管理 Chrome 更新 (Mac)

1. 在您的首选编辑器中创建新的属性列表 (.plist) 文件。
   如要创建和编辑 .plist 文件，Google 建议您使用可为您设置 XML 代码格式的编辑器（例如 Xcode）。
2. 将全局政策键添加到您的文件，如下所示：
   <key>updatePolicies</key>
<dict>
 <key>global</key>
 <dict>
 </dict>
</dict>
3. 将文件保存为 com.google.Keystone.plist。
4. 如果您使用移动设备管理 (MDM) 系统（例如 Jamf 或 AirWatch），请将此 .plist 文件上传到您的 MDM 系统。如果您不使用 MDM，请将文件保存在 /Library/Managed Preferences/ 路径下。 

适用于 Chrome 浏览器以及通过 Google 软件更新管理的所有应用。

我们建议您让自动更新功能保持启用状态，以便用户可以及时收到重要的安全修复程序和新功能。

1. 在您的首选 XML 编辑器中打开 com.google.Keystone.plist 文件。
2. 在 updatePolicies 键下方，添加 Chrome 浏览器 UpdateDefault 键条目，并将键值设为 0。以下示例显示的是启用了自动更新功能的 Chrome 浏览器 (com.google.Chrome) 的设置：
   <key>updatePolicies</key>
<dict>
  <key>global</key>
  <dict>
    <key>UpdateDefault</key>
    <integer>0</integer>
  </dict>
</dict>
3. 保存更改。

此表显示了 UpdateDefault 键的所有有效设置。

适用于 Chrome 浏览器以及通过 Google 软件更新管理的所有应用。

Chrome 浏览器会自动更新功能并应用安全更新，确保您的用户能及时获取重要的安全更新，并且不会错过新功能。

如果您需要停止 Chrome 浏览器更新，可以停用自动更新功能，并禁止用户自行手动更新浏览器。

重要提示：我们不建议您停用浏览器更新功能。这会使系统无法将软件修复程序和安全补丁程序应用至 Chrome 浏览器。同时，您还会面临崩溃和安全漏洞的风险。如果您必须停用更新功能，请确保您配备为整个网络及时进行更新的流程。然而，最好还是制定方案来尽快重新启用更新功能。

1. 在您的首选 XML 编辑器中打开 com.google.Keystone.plist 文件。
2. 在 updatePolicies 键下方，添加 Chrome 浏览器 UpdateDefault 键条目，并将键值设为 2。以下示例显示的是停用了定时自动更新并禁止用户使用 chrome://settings/help 手动安装更新的 Chrome 浏览器 (com.google.Chrome) 的设置：
   <key>updatePolicies</key>
<dict>
  <key>global</key>
  <dict>
    <key>UpdateDefault</key>
    <integer>3</integer>
  </dict>
</dict>
3. 保存更改。

此表显示了 UpdateDefault 键的所有有效设置。

仅适用于 Chrome 浏览器组件。

即使您停用 Chrome 浏览器的更新功能，浏览器组件也不会停止自动更新。这些组件包括 Widevine DRM 和 Chrome 更新程序恢复组件。

如要阻止 Chrome 浏览器组件更新，请执行以下操作：

1. 在自定义属性列表 (.plist) 文件中，停用 ComponentUpdatesEnabled Chrome 政策。以下示例展示了如何停用组件更新：
   <key>global</key>
<dict>
     <key>ComponentUpdatesEnabled</key>
        <boolean>false</boolean>
  <dict>
2. 使用您的首选部署工具，为贵单位的 Mac 计算机部署政策。

注意：

• 此政策无法适用于所有组件。如需例外组件的完整清单，请参阅 ComponentUpdatesEnabled。
• 如要详细了解如何在 Mac 计算机上配置 Chrome 政策，请参阅 Policy Templates（政策模板）。

适用于 Chrome 浏览器以及通过 Google 软件更新管理的所有应用。

要禁止系统在特定时间段（例如工作高峰期）进行自动更新，您可以设置每天进行自动更新的时间段。

注意：您指定的时间为本机时间。

1. 在您的首选 XML 编辑器中打开 com.google.Keystone.plist。
2. 将以下嵌套键添加到 updatePolicies 全局键：

   设置	说明
   UpdatesSuppressedStartHour	设置从几点（24 小时制时钟格式）开始执行自动更新。请使用 0（午夜）至 23 之间的值。
   UpdatesSuppressedStartMin	设置从几分（起始小时值对应的 60 分钟内）开始执行自动更新。请使用 0 至 59 之间的值。
   UpdatesSuppressedDurationMin	设置自动更新的时长（以分钟为单位）。如果您将该值设为 0，相当于不为自动更新设置时限。

3. 保存更改。

示例

以下示例将自动更新时间段设为从下午 4:30 开始，并于第二天上午 8:00 结束：

<key>updatePolicies</key>
<dict>
 <key>global</key>
 <dict>
  <key>UpdatesSuppressedStartHour</key>
  <integer>16</integer>
  <key>UpdatesSuppressedStartMin</key>
  <integer>30</integer>
  <key>UpdatesSuppressedDurationMin</key>
  <integer>960</integer>
  </dict>
</dict>

