适用于为企业或学校管理 Chrome OS 设备的管理员。
作为管理员,您可以使用 Google 管理控制台配置设备政策,以限制网络连接。例如:
- 您可以限制在组织部门中注册的设备只能连接到以太网。
- 您可以禁止员工连接到用个人手机创建的 WLAN 热点。
- 当受管理的网络不在设备范围内时,您可以允许用户连接到不受管理的网络。如果有受管理的网络可用,设备会自动从不受管理的网络切换到受管理的网络。这意味着,他们在工作单位或学校必须连接到受管理的网络,但在家中或公共环境则可以连接到不受管理的网络。
- 如果您的组织拥有高效办公网络和访客网络,您可能要禁止设备访问访客网络,但允许用户在家中使用个人设备登录。在这种情况下,您可以禁止访问某些 Wi-Fi SSID。
注意事项
- 这些政策会按设备应用到受管理和非受管用户。您设置的政策也会应用到受管理的访客会话和自助服务终端。
- 自动连接设置仅适用于 ChromeOS 设备上的 Wi-Fi 或以太网连接。
- 下面的说明适用于 SIM 卡锁定设置:
- 如果您选择应用此项限制,并且用户的 SIM 卡已开启 SIM 卡锁定设置,则用户会看到提示他们关闭 SIM 卡锁定设置的通知。如果 SIM 卡被 PUK 码锁定,那么您必须手动输入 SIM 卡的 PUK 码,以便解锁 SIM 卡并关闭 SIM 卡锁定设置。新的默认 PIN 码会自动设为 1111。
- 如果用户输错 PIN 码三次,SIM 卡就会被 PUK 码锁定。这时,如果用户能够输入正确的 PUK 码,系统就会解锁 SIM 卡。在这种情况下,除了提供正确的 PUK 码来解锁被 PUK 码锁定的 SIM 卡之外,您通常还应提供一个新的 PIN 码。在通过 PUK 码解锁 SIM 卡时,如果系统不允许通过 PIN 码解锁 SIM 卡,新的 PIN 码会自动设为 1111。在这种情况下,您只需提供正确的 PUK 码,而无需提供新的 PIN 码。
- 这些政策会对您的 Chromebook 部署产生一些影响(如下所述)。
如果您的政策配置有误,设备可能无法连接到网络以及接收政策更新。例如,当您限制设备只能连接到一组经过特定配置的 Wi-Fi 后,如果您更换了网络硬件的 SSID,那么您的用户将无法连接到新的 SSID,,而且您将无法向他们推送新的网络政策,因为他们的设备已无法连接到网络。
为尽量避免部署问题,网络限制仅在用户登录后才应用到设备。登录屏幕不会强制执行您设置的限制。因此,如果您的政策配置有误,用户可以退出登录,在登录屏幕中连接到某个网络,然后(在已连接至能够下载修订后政策的有效网络的情况下)重新登录。
我们建议您按设备配置一个有效网络以让设备在登录屏幕上可自动连接该网络。这样一来,如果出现部署错误,用户就可退出账号,其设备将自动连接到该网络。
我们建议您分阶段为各个组织部门部署这些设置。这样一来,如果政策配置有误,则只有少数用户会受到影响。
这些政策会应用于整台设备。用户可能无法在家中使用公司设备,这是因为在工作场所之外的地方,设备可能不符合相关政策限制。例如,用户在家时所用的 Wi-Fi 配置与工作场所不同;如果用户想使用设备在咖啡店办公,可能无法连接到以太网。
如果您对管理的账号应用了网络限制,那么用户可能无法在工作场所使用个人设备。由于这些政策应用于设备而非用户,因此用户仍可以使用受管理的账号登录个人设备,不过您设置的网络限制不会应用到设备。
将设备移至其他组织部门时,请注意以下事项:
- 要在新的组织部门中保留设备上的现有 eSIM 卡,请先确保新的组织部门中已存在具有相同 SDMP+ 网址的移动网络配置。
- 如需从设备中清除现有 eSIM 卡,在移动这些设备之前,请使用重置 eSIM 卡功能将 eSIM 卡配置文件从设备中永久移除。如需了解详情,请参阅查看 Chrome 操作系统设备详细信息。
- 如果将设备移至没有相符的网络配置的组织部门,则会导致设备上受管理的 eSIM 卡不再受管理。系统不会将任何政策设置应用于网络。
限制网络连接
-
-
在管理控制台中,依次点击“菜单”图标
设备
网络。
- 点击常规设置(仅限 Chromebook)。
-
(可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- (可选)仅自动连接到受管理的网络:
- 点击自动连接。
- 勾选限定用户只能自动连接到受管理的网络对应的复选框。
- 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)仅允许用户连接到为所选组织部门配置的 Wi-Fi 网络:
- 点击 Wi-Fi 网络。
- 在仅允许用户连接到为此组织部门配置的 Wi-Fi 网络列表中,选择一个选项:
- 限制 - 禁止访问所有不受管理的网络(无论是否有可用的受管理网络)。
- Restrict only if a managed Wi-Fi network is in range(仅当受管理的 WLAN 网络在设备可及的范围内时,连接才会受限)- 在没有受管理的网络可用的情况下(例如在工作单位或学校外面时),允许连接到不受管理的网络。
- 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)仅允许用户连接到为所选组织部门配置的移动网络:
- 点击移动网络。
- 勾选限定用户只能连接到为此组织部门配置的移动网络(Chrome 版本 100 或更高版本)对应的复选框。
- 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)限制用户对其设备的 SIM 卡应用 PIN 码锁定:
- 点击 SIM 卡锁定。
- 勾选限制用户通过 PIN 码锁定设备上的 SIM 卡(Chrome 108 版或更高版本)复选框。
- 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- 点击允许的网络接口。
- 勾选您想允许用户连接的网络接口对应的复选框。选择以下一项或多项:Wi-Fi、以太网、移动网络、VPN。
注意:如果您勾选 VPN 复选框,则必须使用已集成到 ChromeOS 的 VPN。针对 VPN 应用解决方案,您可以使用应用限制政策来允许或禁止 VPN 访问。 - 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)禁止用户连接到特定 WI-FI 网络:
- 点击被屏蔽的 WI-FI 网络。
- 输入您想屏蔽的 SSID。每行输入一个 SSID。
- 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
- (可选)限制用户设备上的移动网络的 SIM 卡短信通知:
- 点击 SIM 卡短信。
- 在允许设备显示短信部分,选择一个选项:
- 允许用户决定 - 此为默认设置。允许用户在其设备上配置显示短信设置。用户可以指定是否按网络显示短信通知。
- 不限制 - 用户会在其设备上收到所有移动网络的短信通知。用户无法在其设备上更改显示短信设置。
- 限制 - 禁止和屏蔽设备上所有移动网络的所有短信通知。用户无法在其设备上更改显示短信设置。
- 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。