À partir de la version 63 de Chrome
S'applique aux navigateurs Chrome et appareils Chrome OS gérés.
En tant qu'administrateur Chrome, vous pouvez utiliser l'isolation de sites pour protéger les utilisateurs qui consultent des sites non approuvés dans le navigateur Chrome.
L'isolation de sites permet de séparer des pages de différents sites Web en processus distincts. Lorsque l'isolation de sites est activée, il est plus difficile pour les sites malveillants de contourner les mesures de sécurité qui existent pour éviter le vol de données. Elle peut empêcher les processus de recevoir certains types de données sensibles provenant d'autres sites. Un site Web malveillant aura beaucoup plus de difficultés à voler des données depuis d'autres sites, même s'il peut enfreindre certaines règles dans son propre processus.
L'isolation de sites s'applique à des sites tels que https://example.com et regroupe généralement d'autres origines au sein de ce site, comme https://a.example.com.
L'isolation de sites est activée par défaut à partir de Chrome 76 sur les plates-formes pour ordinateur et à partir de Chrome 77 pour la plupart des sites auxquels les utilisateurs se connectent sur Android. En savoir plus sur l'isolation de sites.
Vous pouvez empêcher les utilisateurs de désactiver l'isolation de sites et isoler des origines plus spécifiques au sein des sites de votre choix. Sur Android, vous pouvez également activer l'isolation de tous les sites.
Étape 1 : Étudiez les règles
| Règle | Description et paramètres |
|---|---|
| SitePerProcess |
Windows, Mac et Linux Règle activée : l'isolation de sites est activée pour tous les sites Web de votre organisation. Tous les sites consultés par les utilisateurs s'affichent selon un processus dédié qui les isole les uns des autres. Les utilisateurs ne peuvent pas désactiver l'isolation de sites à l'aide de chrome://flags, par exemple. Règle désactivée ou non définie : l'isolation de sites reste activée, mais les utilisateurs peuvent la désactiver à l'aide de chrome://flags, par exemple. |
| IsolateOrigins |
Windows, Mac et Linux Règle activée : isole des origines spécifiques supplémentaires que les utilisateurs consultent. Les origines que vous spécifiez s'affichent selon un processus dédié. Vous pouvez inclure des origines auxquelles les utilisateurs se connectent et d'autres origines contenant des informations sensibles, telles que des sites de productivité ou des sites intranet. Règle désactivée ou non définie : l'isolation de sites reste activée, mais aucune origine supplémentaire n'est isolée. Les utilisateurs peuvent ajouter des origines à isoler à l'aide de chrome://flags, par exemple. |
| SitePerProcessAndroid |
Android Règle activée : s'applique aux appareils Android disposant d'au moins 1 Go de RAM. Active l'isolation de sites pour tous les sites Web de votre organisation. Tous les sites consultés par les utilisateurs s'affichent selon un processus dédié qui les isole les uns des autres. Les utilisateurs ne peuvent pas désactiver l'isolation de sites à l'aide de chrome://flags, par exemple. Règle non définie : s'applique à M77 ou versions ultérieures, et aux appareils Android disposant d'au moins 2 Go de RAM. L'isolation de sites n'est activée que pour les sites auxquels les utilisateurs se connectent. Règle désactivée : l'isolation de sites est entièrement désactivée. Cette règle remplace les paramètres des sites auxquels les utilisateurs se connectent et de la règle IsolateOriginsAndroid. |
| IsolateOriginsAndroid |
Android Règle activée : s'applique aux appareils Android disposant d'au moins 1 Go de RAM. Isole des origines spécifiques supplémentaires que les utilisateurs consultent. Les origines que vous spécifiez s'affichent selon un processus dédié. Vous pouvez inclure des origines auxquelles les utilisateurs se connectent et d'autres origines contenant des informations sensibles, telles que des sites de productivité ou des sites intranet. Règle non définie : s'applique à M77 ou versions ultérieures, et aux appareils Android disposant d'au moins 2 Go de RAM. L'isolation de sites n'est activée que pour les sites auxquels les utilisateurs se connectent. Règle désactivée : l'isolation de sites est entièrement désactivée. Cette règle remplace la règle SitePerProcessAndroid. |
Étape 2 : Créez la liste des sites à isoler
Dans Chrome 76 et versions antérieures, créez la liste de toutes les origines que vous souhaitez isoler en spécifiant chacune d'elles dans son intégralité. Par exemple :
https://a.example.com, https://b.example.com, https://c.example.com
À partir de Chrome 77, vous pouvez également spécifier une plage d'origines à isoler à l'aide d'un caractère générique.
