适用于受管理的 Chrome 浏览器和 ChromeOS 设备。
作为 Chrome 企业版管理员,您可以禁止及允许访问特定网址,从而限制用户可以浏览的网站。限制用户的互联网访问权限可以提高工作效率,还能防止您的单位被部分网站上的病毒和恶意内容所侵害。
什么情况下禁止和允许访问网址
您可以使用屏蔽名单和许可名单进行基本网址管理。如需更强大的过滤功能,请按使用具有内容过滤功能的网络代理服务器或扩展程序。
网址屏蔽名单和许可名单的使用方式包括:
- 允许访问所有网址(您禁止访问的除外) - 使用屏蔽名单禁止用户访问特定网站,同时允许他们访问其他网站。
- 禁止访问所有网址(您允许访问的除外)- 使用屏蔽名单禁止用户访问所有网址,然后将允许用户访问的少量网址列入许可名单。
- 为非常严格的屏蔽名单指定例外网址 - 使用屏蔽名单禁止用户访问所有网址,然后通过许可名单允许用户访问特定网址协议、其他网域的子网域、端口或特定路径。
- 允许 Chrome 浏览器打开应用 - 允许访问特定的外部协议处理程序,以便 Chrome 浏览器可以自动打开特定应用。
有时候,屏蔽名单和许可名单并不能发挥预期的效果。举例来说,如果您设置禁止访问整个网站,但允许访问此网站中的特定网页网址,那么用户或许能够访问该网站上的其他内容。
将 SAML 或 OpenID Connect 单点登录用于用户身份验证时,或在用户会话之外配置强制门户网络连接时,您可以使用 DeviceAuthenticationURLBlocklist 和 DeviceAuthenticationURLAllowlist 政策在用户登录和锁定屏幕上屏蔽或允许网址。
有关详情,请参阅登录/锁定屏幕上的已屏蔽网址,以及登录/锁定屏幕上的已屏蔽网址例外。
屏蔽网址的例外
最佳做法是不屏蔽某些网址,例如:
- chrome://settings
- chrome://os-settings
- chrome-untrusted://
如需屏蔽 Chrome 网址,我们建议您在 Google 管理控制台中使用屏蔽敏感的内部 Chrome 网址,而不是手动将网址添加到已屏蔽网址列表。这种方法能更快、更安全地阻止用户访问敏感的内部网址。手动添加网址可能会导致设备出现意外问题。如需查看已屏蔽的 Chrome 网址的完整列表,请参阅屏蔽敏感的内部 Chrome 网址。
如需屏蔽相机、操作系统设置和浏览器设置等系统功能,我们建议您在管理控制台中使用已停用的系统功能,而不是使用网址拦截设置或按 ID 屏蔽应用和扩展程序。这样做会屏蔽所有相关设置,而不仅仅是网址部分。
如果您想屏蔽某个特定页面,则应指定该页面中禁止用户访问的确切内容。然后,您可以提醒 Chrome 或 ChromeOS 支持团队您想要实施哪些政策。然后,开发者就可以为应被屏蔽的特定功能添加政策。
第 1 步:查看政策
| 政策 | 说明 |
|---|---|
|
禁止用户访问已被列入屏蔽名单的网址。不过,用户可以访问屏蔽名单之外的所有网址。 不设置此政策:用户将可以自由访问所有网址。 |
|
|
将此政策与 URLBlocklist 政策搭配使用,指定网址屏蔽名单的例外情况,以便用户可以访问特定网址。许可名单的优先级高于屏蔽名单。您至少要在屏蔽名单中添加一个条目,才能正常使用此政策。 不设置此政策:网址屏蔽名单将没有例外网址。 |
第 2 步:指定 Chrome 用户可以访问的网址
根据您希望采取的政策管理方式,点击下方的相应标题查看具体步骤。
可应用于任何设备上的已登录用户或 Windows、Mac、Linux 或 Android 上已注册的浏览器。有关详情,请参阅了解系统何时会应用设置。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
设备 > Chrome > 设置。默认情况下,系统会打开用户和浏览器设置页面。
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome 企业核心版,请依次点击“菜单”图标
Chrome 浏览器 > 设置。
- 转到内容。
- 点击网址屏蔽,然后根据需要输入网址:
- 屏蔽的网址 - 您想禁止用户访问的网址。
要查看网址语法和示例,请前往用户和浏览器 > 网址屏蔽名单。
- 已屏蔽网址的例外 - 您想允许用户访问的网址(许可名单)。即使在此部分输入的网址同时也被指定屏蔽的网址,应用也可以访问。
要查看网址语法和示例,请转到用户和浏览器 > 已屏蔽网址的例外。
您最多可以将 1,000 个网址列入屏蔽名单或许可名单。
- 屏蔽的网址 - 您想禁止用户访问的网址。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。
- 使用 Android System WebView 的应用将无法识别屏蔽的网址。要为这些应用强制应用屏蔽名单,请在文本文件中指定要禁止访问的网址,然后将屏蔽名单分别应用到每个 Android 应用。对于不使用 Android System WebView 的应用,请参阅应用文档,了解如何通过类似的方法限制访问权限。
