單,指定網址能否要求使用者授予權限,進而存取已連結的 USB 裝置。
請在「是否允許網站要求存取已連接的 USB 裝置」部分選取下列任一選項:
- 允許使用者決定是否讓網站要求存取權 (預設):允許網站要求存取權限,但使用者可以變更這項設定。
- 允許網站要求使用者授予存取權:允許網站要求使用者授予已連接 USB 裝置的存取權。
- 禁止網站要求存取權:拒絕網站存取已連接的 USB 裝置。
在「允許這些網站要求 USB 存取權」欄位中,輸入可向使用者要求存取 USB 裝置的所有網址。
在「禁止這些網站要求 USB 存取權」欄位中,輸入無法存取已連線 USB 裝置的所有網址。
如果網址未遭封鎖,系統會依序優先採用「是否允許網站要求存取已連接的 USB 裝置」部分所設定的選項,或是使用者的個人設定。
請勿在「允許這些網站要求 USB 存取權」和「禁止這些網站要求 USB 存取權」中輸入相同的網址。如果網址同時符合這兩項政策,系統不會優先採用任何一項政策。
如要進一步瞭解有效的網址模式,請參閱「Enterprise 政策網址模式格式」。
您可以指定網站清單,以連線至具備特定供應商和產品 ID 的 USB 裝置。系統會自動允許用戶端上對應的網頁應用程式存取這些裝置。
在「支援 WebUSB API 的裝置」中,執行下列步驟:
- 按一下「尚未設定任何 USB 裝置」旁邊的 。
- 輸入網址模式,以指定哪些網站會自動取得權限,能夠存取 USB 裝置。
- 為「VID-PID」下方的每個網址輸入對應的供應商和產品 ID。
- 按一下「儲存」。
系統會將您在清單中所指定的網址與要求網址的來源進行比對,並忽略網址模式中的路徑。如要進一步瞭解有效網址模式的詳細資訊,請參閱「Enterprise 政策網址模式格式」。
注意事項
- 所有裝置和網址都必須有效,否則系統就會忽略這項政策。
- VID-PID 欄位中的每個項目都可以同時具備供應商 ID 和產品 ID。如果您未新增供應商 ID,這項政策即適用於所有裝置。如果您未新增產品 ID,則這項政策適用於任何具備指定供應商 ID 的裝置。
- 如果政策具備產品 ID 但沒有供應商 ID,則為無效政策。
- 這項政策會覆寫 WebUSB API 設定和使用者的偏好設定。
- 這項政策只會影響透過 WebUSB API 存取 USB 裝置的權限。如要授予透過 Web Serial API 存取 USB 裝置的權限,請參閱 SerialAllowUsbDevicesForUrls 政策。
請列出可自動連線至具有特定廠商 ID 和產品 ID 的 HID 裝置的網站網址。
系統會將您列出的網址與要求網址來源進行比對,並忽略網址模式中的路徑。如要進一步瞭解有效的網址模式,請參閱 Enterprise 政策網址模式格式。
請使用以半形冒號區隔的十六進制值組 (VID:PID) 格式,為每個網址輸入要允許存取的裝置供應商 ID (VID) 和產品 ID (PID)。且每行一個值組。
注意事項
- 對於清單中的每個項目,網址和裝置 ID 須為有效值,否則系統會忽略該項目。
- 您可以為每個裝置輸入供應商 ID 和產品 ID。
- 如未新增供應商 ID,這項政策即適用於所有裝置。
- 如果您未新增產品 ID,只要裝置具備指定的供應商 ID,即適用這項政策。
- 如果政策具備產品 ID 但沒有供應商 ID,則為無效政策。
- 這項政策的優先順序高於 DefaultWebHidGuardSetting 和 WebHidBlockedForUrls,以及使用者的偏好設定。
控制是否允許機構中的使用者讓網站透過 ChromeOS 裝置內建的麥克風輸入音訊。
當使用者連接外部音訊輸入裝置時,ChromeOS 裝置上的音訊會立即取消靜音。
如果您已為貴機構中支援的 ChromeOS 裝置啟用 Android 應用程式,並且停用了這項設定,那麼所有 Android 應用程式的麥克風輸入都會遭到停用 (沒有例外)。
系統會在不列出提示的情況下,允許網址直接存取音訊擷取裝置。
系統會將這份清單中的模式與要求網址的安全性來源進行比對。如果找到相符項目,系統會授權網址存取音訊擷取裝置,而不會提示使用者進行確認。
如果想進一步瞭解有效的網址模式,請參閱「企業政策網址模式格式」
控制是否允許貴機構中的使用者在 ChromeOS 裝置上播放音訊。這項政策適用於 ChromeOS 裝置的所有音訊輸出裝置,包括內建喇叭、耳機插孔,以及透過 HDMI 和 USB 連接埠連接的外部裝置。
如果停用音訊,ChromeOS 裝置仍然會顯示音訊控制項,但使用者將無法進行變更,同時畫面上會顯示靜音圖示。
ChromeOS 上的 Google 雲端硬碟 Android 應用程式不會受到這項設定影響。
控管 Chrome 瀏覽器音訊程序的優先順序。
這項設定可讓管理員在遇到音訊擷取相關的某些效能問題時,執行高優先順序的音訊程序以處理這類問題。這項設定將在日後移除。
指定網址除了可存取內建相機之外,是否能存取任何類型的視訊輸入裝置。
系統會預設選取「啟用網站和應用程式的影像辨識輸入功能」。如果網址並未列在「視訊輸入裝置許可網址」所指定的清單內,使用者會收到提示,詢問是否要存取影片擷取裝置。
如果選取「停用網站和應用程式的影像辨識輸入功能」,則只有「視訊輸入裝置許可網址」中所指定的網址可以存取影片擷取裝置。
這項政策也會影響支援 ChromeOS 裝置上的 Android 應用程式。舉例來說,如果您已在貴機構中支援的 ChromeOS 裝置上啟用 Android 應用程式,便可禁止這些 Android 應用程式存取內建相機。
系統會在不列出提示的情況下,允許網址直接存取視訊擷取裝置。
系統會將這份清單中的模式與要求網址的安全性來源進行比對。如果找到相符項目,系統會授權網址存取視訊擷取裝置,而不會提示使用者進行確認。
如果想進一步瞭解有效的網址模式,請參閱 Enterprise 政策網址模式格式。
注意:如要開放存取影片擷取裝置,您也可以新增應用程式 ID。舉例來說,hmbjbjdpkobdjplfobhljndfdfdipjhg
可以提供存取 Zoom® Meetings® 的權限。
指定是否要啟用圖形處理器 (GPU) 的硬體加速功能 (已加入封鎖清單的特定 GPU 功能除外)。
硬體加速功能會使用裝置的 GPU 來執行具有大量圖形的工作 (例如播放影片或玩遊戲),中央處理器 (CPU) 則會執行其他程序。
決定鍵盤最上排按鍵的行為。如果您未進行這項設定或將其設定為媒體鍵,則鍵盤的最上排按鍵會執行媒體鍵的行為。如果政策設定為功能鍵,則這些按鍵會執行功能鍵 (例如 F1、F2) 的行為。在這兩種情況下,使用者都可以變更行為。此外,使用者只要按住搜尋鍵,即可將媒體鍵轉換為功能鍵 (反之亦然)。
您可以指定網站是否可以要求使用者授予序列埠存取權,或是讓使用者自行決定設定選項。您也可以新增網址清單,指定網址能否要求使用者授予權限,進而存取序列埠。
在「控管 Web Serial API 的使用情形」部分選取下列其中一個選項:
- 允許使用者決定 (預設):允許網站要求存取權,但使用者可以變更這項設定。
- 允許網站透過 Web Serial API 要求使用者授予序列埠的存取權:允許網站向使用者要求存取序列埠。
- 禁止任何網站透過 Web Serial API 要求序列埠的存取權:拒絕網站存取序列埠。
在「允許這些網站上的 Web Serial API」欄位中,輸入可向使用者要求存取序列埠的所有網址。
在「封鎖這些網站上的 Web Serial API」欄位中,輸入無法存取序列埠的所有網址。
如果網址未遭封鎖,系統會依序優先採用「控管 Web Serial API 的使用情形」部分所設定的選項,或是使用者的個人設定。
請勿在「允許這些網站上的 Web Serial API」和「封鎖這些網站上的 Web Serial API」這兩個欄位中輸入相同的網址。如果網址同時符合這兩項政策,系統不會優先採用任何一項政策。
如要進一步瞭解有效的網址模式,請參閱「Enterprise 政策網址模式格式」。
