适用于在 Chrome 浏览器中登录受管理帐号的 Windows 用户。
作为管理员,您可以在用户的计算机上自动安装 Chrome 应用和扩展程序。您还可以控制用户可以安装哪些应用或扩展程序。您可为所有应用和扩展程序设置默认政策。之后,如果您要为特定应用或扩展程序自定义政策,则可以覆盖默认政策。
第 1 步:查看政策
政策 | 说明和设置 |
ExtensionSettings |
管理用户可以安装的应用和扩展程序。 会覆盖以下扩展程序政策(这些政策可能已设置完毕): |
第 2 步:更新组策略
在 Microsoft Windows 组策略编辑器(“计算机配置”或“用户配置”文件夹)中:
- 转到管理模板
Google
Google Chrome
扩展程序。
- 打开扩展程序管理设置。
提示:如果您未看到此政策,请下载最新政策模板。 - 启用此政策,然后在文本框中输入此政策的紧凑 JavaScript 对象表示法 (JSON) 格式的数据。
注意:请在一行中输入 JSON 数据,不要换行。您可以使用此第三方 JSON 压缩工具验证政策并将其压缩到一行中(JSON 数据示例参见下文)。 - 设置所需的应用和扩展程序政策(详细信息参见下文)。
JSON 数据示例 |
{ "*": { "runtime_blocked_hosts": ["*://*.example.com"], "blocked_permissions": ["usb"] } } |
紧凑 JSON 数据 |
{"*":{"runtime_blocked_hosts":["*://*.example.com"],"blocked_permissions":["usb"]}} |
第 3 步:获取 Chrome 应用或扩展程序 ID
如果您不打算为特定应用或扩展程序自定义政策,请跳过此步骤。
要为特定 Chrome 应用或扩展程序应用政策和设置,您需要获取其 ID。每个应用和扩展程序在 Chrome 网上应用店中都有唯一标识符 (ID)(不会因为版本的不同而发生变化)。因此,如果有用户在多台设备上安装了某个应用或扩展程序,那么这个应用或扩展程序在所有设备上的 ID 都是相同的。每个 ID 的长度为 32 个字符。
要查找应用或扩展程序 ID,请按以下步骤操作:
- 打开 Chrome 网上应用店。
- 找到并选择所需的应用或扩展程序。
- 查看相应网址。ID 是网址末尾的一长串字符。
例如,gmbgaklkmjakoegficnlkhebmhkjfich 是 Google 日历的 ID。
第 4 步:设置应用和扩展程序政策
- 设置应用于所有应用和扩展程序的默认政策。请使用 * 值。
- (可选)为个别应用或扩展程序自定义政策。请使用应用或扩展程序 ID(详见上文)。
要自动安装 Chrome 应用商店以外的应用或扩展程序,您必须将相应计算机添加到使用 Microsoft Active Directory 的网域。
您可以控制是否在设备上屏蔽、允许或自动安装应用或扩展程序。此政策会覆盖 ExtensionInstallForcelist 政策。
在 ExtensionSettings 政策中,将安装模式设为下列模式之一:
您可以控制是否在设备上屏蔽、允许或自动安装应用或扩展程序。此政策会覆盖 ExtensionInstallForcelist 政策。
在 ExtensionSettings 政策中,可将安装模式设置为:
- allowed - 用户可以通过 Chrome 网上应用店安装应用和扩展程序。如果未定义安装模式,则这是默认设置。
- blocked - 用户无法通过 Chrome 网上应用店安装应用和扩展程序。您可以设定自定义错误消息,通知用户系统已屏蔽安装内容(详见下文)。
- force_installed - 自动安装您指定的扩展程序,无需用户交互操作。用户不能停用或移除安装内容。您还需要指定扩展程序的下载位置(详见下文)。
- normal_installed - 自动安装您指定的扩展程序,无需用户交互操作。用户可以停用安装内容。您还需要指定扩展程序的下载位置(详见下文)。
安装代码示例
点击此处下载示例 JSON 文件。您可以使用文本编辑器对其进行编辑。
该示例展示了如何执行以下操作:
- 在用户设备上自动安装 Google 文档的离线功能 (ghbmnnjooekpmoecnnnilnnbdlolhkhi) 和 Google Keep (lpcaedmchfhocbbapmcbpinfpgnhiddi)。
- 允许用户停用 Keep,但不停用文档的离线功能。
- 允许用户通过 Chrome 应用商店安装 Google 日历 (gmbgaklkmjakoegficnlkhebmhkjfich)。
- 禁止用户安装任何其他应用或扩展程序。
您可以固定 Chrome 应用或扩展程序的最新版本,从而控制何时将它们更新到更新的版本。在 ExtensionSettings 政策中,将 override_update_url 设置为:
- True - Chrome 浏览器会使用您在此政策中指定的 update_URL 或您在 ExtensionInstallForcelist 政策中指定的网址。
- False - 这是默认值。Chrome 浏览器会使用扩展程序的清单中指定的网址。
扩展程序下载位置代码示例
- 在用户设备上自动安装 Google 文档的离线功能 (ghbmnnjooekpmoecnnnilnnbdlolhkhi)。
- 请务必使用本政策中指定的 update_URL 安装和更新 Google 文档的离线功能。
{
"ghbmnnjooekpmoecnnnilnnbdlolhkhi": {
"installation_mode": "force_installed",
"update_url":
