了解 Chrome 政策管理

本文供为企业或学校管理 Chrome 浏览器或 ChromeOS 设备的管理员参考。

如要为 Chrome 用户部署 Chrome 企业版或 Chrome 教育版功能,并自定义用户的 Chrome 浏览器使用体验,您需要将相关政策和设置推送到用户的设备或他们受管理的 Google 账号(Chrome 个人资料)。您可以通过政策为用户设置主页、自动安装应用和扩展程序、控制他们可以访问哪些网站,以及达成其他诸多目的。

强制执行 Chrome 政策的方法

您可以通过多种方式向用户推送政策。具体选择哪种方法,取决于您管理的设备以及要使用的配置工具。

Windows, Mac, Linux managed on-premise by GPOs, managed preferences, and JSON files and Chromebook cloud-managed in Admin console

图表内容

  • 用户设备:管理 Windows、Mac 和 Linux 计算机或者 ChromeOS 设备(例如 Chromebook)上的 Chrome 浏览器。

  • 管理工具:使用首选的本地工具在组织防火墙的保护下进行管理。您也可以在 Google 安全的管理控制台中管理政策。

  • 政策:可以在设备/计算机一级强制执行 Chrome 政策,这样,政策对使用该设备的所有用户都适用。您也可以在操作系统用户一级或 Chrome 个人资料一级自定义政策。

了解各种政策

平台政策

适用于使用相应设备的所有用户,无论用户使用哪个版本(开发者版、Beta 版、Canary 版、稳定版或扩展稳定版)的 Chrome 浏览器,也无论他们是否登录了浏览器。

您可以使用以下工具来设置这些政策:

  • Windows 的组策略对象 (GPO)
  • ChromeOS 的管理控制台
  • MacOS 的“管理偏好设置”
  • Linux 的企业管理工具
  • 基于计算机的政策(使用您所选择的设备管理解决方案,例如 Workspace One、Intune 或 BigFix)
计算机云政策

适用于注册了 Chrome 企业核心版的所有浏览器(已向计算机部署注册令牌)。如需了解详情,请参阅注册通过云管理的 Chrome 浏览器

无论您使用的是哪种操作系统,都可通过管理控制台配置和强制执行政策。

操作系统用户政策

当用户在受管理的设备上使用自己的公司账号登录时,系统就会应用这类政策。

您可以使用以下工具来设置这些政策:

  • Windows 的组策略对象 (GPO)
  • MacOS 的“管理偏好设置”
  • Linux 的企业管理工具
  • 基于用户的政策(使用您所选择的设备管理解决方案,例如 Workspace One、Intune 和 BigFix)
云用户政策(Chrome 个人资料)

适用于使用受管理的账号登录 Chrome 浏览器的用户以及通过域名验证的账号。如果您使用的是通过电子邮件验证的账号,则必须验证您的域名以解锁此功能

无论您使用的是哪种操作系统,都可通过管理控制台配置和强制执行政策。如需了解详情,请参阅管理 Chrome 浏览器上的用户个人资料

Chrome 政策的优先顺序

默认情况下,系统会按照以下顺序应用 Chrome 政策:

  1. 平台政策
  2. 计算机云政策
  3. 操作系统用户政策
  4. 云用户政策(Chrome 个人资料)

也就是说,如果使用不同方法设置同一政策,系统会默认应用层级最高的政策,并忽略所有其他政策。

示例

您使用组策略配置了一项 Windows 设备政策,其中包含您要推送到所有 Windows 设备的一组书签。此外,您已将该政策部署到一组设备。这是平台政策的一个示例。

此外,您还在管理控制台中配置了另一组书签。这项政策是为一个组织部门所配置的,该组织部门包含您的全部 Windows 设备中已注册的所有浏览器。这是计算机云政策的一个示例。

在这种情况下,由于平台政策的层级高于计算机云政策,因此通过组策略配置的书签会应用于您的 Windows 设备,而在管理控制台中设置的书签会被忽略。

更改优先顺序

不适用于 ChromeOS 设备

您可以使用管理控制台中的政策优先顺序设置或者 CloudPolicyOverridesPlatformPolicyCloudUserPolicyOverridesCloudMachinePolicy 这两项基于计算机的政策,更改 Chrome 政策的优先顺序。