适用于通过 Google 软件更新管理的所有应用。

每个 Google 应用都有一个唯一标识符（应用 ID），供您用于指定应用专属政策设置。这些设置会覆盖任何全局更新设置。要为某个应用配置更新政策，您必须知道该应用的 ID。

1. 按以下步骤找到您要管理的应用的 ID：
   1. 在计算机上打开“应用程序”文件夹。
   2. 右键点击要配置的 Google 应用。
   3. 选择显示包内容。
   4. 打开“Contents”文件夹。
   5. 打开 info.plist 文件，然后搜索应用 ID，格式如下：com.google.productname。例如，虚拟云端硬盘的应用 ID 是 com.google.drivefs。
2. 在您的首选 XML 编辑器中打开 com.google.Keystone.plist 文件。
3. 在 updatePolicies 键下方，为每个要更新的应用添加一个应用专属的 UpdateDefault 键条目。以下示例显示的是虚拟云端硬盘 (com.google.drivefs) 的设置。

   <key>com.google.drivefs</key>
   <dict>
    <key>UpdateDefault</key>
    <integer>2</integer>
   </dict>
   

4. 将 UpdateDefault 键设为您需要的更新政策设置。
5. （可选）要将应用固定为某一版本，请使用 TargetVersionPrefix 键指定目标版本。这样一来，您的设备就不会更新到超过您指定版本号的应用版本。
6. 保存更改。

仅适用于 Chrome 浏览器更新。

您可以指定要让 Mac 计算机将 Chrome 浏览器更新到哪个版本（主要里程碑版本或特定完整版本）。对于运行 Chrome 浏览器稳定版的计算机，Google 会在几周内逐步将浏览器更新到新版本。有时，更新可能需要更长时间。

• 使用 xx. 语法指定主要里程碑版本 - 只要您指定的里程碑版本属于稳定版的主要版本，计算机就可以继续接收此版本的安全更新。Chrome 浏览器会在次要版本全面推出后更新到最新的次要版本。这可能需要几周的时间。
• 使用 xx.xx.xx.xx 语法指定完整版本 - 计算机会在您指定的确切版本可用时更新到该版本。

一般来说，我们建议您使用适用于主要里程碑版本的语法 (xx.)，确保设备始终为该里程碑版本的最新版本。不过，有时您可能需要使用适用于完整版本的语法 (xx.xx.xx.xx) 来指定特定版本。例如，您可能需要部署重要的安全修复，而 Google 软件更新的速度不符合业务需求。或者，特定版本已通过贵单位内部测试的验证。

有时由于出现错误或出于安全修复的需要，必须使用新的次要版本，因此旧的次要版本可能不会全面推出。如果您使用适用于完整版本的语法 (xx.xx.xx.xx)，则您部署的版本可能不是最新版本或存在已知错误。

警告：将 Chrome 浏览器更新固定到特定版本只是临时做法，例如在测试新版 Chrome 浏览器时。请不要忘记为用户的计算机取消固定，否则用户将无法及时获取重要的安全更新，还会错过新功能。

1. 在您的首选编辑器中打开 com.google.Keystone.plist 文件。
2. 在 updatePolicies 键下方，添加 Chrome 浏览器 UpdateDefault 和 TargetVersionPrefix 键条目。以下示例显示的是将版本固定为 89 的 Chrome 浏览器 (com.google.Chrome) 的设置：

   <key>com.google.Chrome</key>
   <dict>
    <key>TargetVersionPrefix</key>
    <string>89.</string>
   </dict>
   

3. 保存文件

仅适用于 Chrome 浏览器更新。您必须自行承担使用此政策所带来的风险。

为了确保用户受到最新安全更新的保护，我们建议使用最新版本的 Chrome 浏览器。使用 RollbackToTargetVersion 键和 TargetVersionPrefix 在 Mac 计算机上临时回滚到特定的 Chrome 浏览器版本。运行早期版本的 Chrome 浏览器会使您的用户面临已知的安全问题。

每次完成主要版本更新后，Chrome 浏览器会在设备本地存储一份用户信息快照。默认情况下，系统会保留最近的三个快照。您可以指定希望在用户设备上保留的快照数量。有关详情，请参阅在版本回滚期间保留数据。

注意：您只能使用此政策将 Chrome 浏览器回滚到 3 个最新的主要版本。

1. 在您的首选编辑器中打开 com.google.Keystone.plist 文件。
2. 在 updatePolicies 键下方，添加 Chrome 浏览器 UpdateDefault、TargetVersionPrefix 和 RollbackToTargetVersion 键条目。
3. 保存文件。

示例

以下示例显示的是将版本回滚到 89 的 Chrome 浏览器 (com.google.Chrome) 的设置：

<key>com.google.Chrome</key>
<dict>
 <key>TargetVersionPrefix</key>
 <string>89.</string>
 <key>RollbackToTargetVersion</key>
 <true/>
</dict>

