管理対象の Chrome ブラウザと ChromeOS デバイスが対象です。
管理者は、拒否リストまたは許可リストに URL を登録して、特定のウェブサイトへのアクセスのみをユーザーに許可することができます。
フィルタの形式
URLBlocklist ポリシーと URLAllowlist ポリシーのフィルタの形式は次のとおりです。
[スキーム://][.][ホスト][:ポート][/パス][@クエリ]
項目 | 詳細 |
スキーム(省略可) |
この項目は省略可能ですが、使用する場合は末尾に「://」を付ける必要があります。詳しくは、使用可能なスキームをご覧ください。 大文字と小文字は区別されません。 |
ホスト(必須) |
有効なホスト名または IP アドレスです。特殊文字の「*」を使用することもできます。「.」(ドット、省略可)をホストの前に付けると、サブドメインの一致を無効にできます。 大文字と小文字は区別されません。 |
ポート(省略可) | 1〜65535 の有効なポートの値を指定します。 |
パス(省略可) |
任意の文字列を使用できます。 大文字と小文字が区別されます。 |
クエリ(省略可) |
「&」で区切られた Key-Value トークンと Key-Only トークンのセットです。Key と Value の間は「=」で区切られます。クエリトークンの末尾に「*」を使用すると(省略可)、それより前の部分と照合されます。照合の際、トークンの順序は無視されます。 大文字と小文字が区別されます。 |
使用可能なスキーム
標準またはカスタムのスキームを使用できます。サポートされている標準スキームは次のとおりです。
- about
- blob
- content
- chrome
- cid
- data
- file
- filesystem
- gopher
- http
- https
- javascript
- mailto
- ws
- wss
その他のスキームはすべてカスタム スキームとして扱われます。カスタム スキームはサポートされていますが、使用できるパターンは [スキーム]:* と [スキーム]://* のみです。そのスキームのすべての URL と照合されます。スキームとホストでは大文字と小文字は区別されませんが、パスとクエリでは大文字と小文字が区別されます。
スキームの形式の例
- サポートされている標準スキーム
- http://example.com は HTTP://Example.com と一致し、http://example.COM は http://example.com と一致します。
- http://example.com/path?query=1 は http://example.com/path?Query=1 や http://example.com/Path?query=1 とは一致しませんが、http://Example.com/path?query=1 と一致します。
- カスタム スキーム
- [カスタム]://* と [カスタム]:* のパターンが有効で、[カスタム]:[アプリ名] と照合されます。
- [カスタム]:[アプリ名] または [カスタム]://[アプリ名] のパターンは無効です。
URL 形式の例外
フィルタの形式は URL の形式とよく似ていますが、次の点が異なります。
- [ユーザー名]:[パスワード] を含めることはできますが、無視されます(例: http://[ユーザー名]:[パスワード]@example.com/pub/bigfile.iso)。
- 参照区切り文字「#」を含めると、「#」以降のすべての文字が無視されます。
- ホストに「*」を指定することができます。また、「.」(ドット)を先頭に付けることもできます。
- ホストの末尾に「/」または「.」(ドット)を付けることもできます。この場合、「/」または「.」以降は無視されます。
フィルタの選択
ユーザーがアクセスを試みる URL と一致する部分が最も長いフィルタが選択されます。
考慮事項
- ワイルドカード(*)は最後に検索されます。ワイルドカードはすべてのホストと一致します。
- 以下の手順 4 は拒否フィルタと許可フィルタの両方で行われます。パスの長さとクエリトークンの数が同じ場合は、許可フィルタが優先されます。
- ホストの前に「.」(ドット)を付けると、完全に一致するホストのみがフィルタリングされます。以下に例を示します。
- 「example.com」と指定すると、example.com、www.example.com、sub.www.example.com が一致します。
- 「.www.example.com」と指定すると、完全に同じ www.example.com のみが一致します。
フィルタ選択プロセス
- ホストの一致する部分が最も長いフィルタが選択されます。スキームやポートが一致しないフィルタは除外されます。
- 該当するフィルタのうち、パスの一致する部分が最も長いフィルタが選択されます。