您可以指定網站清單,以連線至具備特定供應商和產品 ID 的序列裝置。系統會自動允許用戶端上對應的網頁應用程式存取這些裝置。
在「可透過 Web Serial API 存取的裝置」中,執行下列步驟:
- 按一下「尚未設定序列裝置」旁邊的 。
- 輸入網址模式,指定哪些網站會自動取得權限,能夠存取序列裝置。
- 為「VID:PID」下方的每個網址輸入對應的供應商和產品 ID。
- 按一下「儲存」。
系統會將您在清單中所指定的網址與要求網址的來源進行比對,並忽略網址模式中的路徑。如要進一步瞭解有效的網址模式,請參閱 Enterprise 政策網址模式格式。
注意事項
- 所有裝置和網址都必須有效,否則系統就會忽略這項政策。
- 「VID:PID」欄位中的每個項目都可以同時具備供應商 ID 和產品 ID。如果您未新增供應商 ID,這項政策即適用於所有裝置。如果您未新增產品 ID,只要裝置具備指定的供應商 ID,即適用這項政策。
- 如果政策具備產品 ID 但沒有供應商 ID,則為無效政策。
- 這項政策會覆寫「Web Serial API」設定和使用者的偏好設定。
這項政策只會影響透過 Web Serial API 存取序列裝置的權限。如要授予透過 WebUSB API 存取序列裝置的權限,請參閱 WebUsbAllowDevicesForUrls 政策。
僅適用於具備整合式電子隱私保護功能的 ChromeOS 裝置。
指定是否一律開啟或關閉隱私保護功能。您可以啟用或停用隱私保護功能,也可以讓使用者自行選擇。
指定網站是否可以要求使用者授予讀取權限,以使用 File System API 讀取主機作業系統檔案系統中的檔案或目錄。您可以新增網站的網址清單,指定網站能否要求使用者授予讀取權限。
請選取下列其中一個選項:
- 允許使用者決定 (預設):允許網站要求存取權,但使用者可以變更這項設定。這項預設存取權適用於與 [允許這些網站讀取檔案系統] 或 [禁止這些網站讀取] 欄位中指定網址不相符的網站。
- 允許網站要求使用者授予檔案和目錄的讀取權限:這個選項會允許網站向使用者要求授予檔案及目錄的讀取權限。
- 禁止網站要求檔案和目錄的讀取權限:這個選項會拒絕檔案和目錄的讀取權限。
在 [允許這些網站讀取檔案系統] 欄位中,輸入可向使用者要求檔案和目錄讀取權限的所有網址。每行只能輸入一個網址。
在 [禁止這些網站讀取] 欄位中,輸入不允許存取檔案和目錄的所有網址。每行只能輸入一個網址。
如果未明確允許或禁止某個網址存取,系統會依序優先採用您在 [檔案系統讀取權限] 下拉式選單中選取的選項,或使用者的個人設定。
請勿在「允許這些網站讀取檔案系統」和「禁止這些網站讀取」欄位中輸入相同的網址。如果網址同時符合這兩項政策,系統不會優先採用任何一項政策。
如要進一步瞭解有效的網址模式,請參閱「Enterprise 政策網址模式格式」。
指定網站是否可以要求使用者授予寫入權限,以使用 File System API 寫入主機作業系統檔案系統中的檔案或目錄。您可以新增網站的網址清單,指定網站能否要求使用者授予寫入權限。
請選取下列其中一個選項:
- 允許使用者決定 (預設):允許網站要求存取權,但使用者可以變更這項設定。這項預設存取權適用於與 [允許這些網站將資料寫入檔案和目錄] 或 [禁止這些網站將資料寫入檔案和目錄] 欄位中指定網址不相符的網站。
- 允許網站要求使用者授予檔案和目錄的寫入權限:這個選項會允許網站向使用者要求授予檔案及目錄的寫入權限。
- 禁止網站要求檔案和目錄的寫入權限:這個選項會拒絕檔案和目錄的寫入權限。
在 [允許這些網站寫入檔案系統] 欄位中,輸入可向使用者要求檔案和目錄寫入權限的所有網址。每行只能輸入一個網址。
在 [禁止這些網站寫入] 欄位中,輸入不允許存取檔案和目錄的所有網址。每行只能輸入一個網址。
如果未明確允許或禁止某個網址存取,系統會依序優先採用您在 [檔案系統寫入權限] 下拉式選單中選取的選項,或使用者的個人設定。
請勿在 [允許這些網站寫入檔案系統] 和 [禁止這些網站寫入] 欄位中輸入相同的網址。如果網址同時符合這兩項政策,系統不會優先採用任何一項政策。
如要進一步瞭解有效的網址模式,請參閱「Enterprise 政策網址模式格式」。
從 Chrome 108 版本開始,系統會同步叫用所有 FileSystemSyncAccessHandle 方法。
在 Chrome 110 版本之前,您可以選取「重新啟用已淘汰的 FileSystemSyncAccessHandle 非同步介面」,以非同步的方式叫用 FileSystemSyncAccessHandle 方法。
如能同步處理檔案系統項目,檔案讀取和寫入功能可提升重要方法的效能。非同步作業可能會使負載增加。
您可以指定網站是否能存取並使用感應器 (例如:動作感應器和光源感應器)。
在「預設存取權」部分選取下列任一選項:
- 允許使用者決定是否允許網站存取感應器 (預設):允許網站要求存取權限,但使用者可以變更這項設定。這項預設存取權適用於與「允許在這些網站上存取感應器」或「禁止在這些網站上存取感應器」欄位指定網址不相符的網站。
- 允許網站存取感應器:允許所有網站存取感應器。
- 禁止任何網站存取感應器:不允許任何網站存取感應器。
在「允許在這些網站上存取感應器」欄位中,輸入一律允許存取感應器的網址。每行只能輸入一個網址。
在「禁止在這些網站上存取感應器」欄位中,輸入一律禁止存取感應器的網址。每行只能輸入一個網址。
如果未明確允許或禁止某個網址存取,系統會依序優先採用「預設存取權」部分所設定的選項,或是使用者的個人設定。
請勿在「允許在這些網站上存取感應器」和「禁止在這些網站上存取感應器」中輸入相同的網址。如果有網址同時存在於這兩個欄位,系統會套用「禁止在這些網站上存取感應器」設定,並禁止存取動作感應器或光源感應器。
如要進一步瞭解有效的網址模式,請參閱「Enterprise 政策網址模式格式」。
允許透過企業政策安裝的擴充功能使用 Enterprise Hardware Platform API。這個 API 會處理擴充功能提出的要求,以提供執行瀏覽器的硬體平台製造商與型號。這項政策也會影響 Chrome 內建的元件擴充功能。
指定每次 ChromeOS 偵測到 USB 裝置插入時,是否要向使用者顯示通知。根據預設,系統會選取「偵測到 USB 裝置時顯示通知」。
使用者插入可透過裝置與有效虛擬機器共用的 USB 裝置時,系統會顯示偵測到 USB 裝置的通知,提示他們連線至虛擬機器。舉例來說,系統可能會提示使用者連線至 Android 應用程式、Linux、受管理的開發環境或 Parallels Desktop。如果您選取「偵測到 USB 裝置時不顯示通知」,系統就不會再提示使用者連線,因此使用者無法透過虛擬機器存取 USB 裝置。
舊版網站相容性
從已停用的元素分派 MouseEvents這項政策因重大修正而實施,僅為暫時性措施。如果您有網站採用的是先前的異常行為,這項政策可讓您有機會進行更新。
您可以為 MouseEvents 開啟或關閉在停用的表單控制項上進行分派的新行為。MouseEvents 是使用者與滑鼠等指標裝置互動時所發生的事件。
如果選取「從已停用的控制項元素分派大多數的 MouseEvents」,系統會在已停用的表單控制項元素上分派所有 MouseEvents,但 click、mouseup 和 mousedown 除外。新事件包含 mousemove、mouseenter 和 mouseleave。
當系統在已停用的表單控制項子項上分派 click、mouseup 和 mousedown 時,這些事件的事件路徑也會遭到截斷。此外,系統不會在已停用的表單控制項,或這類控制項的任何祖系上分派這些事件。
適用於 Chrome 120 版之前
這項政策因重大修正而實施,僅為暫時性措施。如果您有網站採用的是先前的異常行為,這項政策可讓您有機會進行更新。
您可以為 HTMLElement.offsetParent 選取新行為或舊行為。
請參閱這裡取得 polyfill 程式碼,您可以使用此程式碼來提供舊版瀏覽器需要但未原生支援的新式功能。這項政策為暫時性措施,將在 Chrome 117 版中移除。如果您有網站採用的是先前的異常行為,這項政策可讓您有機會進行更新。
