设置 Chrome 应用和扩展程序政策(适用于 Windows)

适用于在 Chrome 浏览器中登录受管理帐号的 Windows 用户。

作为管理员,您可以在用户的计算机上自动安装 Chrome 应用和扩展程序。您还可以控制用户可以安装哪些应用或扩展程序。您可为所有应用和扩展程序设置默认政策。之后,如果您要为特定应用或扩展程序自定义政策,则可以覆盖默认政策。

第 1 步:查看政策

政策 说明和设置
ExtensionSettings

管理用户可以安装的应用和扩展程序。

会覆盖以下扩展程序政策(系统可能已经设置相应政策):

第 2 步:更新组策略

在 Microsoft Windows 组策略编辑器(“计算机配置”或“用户配置”文件夹)中:

  1. 转到管理模板 接着点击 Google 接着点击 Google Chrome 接着点击 扩展程序
  2. 打开扩展程序管理设置
    提示:如果您未看到此政策,请下载最新政策模板
  3. 启用此政策,然后在文本框中输入此政策的紧凑 JSON 格式的数据。
    注意:请在一行中输入 JSON 数据,不要换行。您可以使用此第三方 JSON 压缩工具验证政策并将其压缩到一行中(JSON 数据示例参见下文)。
  4. 设置所需的应用和扩展程序政策(详细信息参见下文)。
JSON 数据示例
{
  "*": {
    "runtime_blocked_hosts": ["*://*.example.com"],
    "blocked_permissions": ["usb"]
  }
}
紧凑 JSON 数据
{"*":{"runtime_blocked_hosts":["*://*.example.com"],"blocked_permissions":["usb"]}}

第 3 步:获取 Chrome 应用或扩展程序 ID

如果您不打算为特定应用或扩展程序自定义政策,请跳过此步骤。

要为特定 Chrome 应用或扩展程序应用政策和设置,您需要获取其 ID。每个应用和扩展程序在 Chrome 网上应用店中都有唯一标识符 (ID)(不会因为版本的不同而发生变化)。因此,如果有用户在多台设备上安装了某个应用或扩展程序,那么这个应用或扩展程序在所有设备上的 ID 都是相同的。每个 ID 的长度为 32 个字符。

要查找应用或扩展程序 ID,请按以下步骤操作:

  1. 打开 Chrome 网上应用店
  2. 找到并选择所需的应用或扩展程序。
  3. 查看其网址。ID 是网址末尾的一长串字符。
    例如,nckgahadagoaajjgafhacjanaoiihapdGoogle 环聊的 ID。

第 4 步:设置应用和扩展程序政策

针对每种实施进行以下操作(示例代码参见下文):
  • 设置应用于所有应用和扩展程序的默认政策。请使用 * 值。
  • (可选)为个别应用或扩展程序自定义政策。请使用应用或扩展程序 ID(详见上文)。
设置安装政策(自动安装、强制安装、允许或屏蔽)

要自动安装 Chrome 网上应用店以外的应用或扩展程序,您必须将相应计算机添加到使用 Microsoft® Active Directory® 的网域。

您可以控制是否在设备上屏蔽、允许或自动安装应用或扩展程序。此政策会覆盖 ExtensionInstallForcelist 政策。

在 ExtensionSettings 政策中,将安装模式设为下列某种模式:

您可以控制是否在设备上屏蔽、允许或自动安装应用或扩展程序。此政策会覆盖 ExtensionInstallForcelist 政策。

在 ExtensionSettings 政策中,可将安装模式设置为:

  • allowed - 用户可以通过 Chrome 网上应用店安装应用和扩展程序。如果未定义安装模式,则这是默认设置。
  • blocked - 用户无法通过 Chrome 网上应用店安装应用和扩展程序。您可以设定自定义错误消息,通知用户系统已屏蔽安装内容(详见下文)。
  • force_installed - 自动安装您指定的扩展程序,无需用户交互操作。用户不能停用或移除安装内容。您还需要指定扩展程序的下载位置(详见下文)。
  • normal_installed - 自动安装您指定的扩展程序,无需用户交互操作。用户可以停用安装内容。您还需要指定扩展程序的下载位置(详见下文)。

安装代码示例

点击此处下载示例 JSON 文件。您可以使用文本编辑器编辑 JSON 文件。

该示例展示了如何执行以下操作:

  • 在用户设备上自动安装 Google 环聊 (nckgahadagoaajjgafhacjanaoiihapd) 和 Google Keep (lpcaedmchfhocbbapmcbpinfpgnhiddi)。
  • 允许用户停用 Keep,但不能停用环聊。
  • 允许用户通过 Chrome 网上应用店安装 Google 日历 (gmbgaklkmjakoegficnlkhebmhkjfich)。
  • 禁止用户安装任何其他应用或扩展程序。
指定扩展程序下载位置