- 使用 Android System WebView 的 Android 应用通常都可以识别出已屏蔽网址的例外。不过,其他应用可能不会遵循屏蔽名单设置。您可以将使用 Android System WebView 的应用列入许可名单,并略过其他不使用该组件的应用。要了解如何将 Android 应用列入许可名单,请参阅允许安装已批准的应用。
适用于在 Chrome 浏览器中登录受管理帐号的 Windows 用户。
使用组策略
在 Microsoft Windows 组策略编辑器(“计算机配置”或“用户配置”文件夹)中:
- 转到“策略”
“管理模板”
- 启用阻止访问网址列表。
提示:如果您未看到此政策,请下载最新政策模板。 - 添加要禁止用户访问的网址。
如果将此政策保留为未配置状态,则系统会应用上述不设置此政策时的行为。 - 启用允许访问网址列表。
- 添加要允许用户访问的网址。
如果将此政策保留为未配置状态,则系统会应用上述不设置此政策时的行为。 - 为用户部署更新。
“管理模板”您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站:网址过滤器格式,了解网址语法。
适用于在 Chrome 浏览器中登录了受管理帐号的 Mac 用户。
在 Chrome 政策配置文件(.plist 文件)中执行以下操作:
- 添加或更新以下键。
- 将您想禁止用户访问的网址添加到 URLBlocklist 键。
- 将您想允许用户访问的网址添加到 URLAllowlist 键。
- 为用户部署更改。
您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站:网址过滤器格式,了解网址语法。
下列示例展示了如何禁止用户访问除 mail.example.com、wikipedia.org 和 google.com 以外的所有网址。
<key>URLBlocklist</key>
<dict>
<array>
<string>*</string>
</array>
</dict>
<key>URLAllowlist</key>
<dict>
<array>
<string>mail.example.com</string>
<string>wikipedia.org</string>
<string>google.com</string>
</array>
</dict>
适用于在 Chrome 浏览器中登录了受管理帐号的 Linux 用户。
使用您的首选 JSON 文件编辑器:
- 转到 /etc/opt/chrome/policies/managed 文件夹。
- 创建或更新 JSON 文件,然后根据需要输入网址:
- 在 URLBlocklist 中,添加您想禁止用户访问的网址。
- 在 URLAllowlist 中输入您想允许用户访问的网址。
- 为用户部署更新。
您最多可以将 1,000 个网址列入屏蔽名单或许可名单。请参阅允许或禁止访问网站:网址过滤器格式,了解网址语法。
下列示例展示了如何禁止用户访问除 mail.example.com、wikipedia.org 和 google.com 以外的所有网址。
首先,创建一个包含已屏蔽网址的文件。
{
"URLBlocklist": ["*"]
}
然后,创建一个包含要列入许可名单的网址的文件。
{
"URLAllowlist": ["mail.example.com", "wikipedia.org", "google.com"]
}
适用于使用受管理的帐号登录 Chrome 浏览器的 Android 用户。
如果您已注册 Chrome 企业核心版,则可以在 Android 设备上使用管理控制台来管理 Chrome 浏览器。按照上文管理控制台中的步骤操作。
如果您未注册该组件,建议您让自己的移动设备管理 (MDM) 供应商为 Android 设备上的 Chrome 配置网址屏蔽政策。
适用于使用受管理的帐号登录 Chrome 浏览器的 iPhone 和 iPad 用户。
如果您已注册 Chrome 企业核心版,则可以在 iPhone 和 iPad 上使用管理控制台来管理 Chrome 浏览器。按照上文管理控制台中的步骤操作。
如果您未注册该组件,建议您让自己的移动设备管理 (MDM) 供应商为 iOS 和 iPadOS 设备上的 Chrome 配置网址屏蔽政策。
第 3 步:验证政策是否已应用妥当
在您应用任何 Chrome 政策后,用户都必须重启 Chrome 浏览器,这样相应设置才会生效。您可以检查用户的设备,确保政策已应用妥当。
- 在受管理的设备上,转到 chrome://policy。
- 点击重新加载政策。
- 确保 URLBlocklist 和 URLAllowlist 政策的“状态”已设为正常。
- 点击 URLBlocklist 和 URLAllowlist 政策中的显示政策值,并确保所显示的字段值与您在政策中设置的值相同。