- 該当するフィルタのうち、クエリトークンのセットが最も長いフィルタが選択されます。
- この段階で有効なフィルタが残っていない場合、ホストの左端のサブドメインを除外して、手順 1 から再度選択処理が行われます。
- 該当するフィルタが残っている場合はフィルタが適用され、アクセスが拒否または許可されます。一致するフィルタがない場合、デフォルトではリクエストが許可されます。
URL 拒否リストの例
URL 拒否リストのエントリ | 結果 |
---|---|
example.com | example.com、www.example.com、sub.www.example.com へのすべてのリクエストを拒否します。 |
http://example.com | example.com とそのサブドメインに対するすべての HTTP リクエストを拒否し、HTTPS リクエストは許可します。 |
https://* | あらゆるドメインへのすべての HTTPS リクエストを拒否します。 |
mail.example.com | mail.example.com に対するリクエストを拒否します。www.example.com や example.com に対するリクエストは拒否しません。 |
.example.com | example.com へのリクエストを拒否しますが、example.com/docs などのサブドメインは拒否しません。 |
.www.example.com | www.example.com へのリクエストを拒否しますが、サブドメインへのリクエストは拒否しません。 |
* | すべてのリクエストを拒否します(拒否リストの例外 URL を除く)。http://google.com、https://gmail.com、chrome://policy などの URL スキームも含まれます。 |
*:8080 | ポート 8080 へのすべてのリクエストを拒否します。 |
example.com/stuff | example.com/stuff とそのサブドメインへのすべてのリクエストを拒否します。 |
192.0.2.1 | この IP アドレスと完全に一致するリクエストを拒否します。 |
?v *?video=* *?video=100* |
クエリに ?video=100 を含むすべてのリクエストを拒否します。 |
*?a=1&b=2 |
次のクエリを含むリクエストをすべて拒否します。 ?b=2&a=1 ?a=1&b=2 ?a=1&c=3&b=2 |
youtube.com/watch?v=xyz |
ID が「xyz」の YouTube 動画を拒否します。 拒否リストでは、Key-Value ペアの順序に関係なく一致していれば拒否します。 許可リストでは、すべての Key の順序とその値が一致している必要があります。 例 許可リストに「youtube.com/watch?v=V2」と指定した場合、youtube.com/watch?v=V1&v=V2 は許可されませんが、youtube.com/watch?v=V2&v=V2 は許可されます。 |
http://mail.example.com/mail/inbox に一致するフィルタを探す
- はじめに、ホストの部分が mail.example.com に該当するフィルタを探して、手順 2 に進みます。該当するフィルタがない場合は example.com、次に com で探します。これでもない場合は「""」となっているフィルタを探します。
- 該当するフィルタのうち、スキームが http 以外のフィルタを除外します。
- 該当するフィルタのうち、80 以外のポート番号が指定されているものを除外します。
- 該当するフィルタのうち、パスの先頭部分が「/mail/inbox」ではないものを除外します。
- パスが最も長いフィルタが選択され、適用されます。このようなフィルタがない場合は、手順 1 に戻って次のサブドメインを確認します。
一部のサイトのみを許可する
- 拒否リストに「*」と指定します。
- アクセスを許可する一部のサイト(「mail.example.com」、「myownpersonaldomain.com」、「google.com」)を許可リストに指定します。
ドメインへのすべてのアクセスを拒否する(HTTPS 接続を介したメールサーバーへのアクセスとメインページへのアクセスのみを許可する)
- 拒否リストに「example.com」と指定します。
- 許可リストに「https://mail.example.com」と指定します。
- 許可リストに「.example.com」または「.www.example.com」と指定します。
YouTube の一部の動画へのアクセスのみを許可し、他のすべての動画へのアクセスを拒否する
- 拒否リストに「youtube.com」と指定します。
- 許可リストに「youtube.com/watch?v=V1」と指定します。
- 許可リストに「youtube.com/watch?v=V2」と指定します。