Chrome 行為將有所變動,且使用者無法造訪網頁 SSL 憑證無效的不安全網站。使用者會看到錯誤頁面,並且無法選擇繼續進行不安全的操作。
如果選取「允許前往不安全的網站」,使用者即可繼續前往不安全的網站,並有機會準備應對新的 Chrome 行為。
如果選取預設的「使用預設瀏覽保護措施」,系統會在 Chrome 發布流程推出變更內容時,自動導入 Chrome 的異動。可預覽未來版本的行為,其中這項檢查功能會預設為開啟。這項政策會暫時保留給管理員使用,讓他們可以有更多時間更新系統。
您可以指定當伺服器憑證由本機信任錨點所核發時,這類憑證的 RSA 金鑰用途是否要經過檢查。
X.509 金鑰用途擴充功能會宣告憑證中金鑰的使用方式,並確保憑證不會遭到不當使用。如此一來,便可防範針對 HTTPS 和其他通訊協定的跨通訊協定攻擊。HTTP 用戶端必須檢查伺服器憑證是否符合連線的傳輸層安全標準參數。
您可以選擇下列其中一個選項:
- 使用 RSA 金鑰用途檢查功能的預設設定
- 啟用 RSA 金鑰用途檢查功能:Chrome 會執行檢查。這樣做有助於防止有攻擊操控瀏覽器透過憑證擁有者預期以外的方式解讀金鑰。
- 停用 RSA 金鑰用途檢查功能:當 HTTPS 連線交涉 TLS 1.2 並使用與本機信任錨點鏈結的 RSA 憑證時,Chrome 會略過對這類連線的檢查。本機信任錨點的例子包括由政策提供或由使用者安裝的根憑證。在所有其他情況下,無論這項政策的設定為何,Chrome 都會執行檢查。
暫時重新啟用已淘汰的變化事件。變化事件會儲存、修改或刪除 IT 系統中的資訊。
根據預設,變化事件無法在淘汰日期之後觸發。即使一般網路使用者預設關閉這項設定,您還是可以使用這項設定暫時重新開啟變化事件。
透過 JavaScript 管理下列功能的可用性:已淘汰且附帶前置字串的影片專屬全螢幕 API。
請選擇下列其中一個選項:
- 採用預設 Chrome 設定:套用預設的
PrefixedVideoFullscreen
API 淘汰時程,並決定 API 是否可用於網站。 - 停用附帶前置字串的影片全螢幕 API:禁止在 JavaScript 中使用帶有前置字串的影片專屬全螢幕 API,例如
Video.webkitEnterFullscreen()
,只能使用標準的全螢幕 API,例如Element.requestFullscreen()
。 - 啟用附帶前置字串的影片全螢幕 API:允許在 JavaScript 中使用帶有前置字串的影片專屬全螢幕 API,例如
Video.webkitEnterFullscreen()
。
這項政策僅是暫時性措施,我們會在日後的 Chrome 版本中予以移除。
指定 Chrome 要使用標準或舊版 CSS 縮放。
系統預設會選取「標準 CSS 縮放」。選擇「舊版 CSS 縮放」可啟用標準化前的 CSS 縮放行為。這樣就能有時間遷移至新採用的 CSS 縮放規格。
使用者驗證
驗證模式系統會預設選取「略過『已驗證存取權』的啟動模式檢查作業」,允許開發人員模式裝置上的使用者工作階段正常運作。如果選取「『已驗證存取權』需要以已驗證模式啟動」,則開發人員模式裝置上的使用者工作階段,一律無法通過「已驗證存取權」檢查。
允許接收使用者資料的服務帳戶
列出具備完整 Google Verified Access API 存取權的服務帳戶電子郵件地址,且這些服務帳戶都建立於 Google Cloud Platform Console 中。
可驗證使用者但不會收到使用者資料的服務帳戶
列出具備有限 Google Verified Access API 存取權的服務帳戶電子郵件地址,且這些服務帳戶都建立於 Google Cloud Platform Console 中。
如需「已驗證存取權」的相關操作說明,請參閱:
- 管理員:為 ChromeOS 裝置啟用「已驗證存取權」
- 開發人員:《Google Verified Access API Developer Guide》(Google Verified Access API 開發人員指南)。
Chrome 管理服務 - 合作夥伴存取權
允許 EMM 合作夥伴使用裝置管理功能目前不適用於 Google Workspace for Education 網域
這項設定可透過程式輔助的方式為 EMM 合作夥伴提供存取權,用以管理 Chrome 和 ChromeOS 裝置的使用者政策。合作夥伴可以透過這個存取功能將 Google 管理控制台功能整合至 EMM 控制台。
開啟合作夥伴存取權後,您的 EMM 合作夥伴就可以管理有關 Chrome 和 ChromeOS 裝置使用者體驗的個別使用者政策。因此,EMM 合作夥伴不一定要透過管理控制台的機構單位架構來管理使用者政策,可以改用在 EMM 控制台設定的架構。您無法同時透過合作夥伴存取權功能和管理控制台為同一個使用者設定相同的政策。透過合作夥伴存取控制功能設定的使用者層級政策優先順序高於在管理控制台設定的機構單位政策。如要按照機構單位對使用者強制執行政策,您必須選取 [停用 Chrome 管理服務 - 合作夥伴存取權功能]。
您也可以使用 EMM 控制台來設定裝置政策。
瀏覽器報告功能
受管理瀏覽器的報告功能為採用 Chrome Enterprise 基本版的機構,開啟或關閉受管理瀏覽器的雲端報告功能。如要進一步瞭解如何透過管理控制台註冊及管理 Chrome 瀏覽器,請參閱「設定 Chrome Enterprise 基本版」。
選取「啟用受管理瀏覽器的雲端報告功能」,即可詳細檢視貴機構所使用的 Chrome 瀏覽器和擴充功能。如要瞭解有哪些資訊會從使用者裝置上傳,請參閱「開啟 Chrome 瀏覽器報告」。
注意:無論貴機構是否註冊 Chrome Enterprise Core,ChromeOS 都會一律套用這項設定。
Turns on or off managed Chrome profiles reporting for the Managed profiles list and details pages in the Google Admin console. A managed Chrome profile is created for a user when they sign in to Chrome with their managed Google Account using Google Workspace or Cloud Identity.
To view the reporting information in the Managed profiles list and details pages you must be subscribed to Chrome Enterprise Core.
The Cloud profile reporting information includes profile-level information, browser-level information, and limited device information. For more details, see View Chrome browser profile details.
Note: To view managed profile reporting for managed Google Accounts, you don’t have to turn on Managed browser reporting and the browser doesn’t need to be enrolled in the browser list. Only the user must be managed using Cloud Identity (Google Workspace), and the Managed profile reporting setting must be turned on.
