适用于受管理的 Chrome 浏览器和 ChromeOS 设备。
作为 Chrome 企业版管理员,您可以禁止及允许访问特定网址,从而限制用户可以浏览的网站。限制用户的互联网访问权限可以提高工作效率,还能防止您的单位被部分网站上的病毒和恶意内容所侵害。
什么情况下禁止和允许访问网址
您可以使用屏蔽名单和许可名单进行基本网址管理。如需更强大的过滤功能,请按使用具有内容过滤功能的网络代理服务器或扩展程序。
网址屏蔽名单和许可名单的使用方式包括:
- 允许访问所有网址(您禁止访问的除外) - 使用屏蔽名单禁止用户访问特定网站,同时允许他们访问其他网站。
- 禁止访问所有网址(您允许访问的除外)- 使用屏蔽名单禁止用户访问所有网址,然后将允许用户访问的少量网址列入许可名单。
- 为非常严格的屏蔽名单指定例外网址 - 使用屏蔽名单禁止用户访问所有网址,然后通过许可名单允许用户访问特定网址协议、其他网域的子网域、端口或特定路径。
- 允许 Chrome 浏览器打开应用 - 允许访问特定的外部协议处理程序,以便 Chrome 浏览器可以自动打开特定应用。
有时候,屏蔽名单和许可名单并不能发挥预期的效果。举例来说,如果您设置禁止访问整个网站,但允许访问此网站中的特定网页网址,那么用户或许能够访问该网站上的其他内容。
将 SAML 或 OpenID Connect 单点登录用于用户身份验证时,或在用户会话之外配置强制门户网络连接时,您可以使用 DeviceAuthenticationURLBlocklist 和 DeviceAuthenticationURLAllowlist 政策在用户登录和锁定屏幕上屏蔽或允许网址。
有关详情,请参阅登录/锁定屏幕上的已屏蔽网址,以及登录/锁定屏幕上的已屏蔽网址例外。
屏蔽网址的例外
最佳做法是不屏蔽某些网址,其中包括:
- chrome://settings
- chrome://os-settings
- chrome-untrusted://
chrome://settings 和 chrome://os-settings 网址应被视为 ChromeOS 操作系统和 Chrome 浏览器的一部分,绝不应屏蔽。
即使您屏蔽了其中的一些网址,部分用户仍可以使用 JavaScript 命令绕过此政策,以访问这些页面。 例如,如果您屏蔽了 Wi-Fi 子页面 chrome://os-settings/networks?type=WiFi,用户仍可以通过 JavaScript 控制台的设置中的导航代码转到该页面。
ChromeOS 系统组件会使用 chrome-untrusted:// 来处理来自用户或网络的数据,因此我们不建议您屏蔽该网址,因为这样做会导致某些系统组件无法正常运行。通过此特殊网址协议,Google 可确保 ChromeOS 中未包含的任何数据都可以通过 Chrome 浏览器提供的所有保护措施获得安全的处理,并且此类数据无法访问为系统组件预留的功能。只要系统组件能够处理用户提供的数据或网络上的内容,系统就会使用 chrome-untrusted:// 网址。
如果您要屏蔽 chrome://settings、chrome://os-settings 或 chrome-untrusted://,请使用 SystemFeaturesDisableList 政策。这样做会屏蔽所有设置,而不仅仅是部分设置。请勿使用 URLallowList 或 URLblockList 政策来完成此操作。有关详情,请参阅已停用的系统功能。
如果您想屏蔽某个特定页面,则应指定该页面中禁止用户访问的确切内容。然后,您可以提醒 Chrome 或 ChromeOS 支持团队您想要实施哪些政策。然后,开发者就可以为应被屏蔽的特定功能添加政策。
第 1 步:查看政策
| 政策 | 说明 |
|---|---|
|
禁止用户访问已被列入屏蔽名单的网址。不过,用户可以访问屏蔽名单之外的所有网址。 不设置此政策:用户将可以自由访问所有网址。 |
|
|
将此政策与 URLBlocklist 政策搭配使用,指定网址屏蔽名单的例外情况,以便用户可以访问特定网址。许可名单的优先级高于屏蔽名单。您至少要在屏蔽名单中添加一个条目,才能正常使用此政策。 不设置此政策:网址屏蔽名单将没有例外网址。 |
第 2 步:指定 Chrome 用户可以访问的网址
根据您希望采取的政策管理方式,点击下方的相应标题查看具体步骤。
可应用于任何设备上的已登录用户或 Windows、Mac、Linux 或 Android 上已注册的浏览器。有关详情,请参阅了解系统何时会应用设置。
-
-
在管理控制台中,依次点击“菜单”图标
设备
Chrome
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标
Chrome 浏览器
- 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门。
- 转到内容。
- 点击网址屏蔽,然后根据需要输入网址:
- 屏蔽的网址 - 您想禁止用户访问的网址。
要查看网址语法和示例,请前往用户和浏览器 > 网址屏蔽名单。
- 已屏蔽网址的例外 - 您想允许用户访问的网址(许可名单)。即使在此部分输入的网址同时也被指定屏蔽的网址,应用也可以访问。
要查看网址语法和示例,请转到用户和浏览器 > 已屏蔽网址的例外。
您最多可以将 1,000 个网址列入屏蔽名单或许可名单。
- 屏蔽的网址 - 您想禁止用户访问的网址。