Par exemple, https://[*.]example.com isole https://a.example.com, https://b.example.com et https://c.example.com. Cette spécification permet également d'isoler d'autres sites répondant au critère https://[*.]example.com tels que :
https://a1.example.comhttps://a2.a1.example.comhttps://a3.a2.a1.example.com
Le caractère générique permet d'isoler facilement une plage complète de sites. Par exemple, spécifiez https://[*.]corp.solarmora.com pour isoler tous les sites de l'entreprise Solarmora.
Étape 3 : Activez l'isolation de sites
Cliquez sur les rubriques ci-dessous pour obtenir les instructions qui correspondent à la manière dont vous voulez gérer ces règles.
Console d'administrationCes règles peuvent s'appliquer aux utilisateurs connectés sur n'importe quel appareil ou navigateur inscrit sous Windows, Mac, Linux ou Android. Pour en savoir plus, consultez Déterminez quand les paramètres s'appliquent.
Important : Assurez-vous que le navigateur Chrome géré est activé au sein de l'organisation.
-
Dans la console d'administration, accédez à Menu
Appareils
Chrome
Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu
Navigateur Chrome
- Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
- Accédez à la section Isolation de sites.
- Sous Windows, Mac et Linux, cliquez sur Isolation de sites :
- Pour imposer l'isolation de tous les sites Web :
- Sélectionnez Exiger l'isolation de sites pour tous les sites Web, ainsi que pour les origines ci-dessous.
- (Facultatif) Indiquez des origines supplémentaires (en les séparant par une virgule) pour que celles-ci soient isolées de leurs sites Web respectifs. Par exemple, saisissez https://login.example.com pour isoler cette page du reste du site https://example.com.
- Cliquez sur Enregistrer.
- Pour activer l'isolation de tous les sites Web tout en permettant aux utilisateurs de la désactiver pour des sites Web spécifiques (par défaut) :
- Sélectionnez Activer l'isolation de sites pour tous les sites Web et pour les origines ci-dessous, mais permettre aux utilisateurs de la désactiver.
- (Facultatif) Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
- Cliquez sur Enregistrer.
- Pour imposer l'isolation de tous les sites Web :
- Pour Android, cliquez sur Isolation de sites (Chrome sur Android) :
- Pour activer l'isolation uniquement pour les sites Web de connexion (valeur par défaut) :
- Sélectionnez Activer l'isolation de sites uniquement pour les sites de connexion, ainsi que pour les origines ci-dessous.
- (Facultatif) Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
- Cliquez sur Enregistrer.
- Pour permettre aux utilisateurs de choisir s'ils souhaitent activer l'isolation de sites :
- Sélectionnez Autoriser l'utilisateur à activer/désactiver la fonctionnalité d'isolation de sites.
- (Facultatif) Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
- Cliquez sur Enregistrer.
- Pour activer la fonctionnalité d'isolation pour tous les sites Web :
- Sélectionnez Activer l'isolation de sites pour tous les sites Web, ainsi que pour les origines ci-dessous.
- (Facultatif) Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
- Cliquez sur Enregistrer.
