Информация в этой статье касается управляемых браузеров Chrome и устройств с ChromeOS.
Администратор Chrome Enterprise может добавлять URL в списки разрешенных или запрещенных адресов, чтобы пользователи могли посещать только определенные сайты. Ограничение доступа к интернету иногда позволяет повысить эффективность работы сотрудников и защитить корпоративные компьютеры от вирусов и вредоносного контента.
Когда используются списки запрещенных и разрешенных URL
Списки запрещенных и разрешенных URL позволяют управлять доступом на базовом уровне. Если вам необходима более строгая фильтрация, вы можете использовать прокси-сервер или расширение.
Используйте списки запрещенных и разрешенных URL, если нужно:
- Разрешить доступ ко всем URL, кроме запрещенных. С помощью списка запрещенных URL можно заблокировать пользователям доступ к определенным сайтам, сохранив при этом доступ к остальным.
- Заблокировать доступ ко всем URL, кроме разрешенных. Вы можете заблокировать доступ ко всем URL с помощью черного списка, а затем добавить разрешенные сайты в белый список.
- Задать исключения из списка запрещенных URL. С помощью списка запрещенных URL можно закрыть доступ ко всем URL, а затем добавить в список разрешенных ресурсов отдельные схемы, субдомены других доменов, порты или адреса.
- Разрешить браузеру Chrome открывать приложения. Можно добавить в список разрешенных URL внешние обработчики протоколов, чтобы заданные приложения открывались в браузере автоматически.
Иногда списки запрещенных и разрешенных URL не работают должным образом. Например, если вы добавили в список запрещенных URL весь сайт, а определенную страницу с этого сайта занесли в список разрешенных, пользователи смогут перейти и на другие страницы этого сайта.
Если для аутентификации используется система единого входа на базе SAML или OpenID Connect или сетевое подключение выполняется через страницу входа вне пользовательского сеанса, то, чтобы заблокировать или разрешить загрузку некоторых URL на экранах входа и заблокированных экранах, используйте правила DeviceAuthenticationURLBlocklist и DeviceAuthenticationURLAllowlist.
Подробную информацию можно найти в разделах Заблокированные URL на странице входа и заблокированных экранах и Исключения заблокированных URL на странице входа и заблокированных экранах.
Исключения из списка запрещенных URL
Не рекомендуется блокировать некоторые URL. К ним относятся:
- chrome://settings
- chrome://os-settings
- chrome-untrusted://
URL chrome://settings и chrome://os-settings являются частью операционной системы ChromeOS и браузера Chrome. Они не должны быть заблокированы.
Даже если один из этих URL будет заблокирован, пользователи смогут обойти блокировку с помощью команд JavaScript и открыть страницы. Например, если вы заблокируете подстраницу Wi-Fi chrome://os-settings/networks?type=WiFi, пользователи по-прежнему смогут открыть ее с помощью консольных команд JavaScript.
Системные компоненты ChromeOS используют схему chrome-untrusted://, чтобы обрабатывать данные пользователей и веб-страниц. Не блокируйте этот URL, так как это может привести к сбоям в работе некоторых системных компонентов. Эта специальная схема URL позволяет Google безопасно обрабатывать любые данные, не относящиеся к операционной системе ChromeOS, используя все средства защиты, которые реализованы в браузере Chrome. При этом данные не могут получить доступ к функциям, зарезервированным для системных компонентов. Схема chrome-untrusted:// используется всегда, когда системный компонент может обработать данные, полученные от пользователя, или контент веб-страницы.
Если вам нужно заблокировать chrome://settings, chrome://os-settings или chrome-untrusted://, используйте правило SystemFeaturesDisableList. В результате будут заблокированы все настройки, а не только их часть. Не используйте для этого правила URLallowList и URLblockList. Подробнее об отключенных системных функциях…
Если вы хотите запретить доступ к какой-либо странице, определите, что именно на ней вы хотите заблокировать. Затем вы можете обратиться в службу поддержки ChromeOS или браузера Chrome и объяснить, какие правила вам для этого нужны. У разработчиков появится возможность добавить правило для определенных функций, и вы сможете обойтись без блокировки.
Шаг 1. Проверьте правила
| Правило | Описание |
|---|---|
|
Блокирует доступ пользователей к ресурсам из списка запрещенных URL. Адреса, не внесенные в список, остаются открытыми для доступа. Если правило не настроено, у пользователей есть доступ ко всем сайтам. |
|
|
Используйте это правило вместе с правилом URLBlocklist, чтобы разрешить пользователям доступ к определенным URL, задав исключения из черного списка. Список разрешенных URL является приоритетным по отношению к списку запрещенных. Для работы этого правила необходимо, чтобы в списке запрещенных URL была хотя бы одна запись. Если правило не настроено, исключений из списка запрещенных URL нет. |
Шаг 2. Укажите URL, которые пользователи Chrome могут посещать
Выберите подходящий вариант ниже, чтобы открыть инструкции.
Правила могут применяться к пользователям, которые вошли в аккаунт на любом устройстве или в управляемых браузерах в Windows, macOS, Linux или Android. Подробнее о том, как применяются правила…
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Устройства
Chrome
Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню
Браузер Chrome
- Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
- Перейдите в раздел Контент.
- Нажмите Блокировка URL и введите нужные URL, как указано ниже.
- Заблокированные URL. URL, доступ к которым вы хотите запретить.
Подробная информация о синтаксисе и примеры использования правила приведены в разделе Блокировка URL.
- Исключения из списка заблокированных URL. URL, доступ к которым вы хотите разрешить. Доступ будет предоставлен, даже если страница также указана в списке заблокированных URL.