使用 Chrome 浏览器的所有设备必须通过 Chrome 企业核心版来管理,您才能更改优先顺序。只有在相关的 Chrome 个人资料与用户关联后,才会优先应用用户云政策。否则,系统会遵循默认的优先顺序。如需了解详情,请参阅了解用户的关联关系

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击Chrome接着点击设置。默认情况下,系统会打开用户和浏览器设置页面。

    如果您已注册 Chrome 企业核心版,请依次点击“菜单”图标 接着点击 Chrome 浏览器接着点击设置

  3. (可选)要将设置仅应用于部分用户和已注册的浏览器,请在侧边选择一个组织部门(通常用于部门)或配置群组(高级)。显示具体方法

    群组设置会覆盖组织部门的设置。了解详情

  4. 前往设置来源
  5. 点击政策优先顺序
  6. 选择一个选项。请参阅下方的选项说明。
  7. 点击保存。或者,您也可以针对 组织部门 点击覆盖

    如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。

按优先级显示的优先顺序选项:

  • 1. 计算机 接着点按 2. 计算机云 接着点按 3. 操作系统用户 接着点按 4. Chrome 个人资料
  • 1. 计算机云 接着点按 2. 计算机 接着点按 3. 操作系统用户 接着点按 4. Chrome 个人资料
  • 1. 计算机 接着点按 2. Chrome 个人资料 接着点按 3. 计算机云 接着点按 4. 操作系统用户
  • 1. Chrome 个人资料 接着点按 2. 计算机云 接着点按 3. 计算机 接着点按 4. 操作系统用户

合并 Chrome 政策

如果使用不同的方法配置政策,系统只会应用层级最高的政策。

您可以使用管理控制台中的政策合并列表设置或者 PolicyListMultipleSourceMergeListPolicyDictionaryMultipleSourceMergeList 这两项政策,合并从多个来源应用的政策。

此外,您也可以使用通配符 * 合并所有受支持的政策。

PolicyDictionaryMultipleSourceMergeList 仅适用于:

  • ContentPackManualBehaviorURLs
  • DeviceLoginScreenPowerManagement
  • ExtensionSettings
  • KeyPermissions
  • PowerManagementIdleSettings
  • ScreenBrightnessPercent
  • ScreenLockDelays

示例:

如果您通过组策略配置了一组书签,并在管理控制台中设置了另一组书签,则第一组书签的层级高于第二组,因此系统只会在设备上应用通过组策略配置的书签。

如果您希望在 Windows 设备上同时应用这两组书签,则可以使用通配符 * 值来配置政策合并。这意味着,即使您使用不同方法配置了书签,Windows 设备仍会应用所有书签,也就是通过组策略配置的书签和使用管理控制台配置的书签。

安全注意事项

仅适用于 ChromeOS:为防止用户控制政策,应用于 Chrome 个人资料的政策和应用于 ChromeOS 用户的政策无法合并。

为防止数据泄露,如果计算机政策和用户政策并非来自同一个管理控制台,就无法合并。

示例 1

您在 A 公司的网域中有一台受管理的计算机,还从 B 公司登录了受管理的 Chrome 个人资料。在 B 公司的控制台中设置的用户政策无法与 A 公司应用的计算机政策合并。A 公司的政策始终优先于 B 公司的用户个人资料政策。

示例 2

您在 A 公司和 B 公司分别有一个受管理的 Chrome 个人资料,且没有应用网域中设置的任何计算机政策。在这种情况下,两家公司的政策会分别应用于各自的个人资料,但永远无法合并。个人资料和政策是互斥的。

如果 Chrome 个人资料已经与用户关联,您就可以使用管理控制台中的用户云政策合并设置或 CloudUserPolicyMerge 政策,将用户云政策合并到计算机级政策。

注意:即使您启用此政策,强制性政策仍会覆盖建议性政策,且设备级政策仍会覆盖用户级政策。

相关主题

“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?
true
搜索
清除搜索内容
关闭搜索框
主菜单
3439035259275893363
true
搜索支持中心
true
true
true
true
true
410864
false
false