- Pour activer l'isolation uniquement pour les sites Web de connexion (valeur par défaut) :
Utiliser la stratégie de groupe
Dans l'éditeur de stratégies de groupe, accédez à Ordinateur ou à Configuration utilisateur 
Exiger l'isolation de sites pour tous les sites Web
Remarque : L'isolation de sites est toujours activée sous Windows, et la règle SitePerProcess sert uniquement à empêcher l'utilisateur de désactiver la fonctionnalité.
Si vous conservez l'option "Non configuré" pour cette règle, le comportement Non défini décrit plus haut est appliqué.
-
Recherchez la règle Activer l'isolation de sites pour tous les sites et activez-la.
Conseil : Si cette règle n'apparaît pas, téléchargez le dernier modèle de règles. - Déployez la mise à jour sur les appareils de vos utilisateurs.
Activer la fonctionnalité d'isolation pour des origines spécifiques
Si vous conservez l'option "Non configuré" pour cette règle, le comportement Non défini décrit plus haut est appliqué.
- Testez en local la fonctionnalité d'isolation pour ces sites en utilisant l'indicateur de ligne de commande suivant :
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org - Recherchez la règle Activer l'isolation des sites pour des origines définies et activez-la.
Conseil : Si cette règle n'apparaît pas, téléchargez le dernier modèle de règles.
-
Recensez les URL à isoler dans une liste d'éléments séparés par une virgule.
Exemple :https://[*.]example.com/,https://subdomain.example.org - Déployez la mise à jour sur les appareils de vos utilisateurs.
Dans votre profil de configuration Chrome, ajoutez ou mettez à jour les clés ci-dessous. Appliquez ensuite le changement sur les appareils des utilisateurs.
<dict>
<key>SitePerProcess</key>
<true/>
</dict>
<dict>
<key>IsolateOrigins</key>
<string>”https://www.site1.com,https://www.site2.net”</string>
</dict>
Dans l'éditeur de fichiers JSON de votre choix :
- Accédez au dossier etc/opt/chrome/policies/managed.
- Créez ou mettez à jour un fichier JSON et saisissez les URL concernées :
- SitePerProcess : définir sur "true" pour imposer la règle
- IsolateOrigins : ajouter les URL à isoler
- Testez en local la fonctionnalité d'isolation pour ces sites en utilisant l'indicateur de ligne de commande suivant :
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org - Déployez la mise à jour sur les appareils de vos utilisateurs.
L'exemple suivant montre comment imposer la règle SitePerProcess :
{
”SitePerProcess": "true”
}
Cet exemple montre comment isoler a.example.com et b.example.net :
{
“IsolateOrigins”:”https://a.example.com/,https://b.example.net/”
}
Étape 4 : Vérifiez que les règles ont bien été appliquées
Lorsque vous appliquez une règle Chrome, les utilisateurs doivent redémarrer leur navigateur Chrome pour qu'elle soit prise en compte. Vous avez la possibilité de vérifier que la règle a bien été appliquée sur les appareils des utilisateurs.
- Sur un appareil ChromeOS géré, accédez à la page chrome://policy.
- Cliquez sur Actualiser les règles.
- Cochez l'option Afficher les règles non paramétrées.
- Pour les règles que vous avez définies, assurez-vous que État est défini sur OK.
- Pour chaque règle, cliquez sur Afficher la valeur. Assurez-vous que le contenu des champs correspond aux valeurs que vous avez définies pour chaque règle.
Désactiver la fonctionnalité d'isolation de sites (Android uniquement)
Pour désactiver l'isolation de sites, désactivez les règles Android que vous avez définies précédemment.
Une fois que vous avez désactivé la règle d'isolation, les sites Web sont affichés dans Chrome selon le modèle de processus d'isolation préliminaire. Un processus peut être partagé par différents sites, et les cadres inter-sites peuvent être affichés selon le même processus que celui de leur page parente. Lorsqu'une règle est désactivée, les tests en situation réelle des deux règles le sont aussi.
Google et les marques et logos associés sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits sont des marques des entreprises auxquelles ils sont associés.