設定 Chrome 狀態報告上傳頻率 (以小時為單位)。您可以輸入介於 3 至 24 小時之間的值。預設值為 24,也就是一天會傳送一次報告。
指定您要讓 Chrome 回報哪些類型的安全性事件,例如傳輸惡意軟體、造訪不安全的網站,以及重複使用密碼。
如要進一步瞭解如何設定報告,以及讓 Chrome 透過設定好的供應商和設定來回報事件,請參閱「管理 Chrome Enterprise 報告連接器」。
指定系統是否會根據網址,為在機構內造訪的舊版技術網站製作報表。您可以透過 Google 管理控制台,查看使用舊版網頁平台 API 和功能的許可網站詳細資料。
注意事項
啟用舊版技術報表後,報表資料就會自動傳送至管理控制台。不過,機構單位中至少要有 5 個瀏覽器處於使用狀態,報表才會顯示相關資料。資料可能需要幾分鐘的時間才會顯示在報表中。
在「設定」欄位中,新增要用於產生舊版技術報表的網址。
- 最多支援 100 個網址,包括所有路徑和子網域,每個網址最多 256 個半形字元。
- 支援 IP 位址。
- 不支援萬用字元、結構定義、通訊埠和查詢。
注意:為獲得最佳成效,建議您使用詳細的網址路徑。
您在「設定」欄位中新增的網址會用來產生報表,並上傳至管理控制台。系統會忽略不符合的網址。
對於 Google Chrome,必須先透過 Chrome Enterprise 基本版註冊裝置,這項政策才會生效。詳情請參閱「註冊採用雲端式管理的 Chrome 瀏覽器」。
如要進一步瞭解舊版技術,請參閱「Chrome 平台狀態」。Chrome 安全瀏覽
安全瀏覽功能防護等級指定是否要為使用者開啟 Google 安全瀏覽功能。Chrome 的「安全瀏覽」功能可有效保護使用者,避免他們造訪可能暗藏惡意軟體或網路釣魚內容的網站。
如果您選擇啟用強化模式中的「安全瀏覽」功能,便能享有更完善的安全防護,但必須提供更多瀏覽資訊給 Google。
安全瀏覽功能預設為「允許使用者決定」,使用者可自行選擇是否啟用。如果您選擇啟用「安全瀏覽」,使用者就無法在 Google Chrome 中變更或覆寫該項設定。
如果選取「允許使用者覆寫這項設定」,使用者就能在自己的裝置上變更設定。如果選取「允許使用者決定」,就無法使用這項功能。
指定是否要開啟進階回報功能,並傳送部分系統資訊和網頁內容給 Google,協助偵測危險的應用程式和網站。
指定安全瀏覽應信任的網址。安全瀏覽不會針對列出的網址檢查網路詐騙、惡意軟體、垃圾軟體或重複使用的密碼。安全瀏覽功能的下載保護服務不會檢查由這些網域所代管的下載內容。
僅適用於已加入 Microsoft Active Directory 網域、在 Windows 10 專業版上執行,或是已在 Chrome Enterprise 基本版中註冊的執行個體。
系統會預設選取「所有下載檔案均須接受安全瀏覽檢查」。如此一來,即便下載檔案來自受信任的來源,Chrome 依然會將所有檔案送交安全瀏覽功能進行分析。
如果選取「允許從信任來源下載的檔案略過安全瀏覽檢查」,當下載檔案來自受信任的來源時,就不會傳送到安全瀏覽功能進行分析。
這些限制適用於由網頁內容及「下載連結」選單選項所觸發的下載作業,但在儲存或下載目前顯示網頁,或是透過列印選項另存為 PDF 時並不適用。
防止使用者下載危險的檔案,例如惡意軟體或受病毒感染的檔案。您可以禁止使用者下載所有檔案或 Google 安全瀏覽所標記的檔案。如果使用者嘗試下載安全瀏覽所標記的檔案,就會看到安全性警告。
詳情請參閱「禁止使用者下載有害的檔案」。
選擇下列任一選項:
- 無特殊限制:允許下載所有項目。使用者仍然會收到安全瀏覽針對危險網站發出的警告,但是,他們可以略過警告並下載檔案。
- 封鎖惡意下載作業:除了系統評估為極有可能是惡意軟體的檔案以外,其他下載作業都可正常執行。與危險下載作業不同的是,這項評估不會將檔案類型納入考量,但會將主機納入考量。
- 封鎖惡意下載作業和危險檔案類型:除了會引發安全瀏覽警告的危險下載作業外,其他下載作業都可正常執行。
- 封鎖惡意、罕見或垃圾檔案的下載作業,以及危險的檔案類型:除了有安全疑慮且會引發安全瀏覽警告的下載作業外,其他下載作業都可正常執行。使用者無法略過警告下載檔案。
- 封鎖所有下載作業:不允許任何下載作業。
指定使用者是否可以略過安全瀏覽警告,並存取詐騙或危險網站,或是下載可能有害的檔案。
指定是否禁止使用者在危險網站或貴機構未列入允許清單的網站上重複使用密碼。禁止使用者在多個網站上重複使用密碼,可以避免貴機構的帳戶遭到盜用。
指定安全瀏覽網址清單的例外網域。允許清單中的網域不必接受下列檢查:
- 密碼重複使用
- 網路詐騙和社交工程造假網站
- 網站是否放置了惡意軟體或垃圾軟體
- 有害的下載內容
指定使用者通常會用來輸入密碼並登入帳戶的網頁網址。如果登入流程分成 2 個網頁,請新增供使用者輸入密碼的網頁網址。當使用者輸入密碼時,系統會在本機儲存無法復原的雜湊,並用來偵測重複使用密碼的情形。指定用來變更密碼的網址時,請務必遵守這些規範。
開啟或關閉安全網站網址篩選器。這個篩選器會使用 Google Safe Search API 判別網址是否指向色情內容。
選擇下列任一選項:
- 過濾含有成人內容的頂層網站 (而非嵌入的 iframe):此為幼兒園到高中教育機構網域的預設選項。不向使用者顯示色情網站。
- 不過濾含有成人內容的網站:此為所有其他網域的預設選項。
針對網址與其他網站相似的網站,Chrome 正推出全新的「安全提示」功能。如果網站疑似假冒其他網站,使用者就會在 UI 上看到警告。
一般而言,當 Google Chrome 認為網站可能試圖假冒成使用者熟悉的其他網站時,就會在網站上顯示這類警告訊息。這項政策會禁止系統在列出的網站上顯示相似網址的警告訊息。
舉例來說,如果這份清單包含「foo.example.com」或「example.com」,「https://foo.example.com/bar」這類網址可能不會顯示警告訊息。
允許或禁止內含侵入式廣告的網站顯示廣告。
預設設定為「允許所有網站顯示廣告」。
指定具有濫用行為的網站是否能開啟新視窗或新分頁。系統會預設選取「禁止具有濫用行為的網站開啟新視窗或新分頁」。
您可指定是否要讓 Google Chrome 為啟用安全瀏覽功能的使用者,將可疑的下載內容傳送給 Google 掃描有無惡意軟體。
這項政策不會影響 Chrome Enterprise 連接器設定的下載內容分析。
Chrome Enterprise 連接器
允許 Enterprise 連接器您可以允許管理控制台的管理員為 Chrome 啟用 Enterprise 連接器。
您可以為一組內容分析連接器選擇雲端服務 API,Chrome 會運用這些連接器,將附加至網路內容的檔案完整內容和中繼資料送交分析。
詳情請參閱「管理 Chrome Enterprise 資料遺失防護連接器」。
您可以為一組內容分析連接器選擇雲端服務 API,Chrome 會運用這些連接器,將貼在網路上的剪貼簿內容的完整內容和中繼資料送交分析。
詳情請參閱「管理 Chrome Enterprise 資料遺失防護連接器」。
您可以為一組內容分析連接器選擇雲端服務 API,Chrome 會運用這些連接器,將完整內容和中繼資料送交分析。
詳情請參閱「管理 Chrome Enterprise 資料遺失防護連接器」。
Chrome 更新
元件更新指定 Widevine DRM (加密媒體用) 等 Chrome 瀏覽器元件是否會自動更新。
這項政策不適用於所有元件。如需完整的豁免元件清單,請參閱 ComponentUpdatesEnabled。
控制如何通知使用者重新啟動 Chrome 瀏覽器,或重新啟動 ChromeOS 裝置,以取得最新的更新內容。您可以選擇下列任一選項:
