作为 Mac 管理员,您可以使用 Google 软件更新管理用户 Mac 计算机上的 Chrome 浏览器和 Chrome 应用更新。Google 软件更新有以下 2 种政策:
- 适用于设备上安装的所有 Google 应用的全局政策。
- 仅适用于某一款特定应用并且会覆盖全局政策的应用专属政策。
您可以在 Google 软件更新配置文件 (com.google.Keystone.plist
) 中为这两种政策设置好值,然后创建要部署到您单位中所有设备的配置文件。
第 1 步:创建政策设置文件
创建新的属性列表文件- 在您的首选编辑器中创建新的属性列表 (.plist) 文件。
如要创建和编辑 .plist 文件,Google 建议您使用可为您设置 XML 代码格式的编辑器(例如 Xcode)。 - 将全局政策键添加到您的文件,如下所示:
<key>updatePolicies</key>
<dict>
<key>global</key>
<dict>
</dict>
</dict> - 将文件保存为
com.google.Keystone.plist
。 - 如果您使用移动设备管理 (MDM) 系统(例如 Jamf 或 AirWatch),请将此 .plist 文件上传到您的 MDM 系统。如果您不使用 MDM,请将文件保存在 /Library/Managed Preferences/ 路径下。
第 2 步:配置更新
启用自动更新功能(推荐)适用于 Chrome 浏览器以及通过 Google 软件更新管理的所有应用。
我们建议您让自动更新功能保持启用状态,以便用户可以及时收到重要的安全修复程序和新功能。
- 在您的首选 XML 编辑器中打开
com.google.Keystone.plist
文件。 - 在
updatePolicies
键下方,添加 Chrome 浏览器UpdateDefault
键条目,并将键值设为 0。以下示例显示的是启用了自动更新功能的 Chrome 浏览器 (com.google.Chrome) 的设置:
<key>updatePolicies</key>
<dict>
<key>global</key>
<dict>
<key>UpdateDefault</key>
<integer>0</integer>
</dict>
</dict> - 保存更改。
此表显示了 UpdateDefault
键的所有有效设置。
适用于 Chrome 浏览器以及通过 Google 软件更新管理的所有应用。
Chrome 浏览器会自动更新功能并应用安全更新,确保您的用户能及时获取重要的安全更新,并且不会错过新功能。
如果您需要停止 Chrome 浏览器更新,可以停用自动更新功能,并禁止用户自行手动更新浏览器。
重要提示:我们不建议您停用浏览器更新功能。这会使系统无法将软件修复程序和安全补丁程序应用至 Chrome 浏览器。同时,您还会面临崩溃和安全漏洞的风险。如果您必须停用更新功能,请确保您配备为整个网络及时进行更新的流程。然而,最好还是制定方案来尽快重新启用更新功能。
- 在您的首选 XML 编辑器中打开
com.google.Keystone.plist
文件。 - 在
updatePolicies
键下方,添加 Chrome 浏览器UpdateDefault
键条目,并将键值设为 2。以下示例显示的是停用了定时自动更新并禁止用户使用 chrome://settings/help 手动安装更新的 Chrome 浏览器 (com.google.Chrome) 的设置:
<key>updatePolicies</key>
<dict>
<key>global</key>
<dict>
<key>UpdateDefault</key>
<integer>3</integer>
</dict>
</dict> - 保存更改。
此表显示了 UpdateDefault
键的所有有效设置。
仅适用于 Chrome 浏览器组件。
即使您停用 Chrome 浏览器的更新功能,浏览器组件也不会停止自动更新。这些组件包括 Widevine DRM 和 Chrome 更新程序恢复组件。
如要阻止 Chrome 浏览器组件更新,请执行以下操作:
- 在自定义属性列表 (.plist) 文件中,停用 ComponentUpdatesEnabled Chrome 政策。以下示例展示了如何停用组件更新:
<key>global</key>
<dict>
<key>ComponentUpdatesEnabled</key>
<boolean>false</boolean>
<dict> - 使用您的首选部署工具,为贵单位的 Mac 计算机部署政策。
注意:
