適用於受管理的 Chrome 瀏覽器和 ChromeOS 裝置。
Chrome Enterprise 管理員可以封鎖或允許網址,讓使用者只能造訪特定網站。限制使用者的網際網路存取權除了可以提高工作效率,也能保護貴機構不受病毒和部分網站的惡意內容所侵擾。
封鎖和允許網址的時機
您可以使用封鎖清單和許可清單進行基本的網址管理。如要進一步篩選網址,則您可使用具內容篩選功能的網路 Proxy 伺服器或擴充功能。
您可以使用網址封鎖清單和許可清單達成下列目的:
- 除了您封鎖的網址外,允許使用者存取任何其他網址:使用封鎖清單禁止使用者造訪特定網站,但允許他們存取其他網站。
- 除了您允許的網址外,禁止使用者存取任何其他網址:使用封鎖清單禁止使用者存取任何網址,並將少數允許存取的網址加入許可清單。
- 定義極嚴格封鎖清單的例外項目:使用封鎖清單禁止使用者存取任何網址,然後透過許可清單允許他們存取特定配置、其他網域的子網域、通訊埠或特定路徑。
- 允許 Chrome 瀏覽器開啟應用程式:允許特定的外部通訊協定處理常式,讓 Chrome 瀏覽器可以自動開啟特定應用程式。
有時候,封鎖清單和許可清單不會發揮預期的效用。舉例來說,如果您封鎖整個網站,但允許該網站中特定網頁的網址,使用者或許就能存取該網站的其他內容。
如要將 SAML 或 OpenID Connect 的單一登入功能用於使用者驗證,或是在使用者工作階段外透過網頁認證入口設定網路連線,您可以使用 DeviceAuthenticationURLBlocklist 和 DeviceAuthenticationURLAllowlist 政策,封鎖或允許使用者登入和螢幕鎖定的網址。
詳情請參閱「在登入/螢幕鎖定畫面上封鎖網址」和「在登入/螢幕鎖定畫面上封鎖網址的例外狀況」。
網址封鎖的例外狀況
建議您不要封鎖某些網址,包括:
- chrome://settings
- chrome://os-settings
- chrome-untrusted://
chrome://settings 和 chrome://os-settings 網址應視為 ChromeOS 作業系統和 Chrome 瀏覽器的一部分,在任何情況下皆不應封鎖。
即使您封鎖上述網址,有些使用者仍可能使用 JavaScript 指令規避這項政策,而得以前往這些網頁。舉例來說,即使您封鎖了 Wi-Fi 子網頁 chrome://os-settings/networks?type=WiFi,使用者還是可以透過 JavaScript 控制台使用設定中的瀏覽程式碼前往該網頁。
ChromeOS 系統元件使用 chrome-untrusted:// 處理來自使用者或網路的資料,如果封鎖該網址將會破壞部分系統元件,因此不建議您封鎖。這個特殊的網址配置可讓 Google 利用 Chrome 瀏覽器提供的所有保護措施,確保來自 ChromeOS 外的資料均以安全的方式處理,而且這類資料無法存取保留給系統元件的功能。只要系統元件可以處理使用者提供的資料或網路內容,就會使用 chrome-untrusted:// 網址。
如果您想要封鎖 chrome://settings、chrome://os-settings 或 chrome-untrusted://,請使用 SystemFeaturesDisableList 政策。這麼做會封鎖所有設定,而不是只封鎖部分設定。請不要使用 URLallowList 或 URLblockList 政策來進行這項操作。詳情請參閱「停用的系統功能」。
如果您要封鎖特定網頁,應明確隔離網頁中不讓使用者存取的內容。之後,您可以通知 Chrome 或 ChromeOS 支援小組您想實作的政策,讓開發人員針對應封鎖的特定功能新增政策。
步驟 1:檢閱政策
| 政策 | 說明 |
|---|---|
|
禁止使用者存取封鎖清單中的網址。除了您已封鎖的網址之外,使用者可以存取任何其他網址。 未設定:使用者可以存取所有網站網址,不受任何限制。 |
|
|
與 URLBlocklist 搭配使用,用於指定網址封鎖清單的例外狀況,讓使用者能夠存取特定網址。許可清單的優先順序高於封鎖清單。封鎖清單中至少要有一個項目,才能設定這項政策。 未設定:網址封鎖清單沒有例外狀況。 |
步驟 2:指定 Chrome 使用者可以造訪的網址
點選下方標題即可查看相應的政策管理步驟。
適用於所有裝置的已登入使用者,或是 Windows、Mac、Linux 或 Android 上的已註冊瀏覽器。詳情請參閱「瞭解套用設定的時機」。
-
-
在管理控制台中,依序點選「選單」圖示
「裝置」
「Chrome」
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示
「Chrome 瀏覽器」
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「內容」。
- 按一下「網址封鎖」,然後輸入所需網址:
- 封鎖的網址:您要禁止使用者存取的網址。
如需相關語法和範例,請依序前往「使用者和瀏覽器」>「網址封鎖清單」。
- 封鎖網址例外狀況:允許使用者存取的網址 (許可清單)。如果輸入與「封鎖的網址」重複的網址,系統會視為您允許使用者存取該網址。
如需相關語法和範例,請依序前往「使用者和瀏覽器」>「網址封鎖清單例外狀況」。
您最多可以封鎖或允許 1,000 個網址。
- 封鎖的網址:您要禁止使用者存取的網址。
- 按一下「儲存」。