Подробная информация о синтаксисе и примеры использования правила приведены в разделе Блокировка URL.
В списки запрещенных и разрешенных URL можно добавить не более 1000 адресов.
- Заблокированные URL. URL, доступ к которым вы хотите запретить.
- Нажмите Сохранить.
- Заблокированные URL не будут распознаваться приложениями, в которых используется Android System WebView. Чтобы исправить это, добавьте заблокированные URL в текстовый файл и примените этот список к приложениям Android по одному. Подробную информацию о том, как ограничить доступ к таким URL для приложений, не использующих Android System WebView, можно найти в документации к этим приложениям.
- Исключения из списка заблокированных URL, как правило, учитываются приложениями, в которых используется Android System WebView. В то же время другие приложения могут игнорировать этот список. Вы можете добавить в список разрешенных URL только те приложения, в которых используется Android System WebView. Подробнее о том, как разрешить установку одобренных приложений…
Эти инструкции относятся к пользователям Windows, которые входят в управляемый аккаунт в браузере Chrome.
С помощью групповой политики
В редакторе "Управление групповыми политиками" Microsoft Windows (папка "Конфигурация компьютера" или "Конфигурация пользователя"):
- Выберите "Политики
Административные шаблоны
- Включите правило Блокировка доступа к списку URL.
Совет. Если вы не видите это правило, скачайте последнюю версию его шаблона. - Добавьте адреса страниц, доступ к которым хотите ограничить.
Если не указать ничего, правило будет применяться по принципу Не настроено. - Включите правило Разрешить доступ к списку URL.
- Добавьте URL ресурсов, доступ к которым хотите разрешить.
Если не указать ничего, правило будет применяться по принципу Не настроено. - Примените изменения для всех пользователей.
Административные шаблоныВ списки запрещенных и разрешенных URL можно добавить не более 1000 адресов. Подробная информация о синтаксисе URL приведена в статье Как разрешить или запретить доступ к сайтам: формат URL-фильтров.
Приведенная ниже информация касается пользователей компьютеров AppleMac, которые вошли в управляемый аккаунт в браузере Chrome.
В профиле конфигурации Chrome (PLIST-файл):
- Добавьте или обновите указанные ниже ключи.
- Добавьте URL, доступ к которым хотите запретить, в ключ URLBlocklist.
- Добавьте URL, доступ к которым хотите разрешить, в ключ URLAllowlist.
- Примените изменения для всех пользователей.
В списки запрещенных и разрешенных URL можно добавить не более 1000 адресов. Подробная информация о синтаксисе URL приведена в статье Как разрешить или запретить доступ к сайтам: формат URL-фильтров.
В примере ниже показано, как заблокировать все URL, кроме mail.example.com, wikipedia.org и google.com.
<key>URLBlocklist</key>
<dict>
<array>
<string>*</string>
</array>
</dict>
<key>URLAllowlist</key>
<dict>
<array>
<string>mail.example.com</string>
<string>wikipedia.org</string>
<string>google.com</string>
</array>
</dict>
Приведенная ниже информация касается пользователей компьютеров Linux, которые вошли в управляемый аккаунт в браузере Chrome.
С помощью редактора JSON-файлов:
- Откройте папку /etc/opt/chrome/policies/managed.
- Создайте или обновите JSON-файл и укажите нужные URL.
- Для правила URLBlocklist укажите URL, доступ к которым хотите запретить.
- Для правила URLAllowlist укажите URL, доступ к которым хотите разрешить.
- Примените обновление для всех пользователей.
В списки запрещенных и разрешенных URL можно добавить не более 1000 адресов. Подробная информация о синтаксисе URL приведена в статье Как разрешить или запретить доступ к сайтам: формат URL-фильтров.
В примере ниже показано, как заблокировать все URL, кроме mail.example.com, wikipedia.org и google.com.
Сначала создайте файл со списком запрещенных URL.
{
"URLBlocklist": ["*"]
}
Затем создайте файл со списком разрешенных URL.
{
"URLAllowlist": ["mail.example.com", "wikipedia.org", "google.com"]
}
Применяется к пользователям Android, которые вошли в браузер Chrome с управляемым аккаунтом.
Если вы зарегистрировались в системе облачного управления браузером Chrome, управлять браузером Chrome на устройствах Android можно с помощью консоли администратора. Необходимые инструкции приведены выше.
В противном случае рекомендуем попросить поставщика услуг по управлению мобильными устройствами настроить правила блокировки URL для браузера Chrome на устройствах Android.
Подробнее о том, как настроить облачное управление браузером Chrome…
Применяется к пользователям iPhone и iPad, которые вошли в браузер Chrome с управляемым аккаунтом.
Если вы зарегистрировались в системе облачного управления браузером Chrome, управлять браузером Chrome на устройствах iPhone и iPad можно с помощью консоли администратора. Необходимые инструкции приведены выше.
В противном случае рекомендуем попросить поставщика услуг по управлению мобильными устройствами настроить правила блокировки URL для браузера Chrome на устройствах с iOS и iPadOS.
Подробнее о том, как настроить облачное управление браузером Chrome…
Шаг 3. Убедитесь, что правила применяются
Чтобы правила Chrome вступили в силу, пользователям нужно перезапустить браузер Chrome. Вы также можете проверить, правильно ли применяются правила на пользовательских устройствах.
- На управляемом устройстве откройте страницу chrome://policy.
- Нажмите Повторно загрузить правила.
- Убедитесь, что в столбце "Состояние" для правил URLBlocklist и URLAllowlist указано значение ОК.
- Нажмите Показать больше в строках правил URLBlocklist и URLAllowlist и убедитесь, что их значения совпадают с заданными вами настройками.