- 此政策无法适用于所有组件。如需例外组件的完整清单,请参阅 ComponentUpdatesEnabled。
- 如要详细了解如何在 Mac 计算机上配置 Chrome 政策,请参阅 Policy Templates(政策模板)。
第 3 步:自定义更新
安排在工作时间以外进行自动更新适用于 Chrome 浏览器以及通过 Google 软件更新管理的所有应用。
要禁止系统在特定时间段(例如工作高峰期)进行自动更新,您可以设置每天进行自动更新的时间段。
注意:您指定的时间为本机时间。
- 在您的首选 XML 编辑器中打开
com.google.Keystone.plist
。 - 将以下嵌套键添加到 updatePolicies 全局键:
设置 说明 UpdatesSuppressedStartHour
设置从几点(24 小时制时钟格式)开始执行自动更新。请使用 0(午夜)至 23 之间的值。 UpdatesSuppressedStartMin
设置从几分(起始小时值对应的 60 分钟内)开始执行自动更新。请使用 0 至 59 之间的值。 UpdatesSuppressedDurationMin
设置自动更新的时长(以分钟为单位)。如果您将该值设为 0,相当于不为自动更新设置时限。 - 保存更改。
示例
以下示例将自动更新时间段设为从下午 4:30 开始,并于第二天上午 8:00 结束:
<key>updatePolicies</key>
<dict>
<key>global</key>
<dict>
<key>UpdatesSuppressedStartHour</key>
<integer>16</integer>
<key>UpdatesSuppressedStartMin</key>
<integer>30</integer>
<key>UpdatesSuppressedDurationMin</key>
<integer>960</integer>
</dict>
</dict>
适用于通过 Google 软件更新管理的所有应用。
每个 Google 应用都有一个唯一标识符(应用 ID),供您用于指定应用专属政策设置。这些设置会覆盖任何全局更新设置。要为某个应用配置更新政策,您必须知道该应用的 ID。
- 按以下步骤找到您要管理的应用的 ID:
- 在计算机上打开“应用程序”文件夹。
- 右键点击要配置的 Google 应用。
- 选择显示包内容。
- 打开“Contents”文件夹。
- 打开 info.plist 文件,然后搜索应用 ID,格式如下:
com.google.productname
。例如,虚拟云端硬盘的应用 ID 是com.google.drivefs
。
- 在您的首选 XML 编辑器中打开
com.google.Keystone.plist
文件。 - 在
updatePolicies
键下方,为每个要更新的应用添加一个应用专属的UpdateDefault
键条目。以下示例显示的是虚拟云端硬盘 (com.google.drivefs
) 的设置。<key>com.google.drivefs</key> <dict> <key>UpdateDefault</key> <integer>2</integer> </dict>
- 将
UpdateDefault
键设为您需要的更新政策设置。 - (可选)要将应用固定为某一版本,请使用
TargetVersionPrefix
键指定目标版本。这样一来,您的设备就不会更新到超过您指定版本号的应用版本。 - 保存更改。
仅适用于 Chrome 浏览器更新。
您可以指定要让 Mac 计算机将 Chrome 浏览器更新到哪个版本(主要里程碑版本或特定完整版本)。对于运行 Chrome 浏览器稳定版的计算机,Google 会在几周内逐步将浏览器更新到新版本。有时,更新可能需要更长时间。
- 使用 xx. 语法指定主要里程碑版本 - 只要您指定的里程碑版本属于稳定版的主要版本,计算机就可以继续接收此版本的安全更新。Chrome 浏览器会在次要版本全面推出后更新到最新的次要版本。这可能需要几周的时间。
- 使用 xx.xx.xx.xx 语法指定完整版本 - 计算机会在您指定的确切版本可用时更新到该版本。
一般来说,我们建议您使用适用于主要里程碑版本的语法 (xx.),确保设备始终为该里程碑版本的最新版本。不过,有时您可能需要使用适用于完整版本的语法 (xx.xx.xx.xx) 来指定特定版本。例如,您可能需要部署重要的安全修复,而 Google 软件更新的速度不符合业务需求。或者,特定版本已通过贵单位内部测试的验证。