"https://clients2.google.com/service/update2/crx"
"override_update_url": true
}
}
仅适用于 force_installed 和 normal_installed 模式。
如果您想在设备上自动安装扩展程序,则需要指定 Chrome 下载该扩展程序的目标位置。
要指定扩展程序的下载位置,请选择以下任一选项:
- 如果扩展程序由 Chrome 应用商店托管,请输入 https://clients2.google.com/service/update2/crx。
- 如果扩展程序位于您自己的服务器上,请输入可让 Chrome 下载该封装的扩展程序(.crx 文件)的网址。
扩展程序下载位置代码示例
{
"ghbmnnjooekpmoecnnnilnnbdlolhkhi": {
"installation_mode": "force_installed",
"update_url":
"https://clients2.google.com/service/update2/crx"
}
}
如果您将政策设为禁止用户安装特定应用或扩展程序,则可以设置自定义消息,在用户尝试安装时显示在相应设备上。举例来说,您可以向用户说明如何联系其 IT 部门或为何无法使用特定扩展程序。消息长度上限为 1 千个字符。
自定义消息代码示例
点击此处下载示例 JSON 文件。您可以使用文本编辑器对其进行编辑。
该示例展示了如何执行以下操作:
- 针对 Google 日历 (gmbgaklkmjakoegficnlkhebmhkjfich) 显示特定消息。
- 针对所有其他应用和扩展程序显示通用消息。
您可以禁止用户运行请求您单位不允许的权限的应用或扩展程序。举例来说,您可以屏蔽连接到 USB 设备或访问 Cookie 的扩展程序。
要获取可用权限的列表,请参阅 Chrome 应用和扩展程序权限。
禁止权限请求的代码示例
点击此处下载示例 JSON 文件。您可以使用文本编辑器对其进行编辑。
该示例展示了如何执行以下操作:
- 仅允许运行 Chrome 远程桌面 (gbchcmhmhahfdphkhkmpfmihenigjmpp)(需要 USB 权限)。
- 屏蔽所有需要 USB 权限的其他应用。
您可以禁止设备上的扩展程序修改您指定的网站。相关修改包括阻止脚本注入、访问 Cookie 和修改网络请求。此设置不会阻止用户安装或移除扩展程序。
您可以使用 2 种设置:
-
runtime_blocked_hosts - 禁止扩展程序与指定网站交互。
-
runtime_allowed_hosts - 允许扩展程序与指定网站交互(即使 runtime_blocked_hosts 中也指定了同样的网站)。
主机格式为 [http|https|ftp|*]://[子域名|*].[主机名|*].[eTLD|*],其中:
- [http|https|ftp|*]、[主机名|*] 和 [eTLD|*] 是必填的,而
- [子域名|*] 是选填的。
有效的主机格式 | 匹配项 | 不匹配项 |
---|---|---|
*://*.example.* | http://example.com https://test.example.co.uk |
https://example.google.com http://example.google.co.uk |
http://example.* | http://example.com http://example.ly | https://example.com http://test.example.com |
http://example.com | http://example.com | https://example.com http://test.example.co.uk |
http://*.example.com | http://example.com http://test.example.com http://t.t.example.com |
https://example.com https://test.example.com |
http://example.co.* | http://example.co.com http://example.co.co.uk |
http://example.co.uk |
http://*.test.example.com | http://t.test.example.com http://test.example.com |
http://not.example.com |
*://* | 所有网址 |
无效的主机格式
- http://t.*.example.com
- http*://example.com
- http://*example.com
- http://example.com/
- http://example.com/*
禁止修改网页的代码示例
点击此处下载示例 JSON 文件。您可以使用文本编辑器对其进行编辑。
该示例展示了如何执行以下操作:
- 禁止扩展程序访问 *.example.com 网页。
- 屏蔽需要 USB 权限的扩展程序。
第 5 步:为用户部署政策和验证政策
部署任何 Chrome 扩展程序政策后,请检查用户设备以确保相应政策已正确应用。
-
在受管理的 ChromeOS 设备上,前往 chrome://policy。
-
点击重新加载政策。
-
在右上角的按字段过滤政策框中,输入 ExtensionSettings。
-
选中显示未设定值的政策复选框。
-
在每个扩展程序设置旁的 Chrome 政策名称下方,确保状态为正常。
-
点击显示值,确保值字段不为空。
相关主题
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。