允许或禁止访问网站

适用于受管理的 Chrome 浏览器和 ChromeOS 设备。

作为 Chrome 企业版管理员，您可以禁止及允许访问特定网址，从而限制用户可以浏览的网站。限制用户的互联网访问权限可以提高工作效率，还能防止您的单位被部分网站上的病毒和恶意内容所侵害。

什么情况下禁止和允许访问网址

您可以使用屏蔽名单和许可名单进行基本网址管理。如需更强大的过滤功能，请按使用具有内容过滤功能的网络代理服务器或扩展程序。

网址屏蔽名单和许可名单的使用方式包括：

允许访问所有网址（您禁止访问的除外） - 使用屏蔽名单禁止用户访问特定网站，同时允许他们访问其他网站。
禁止访问所有网址（您允许访问的除外）- 使用屏蔽名单禁止用户访问所有网址，然后将允许用户访问的少量网址列入许可名单。
为非常严格的屏蔽名单指定例外网址 - 使用屏蔽名单禁止用户访问所有网址，然后通过许可名单允许用户访问特定网址协议、其他网域的子网域、端口或特定路径。
允许 Chrome 浏览器打开应用 - 允许访问特定的外部协议处理程序，以便 Chrome 浏览器可以自动打开特定应用。

有时候，屏蔽名单和许可名单并不能发挥预期的效果。举例来说，如果您设置禁止访问整个网站，但允许访问此网站中的特定网页网址，那么用户或许能够访问该网站上的其他内容。

将 SAML 或 OpenID Connect 单点登录用于用户身份验证时，或在用户会话之外配置强制门户网络连接时，您可以使用 DeviceAuthenticationURLBlocklist 和 DeviceAuthenticationURLBlocklist 政策在用户登录和锁定屏幕上屏蔽或允许网址。

有关详情，请参阅登录/锁定屏幕上的已屏蔽网址，以及登录/锁定屏幕上的已屏蔽网址例外。

屏蔽网址的例外

最佳做法是不屏蔽某些网址，其中包括：

chrome://settings
chrome://os-settings
chrome-untrusted://

hrome://settings 和 hrome://settings 网址应被视为 ChromeOS 操作系统和 Chrome 浏览器的一部分，绝不应屏蔽。

即使您屏蔽了其中的一些网址，部分用户仍可以使用 JavaScript 命令绕过此政策，以访问这些页面。例如，如果您屏蔽了 Wi-Fi 子页面 chrome://os-settings/networks?type=WiFi，用户仍可以通过 JavaScript 控制台的设置中的导航代码转到该页面。

ChromeOS 系统组件会使用 chrome-untrusted:// 来处理来自用户或网络的数据，因此我们不建议您屏蔽该网址，因为这样做会导致某些系统组件无法正常运行。通过此特殊网址协议，Google 可确保 ChromeOS 中未包含的任何数据都可以通过 Chrome 浏览器提供的所有保护措施获得安全的处理，并且此类数据无法访问为系统组件预留的功能。只要系统组件能够处理用户提供的数据或网络上的内容，系统就会使用 chrome-untrusted:// 网址。

如果您要屏蔽 chrome://settings、chrome://settings 或 chrome://settings，请使用 chrome://settings 政策。这样做会屏蔽所有设置，而不仅仅是部分设置。请勿使用 URLallowList 或 URLallowList 政策来完成此操作。有关详情，请参阅已停用的系统功能。

如果您想屏蔽某个特定页面，则应指定该页面中禁止用户访问的确切内容。然后，您可以提醒 Chrome 或 ChromeOS 支持团队您想要实施哪些政策。然后，开发者就可以为应被屏蔽的特定功能添加政策。

第 1 步：查看政策

政策	说明
URLBlocklist	禁止用户访问已被列入屏蔽名单的网址。不过，用户可以访问屏蔽名单之外的所有网址。不设置此政策：用户将可以自由访问所有网址。
URLAllowlist	将此政策与 URLBlocklist 政策搭配使用，指定网址屏蔽名单的例外情况，以便用户可以访问特定网址。许可名单的优先级高于屏蔽名单。您至少要在屏蔽名单中添加一个条目，才能正常使用此政策。不设置此政策：网址屏蔽名单将没有例外网址。

政策

说明

URLBlocklist

禁止用户访问已被列入屏蔽名单的网址。不过，用户可以访问屏蔽名单之外的所有网址。

不设置此政策：用户将可以自由访问所有网址。

URLAllowlist

将此政策与 URLBlocklist 政策搭配使用，指定网址屏蔽名单的例外情况，以便用户可以访问特定网址。许可名单的优先级高于屏蔽名单。您至少要在屏蔽名单中添加一个条目，才能正常使用此政策。