- 使用 Android System WebView 的應用程式無法辨識封鎖的網址。如要在這些應用程式中強制執行封鎖清單,請以文字檔案列出要封鎖的網址,然後將封鎖清單套用至個別 Android 應用程式。如果您的應用程式並非使用 Android System WebView,請參閱應用程式說明文件,瞭解如何使用類似的方式限制存取權。
- 使用 Android System WebView 的 Android 應用程式通常可以辨識封鎖網址例外狀況,但其他應用程式不一定會遵循封鎖清單。您可以允許使用 Android System WebView 的應用程式,但排除其他未使用這項元件的應用程式。如要進一步瞭解如何允許 Android 應用程式,請參閱「在 ChromeOS 裝置上為受管理的使用者部署 Android 應用程式」。
適用於在 Chrome 瀏覽器中登入受管理帳戶的 Windows 使用者。
使用群組原則
開啟 Microsoft Windows 群組原則編輯器 (「電腦設定」或「使用者設定」資料夾):
- 依序前往 [政策]
[系統管理範本]
- 啟用 [禁止存取清單中的網址]。
提示:如果找不到這項政策,請下載最新的政策範本。 - 新增要封鎖的網址。
如果將這項政策保持在「未設定」狀態,系統會執行上述的未設定行為。 - 啟用 [允許存取清單中的網址]。
- 新增要允許使用者存取的網址。
如果將這項政策保持在「未設定」狀態,系統會執行上述的未設定行為。 - 為使用者部署變更。
[系統管理範本] 您最多可以封鎖或允許 1,000 個網址。如需進一步瞭解網址語法,請參閱「允許或封鎖網站:網址篩選器格式」。
適用於在 Chrome 瀏覽器中登入受管理帳戶的 Mac 使用者。
在 Chrome 政策組態設定檔 (.plist 檔案) 中執行下列操作:
- 新增或更新下列鍵值。
- 將您要封鎖的網址新增為 URLBlocklist 的鍵值。
- 將您要允許使用者存取的網址新增為 URLAllowlist 的鍵值。
- 為使用者部署變更。
您最多可以封鎖或允許 1,000 個網址。如需進一步瞭解網址語法,請參閱「允許或封鎖網站:網址篩選器格式」。
以下示範的是如何封鎖 mail.example.com、wikipedia.org 和 google.com 以外的所有網址。
<key>URLBlocklist</key>
<dict>
<array>
<string>*</string>
</array>
</dict>
<key>URLAllowlist</key>
<dict>
<array>
<string>mail.example.com</string>
<string>wikipedia.org</string>
<string>google.com</string>
</array>
</dict>
適用於在 Chrome 瀏覽器中登入受管理帳戶的 Linux 使用者。
使用您偏好的 JSON 檔案編輯器:
- 前往您的 /etc/opt/chrome/policies/managed 資料夾。
- 建立或更新 JSON 檔案,然後輸入所需網址:
- 在 URLBlocklist 中新增要封鎖的網址。
- 在 URLAllowlist 中新增要允許使用者存取的網址。
- 為使用者部署變更。
您最多可以封鎖或允許 1,000 個網址。如需進一步瞭解網址語法,請參閱「允許或封鎖網站:網址篩選器格式」。
以下示範的是如何封鎖 mail.example.com、wikipedia.org 和 google.com 以外的所有網址。
首先,建立一個包含封鎖網址的檔案。
{
"URLBlocklist": ["*"]
}
然後建立一個包含允許網址的檔案。
{
"URLAllowlist": ["mail.example.com", "wikipedia.org", "google.com"]
}
適用於透過代管帳戶登入 Chrome 瀏覽器的 Android 使用者。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請使用管理控制台來管理 Android 裝置上的 Chrome 瀏覽器,並按照上方「管理控制台」一節所說明的步驟操作。
如果不使用管理控制台,建議您改為要求行動裝置管理服務 (MDM) 廠商為 Android 版 Chrome 設定網址封鎖政策。
請參閱「設定 Chrome 瀏覽器雲端管理服務」
適用於透過代管帳戶登入 Chrome 瀏覽器的 iPhone 和 iPad 使用者。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請使用管理控制台來管理 iPhones 及 iPads 上的 Chrome 瀏覽器,並按照上方「管理控制台」一節所說明的步驟操作。
如果不使用管理控制台,建議您改為要求行動裝置管理服務 (MDM) 廠商為 iOS 及 iPadOS 版 Chrome 設定網址封鎖政策。
請參閱「設定 Chrome 瀏覽器雲端管理服務」
步驟 3:確認已套用政策
在您套用任何 Chrome 政策後,使用者必須重新啟動 Chrome 瀏覽器,設定才會生效。您可以檢查使用者的裝置,確認政策是否正確套用。
- 在受管理的裝置上,瀏覽至 chrome://policy。
- 按一下 [重新載入政策]。
- 確認 URLBlocklist 和 URLAllowlist 政策的狀態已設為 [確定]。
- 在 URLBlocklist 和 URLAllowlist 政策上,按一下 [顯示政策值],確認值欄位中的值與您在政策中設定的值相同。