- 沒有重新啟動通知:啟用最低的預設通知層級。Chrome 瀏覽器的選單會出現些微的變更,讓使用者知道瀏覽器需要重新啟動。在 ChromeOS 中,則會在系統匣中通知使用者需要重新啟動。
- 顯示建議重新啟動的通知:系統會重複顯示使用者必須重新啟動 Chrome 瀏覽器或 ChromeOS 裝置的訊息。使用者可以關閉通知並繼續使用舊版 Chrome 瀏覽器或 ChromeOS,直到他們選擇重新啟動為止。
- 一段時間後強制重新啟動:使用者可以關閉通知,但系統會重複顯示訊息,提醒使用者必須在特定時間內重新啟動 Chrome 瀏覽器或 ChromeOS 裝置。
通知期間 (小時)
如果您要向使用者顯示通知,可以設定 1 小時到 168 小時的時間範圍,讓系統在這段期間重複通知使用者重新啟動 Chrome 瀏覽器或 ChromeOS 裝置。如要使用系統預設的 168 小時 (7 天),就不用設定這個欄位。
初始安靜期 (小時)
如果是 ChromeOS 裝置,您可以指定初始安靜期,讓系統不會在這段期間通知使用者重新啟動 ChromeOS 裝置。初始安靜期結束後,使用者才會看到第一個重新啟動 ChromeOS 裝置以套用更新的通知。根據預設,ChromeOS 裝置只會在指定通知時間範圍的最後 3 天顯示通知,而不會在整段期間顯示通知。
如果是 ChromeOS 裝置,只要將「更新後自動重新啟動」裝置設定設為「允許自動重新啟動」,系統就會在套用更新後自動重新啟動裝置。這可將使用者看到的通知數量降到最低。如要進一步瞭解如何在 ChromeOS 裝置上設定自動更新,請參閱「自動更新設定」。
可開始安排重新啟動的時間
注意:設定重新啟動的時間範圍可能會延遲軟體更新。
以 24 小時制 (hh:mm) 指定時間點。您在「通知期間 (小時)」中設定的重新啟動通知期結束時間,會推遲到這個時間點。請與「一段時間後強制重新啟動」和「持續開放安排重新啟動的時間 (分鐘)」設定一併使用,指定 Chrome 瀏覽器和 ChromeOS 裝置自動重新啟動以套用更新的時間範圍。
如果留空,ChromeOS 裝置的預設開始時間會是使用者時區的 02:00,而 Chrome 瀏覽器一律不會延後重新啟動通知期的結束時間。
持續開放安排重新啟動的時間 (分鐘)
注意:設定重新啟動的時間範圍可能會延遲軟體更新。
指定 Chrome 瀏覽器和 ChromeOS 裝置重新啟動以套用更新的時間範圍長度 (分鐘)。請與「一段時間後強制重新啟動」和「可開始安排重新啟動的時間」一併使用。
如果留空,ChromeOS 裝置「持續開放安排重新啟動的時間 (分鐘)」 會是 120 分鐘。根據預設,Chrome 瀏覽器一律不會延後重新啟動通知期的結束時間。
指定不自動檢查 Chrome 瀏覽器更新的每日時間範圍。輸入:
- 開始時間:您每天開始不執行瀏覽器更新檢查的時段,格式為 24 小時制 (hh:mm)。
- 持續時間 (分鐘):不執行瀏覽器更新檢查的時間長度 (分鐘)。
指定自動檢查 Chrome 瀏覽器更新的間隔時數。輸入 0 可全面停用自動更新檢查 (不建議使用)。
選取「嘗試提供易於使用快取的下載網址」,讓 Google 更新伺服器嘗試在回應中為更新酬載提供易於使用快取的網址。這有助於降低頻寬用量及縮短回應時間。
指定裝置是否會在新版 Chrome 瀏覽器發布時自動更新。
為確保使用者受到最新安全性更新保護,強烈建議您選取「允許更新」。執行舊版 Chrome 瀏覽器會讓使用者暴露在已知的安全性問題風險下。
如要暫時復原至 Chrome 瀏覽器最新的 3 個主要版本,請為「目標版本前置字串」指定覆寫值,並選取「復原至目標版本」。
為使用者選用不同的發布版本,控管他們何時可收到 Chrome 瀏覽器更新:
- 穩定版:(建議) 已通過 Chrome 測試團隊的全面測試。建議您為大部分使用者採用這個版本。
- Beta 版:使用者可以提前 4 到 6 週試用 Chrome 穩定版即將新增的功能。
- 開發人員版:開發人員可以提前 9 到 12 週試用 Chrome 穩定版即將新增的功能。
- 擴充穩定版:使用者收到功能更新的頻率會低於穩定版,但仍會收到安全性修正。
請參閱 Chrome 瀏覽器發布版本,瞭解如何決定使用者要採用哪種版本。
如要進一步瞭解如何管理 Chrome 瀏覽器更新作業,請參閱「管理 Chrome 更新 (Chrome Enterprise 基本版)」。
指定 Chrome 瀏覽器為因應緊急復原作業所保留的使用者資料快照數量。
Chrome 瀏覽器會在每次更新主要版本之後,為特定部分使用者的瀏覽資料建立使用者資料快照,以便日後需要執行 Chrome 瀏覽器更新的緊急版本復原作業時使用。
如果要緊急復原的 Chrome 瀏覽器目標版本是使用者保存的版本,系統會復原快照中的資料,例如書籤、自動填入資料等。
如果將這項政策設為特定值,則只會儲存該數量的快照。例如,如果設定為 6,系統只會儲存最近 6 個快照,並刪除此值之前儲存的所有其他快照。
如果將這項政策設為 0,則系統不會擷取任何快照。如果未設定這項政策,系統將儲存預設值 3 的快照數量。
Chrome 變化版本
變化版本Google 可以透過變化版本,選擇啟用或停用一部分現有功能,在不推出新版瀏覽器的情況下修改 Chrome。
系統會預設選取「啟用 Chrome 變化版本」。如果選取「僅針對重要修正項目啟用變化版本」,Chrome 便只會套用具有重要安全性或穩定性修正項目的變化版本。
注意:建議您不要選取「停用變化版本」,否則可能會導致 Chrome 開發人員無法及時提供重要安全性修正項目。
請參閱「管理 Chrome 的變化版本架構」。
舊版瀏覽器支援
舊版瀏覽器支援指定使用者是否可以在替代瀏覽器 (例如 Microsoft Internet Explorer) 中開啟部分網址。
指定系統開啟替代瀏覽器所需的時間長度 (以秒為單位)。在這段時間內,系統會顯示插頁,告知使用者即將切換至替代瀏覽器。根據預設,網址會立即在替代瀏覽器中開啟,而不會顯示插頁。
控制 Chrome 瀏覽器如何解讀您設定的網站清單或可疑項目清單政策。這項設定會影響下列項目:
- 舊版瀏覽器支援網站清單:BrowserSwitcherExternalSitelistUrl
- 使用 Internet Explorer 網站清單:BrowserSwitcherUseIeSitelist
- 要在任一瀏覽器中開啟的系列網站網址:BrowserSwitcherExternalGreylistUrl
- 要在替代瀏覽器中開啟的網站:BrowserSwitcherUrlList
- 可在任一瀏覽器中開啟的網站:BrowserSwitcherUrlGreylist
根據預設,系統會選取「預設」。不含斜線「/」的規則會在網址主機名稱的任何位置尋找子字串,且比對網址的路徑部分時會區分大小寫。
選取「企業模式 IE/Edge 相容性」可使網址比對更精確。不含斜線「/」的規則只會在主機名稱結尾進行比對。這類規則比對的內容也不得超出網域名稱的範圍,而網址路徑元件的比對方式將不會區分大小寫。
範例
針對 example1.com 和 example2.com/abc:
- 無論剖析模式為何,http://example1.com/、http://subdomain.example1.com/ 和 http://example2.com/abc 皆為相符的結果。
- 選取「預設」時,只有 http://notexample1.com/、http://example1.com.invalid.com/ 和 http://example1.comabc/ 會是相符的結果。
- 選取「企業模式 IE/Edge 相容性」時,只有 http://example2.com/ABC 會是相符的結果。
讓您使用 Internet Explorer 網站清單來控制要在 Chrome 瀏覽器還是 Internet Explorer 中開啟網址。
