各個網站設定 (依原則)
本文說明依原則排列的每個網站設定,以及瀏覽器如何處理來自網站的頁面載入。
做為決策者的瀏覽器
瀏覽器會在每次載入頁面時做出許多決策。 這些決策的一些但並非全部都包括:特定 API 是否可用、是否允許資源載入,以及是否允許腳本執行。
在大部分情況下,瀏覽器決策是由下列輸入所控管:
- 用戶設定
- 進行決策之頁面的 URL
在 Internet Explorer Web 平臺中,每個決策都稱為 URLAction。 如需詳細資訊,請參閱 URL 動作旗標。 因特網控制面板中的 URLAction、企業組策略和使用者設定會控制瀏覽器處理每個決策的方式。
在 Microsoft Edge 中,大部分的每個網站許可權都是使用 settngs 和原則來控制,這些原則是使用具有有限通配符支援的簡單語法來表示。 Windows 安全性區域仍然用於一些設定決策。
Windows 安全性區域
為了簡化使用者或系統管理員的設定,舊版平臺會將網站分類為五個不同的安全性區域之一。 這些安全性區域包括:本機計算機、近端內部網路、信任、因特網和受限制的網站。
進行頁面載入決策時,瀏覽器會將網站對應至區域,然後參閱該區域的URLAction設定,以決定該怎麼做。 合理的預設值,例如「自動滿足來自內部網路的驗證挑戰」,表示大部分的用戶永遠不需要變更任何預設設定。
使用者可以使用網際網路控制台將特定網站指派給區域,並設定每個區域的權限結果。 在受控環境中,系統管理員可以使用組策略,透過[站對區域指派清單] 原則 (將特定網站指派給區域) ,並根據每個區域指定 URLActions 的設定。 除了將網站手動管理或使用者指派給區域之外,其他啟發學習法還可以 將網站指派給近端內部網路區域。 特別是無點主機名 (例如, http://payroll) 指派給內部網路區域。 如果使用 Proxy 組態腳本,任何設定為略過 Proxy 的月臺都會對應至內部網路區域。
EdgeHTML,用於 WebView1 控件和Microsoft Edge 舊版,從其 Internet Explorer 前置任務繼承了區域架構,並有一些簡化的變更:
- Windows 的五個內建區域已折疊成三個:因特網 (因特網) 、受信任 (內部網路+信任) 和本機計算機。 已移除「限制的網站」區域。
- 區域到 URLAction 的對應已硬式編碼到瀏覽器,忽略網際網路控制台中的群組原則和設定。
Microsoft Edge 中的每個網站許可權
Microsoft Edge 會限制使用 Windows 安全性區域。 相反地,透過原則為每個月臺設定提供系統管理員的大部分許可權和功能,都依賴URL篩選格式中的規則清單。
當使用者開啟之類的 edge://settings/content/siteDetails?site=https://example.com設定頁面時,他們會找到一長串的組態參數和各種許可權的清單。 使用者很少直接使用 [設定] 頁面,而是在流覽及使用頁面 資訊 下拉式清單中的各種小工具和切換時做出選擇。 當您選取網址列中的鎖定圖示時,就會出現此清單。 您也可以使用網址列右邊緣的各種提示或按鈕。 下一個螢幕快照顯示頁面資訊的範例。
企業可以使用組策略,為控制瀏覽器行為的個別原則設定網站清單。 若要尋找這些原則,請開 啟 Microsoft Edge 組策略檔 ,並搜尋 “ForUrls”,以根據載入的網站 URL 尋找允許和封鎖行為的原則。 大部分的相關設定都會列在 [ 內容設定的組 策略] 區段中。
另外還有許多原則 (其名稱包含 「Default」) ,可控制指定設定的預設行為。
許多設定 (WebSerial、WebMIDI) 隱藏,而且通常沒有任何理由變更預設值的設定。
Microsoft Edge 中的安全性區域
雖然 Microsoft Edge 大多依賴使用 URL 篩選格式的個別原則,但在某些情況下,它預設會繼續使用 Windows 的安全性區域。 這種方法可簡化過去依賴區域設定的企業部署。
區域原則可控制下列行為:
- 決定是否要自動發行 Windows 整合式驗證 (Kerberos 或 NTLM) 認證。
- 決定如何處理檔案下載。
- 針對 Internet Explorer 模式。
認證版本
根據預設,Microsoft Edge 會 URLACTION_CREDENTIALS_USE 評估為決定是否自動使用 Windows 整合式驗證,或使用者是否會看到手動驗證提示。 設定 AuthServerAllowlist 網站清單原則 可防止查閱區域原則。
檔案下載
從因特網區域下載的檔案會記錄檔下載來源 (也稱為「網頁標記」的相關辨識項。 其他應用程式,例如 Windows Shell 和 Microsoft Office,在決定如何處理檔案時,可能會將此原始辨識項納入考慮。
如果 Windows 安全性區域原則設定為停用啟動應用程式和下載不安全檔案的設定,Microsoft Edge 的下載管理員會封鎖來自該區域中網站的檔案下載。 使用者會看到此附注:「無法下載 – 已封鎖」。
IE 模式
IE 模式可以設定為 以 IE 模式開啟所有內部網路網站。 使用此設定時,Microsoft Edge 會在決定是否要以 IE 模式開啟 URL 時評估 URL 的區域。 除了這個初始決策之外,IE 模式索引標籤實際上是在執行 Internet Explorer,因此會評估每個原則決策的區域設定,就如同 Internet Explorer 所做的一樣。
摘要
在大部分情況下,可以將 Microsoft Edge 設定保留為其預設值。 想要變更所有網站或特定網站預設值的系統管理員,可以使用適當的群組原則來指定網站清單或預設行為。 在少數情況下,例如認證發行、檔案下載和 IE 模式,系統管理員會透過設定 Windows 安全性區域設定繼續控制行為。
常見問題集
網站 IP 位址上的 URL 篩選格式是否相符?
否,格式不支援指定允許清單和封鎖清單的IP範圍。 它確實支援個別 IP 常值的規格,但只有在使用者使用上述常值 (瀏覽至網站時,才會遵守這類規則, http://127.0.0.1/ 例如) 。 如果使用主機名稱 (http://localhost),即使主機的解析 IP 符合篩選列出的 IP,也不會考慮 IP 常值規則。
URL 篩選條件是否符合無點主機名?
否。 您必須列出每個主機名,例如 https://payroll、 https://stock、 https://who等等。
如果您向前思考到足以建構內部網路,讓您的主機名具有下列形式,則您已實作最佳做法。
https://payroll.contoso-intranet.comhttps://timecard.contoso-intranet.comhttps://sharepoint.contoso-intranet.com
在上述案例中,您可以使用 *.contoso-intranet.com 項目來設定每個原則,並選擇加入整個內部網路。