不设置此政策：网址屏蔽名单将没有例外网址。

第 2 步：指定 Chrome 用户可以访问的网址

根据您希望采取的政策管理方式，点击下方的相应标题查看具体步骤。

管理控制台

可应用于任何设备上的已登录用户或 Windows、Mac、Linux 或 Android 上已注册的浏览器。有关详情，请参阅了解系统何时会应用设置。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标设备Chrome设置。默认情况下，系统会打开用户和浏览器设置页面。
如果您已注册 Chrome 企业核心版，请依次点击“菜单”图标 Chrome 浏览器设置。
（可选）要将设置仅应用于部分用户和已注册的浏览器，请在侧边选择一个组织部门（通常用于部门）或配置群组（高级）。显示具体方法
群组设置会覆盖组织部门的设置。了解详情
转到内容。
点击网址屏蔽，然后根据需要输入网址：
- 屏蔽的网址 - 您想禁止用户访问的网址。
  要查看网址语法和示例，请前往用户和浏览器 > 网址屏蔽名单。
- 已屏蔽网址的例外 - 您想允许用户访问的网址（许可名单）。即使在此部分输入的网址同时也被指定屏蔽的网址，应用也可以访问。
  要查看网址语法和示例，请转到用户和浏览器 > 已屏蔽网址的例外。
您最多可以将 1,000 个网址列入屏蔽名单或许可名单。
点击保存。或者，您也可以针对组织部门点击覆盖。
如要稍后恢复继承的值，请点击继承（如果是群组，请点击取消设置）。

如果您为单位中受支持的 Chrome 设备启用了 Android 应用，那么：

使用 Android System WebView 的应用将无法识别屏蔽的网址。要为这些应用强制应用屏蔽名单，请在文本文件中指定要禁止访问的网址，然后将屏蔽名单分别应用到每个 Android 应用。对于不使用 Android System WebView 的应用，请参阅应用文档，了解如何通过类似的方法限制访问权限。
使用 Android System WebView 的 Android 应用通常都可以识别出已屏蔽网址的例外。不过，其他应用可能不会遵循屏蔽名单设置。您可以将使用 Android System WebView 的应用列入许可名单，并略过其他不使用该组件的应用。要了解如何将 Android 应用列入许可名单，请参阅允许安装已批准的应用。

Windows

适用于在 Chrome 浏览器中登录受管理帐号的 Windows 用户。

使用组策略

在 Microsoft Windows 组策略编辑器（“计算机配置”或“用户配置”文件夹）中：

转到“策略”“管理模板” Google Google Chrome。
启用阻止访问网址列表。
提示：如果您未看到此政策，请下载最新政策模板。
添加要禁止用户访问的网址。
如果将此政策保留为未配置状态，则系统会应用上述不设置此政策时的行为。
启用允许访问网址列表。
添加要允许用户访问的网址。
如果将此政策保留为未配置状态，则系统会应用上述不设置此政策时的行为。
为用户部署更新。

您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站：网址过滤器格式，了解网址语法。

Mac

适用于在 Chrome 浏览器中登录了受管理帐号的 Mac 用户。

在 Chrome 政策配置文件（.plist 文件）中执行以下操作：

添加或更新以下键。
- 将您想禁止用户访问的网址添加到 URLBlocklist 键。
- 将您想允许用户访问的网址添加到 URLAllowlist 键。
为用户部署更改。

您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站：网址过滤器格式，了解网址语法。

下列示例展示了如何禁止用户访问除 mail.example.com、wikipedia.org 和 google.com 以外的所有网址。

<key>URLBlocklist</key> <dict> <array> <string>*</string> </array> </dict> <key>URLAllowlist</key> <dict> <array> <string>mail.example.com</string> <string>wikipedia.org</string> <string>google.com</string> </array> </dict>

Linux

适用于在 Chrome 浏览器中登录了受管理帐号的 Linux 用户。

使用您的首选 JSON 文件编辑器：

转到 /etc/opt/chrome/policies/managed 文件夹。
创建或更新 JSON 文件，然后根据需要输入网址：
- 在 URLBlocklist 中，添加您想禁止用户访问的网址。
- 在 URLAllowlist 中输入您想允许用户访问的网址。
为用户部署更新。

您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站：网址过滤器格式，了解网址语法。

下列示例展示了如何禁止用户访问除 mail.example.com、wikipedia.org 和 google.com 以外的所有网址。

首先，创建一个包含已屏蔽网址的文件。

{ "URLBlocklist": ["*"] }

然后，创建一个包含要列入许可名单的网址的文件。

{ "URLAllowlist": ["mail.example.com", "wikipedia.org", "google.com"] }

Android

适用于使用受管理的帐号登录 Chrome 浏览器的 Android 用户。

如果您已注册 Chrome 企业核心版，则可以在 Android 设备上使用管理控制台来管理 Chrome 浏览器。按照上文管理控制台中的步骤操作。

如果您未注册该组件，建议您让自己的移动设备管理 (MDM) 供应商为 Android 设备上的 Chrome 配置网址屏蔽政策。

请参阅设置 Chrome 企业核心版

iOS/iPadOS

适用于使用受管理的帐号登录 Chrome 浏览器的 iPhone 和 iPad 用户。

如果您已注册 Chrome 企业核心版，则可以在 iPhone 和 iPad 上使用管理控制台来管理 Chrome 浏览器。按照上文管理控制台中的步骤操作。

如果您未注册该组件，建议您让自己的移动设备管理 (MDM) 供应商为 iOS 和 iPadOS 设备上的 Chrome 配置网址屏蔽政策。

请参阅设置 Chrome 企业核心版

第 3 步：验证政策是否已应用妥当

在您应用任何 Chrome 政策后，用户都必须重启 Chrome 浏览器，这样相应设置才会生效。您可以检查用户的设备，确保政策已应用妥当。

在受管理的设备上，转到 chrome://policy。
点击重新加载政策。
确保 URLBlocklist 和 URLBlocklist 政策的“状态”已设为URLBlocklist。
点击 URLBlocklist 和 URLBlocklist 政策中的URLBlocklist，并确保所显示的字段值与您在政策中设置的值相同。

该内容对您有帮助吗？

您有什么改进建议？