有时由于出现错误或出于安全修复的需要,必须使用新的次要版本,因此旧的次要版本可能不会全面推出。如果您使用适用于完整版本的语法 (xx.xx.xx.xx),则您部署的版本可能不是最新版本或存在已知错误。
警告:将 Chrome 浏览器更新固定到特定版本只是临时做法,例如在测试新版 Chrome 浏览器时。请不要忘记为用户的计算机取消固定,否则用户将无法及时获取重要的安全更新,还会错过新功能。
- 在您的首选编辑器中打开
com.google.Keystone.plist
文件。 - 在
updatePolicies
键下方,添加 Chrome 浏览器UpdateDefault
和TargetVersionPrefix
键条目。以下示例显示的是将版本固定为 89 的 Chrome 浏览器 (com.google.Chrome
) 的设置:<key>com.google.Chrome</key> <dict> <key>TargetVersionPrefix</key> <string>89.</string> </dict>
- 保存文件
仅适用于 Chrome 浏览器更新。您必须自行承担使用此政策所带来的风险。
为了确保用户受到最新安全更新的保护,我们建议使用最新版本的 Chrome 浏览器。使用 RollbackToTargetVersion
键和 TargetVersionPrefix
在 Mac 计算机上临时回滚到特定的 Chrome 浏览器版本。运行早期版本的 Chrome 浏览器会使您的用户面临已知的安全问题。
每次完成主要版本更新后,Chrome 浏览器会在设备本地存储一份用户信息快照。默认情况下,系统会保留最近的三个快照。您可以指定希望在用户设备上保留的快照数量。有关详情,请参阅在版本回滚期间保留数据。
注意:您只能使用此政策将 Chrome 浏览器回滚到 3 个最新的主要版本。
- 在您的首选编辑器中打开
com.google.Keystone.plist
文件。 - 在
updatePolicies
键下方,添加 Chrome 浏览器UpdateDefault
、TargetVersionPrefix
和RollbackToTargetVersion
键条目。 - 保存文件。
示例
以下示例显示的是将版本回滚到 89 的 Chrome 浏览器 (com.google.Chrome
) 的设置:
<key>com.google.Chrome</key>
<dict>
<key>TargetVersionPrefix</key>
<string>89.</string>
<key>RollbackToTargetVersion</key>
<true/>
</dict>
仅适用于 Chrome 浏览器更新。
从 Chrome 版本 90 开始,Google 软件更新便可让您选择稳定版、Beta 版或开发者版 Chrome 浏览器。默认情况下,Chrome 会采用稳定版发布的更新。
请参阅 Chrome 浏览器发布版本了解相关信息,以便帮助您决定用户要采用哪个版本。
注意事项
-
改用更稳定的版本 - 当您为浏览器改用更稳定的版本后(例如,从 Beta 版改为稳定版),较稳定版的版本号可能会较低。例如,稳定版的版本号为 90,而 Beta 版的版本号为 91。默认情况下,Google 软件更新不会在切换版本时将 Chrome 降级到更低的版本。Chrome 会一直使用旧版本,直到新版本升级到更高版本。
要将 Chrome 切换到较低的版本,请将 TargetChannel 设置为所需的版本,并指示 Chrome 回滚到所需的版本。有关详情,请参阅上文中的将 Chrome 浏览器回滚到先前版本。
例如:
<key>com.google.Chrome</key>
<dict>
<key>TargetChannel</key>
<string>stable</string>
<key>RollbackToTargetVersion</key>
<true/>
</dict> - 清除 TargetChannel 政策 - 如果清除了 TargetChannel 政策,Chrome 会继续采用接收更新的上一个版本。例如,如果为了将一组计算机的版本更改为 Beta 版而将 TargetChannel 设置为 beta,即使 TargetChannel 政策遭到了清除,这些计算机仍会以 Beta 版进行更新。如要切换为稳定版,请将 TargetChannel 政策设置为稳定版。您可以选择在所有计算机都收到稳定版的更新后清除 TargetChannel 政策。
操作方法
- 在您的首选编辑器中打开
com.google.Keystone.plist
文件。 - 在
updatePolicies
键和com.google.Chrome