指定 XML 檔案的網址,其中包含要使用替代瀏覽器開啟的網站網址清單。您可以參閱這個 XML 檔案範例。
指定 XML 檔案的網址,其中包含不會觸發瀏覽器切換的網站網址清單。
指定要使用替代瀏覽器開啟的網站網址清單。
指定不會觸發瀏覽器切換的網站網址清單。
根據預設,只有網址會以參數形式傳遞給替代瀏覽器。您可以指定要傳遞給替代瀏覽器執行檔的參數,這些參數會在叫用替代瀏覽器時使用。您可以使用特殊的預留位置 ${url}
指定網址在指令列中的顯示位置。
如果網址是應附加到指令列結尾的唯一引數,則您無須指定預留位置。
讓您指定要做為替代瀏覽器使用的程式。例如在 Windows 電腦上,預設的替代瀏覽器是 Internet Explorer。
您可以指定檔案位置或使用下列其中一個變數:
${chrome}
:Chrome 瀏覽器${firefox}
:Mozilla Firefox${ie}
:Internet Explorer${opera}
:Opera${safari}
:Apple Safari
指定從替代瀏覽器返回時要傳遞給 Chrome 瀏覽器執行檔的參數。根據預設,只有網址會以參數形式傳遞給 Chrome 瀏覽器。您指定的參數會在叫用 Chrome 瀏覽器時使用。您可以使用特殊的預留位置 ${url}
指定網址在指令列中的顯示位置。
如果網址是應附加到指令列結尾的唯一引數,則您無須指定預留位置。
指定從替代瀏覽器返回時,要啟動的 Chrome 瀏覽器執行檔。
您可以指定檔案位置或使用變數 ${chrome}
,此變數為 Chrome 瀏覽器的預設安裝位置。
指定是否要在視窗中的最後一個分頁改以替代瀏覽器開啟後,關閉 Chrome 瀏覽器。
Chrome 瀏覽器分頁改以替代瀏覽器開啟後會自動關閉。如果您指定 [完全關閉 Chrome],且在切換前視窗中的最後一個分頁仍開啟著,Chrome 瀏覽器就會完全關閉。
虛擬機器 (VM) 和開發人員
指令列存取權指定使用者是否可以使用指令列 (CLI) 來管理虛擬機器 (VM)。
如果啟用這項政策,使用者即可使用 CLI 的虛擬機器管理功能。
這項設定可讓您控管使用者是否能使用虛擬機器執行 Linux 應用程式,且適用於啟動新的 Linux 容器,而非已在執行的容器。
受管理裝置的預設設定為「禁止使用者透過虛擬機器執行 Linux 應用程式」,即使用者無法使用虛擬機器執行 Linux 應用程式。
然而,如果是未受管理的裝置,預設設定則會是「允許使用者透過虛擬機器執行 Linux 應用程式」。
如果您不想讓使用者存取,則無論使用者使用何種裝置,您都必須明確選取「禁止使用者透過虛擬機器執行 Linux 應用程式」。
如果選取「允許使用者透過虛擬機器執行 Linux 應用程式」,關聯使用者即可使用 Linux 虛擬機器。
如要為無關聯的使用者啟用這項設定,請在「裝置」頁面中選取「允許無關聯的使用者透過虛擬機器執行 Linux 應用程式」。詳情請參閱「無關聯使用者的 Linux 虛擬機器 (Beta 版)」。
注意:這項功能在消費性 ChromeOS 裝置上已不再是 Beta 版;但對受管理的裝置及使用者而言,該功能仍為 Beta 版
這項設定可讓您控制使用者是否可以備份及還原 Linux 虛擬機器中所有已安裝的應用程式、資料和設定。
還原和備份選項會依預設啟用。
注意:這項功能在消費性 ChromeOS 裝置上已不再是 Beta 版;但對受管理的裝置及使用者而言,該功能仍為 Beta 版。
指定是否允許使用者設定目標為虛擬機器 (VM) 容器的通訊埠轉送功能。
如果您選取「禁止使用者啟用及設定目標為 VM 容器的通訊埠轉送功能」,系統會停用通訊埠轉送功能。
這項設定可讓您控管個別使用者是否能使用來源不受信任的 Android 應用程式。不適用於 Google Play。
預設設定為禁止使用者使用來源不受信任的 Android 應用程式。
如果是受到管理的使用者裝置,除非裝置和使用者政策都設為允許使用來源不受信任的 Android 應用程式,否則使用者將無法安裝來源不受信任的應用程式。
如果是未受到管理的使用者裝置,只有當使用者是裝置擁有者時,才能安裝來源不受信任的應用程式,方法是:先登入裝置,然後將使用者政策設為允許使用來源不受信任的 Android 應用程式。
指定是否允許在所有裝置上使用終端機系統應用程式中的 SSH 對外用戶端連線,或是要在已註冊的 Chrome OS 裝置或所有裝置上禁用。
系統預設會針對未受管理的 Chrome OS 裝置啟用該功能。
Parallels Desktop
Parallels Desktop適用於 ChromeOS 裝置。
控管使用者是否能使用適用於 Chromebook 的 Parallels Desktop,在 Chromebook Enterprise 裝置上存取 Microsoft Windows 應用程式與檔案 (包括 Microsoft Office)。
選取 [允許使用者使用 Parallels Desktop] 時,您必須接受使用者授權協議。
適用於 ChromeOS 裝置。
指定 Microsoft Windows 映像檔的網址和 SHA-256 雜湊。使用者在使用 Parallels Desktop 之前,已將 SHA-256 雜湊下載到 Chromebook 上。
適用於 ChromeOS 裝置。
指定執行 Parallels Desktop 所需的磁碟空間 (以 GB 為單位)。預設值為 20 GB。
如果您設定了所需的可用磁碟空間值,但使用者裝置偵測到的剩餘空間小於此值,該裝置就無法執行 Parallels。因此,建議您先確認未壓縮的虛擬機器 (VM) 映像檔大小,以及其他資料或預期要安裝的應用程式數量,再決定所需的磁碟空間值。
適用於 ChromeOS 裝置。
如要允許 Parallels 產生並收集使用者的事件記錄,請選取 [允許與 Parallels 分享診斷資料]。如要進一步瞭解記錄中收集到的資訊,請參閱 Parallels Customer Experience Program。
設定來源
政策優先順序指定使用者與瀏覽器套用 Chrome 政策的優先順序 (由高至低)。詳情請參閱「瞭解 Chrome 政策管理」。
您可以輸入一系列各種來源的裝置端政策,系統隨後會將不同來源的政策合併。合併功能僅支援清單類型和字典類型的政策。
如需更多資訊,請參閱「瞭解 Chrome 政策管理」。
您可以分行輸入要合併的政策,或是使用萬用字元「*」來合併所有支援的政策。
如果清單中的某項政策在相同範圍和層級的來源之間存在衝突,系統就會將這些值合併以建立新政策;如果不同範圍或層級的來源之間存在衝突,系統則會採用優先順序最高的政策。
如果清單中未列出的某項政策有不同的來源、範圍或層級,系統會採用優先順序最高的政策。
您可以在使用者的 Chrome 瀏覽器中查看 chrome://policy,藉此確認這些政策的最終值。
指定與 Google Workspace 帳戶相關聯的政策是否可與裝置層級政策合併。
預設設定為「不合併使用者雲端政策和裝置政策」,可避免使用者層級的雲端政策與任何其他來源的政策合併。
只有在同一機構透過 Google 管理控制台管理 Chrome 瀏覽器和設定檔時,這項設定才會套用;而套用至 Chrome 設定檔的政策則可以進行合併。
您必須將要合併的使用者雲端政策加入政策合併清單。如果未加入,系統就會忽略這項設定。
其他設定
指標回報指定 Chrome 瀏覽器是否要將使用統計資料和當機相關資料回傳給 Google。您可以讓使用者自行設定這個選項,或指定一律開啟或關閉這項設定。
使用統計資料包括偏好設定、按鈕點選次數和記憶體使用量等資訊,如果使用者已開啟「改善搜尋和瀏覽體驗」,則使用統計資料可能會包含網頁網址或個人資訊。