仅适用于 Chrome 浏览器更新。

从 Chrome 版本 90 开始，Google 软件更新便可让您选择稳定版、Beta 版或开发者版 Chrome 浏览器。默认情况下，Chrome 会采用稳定版发布的更新。

请参阅 Chrome 浏览器发布版本了解相关信息，以便帮助您决定用户要采用哪个版本。

注意事项

• 改用更稳定的版本 - 当您为浏览器改用更稳定的版本后（例如，从 Beta 版改为稳定版），较稳定版的版本号可能会较低。例如，稳定版的版本号为 90，而 Beta 版的版本号为 91。默认情况下，Google 软件更新不会在切换版本时将 Chrome 降级到更低的版本。Chrome 会一直使用旧版本，直到新版本升级到更高版本。
  要将 Chrome 切换到较低的版本，请将 TargetChannel 设置为所需的版本，并指示 Chrome 回滚到所需的版本。有关详情，请参阅上文中的将 Chrome 浏览器回滚到先前版本。
  例如：
  <key>com.google.Chrome</key>
<dict>
 <key>TargetChannel</key>
 <string>stable</string>
 <key>RollbackToTargetVersion</key>
 <true/>
</dict>

• 清除 TargetChannel 政策 - 如果清除了 TargetChannel 政策，Chrome 会继续采用接收更新的上一个版本。例如，如果为了将一组计算机的版本更改为 Beta 版而将 TargetChannel 设置为 beta，即使 TargetChannel 政策遭到了清除，这些计算机仍会以 Beta 版进行更新。如要切换为稳定版，请将 TargetChannel 政策设置为稳定版。您可以选择在所有计算机都收到稳定版的更新后清除 TargetChannel 政策。

操作方法

1. 在您的首选编辑器中打开 com.google.Keystone.plist 文件。
2. 在 updatePolicies 键和 com.google.Chrome 键下方，添加 Chrome 浏览器 TargetChannel 键条目。
3. 将政策设置为 stable、beta 或 dev。注意：默认值为 stable。
4. 保存文件。

以下示例显示的是将发布版本设置为 Beta 版的 Chrome 浏览器 (com.google.Chrome) 的设置：

<key>com.google.Chrome</key>
<dict>
 <key>TargetChannel</key>
 <string>beta</string>
</dict>

如果您单位的网络已设置中间代理缓存，您可以用其缓存 Chrome 浏览器更新。从 Google 下载的更新可缓存在大多数网络缓存代理服务器上。代理缓存可缓存和重复使用经常请求的网页，从而减少带宽用量并缩短响应时间。

但是，许多代理缓存的默认设置对 Chrome 浏览器更新而言并不是最优的。为确保您的代理缓存软件可以缓存 Chrome 浏览器更新，请让有经验的 IT 管理员配置以下设置：

• 文件大小上限 - 系统会以单个文件的形式下载更新，因此请确保可缓存文件大小不超过 100 MB。
  如需缓存更新，请将全局 DownloadPreference 键设置为 cacheable。请参阅属性列表示例。
• 网址设置 - 如果服务器允许您为特定网域添加设置，请优先为 dl.google.com/* 和 www.google.com/dl/* 添加。这是设备获取 Chrome 浏览器更新的地方。
• 缓存空间 - 服务器用来缓存内容的空间总量。如果您的缓存存储空间超过 30 GB，则可以提高此值以缓存更多内容。

更改 com.google.Keystone.plist 文件后，请使用您的首选部署工具为贵单位的 Mac 计算机部署自动更新政策。

有许多移动设备管理 (MDM) 工具（例如 Profile Manager、Jamf Pro 或 AirWatch）可用来部署配置文件。以下方法仅供参考，具体步骤会因您使用的 MDM 工具而异。

1. 打开您的首选 MDM 工具。
2. 将您创建的 com.google.Chrome.mobileconfig 文件上传到 MDM 工具，以创建新的配置文件来管理 Chrome 浏览器政策。此配置文件包含您要管理的所有偏好设置。
3. 部署自动更新配置文件，确保您的所有 Mac 设备都拥有相同的设置。

示例文件 com.google.keystone.mobileconfig 中的设置会停用自动更新功能并将 Chrome 浏览器版本固定为第 62 版。

  
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>updatePolicies</key>
        <dict>
          <key>global</key>
          <dict>
            <key>UpdateDefault</key>
            <integer>3</integer>
            <key>DownloadPreference</key>
            <string>cacheable</string>
          </dict>
          <key>com.google.Chrome</key>
          <dict>
            <key>UpdateDefault</key>
            <integer>2</integer>
            <key>TargetVersionPrefix</key>
            <string>62.</string>
          </dict>
	    <key>com.google.drivefs</key>
          <dict>
            <key>UpdateDefault</key>
            <integer>2</integer>
           </dict>
        </dict>
</dict>
</plist>