键下方,添加 Chrome 浏览器TargetChannel
键条目。 - 将政策设置为
stable
、beta
或dev
。注意:默认值为stable
。 - 保存文件。
以下示例显示的是将发布版本设置为 Beta 版的 Chrome 浏览器 (com.google.Chrome) 的设置:
<key>com.google.Chrome</key>
<dict>
<key>TargetChannel</key>
<string>beta</string>
</dict>
如果您单位的网络已设置中间代理缓存,您可以用其缓存 Chrome 浏览器更新。从 Google 下载的更新可缓存在大多数网络缓存代理服务器上。代理缓存可缓存和重复使用经常请求的网页,从而减少带宽用量并缩短响应时间。
但是,许多代理缓存的默认设置对 Chrome 浏览器更新而言并不是最优的。为确保您的代理缓存软件可以缓存 Chrome 浏览器更新,请让有经验的 IT 管理员配置以下设置:
- 文件大小上限 - 系统会以单个文件的形式下载更新,因此请确保可缓存文件大小不超过 100 MB。
如需缓存更新,请将全局 DownloadPreference 键设置为 cacheable。请参阅属性列表示例。 - 网址设置 - 如果服务器允许您为特定网域添加设置,请优先为 dl.google.com/* 和 www.google.com/dl/* 添加。这是设备获取 Chrome 浏览器更新的地方。
- 缓存空间 - 服务器用来缓存内容的空间总量。如果您的缓存存储空间超过 30 GB,则可以提高此值以缓存更多内容。
第 4 步:部署自动更新设置
将自动更新政策推送至用户计算机更改 com.google.Keystone.plist 文件后,请使用您的首选部署工具为贵单位的 Mac 计算机部署自动更新政策。
有许多移动设备管理 (MDM) 工具(例如 Profile Manager、Jamf Pro 或 AirWatch)可用来部署配置文件。以下方法仅供参考,具体步骤会因您使用的 MDM 工具而异。
- 打开您的首选 MDM 工具。
- 将您创建的 com.google.Chrome.mobileconfig 文件上传到 MDM 工具,以创建新的配置文件来管理 Chrome 浏览器政策。此配置文件包含您要管理的所有偏好设置。
- 部署自动更新配置文件,确保您的所有 Mac 设备都拥有相同的设置。
示例文件 com.google.keystone.mobileconfig 中的设置会停用自动更新功能并将 Chrome 浏览器版本固定为第 62 版。
键值和示例
更新政策设置设置 | 说明 |
---|---|
<integer>0</integer> |
启用自动更新功能。一律应用 Google 软件更新检测到的更新。此设置为默认值。 |
<integer>1</integer> |
仅安装定期检查更新时检测到的更新。手动检查更新时,系统不会安装更新。 |
<integer>2</integer> |
停用自动更新功能。停用后,Google 软件更新就会停止自动为所有用户将 Chrome 更新到最新稳定版。系统只会在用户手动检查更新时应用检测到的更新。手动检查更新可以在 chrome://help 页面上或通过运行 CheckForUpdatesNow.command 实用程序来完成。 |
<integer>3</integer> |
一律不应用更新。 |
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>updatePolicies</key>
<dict>
<key>global</key>
<dict>
<key>UpdateDefault</key>
<integer>3</integer>
<key>DownloadPreference</key>
<string>cacheable</string>
</dict>
<key>com.google.Chrome</key>
<dict>
<key>UpdateDefault</key>
<integer>2</integer>
<key>TargetVersionPrefix</key>
<string>62.</string>
</dict>
<key>com.google.drivefs</key>
<dict>
<key>UpdateDefault</key>
<integer>2</integer>
</dict>
</dict>
</dict>
</plist>
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。