當機報告則包括當機時的系統資訊;根據觸發當機報告時的情況,可能會納入網址或個人資訊。
如要進一步瞭解 Google 透過這些報告收集哪些資料,以及我們會如何使用這些資訊,請參閱 Chrome 的隱私權政策。
可讓您設定單一 Chrome 瀏覽器工作階段可使用的記憶體上限,系統會在達到此上限時自動關閉瀏覽器分頁以節省記憶體。設定這項政策後,如果超過記憶體使用限制,瀏覽器會開始關閉分頁以節省記憶體。如果未設定這項政策,瀏覽器只會在偵測到電腦上的實體記憶體即將用盡時,才會嘗試節省記憶體。
指定是否要一律開啟或關閉高效率模式。選取「啟用高效率模式」可確保系統會在幾小時後在背景中捨棄分頁,以收回記憶體。
預設選項為「允許使用者決定」。使用者可以在 chrome://settings/performance 中開啟或關閉高效率模式。
指定瀏覽器絕不會捨棄的網頁清單,即使記憶體不足或高效率模式已啟用也不例外。
系統會卸載捨棄的網頁,並完整收回該網頁的資源。相關分頁仍會保留在分頁列中,但切換至該分頁時,將觸發系統完整重新載入該分頁。
如需有效網址模式的相關資訊,請參閱「Enterprise 政策網址模式格式」一文。
指定 Chrome 用來在磁碟上儲存快取檔案的目錄。
如果您在「磁碟快取目錄」欄位中輸入變數,即使使用者已定義磁碟快取 dir 參數,Chrome 仍會使用該目錄。如果未設定這項政策,Chrome 會使用預設的快取目錄,但使用者可定義磁碟快取 dir 參數來覆寫這項設定。
如需支援的變數清單,請參閱「支援的目錄變數」。
指定 Chrome 對磁碟快取檔案的儲存空間限制。
如果您將政策設為指定大小,即使使用者已定義磁碟快取大小參數,Chrome 仍會使用該快取大小。MB 以下的值會進位為 MB。
如果未設定這項政策,Chrome 會使用預設的快取大小,但使用者可以變更這項設定。
指定當 Chrome 瀏覽器關閉時是否要繼續執行背景應用程式。
啟用這項政策後,當 Chrome 瀏覽器關閉時,背景應用程式和目前瀏覽工作階段會保持在運作狀態,包括任何工作階段 Cookie。使用者隨時可以使用系統匣中顯示的圖示,關閉背景程序。
允許使用者決定:背景模式預設為停用,且使用者可在瀏覽器設定中加以控制。
停用背景模式:背景模式已停用,且使用者無法在瀏覽器設定中加以控制。
啟用背景模式:背景模式已啟用,且使用者無法在瀏覽器設定中加以控制。
控制是否允許 Google Chrome 不定時傳送查詢給 Google 伺服器,以擷取準確的時間戳記。預設為允許查詢。
指定系統從裝置管理服務收到政策無效通知及擷取新政策之間的最長延遲時間 (以毫秒為單位)。
有效值範圍介於 1,000 (1 秒) 到 300,000 (5 分鐘) 之間。如果您輸入的值小於 1 秒,系統會使用 1 秒;如果您輸入的值大於 5 分鐘,系統會使用 5 分鐘。
如果不設定這項政策,系統會使用 10 秒的預設值。
指定是否要允許使用者造訪的網站透過 WebXR Device API 建立沉浸式擴增實境 (AR) 工作階段。
系統會預設選取「允許建立 WebXR immersive-ar 工作階段」,如此一來,使用者便可進入 AR 體驗。
如果選取「禁止建立 WebXR immersive-ar 工作階段」,則會強制 WebXR Device API 拒絕建立 immersive-ar 工作階段的要求。但目前的 immersive-ar 工作階段可繼續運作。
指定是否要將密碼、歷史記錄和設定等 Chrome 資訊同步處理至雲端。預設設定為啟用 Chrome 同步。
您可以選取在使用者關閉所有瀏覽器視窗時,要刪除的瀏覽資料類型。這項設定的優先順序高於「清除瀏覽器記錄」設定。
如果 Google Chrome 未正確關閉 (例如瀏覽器或 OS 當機),系統會在下次載入使用者設定檔時清除瀏覽資料。
指定使用者能否在多部裝置上將 Chrome 資訊保持同步,例如密碼、歷史記錄和書籤。選擇下列任一選項:
- 啟用 Chrome 同步:此為預設選項,會為使用者開啟 Chrome 同步功能。如此一來,Chrome 資訊就會自動同步至使用者的 Google 帳戶。
- 允許漫遊設定檔:使用者可各自建立一個內含 Chrome 資訊的 Chrome 設定檔,以便在公司或學校中的每部電腦上重複使用。您可以針對「漫遊設定檔目錄」,輸入 Chrome 瀏覽器用來儲存 Chrome 設定檔漫遊副本的目錄。
- 禁止同步:使用者只能存取儲存在裝置上的 Chrome 資訊。
如果您選取的是「啟用 Chrome 同步」或「允許漫遊設定檔」,請選擇要從同步處理作業中排除的 Chrome 資訊類型 (如果有的話)。
如需瞭解漫遊設定檔的相關資訊,請參閱「將 Chrome 瀏覽器與漫遊使用者設定檔搭配使用」。
如果選取「啟用 Chrome 同步」,當使用者的驗證到期時,瀏覽器工具列的右上方會自動顯示「已暫停」訊息。此外,您可以使用重新驗證提示開啟新的瀏覽器分頁,以便受管理的使用者重新登入。
您只能在頂層機構單位設定這項政策。
透過管理控制台刪除瀏覽器時,您可以撤銷或刪除裝置權杖。
您在 Chrome Enterprise 基本版中註冊裝置之後,系統會為裝置新增專屬的裝置權杖。更新政策及回報同步處理作業時,系統會使用這組裝置權杖來識別管理控制台中的瀏覽器。
如果您選取「撤銷權杖」(預設),瀏覽器從「受管理的瀏覽器」清單中刪除之後,裝置權杖會保留在裝置中並標示為無效。您無法在Chrome Enterprise 基本版中重新註冊裝置。在您手動刪除裝置權杖,並置入有效的註冊權杖之前,裝置會維持不受管理的狀態。
如果您選取「刪除權杖」,在瀏覽器從「受管理的瀏覽器」清單中刪除之後,裝置權杖就會從裝置中刪除。如果裝置中已部署有效的註冊權杖,瀏覽器下次重新啟動時,即可在 Chrome Enterprise 基本版中重新註冊裝置。
如要進一步瞭解裝置權杖的儲存位置,請參閱註冊採用雲端式管理的 Chrome 瀏覽器。指定是否允許在 Chrome 作業系統裝置與已連線的 Android 手機上,將 Wi-Fi 網路設定保持同步。
如果選取「不允許將 Wi-Fi 網路設定同步到所有 Google ChromeOS 作業系統裝置和已連線的 Android 手機」,使用者就無法同步處理 Wi-Fi 網路設定。
如果選取「允許將 Wi-Fi 網路設定同步到所有 Google Chrome OS 裝置和已連線的 Android 手機」,使用者將可在 Chrome OS 裝置和已連線的 Android 手機上,將 Wi-Fi 網路設定保持同步。不過,使用者必須先完成設定流程以明確啟用這項功能。
決定瀏覽器閒置多久後會從 Google 管理控制台中刪除。只要註冊瀏覽器的閒置時長超過這項政策設定的值,就會遭到刪除。
這項政策的原始預設值是 540 天 (18 個月)。最少 28 天,最多 730 天。
重要注意事項:如果降低政策設定值,可能會影響目前已註冊的所有瀏覽器。所有受影響的瀏覽器視同閒置,因此會永久刪除。為確保刪除的瀏覽器會在下次重新啟動時自動重新註冊,請先將裝置權杖管理政策值設為「刪除權杖」,再降低這項政策的值。這些瀏覽器重新啟動時,註冊權杖仍須處於有效狀態。
如需瞭解詳情,請參閱「停止管理或刪除 Chrome 瀏覽器」一文。
控管是否要在使用者帳戶上啟用或停用快速配對功能。
快速配對是藍牙配對功能,可連結已配對的周邊裝置與 Google 帳戶。這能讓使用同一個 Google 帳戶登入的其他 ChromeOS 和 Android 裝置自動與使用者的裝置進行配對。
系統會預設為企業版使用者停用這項設定,而未受管理的使用者則會預設為啟用。
指定系統是否要在有多個憑證相符時,提示使用者選取用戶端憑證。
如果您選擇提示使用者,並且在「用戶端憑證」設定中輸入網址模式清單,那麼每當自動選取政策與多個憑證相符時,系統就會要求使用者選取用戶端憑證。
