按策略进行的每站点配置
本文按策略介绍每站点配置,以及浏览器如何处理从站点加载的页面。
浏览器作为决策者
作为每次页面加载的一部分,浏览器会做出许多决策。 其中一些(但不是全部)决策包括:特定 API 是否可用、是否允许资源加载以及是否允许脚本运行。
在大多数情况下,浏览器决策受以下输入的约束:
- 用户设置
- 做出决策的页面的 URL
在 Internet Explorer Web 平台中,每个决策称为 URLAction。 有关详细信息,请参阅 URL 操作标志。 Internet 控制面板中的 URLAction、企业组策略和用户设置控制浏览器处理每个决策的方式。
在 Microsoft Edge 中,大多数每站点权限都使用 settngs 和策略进行控制,这些策略使用简单的语法表示,但通配符支持有限。 Windows 安全区域仍用于一些配置决策。
Windows 安全区域
为了简化用户或管理员的配置,旧平台将站点分类为五个不同的安全区域之一。 这些安全区域包括:本地计算机、本地 Intranet、受信任的、Internet 和受限站点。
做出页面加载决策时,浏览器会将网站映射到一个区域,然后查阅该区域的 URLAction 设置以决定要执行的操作。 合理的默认值(如“自动满足来自 Intranet 的身份验证质询”)意味着大多数用户永远不需要更改任何默认设置。
用户可以使用 Internet 控制面板将特定站点分配到区域,并为每个区域配置权限结果。 在托管环境中,管理员可以使用组策略通过“站点到区域分配列表”策略) 将特定站点分配到区域 (,并按区域指定 URLActions 的设置。 除了将站点手动管理或用户分配到区域之外,其他启发式方法还可以 将站点分配到本地 Intranet 区域。 具体而言,无点主机名 (例如, http://payroll
) 分配给 Intranet 区域。 如果使用代理配置脚本,则配置为绕过代理的任何站点都将映射到 Intranet 区域。
用于 WebView1 控件和 Microsoft Edge 旧版的 EdgeHTML 从其 Internet Explorer 前身继承了区域体系结构,并进行了一些简化的更改:
- Windows 的五个内置区域已折叠为三个:Internet (Internet) 、受信任的 (Intranet+受信任的) 和本地计算机。 已删除受限站点区域。
- 已硬编码区域与 URLAction 的映射到浏览器中,忽略了“组策略”和“Internet 控件面板”中的设置。
Microsoft Edge 中的每个站点权限
Microsoft Edge 有限地使用 Windows 安全区域。 相反,通过 策略 为管理员提供每个站点配置的大多数权限和功能都依赖于 URL 筛选器格式中的规则列表。
当最终用户打开设置页(如 edge://settings/content/siteDetails?site=https://example.com
)时,会发现配置开关和各种权限列表的长列表。 用户很少直接使用“设置”页面,而是在浏览和使用 页面信息 下拉列表中的各种小组件和切换时做出选择。 选择地址栏中的锁图标时,将显示此列表。 还可以使用地址栏右边缘的各种提示或按钮。 下一个屏幕截图显示了页面信息的示例。
企业可以使用组策略为控制浏览器行为的单个策略设置站点列表。 若要查找这些策略,请打开 Microsoft Edge 组策略文档 并搜索“ForUrls”,以根据加载的站点的 URL 查找允许和阻止行为的策略。 大多数相关设置都列在 “内容设置的组策略” 部分中。
还有许多策略 (其名称包含“Default”) 控制给定设置的默认行为。
许多设置 (WebSerial、WebMIDI) 都模糊不清,并且通常没有理由更改默认设置。
Microsoft Edge 中的安全区域
虽然 Microsoft Edge 主要依赖于使用 URL 筛选器格式的单个策略,但在少数情况下,它仍默认使用 Windows 的安全区域。 此方法简化了以前依赖区域配置的企业中的部署。
区域策略控制以下行为:
- 决定是自动发布 Windows 集成身份验证 (Kerberos 还是 NTLM,) 凭据。
- 决定如何处理文件下载。
- 对于 Internet Explorer 模式。
凭据版本
默认情况下,Microsoft Edge 会 URLACTION_CREDENTIALS_USE
进行评估,以确定是自动使用 Windows 集成身份验证,还是用户将看到手动身份验证提示。 配置 AuthServerAllowlist 站点列表策略 可防止查阅区域策略。
文件下载
对于从 Internet 区域下载的文件,将记录有关文件下载源 (也称为“Web 标记”的证据。 其他应用程序(如 Windows Shell 和 Microsoft Office)在决定如何处理文件时可能会考虑此源证据。
如果 Windows 安全区域策略配置为禁用用于启动应用程序和下载不安全文件的设置,Microsoft Edge 的下载管理器会阻止从该区域中的站点下载文件。 用户将看到以下说明:“无法下载 - 已阻止”。
IE 模式
可以将 IE 模式配置为 在 IE 模式下打开所有 Intranet 站点。 使用此配置时,Microsoft Edge 会在决定是否应在 IE 模式下打开 URL 的区域进行评估。 除了此初始决策之外,IE 模式选项卡实际上正在运行 Internet Explorer,因此,它们会像 Internet Explorer 一样评估每个策略决策的区域设置。
摘要
在大多数情况下,Microsoft Edge 设置可以保留为默认值。 希望更改所有站点或特定站点默认值的管理员可以使用相应的组策略来指定站点列表或默认行为。 在少数情况下,例如凭据发布、文件下载和 IE 模式,管理员将继续通过配置 Windows 安全区域设置来控制行为。
常见问题
URL 筛选器格式是否与站点的 IP 地址匹配?
否,格式不支持为允许列表和阻止列表指定 IP 范围。 它确实支持单个 IP 文本的规范,但仅当用户使用上述文本 ((例如,) )导航到网站时, http://127.0.0.1/
才会遵守此类规则。 如果使用主机名 (http://localhost
),即使主机的解析 IP 与筛选器列出的 IP 相匹配,也不会遵守 IP 文本规则。
URL 筛选器是否与无点主机名匹配?
否。 必须列出每个主机名,例如 https://payroll
、 https://stock
、 https://who
等。
如果你具有足够的前瞻性思维来构建 Intranet,使主机名采用以下形式,则你已实现最佳做法。
https://payroll.contoso-intranet.com
https://timecard.contoso-intranet.com
https://sharepoint.contoso-intranet.com
在前面的方案中,可以使用 *.contoso-intranet.com 条目配置每个策略,并且整个 Intranet 都将选择加入。