使用 ExtensionSettings 原則設定延伸模組的詳細指南
Microsoft Edge 提供多種管理擴充功能的方法。 一般的方法就是使用 JSON 字串在 Windows 群組原則編輯器或 Windows 登錄中,在單一位置使用 ExtensionSettings 原則設定多個策原則。
注意
Microsoft Edge 管理服務是Microsoft 365 系統管理中心的專用且簡化的管理工具,現已推出。 進一步了解。
開始之前
決定是否要設定 ExtensionSettings 原則中的所有延伸模組管理設定,或透過其他原則設定這些控件。
ExtensionSettings 原則可以覆寫您設定在群組原則中其他位置的其他原則,包括下列原則:
- ExtensionAllowedTypes
- ExtensionInstallBlocklist
- ExtensionInstallForcelist
- ExtensionInstallSources
- ExtensionInstallAllowlist
ExtensionSettings 原則欄位
此原則可以控制設定,例如更新 URL、從中下載擴充功能以進行初始安裝,以及封鎖許可權。 您也可以使用此原則來識別哪些許可權不允許執行。 下表說明可用的原則欄位。
| [原則] 欄位 | 描述 |
|---|---|
| allowed_types | 只能用來設定預設組態 *。 指定允許使用者在 Microsoft Edge 上安裝的應用程式或擴充功能。 值是字串清單,每個字串都應該是下列其中一種類型:“extension”、“theme”、“user_script” 和 “hosted_app”。 |
| blocked_install_message | 如果您封鎖使用者安裝特定擴充功能,您可以指定自訂訊息,如果使用者嘗試安裝,該訊息會在瀏覽器中顯示。 將文字附加到 Microsoft Edge 外掛程式網站上顯示的一般錯誤訊息文字。 例如,您可以告訴使用者如何與 IT 部門連絡,或特定擴充功能無法使用的原因。 訊息最多 1,000 個字元。 |
| blocked_permissions | 防止使用者安裝和執行要求貴組織不允許之特定 API 許可權的擴充功能。 例如,您可以封鎖存取 Cookie 的擴充功能。 如果擴充功能需要您封鎖的許可權,使用者就無法安裝它。 如果使用者先前已安裝擴充功能,則不會載入。 如果擴充功能包含封鎖的權限為選擇性需求,它會如往常一樣安裝。 接著,當擴充功能執行時,系統會自動拒絕封鎖的權限。 有關可用權限的清單,請參閱宣告權限。 |
| file_url_navigation_allowed | Edge 瀏覽器 120 版和更新版本 允許擴充功能流覽至指定的檔案URL。 |
| installation_mode | 控制您指定的擴充功能是否及如何新增到 Microsoft Edge。 您可以將安裝模式設定為下列其中一個選項: - allowed:用戶可以安裝擴充功能。 如果未定義安裝模式,則此設定為預設值。- blocked:用戶無法安裝擴充功能。- force_installed:自動安裝擴充功能,而不需要用戶互動。 用戶無法移除它。 您也需要使用 「update_url」 來定義擴充功能下載位置。 注意:您無法搭配 * 使用此設定,因為Microsoft Edge 並不知道要自動安裝哪一個擴充功能。- normal_installed:自動安裝擴充功能,而不需要用戶互動。 使用者可以停用此功能。 您也需要使用 「update_url」 來定義擴充功能下載位置。 注意:您無法搭配 * 使用此設定,因為Microsoft Edge 並不知道要自動安裝哪一個擴充功能。- removed:用戶無法安裝擴充功能。 如果使用者先前已安裝擴充功能,Microsoft Edge 會將它移除。 |
| install_sources | 只能用來設定預設組態 *。 指定允許安裝擴充模組的 URL。 這些模式必須同時允許 *.crx 檔案的位置,以及開始下載網頁的位置 (查閱者)。 有關 URL 模式範例,請參閱符合模式。 |
| minimum_version_required | Microsoft Edge 停用擴充功能,包括強制安裝的擴充功能,其版本比指定的最低版本還要舊。 版本字串的格式與擴充功能資訊清單中使用的格式相同。 |
| update_url | 只適用於 force_installed 與 normal_installed。 指定 Microsoft Edge 擴充功能的下載位置。 如果擴充功能是託管在 Microsoft Edge 外掛程式網站中,請使用此位置:https://edge.microsoft.com/extensionwebstorebase/v1/crx。Microsoft Edge 會使用您為初始擴充安裝指定的 URL。 對於後續的擴充功能更新,Microsoft Edge 的擴充功能資訊清單中使用該 URL。 |