仅适用于 force_installed 和 normal_installed 模式。

如果您想在设备上自动安装扩展程序,则需要指定 Chrome 下载该扩展程序的目标位置。

要指定扩展程序的下载位置,请选择以下任一选项:

  • 如果扩展程序由 Chrome 网上应用店托管,请输入 https://clients2.google.com/service/update2/crx
  • 如果扩展程序位于您自己的服务器上,请输入可让 Chrome 下载该封装的扩展程序(.crx 文件)的网址。

扩展程序下载位置代码示例

以下示例展示了如何自动安装 Google 环聊 (nckgahadagoaajjgafhacjanaoiihapd)。
{
  "nckgahadagoaajjgafhacjanaoiihapd": {
    "installation_mode": "force_installed",
      "update_url":
      "https://clients2.google.com/service/update2/crx"
  }
}
为屏蔽的应用和扩展程序设置自定义消息

如果您将政策设为禁止用户安装特定应用或扩展程序,则可以设置自定义消息,在用户尝试安装时显示在相应设备上。举例来说,您可以向用户说明如何联系其 IT 部门或为何无法使用特定扩展程序。消息长度上限为 1 千个字符。

自定义消息代码示例

点击此处下载示例 JSON 文件。您可以使用文本编辑器编辑 JSON 文件。

该示例展示了如何执行以下操作:

  • 针对 Google 日历 (gmbgaklkmjakoegficnlkhebmhkjfich) 显示特定消息。
  • 针对所有其他应用和扩展程序显示通用消息。
禁止用户运行需要特定权限的应用或扩展程序

您可以禁止用户运行请求您单位不允许的权限的应用或扩展程序。举例来说,您可以屏蔽连接到 USB 设备或访问 Cookie 的扩展程序。

要获取可用权限的列表,请参阅 Chrome 应用和扩展程序权限

禁止权限请求的代码示例

点击此处下载示例 JSON 文件。您可以使用文本编辑器编辑 JSON 文件。

该示例展示了如何执行以下操作:

  • 仅允许运行 Chrome 远程桌面 (gbchcmhmhahfdphkhkmpfmihenigjmpp)(需要 USB 权限)。
  • 屏蔽所有需要 USB 权限的其他应用。
禁止应用和扩展程序修改网页

您可以禁止设备上的扩展程序修改您指定的网站。相关修改包括阻止脚本注入、访问 Cookie 和修改网络请求。此设置不会阻止用户安装或移除扩展程序。

您可以使用 2 种设置:

  • runtime_blocked_hosts - 禁止扩展程序与指定网站交互。

  • runtime_allowed_hosts - 允许扩展程序与指定网站交互(即使 runtime_blocked_hosts 中也指定了同样的网站)。

主机格式为 [http|https|ftp|*]://[子域名|*].[主机名|*].[eTLD|*],其中:

  • [http|https|ftp|*]、[主机名|*] 和 [eTLD|*] 是必填的,而
  • [子域名|*] 是选填的。
有效的主机格式 匹配项 不匹配项
 *://*.example.* http://example.com
https://test.example.co.uk
https://example.google.com
http://example.google.co.uk
http://example.* http://example.com http://example.ly https://example.com
http://test.example.com
http://example.com http://example.com https://example.com
http://test.example.co.uk
http://*.example.com http://example.com
http://test.example.com
http://t.t.example.com
https://example.com
https://test.example.com
http://example.co.* http://example.co.com
http://example.co.co.uk
http://example.co.uk
http://*.test.example.com http://t.test.example.com
http://test.example.com
http://not.example.com
*://* 所有网址  

 

无效的主机格式

  • http://t.*.example.com
  • http*://example.com
  • http://*example.com
  • http://example.com/
  • http://example.com/*

禁止修改网页的代码示例

点击此处下载示例 JSON 文件。您可以使用文本编辑器编辑 JSON 文件。

该示例展示了如何执行以下操作:

  • 禁止扩展程序访问 *.example.com 网页。
  • 屏蔽需要 USB 权限的扩展程序。

第 5 步:为用户部署政策和验证政策

部署任何 Chrome 扩展程序政策后,请检查用户设备以确保相应政策已正确应用。

  1. 在受管理的 Chrome 设备上,转到 chrome://policy

  2. 点击重新加载政策

  3. 在右上角的按字段过滤政策框中,输入 ExtensionSettings

  4. 选中显示未设定值的政策复选框。

  5. 在每个扩展程序设置旁的 Chrome 政策名称下方,确保状态正常

  6. 点击显示值,确保值字段不为空。

相关主题

该内容对您有帮助吗?
您有什么改进建议?