- 点击保存。
- 使用 Android System WebView 的应用将无法识别屏蔽的网址。要为这些应用强制应用屏蔽名单,请在文本文件中指定要禁止访问的网址,然后将屏蔽名单分别应用到每个 Android 应用。对于不使用 Android System WebView 的应用,请参阅应用文档,了解如何通过类似的方法限制访问权限。
- 使用 Android System WebView 的 Android 应用通常都可以识别出已屏蔽网址的例外。不过,其他应用可能不会遵循屏蔽名单设置。您可以将使用 Android System WebView 的应用列入许可名单,并略过其他不使用该组件的应用。要了解如何将 Android 应用列入许可名单,请参阅允许安装已批准的应用。
适用于在 Chrome 浏览器中登录受管理帐号的 Windows 用户。
使用组策略
在 Microsoft Windows 组策略编辑器(“计算机配置”或“用户配置”文件夹)中:
- 转到“策略”
“管理模板”
- 启用阻止访问网址列表。
提示:如果您未看到此政策,请下载最新政策模板。 - 添加要禁止用户访问的网址。
如果将此政策保留为未配置状态,则系统会应用上述不设置此政策时的行为。 - 启用允许访问网址列表。
- 添加要允许用户访问的网址。
如果将此政策保留为未配置状态,则系统会应用上述不设置此政策时的行为。 - 为用户部署更新。
“管理模板”您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站:网址过滤器格式,了解网址语法。
适用于在 Chrome 浏览器中登录了受管理帐号的 Mac 用户。
在 Chrome 政策配置文件(.plist 文件)中执行以下操作:
- 添加或更新以下键。
- 将您想禁止用户访问的网址添加到 URLBlocklist 键。
- 将您想允许用户访问的网址添加到 URLAllowlist 键。
- 为用户部署更改。
您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站:网址过滤器格式,了解网址语法。
下列示例展示了如何禁止用户访问除 mail.example.com、wikipedia.org 和 google.com 以外的所有网址。
<key>URLBlocklist</key>
<dict>
<array>
<string>*</string>
</array>
</dict>
<key>URLAllowlist</key>
<dict>
<array>
<string>mail.example.com</string>
<string>wikipedia.org</string>
<string>google.com</string>
</array>
</dict>
适用于在 Chrome 浏览器中登录了受管理帐号的 Linux 用户。
使用您的首选 JSON 文件编辑器:
- 转到 /etc/opt/chrome/policies/managed 文件夹。
- 创建或更新 JSON 文件,然后根据需要输入网址:
- 在 URLBlocklist 中,添加您想禁止用户访问的网址。
- 在 URLAllowlist 中输入您想允许用户访问的网址。
- 为用户部署更新。
您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站:网址过滤器格式,了解网址语法。
下列示例展示了如何禁止用户访问除 mail.example.com、wikipedia.org 和 google.com 以外的所有网址。
首先,创建一个包含已屏蔽网址的文件。
{
"URLBlocklist": ["*"]
}
然后,创建一个包含要列入许可名单的网址的文件。
{
"URLAllowlist": ["mail.example.com", "wikipedia.org", "google.com"]
}
适用于使用受管理的帐号登录 Chrome 浏览器的 Android 用户。
如果您已注册 Chrome 浏览器云管理组件,则可以在 Android 设备上使用管理控制台来管理 Chrome 浏览器。按照上文管理控制台中的步骤操作。
如果您未注册该组件,建议您让自己的移动设备管理 (MDM) 供应商为 Android 设备上的 Chrome 配置网址屏蔽政策。
适用于使用受管理的帐号登录 Chrome 浏览器的 iPhone 和 iPad 用户。
如果您已注册 Chrome 浏览器云管理组件,则可以在 iPhone 和 iPad 上使用管理控制台来管理 Chrome 浏览器。按照上文管理控制台中的步骤操作。
如果您未注册该组件,建议您让自己的移动设备管理 (MDM) 供应商为 iOS 和 iPadOS 设备上的 Chrome 配置网址屏蔽政策。
第 3 步:验证政策是否已应用妥当
在您应用任何 Chrome 政策后,用户都必须重启 Chrome 浏览器,这样相应设置才会生效。您可以检查用户的设备,确保政策已应用妥当。
- 在受管理的设备上,转到 chrome://policy。
- 点击重新加载政策。
- 确保 URLBlocklist 和 URLAllowlist 政策的“状态”已设为正常。
- 点击 URLBlocklist 和 URLAllowlist 政策中的显示政策值,并确保所显示的字段值与您在政策中设置的值相同。