| runtime_allowed_hosts | 允許擴充功能與指定的網站互動,即使它們也定義於runtime_blocked_hosts中也一樣。 您可以指定最多 100 個項目。 系統會捨棄額外的項目。 主機模式格式類似於比對 模式 ,但您無法定義路徑。 例如: - ://.example.com - ://example。—支援 eTLD 萬用字元 |
| runtime_blocked_hosts | 防止擴充功能與您指定的網站互動或修改。 修改包括封鎖 JavaScript 注入、Cookie 存取,以及 Web 要求修改。 您可以指定最多 100 個項目。 系統會捨棄額外的項目。 主機模式格式與您無法定義路徑的相符模式類似。 例如: - ://.example.com - ://example。—支援 eTLD 萬用字元 |
| override_update_url | 可從 Microsoft Edge 93 取得 如果此欄位設定為 true,Microsoft Edge 會使用 ExtensionSettings 原則或 ExtensionInstallForcelist 原則中指定的更新 URL 來進行後續擴充功能更新。如果此欄位未設定或設定為 false,Microsoft Edge 會使用擴充功能指令清單中指定的 URL 進行更新。 |
| toolbar_state | 可從 Microsoft Edge 103 取得 此原則設定可讓您強制顯示工具列上已安裝的延伸模組。 默認狀態是 default_hidden 所有擴充功能。 這個設定可以使用下列值:- force_shown:您可以選擇強制在工具列上顯示已安裝的延伸模組。 使用者將無法從工具列隱藏指定的延伸模組圖示。- default_hidden:這是瀏覽器上所有已安裝擴充功能的預設設定。- default_shown:在此狀態下,擴充功能會在安裝時顯示在工具列上。 如有需要,使用者可以從工具列隱藏它們。 |
| sidebar_auto_open_blocked | 可從 Microsoft Edge 119 取得 如果此欄位設定為 true,則任何具有指定延伸模組識別碼的提要字段應用程式將無法自動開啟。 |
全域範圍允許下列索引鍵 (*) :
- blocked_permissions
- installation_mode - 只有
"blocked"、"allowed"或"removed"是這個範圍中的有效值。 - runtime_blocked_hosts
- blocked_install_message
- allowed_types
- runtime_allowed_hosts
- install_sources
個別擴充範圍允許下列索引鍵:
- blocked_permissions
- minimum_version_required
- blocked_install_message
- installation_mode -
"blocked"、"allowed"、"removed"、"force_installed"和"normal_installed"是可能的值。 - runtime_allowed_hosts
- update_url
- override_update_url
- runtime_blocked_hosts
- toolbar_state
- sidebar_auto_open_blocked
更新網址範圍允許下列金鑰:
- blocked_permissions
- installation_mode - 只有
"blocked"、"allowed"或"removed"是這個範圍中的有效值。
在 Windows 群組原則編輯器中使用 JSON 字串進行設定
使用 GPO 使用擴充功能設定原則的步驟假設您已針對 Microsoft Edge 原則匯入 ADM/ADMX。
- 開啟組策略編輯器,並移至 Microsoft Edge > 擴>充功能設定延伸模組管理設定原則。
- 啟用原則,並輸入其精簡的 JavaScript 物件表示法 (JSON 會將文字框中的數據) 成沒有換行符的單行。
- 若要驗證該原則,並精簡成單行,請使用 JSON 壓縮工具。
正確設定 JSON 擴充功能設定原則的格式
您必須瞭解此原則的兩個部分:預設範圍和個別範圍。 預設範圍是包含所有的擴充功能,而沒有自己的範圍。 個別範圍只會套用該擴充功能。
預設範圍是由星號 (*) 識別。 下一個範例會定義預設範圍和個別擴充功能範圍。
{
"*": {},
"nckgahadagoaajjgafhacjanaoiihapd": {}
}
擴充功能只會從一個範圍取得其設定。 如果有該延伸模組的個別延伸模組範圍,這些延伸模組將會是套用至該延伸模組的設定。 如果沒有個別的擴充範圍,則擴充功能會使用預設範圍。
下一個 JSON 範例會封鎖任何擴充功能在 .example.com 上執行,並封鎖任何需要 「USB」權限的擴充功能。
{
"*": {
"runtime_blocked_hosts": ["*://*.example.com"],
