适用于为企业或学校管理 Chrome OS 设备的管理员。
作为管理员,您可以使用 Google 管理控制台配置设备政策,对设备的网络连接施加限制。例如:
- 您可以限定在组织部门中注册的设备只能连接到以太网。
- 您也可以禁止员工连接到用个人手机创建的 WLAN 热点。
- 当受管理的网络不在设备可连接范围内时,您可以允许用户连接到不受管理的网络。如果有受管理的网络可用,设备会自动从不受管理的网络切换到受管理的网络。也就是说,用户在工作单位或学校必须连接到受管理的网络,但在家中或公共场所则可以连接到不受管理的网络。
- 如果您所在组织同时拥有办公网络和访客网络,您可能需要禁止设备访问访客网络,但允许用户在家中使用个人设备。在这种情况下,您可以禁止访问某些 Wi-Fi SSID。
注意事项
- 这些政策会按设备应用到受管理和非受管用户。您设置的政策也会应用到受管理的访客会话和自助服务终端。
- 自动连接设置仅适用于 ChromeOS 设备上的 Wi-Fi 或以太网。
- 以下说明适用于 SIM 卡锁定设置:
- 如果您选择应用此限制,并且用户的 SIM 卡已开启 SIM 卡锁定设置,则用户会看到提示其关闭 SIM 卡锁定设置的通知。如果 SIM 卡被 PUK 码锁定,那么您必须手动输入 SIM 卡的 PUK 码,以便解锁 SIM 卡并关闭 SIM 卡锁定设置。系统会自动将新的默认 PIN 码设为 1111。
- 如果用户输错 PIN 码三次,SIM 卡就会被 PUK 码锁定。这时,如果用户能够输入正确的 PUK 码,系统就会解锁 SIM 卡。通常情况下,除了使用正确的 PUK 码来解锁被 PUK 码锁定的 SIM 卡之外,还需要提供一个新的 PIN 码。在无法通过 PIN 码解锁 SIM 卡,而使用 PUK 码进行解锁后,系统会自动将新的 PIN 码设为 1111。在这种情况下,您只需提供正确的 PUK 码,而无需提供新的 PIN 码。
- 这些政策会对您的 Chromebook 部署产生一些影响(如下所述)。
如果您的政策配置有误,设备可能无法连接到网络以及接收政策更新。例如,当您限制设备只能连接到一组经过特定配置的 Wi-Fi 后,如果您更换了网络硬件的 SSID,那么您的用户将无法连接到新的 SSID,而且您将无法向他们推送新的网络政策,因为他们的设备已无法连接到网络。
为尽量避免部署问题,网络限制仅在用户登录后才应用到设备。登录屏幕不会强制执行您设置的限制。因此,如果您的政策配置有误,用户可以退出登录,在登录屏幕中连接到某个网络,然后在已连接至能够下载修订后政策的有效网络的情况下重新登录。
我们建议您在设备层面配置一个有效网络,让设备可在登录屏幕上自动连接该网络。这样一来,如果出现部署错误,用户就可以退出账号,其设备将自动连接到该网络。
我们建议您分阶段为各个组织部门部署这些设置。这样一来,如果政策配置有误,则只有少数用户会受到影响。
这些政策会在设备层面应用。用户可能无法在家中使用公司设备,这是因为在工作场所之外的地方,设备可能不符合相关政策限制。例如,用户在家时所用的 Wi-Fi 配置与工作场所不同;如果用户想使用设备在咖啡店办公,可能无法连接到以太网。
如果您受管理的账号应用了网络限制,那么用户可能无法在在工作场所使用个人设备。由于这些政策应用于设备而非用户,因此用户仍可以使用受管理的账号登录个人设备,不过您设置的网络限制不会应用到个人设备。
将设备移至其他组织部门时,请注意以下事项:
- 要在新的组织部门中保留设备上的现有 eSIM 卡,请先确保新的组织部门中已存在具有相同 SDMP+ 网址的移动网络配置。
- 如需从设备中清除现有 eSIM 卡,在移动设备之前,请使用重置 eSIM 卡功能将 eSIM 卡配置文件从设备中永久移除。有关详情,请参阅查看 ChromeOS 设备详细信息。
- 如果将设备移至网络配置不匹配的组织部门,则会导致设备上受管理的 eSIM 卡不再受管理。系统不会将任何政策设置应用于网络。
限制网络连接
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
- 点击常规设置(仅限 Chromebook)。
-
(可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- (可选)仅自动连接到受管理的网络:
- 点击自动连接。
- 勾选限定用户只能自动连接到受管理的网络复选框。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)仅允许用户连接到为所选组织部门配置的 Wi-Fi 网络:
- 点击 Wi-Fi 网络。
- 从限定用户只能连接到为此组织部门配置的 Wi-Fi 网络列表中,选择相应选项:
- 限制 - 禁止访问所有不受管理的网络,无论是否有可用的受管理网络。
- 仅当受管理的 Wi-Fi 网络在设备可连接的范围内时,才限制连接 - 在没有可用的受管理网络时(例如在工作单位或学校外面时),允许连接到不受管理的网络。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)仅允许用户连接到为所选组织部门配置的移动网络:
- 点击移动网络。
- 勾选限定用户只能连接到为此组织部门配置的移动网络(Chrome 版本 100 或更高版本)复选框。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)限制用户通过 PIN 码锁定设备上的 SIM 卡:(可选)指定用户可以连接的网络接口:
- 点击 SIM 卡锁定。
- 勾选限制用户通过 PIN 码锁定设备上的 SIM 卡(Chrome 108 版或更高版本)复选框。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- 点击允许的网络接口。
- 勾选您想允许用户连接的网络接口对应的复选框。选择一个或多个选项:Wi-Fi、以太网、移动网络、VPN。
注意:如果您勾选 VPN 复选框,则必须使用已集成到 ChromeOS 的 VPN。针对 VPN 应用解决方案,您可以使用应用限制政策来允许或禁止 VPN 访问。 -
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)禁止用户连接到特定 Wi-Fi 网络:
- 点击被屏蔽的 Wi-Fi 网络。
- 输入要屏蔽的 SSID。每行输入一个 SSID。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)限制用户设备上移动网络的 SIM 卡短信通知:
- 点击 SIM 卡短信。
- 对于允许设备显示短信,选择相应选项:
- 允许用户决定 - 此为默认设置。允许用户在其设备上配置显示短信设置。用户可以指定是否显示每个网络的短信通知。
- 不限制 - 用户会在其设备上收到所有移动网络的短信通知。用户无法在其设备上更改显示短信设置。
- 限制 - 在设备上禁止和屏蔽所有移动网络的所有短信通知。用户无法在其设备上更改显示短信设置。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)连上以太网时自动断开 Wi-Fi 连接:
- 点击连上以太网时断开 Wi-Fi 连接。
- 根据需要选择相应选项:
- 允许用户决定 - 此为默认设置。允许用户在其设备上配置连上以太网时断开 Wi-Fi 连接设置。
- 不断开 - 在用户连上以太网时保持 Wi-Fi 连接。用户无法在其设备上更改连上以太网时断开 Wi-Fi 连接设置。
- 连上以太网时断开连接 - 在插入以太网网线并连上网络后,断开 Wi-Fi 连接。
- 在以太网连上互联网时断开连接 - 在插入以太网网线并连上互联网后,断开 Wi-Fi 连接。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。