如果將「用戶端憑證」設定留空,系統可能只會在沒有憑證符合自動選取條件時提示使用者。
詳情請參閱「用戶端憑證」。
Chrome 106 以上版本將不再支援永久配額。
網頁應用程式可以向系統查詢正在使用以及可供應用程式使用的儲存空間大小。Google Chrome 會區隔暫時及永久儲存空間,並允許網頁應用程式在需要時要求更多儲存空間。
在 Chrome 107 版之前,您都可以使用這項設定來為 webkitRequestFileSystem 重新啟用永久配額功能,而永久類型的 webkitRequestFileSystem 將採用永久配額運作。
如果您選取的是預設設定「停用永久配額」,永久類型的 webkitRequestFileSystem 將採用暫時配額運作。
您可以選擇不向 Google 回報網域可靠性的相關資料。根據預設的設定,只要 Chrome 使用者指標政策允許,每當連線至網站時發生任何網路錯誤,就會上傳報告。
控制是否在 iOS 裝置備份中納入 Google Chrome 資料。
根據預設,系統會開啟這項設定。 關閉這項設定後,Google Chrome 資料 (包括 Cookie 和網站本機儲存空間) 會從 iCloud 和 iOS 裝置本機備份中排除。
資料控管
資料控管報告您可以針對資料控制項所觸發的資料外洩防護事件,啟用即時報表功能。報表功能預設為停用;選取「啟用資料控管事件的報告設定」即可開啟這項功能。
如要進一步瞭解如何開啟資料控制項,請參閱「設定 ChromeOS 資料控制項」。
僅適用於具備 Chrome Enterprise 進階版授權的受管理使用者和瀏覽器。
控制機構使用者是否可從特定來源複製內容。
您可以指定要封鎖、允許或警告使用者從特定來源複製的網址。如需有效網址模式的相關資訊,請參閱 Enterprise 政策網址模式格式。
允許從以下來源複製內容,但貼至特定目標位置時除外
指定允許使用者複製內容的來源網址,但不能貼至特定目標位置。舉例來說,您可以允許使用者複製機構內部網路或知識庫中的內容,但他們只能將該內容貼到內部通訊管道,不能貼到社群媒體等外部管道。
- 內容來源:指定允許使用者複製內容的來源網址。您必須填寫這個欄位,設定才會生效。
- 在有人於以下目標位置貼上內容時顯示警告:指定使用者嘗試將內容貼到這些目標位置時,要顯示警告的目標網址。使用者可以在警告顯示後選擇是否要貼上內容。
- 禁止貼到以下目標位置:指定禁止使用者複製及貼上內容的目標網址。
- 禁止貼到:勾選相關方塊,禁止將內容貼到其他 Chrome 設定檔、無痕視窗或非 Chrome 應用程式。
禁止從以下來源複製內容,但貼至特定目標位置時除外
指定禁止使用者複製內容的來源網址,但允許貼至特定目標位置。舉例來說,您可以禁止使用者複製含有機密資料的網路內容,但允許將內容貼到其他網站或外部應用程式 (例如文字檔或其他瀏覽器)。
- 內容來源:指定禁止使用者複製內容的來源網址。您必須填寫這個欄位,設定才會生效。
- 在有人於以下目標位置貼上內容時顯示警告:指定使用者嘗試貼上從這些來源複製的內容時,要顯示警告的目標網址。使用者可以在警告顯示後選擇是否要貼上內容。
- 允許將內容貼到以下目標位置:指定允許使用者複製及貼上內容的目標網址。
僅適用於具備 Chrome Enterprise 進階版授權的受管理使用者和瀏覽器。
控制是否允許貴機構使用者將內容貼到特定目標位置。
您可以指定要封鎖、允許或警告使用者將內容貼到特定目標位置的網址。如需有效網址模式的相關資訊,請參閱「Enterprise 政策網址模式格式」。
允許在以下目的地貼上內容 (從特定來源複製時除外)
指定允許貼上內容的目標網址,但不能從特定來源複製。舉例來說,您可以允許將內容貼入機構的程式碼存放區,但前提是該內容必須來自特定的網頁式工作應用程式,不能來自設為開源的存放區、競爭對手的網站、非 Chrome 應用程式 (例如 Notes 應用程式) 或非 Chrome 瀏覽器。
- 貼上內容的目標位置:指定允許使用者貼上內容的目標網址。您必須填寫這個欄位,設定才會生效。
- 在貼上從以下來源複製的內容時,顯示警告:指定使用者嘗試貼上從這些來源複製的內容時,要顯示警告的來源網址。使用者可以在警告顯示後選擇是否要貼上內容。
- 禁止貼上從以下來源複製的內容:指定使用者無法複製及貼上內容的來源網址。
- 禁止貼上從以下來源複製的內容:勾選相關方塊,即可禁止貼上從其他 Chrome 設定檔、無痕視窗或非 Chrome 應用程式中複製的內容。
禁止在以下目的地貼上內容 (從特定來源複製時除外)
指定禁止貼上內容的目標網址,但允許從特定來源複製。舉例來說,您可以禁止將內容貼到機構的客戶關係管理 (CRM) 平台,但如果該內容是從 CRM 中複製則可以貼上。
- 貼上內容的目的地:指定禁止使用者貼上內容的目標網址。您必須填寫這個欄位,設定才會生效。
- 在貼上從以下來源複製的內容時,顯示警告:指定使用者嘗試貼上從這些來源複製的內容時,要顯示警告的來源網址。使用者可以在警告顯示後選擇是否要貼上內容。
- 允許貼上從以下來源複製的內容:指定允許使用者複製及貼上內容的來源網址。
螢幕截圖防護功能適用於 Windows 和 Mac 裝置,而螢幕分享防護功能則僅適用於 Windows 裝置。這項設定不適用於 Linux 裝置。
僅適用於具備 Chrome Enterprise 進階版授權的受管理使用者和瀏覽器。
控制是否允許機構使用者在裝置上拍攝特定網站的螢幕截圖,以及分享畫面。無論透過何種方式拍攝螢幕截圖,一律會受到這項政策的規範,包括透過鍵盤快速鍵或使用 Chrome API 擷取的應用程式和擴充功能。
您可以指定網址模式清單,做為所選螢幕截圖行為的例外狀況。如需有效網址模式的相關資訊,請參閱「Enterprise 政策網址模式格式」。
- 啟用禁止螢幕截圖設定 (以下網址除外):指定允許螢幕截圖和分享螢幕畫面的網站網址。使用者無法在所有網站上擷取螢幕截圖和分享螢幕畫面,但您指定的網站除外。
- 停用禁止螢幕截圖設定 (以下網址除外):指定要禁止螢幕截圖和分享螢幕畫面的網站網址。使用者可以在所有網站上擷取螢幕截圖和分享螢幕畫面,但您指定的網站除外。
已登入使用者 Chrome 管理服務
已登入使用者 Chrome 管理服務指定使用者在任何裝置上使用自己的 Google 帳戶登入 Chrome 時,系統是否會強制執行您在管理控制台中設定的使用者層級 Chrome 政策。如要調整設定,請按一下「編輯」。否則系統會預設選取「在使用者登入 Chrome 時套用所有使用者政策,並提供受管理的 Chrome 體驗」。
如需確保回溯相容性,您可以讓使用者以非受管使用者的身分登入 Chrome,只要選取「不要在使用者登入 Chrome 時套用任何政策。允許使用者以非受管理使用者身分使用 Chrome」即可。如此一來,當使用者登入 Chrome 時,就不會再收到您在管理控制台中設定的使用者層級政策,包括應用程式和擴充功能。
當您關閉 Chrome 管理服務再重新開啟時,部分使用者的帳戶可能會出現異動。再次開啟前,請先通知使用者。在 Chrome 管理服務關閉期間,使用者可能是以非受管使用者的身分登入。再次開啟這項設定後,Android 應用程式可能會遭到移除,或使用者可能無法再將多人同時登入 ChromeOS 裝置。
如果您透過管理控制台管理 ChromeOS 裝置,無須開啟 Chrome 管理服務即可套用政策。即使您關閉這項設定,使用者層級政策仍會套用到這些 ChromeOS 裝置。
如需瞭解如何設定 Chrome 瀏覽器的使用者層級管理服務,請參閱「管理 Chrome 瀏覽器的使用者設定檔」。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。