"blocked_permissions": ["usb"]
}
}
精簡 JSON
{"*":{"runtime_blocked_hosts":["*://*.example.com"],"blocked_permissions":["usb"]}}
其他一些 JSON 擴充功能設定的範例
使用 installation_mode 屬性來允許和封鎖擴充功能
用戶可以安裝所有擴充功能 - 預設設定
{ "*": {"installation_mode": "allowed" }}用戶無法安裝任何擴充功能。
{ "*": {"installation_mode": "blocked" }}指定在安裝被封鎖時要顯示的自訂訊息。
{"*": {"blocked_install_message": ["Call IT(408 - 555 - 1234) for an exception"]}}
使用 installation_mode 屬性強制安裝擴充功能
當使用 installation_mode 做為「force_installed」時,系統會自動安裝擴充功能,而不需要使用者互動。 用戶無法停用或移除擴充功能。 如果已安裝「標準」或「強制」擴充功能,,update_url 欄位也必須定義。 此欄位指向可安裝擴充功能的位置。 針對 update_url 欄位,請使用下列位置:
如果您要下載的擴充功能裝載於 Microsoft Edge 附加元件存放區,請使用下列 JSON 範例中的位置:
{"nckgahadaanghapdoaajjgafhacjaoii": {"installation_mode": "force_installed","update_url": "https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}如果您要下載的擴充功能裝載在 Chrome Web Store 上,請使用下列 JSON 範例中的位置:
{"nckgiihapdoaajjgafhacjgahadaanao": {"installation_mode": "force_installed","update_url": "https://clients2.google.com/service/update2/crx"}}如果您在自己的伺服器上裝載擴充功能,請使用URL,讓 Microsoft Edge 可以下載封裝的擴充功能 (.crx 檔案) 。 JSON 範例:
{"nckgahadagoaajjgafhacjanaoiihapd": {"installation_mode": "force_installed","update_url": "https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
在上一個範例中,如果您使用 「normal_installed」 而非 「force_installed」,則會自動安裝擴充功能,而不需要用戶互動,但可以停用擴充功能。
提示
正確格式化 JSON 字串可能相當棘手。 在實作原則之前,請使用 JSON 檢查程式。 或者,試用最新版本的擴充功能設定產生工具
使用 Windows 登錄進行設定
ExtensionSettings 原則應寫入此機碼下的登錄:
HKLM\Software\Policies\Microsoft\Edge\
注意
您可以使用 HKCU 而非 HKLM。 對等路徑可以使用群組原則物件 (GPO) 進行設定。
針對 Microsoft Edge,所有設定都會在此機碼下開始:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\
您將建立的下一個索引鍵是個別範圍的延伸模塊識別碼,或預設範圍的星號 (*) 。 例如,您會將登錄中的下列位置用於適用於Google Hangouts的設定:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings\nckgahadagoaajjgafhacjanaoiihapd
對於套用至預設範圍 (星號) 的設定,請在登錄中使用下列位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings\*
不同的設定需要不同的格式,視其為字串或字串陣列而定。 陣列值需要 ["value"]。 字串值可以以目前格式輸入。 下列清單顯示哪些設定是陣列或字串:
- Installation_mode = 字串
- update_url = 字串
- blocked_permissions = 字串陣列
- allowed_permissions = 字串陣列
- minimum_version_required = 字串
- runtime_blocked_hosts = 字串陣列
- runtime_allowed_hosts = 字串陣列
- blocked_install_message = 字串