Поделиться через


Использование групповых политик для управления расширениями Microsoft Edge

В этой статье описываются параметры и действия для управления расширениями с помощью групповых политик. Для этих параметров предполагается, что у вас уже есть управление Microsoft Edge для пользователей. Если вы еще не настроили управление Microsoft Edge для пользователей, перейдите по ссылке ниже, чтобы сделать это сейчас.

Примечание.

Сейчас развертывается служба управления Microsoft Edge, специальное и упрощенное средство управления в Центре администрирования Microsoft 365. Подробнее.

Блокировка расширений на основе их разрешений

Вы можете управлять тем, какие расширения пользователи могут устанавливать на основе разрешений, с помощью политики ExtensionSettings. Если установленному расширению требуется заблокированное разрешение, оно просто не будет запущено. Расширение не удаляется, а просто отключается.

Примечание.

Параметр блокировки разрешений можно настроить только в политике параметров расширений.

Используйте следующие действия в качестве руководства для блокировки расширения.

  1. Откройте редактор управления групповыми политиками, перейдите в раздел Административные шаблоны > Расширения Microsoft Edge>, а затем выберите Настроить параметры управления расширениями.

  2. Включите политику, а затем введите разрешения, которые нужно разрешить или заблокировать, с помощью сжимаемой строки JSON. На следующем снимке экрана показано, как заблокировать расширение, использующее разрешение "usb".

    Настройка групповой политики для блокировки расширения.

В следующем примере показан формат JSON для блокировки любого расширения, которое требует использования разрешения "usb", и соответствующая сжатая строка.

Пример JSON

{ 
     "*": { 
          "blocked_permissions": ["usb"] 
     } 
} 
{"*":{"blocked_permissions":["usb"]}} 

Примечание.

Чтобы заблокировать все расширения, использующие разрешение, примените звездочку для ИД расширения, как показано в предыдущем примере. Если указать один ИД расширения, политика будет применяться только к этому расширению. Вы можете заблокировать несколько расширений, но они должны быть отдельными записями.

Запрет изменения веб-страниц расширениями

Этот параметр не позволяет расширениям считывать и изменять данные с конфиденциальных веб-сайтов и доменов. Запрет нежелательных действий выполняется путем блокировки действий, таких как внедрение сценария на веб-сайты, чтение файлов cookie или внесение изменений в веб-запросы. Этот параметр не запрещает пользователям устанавливать или удалять расширения, а только запрещает расширениям изменять указанные веб-сайты.

Примечание.

Параметр разрешенных и заблокированных узлов среды выполнения можно настроить только в политике параметров расширений.

Вы можете настроить следующие параметры политики ExtensionSettings, чтобы запретить (или разрешить) изменения веб-сайтов или доменов.

  • Runtime_blocked_hosts. Этот параметр запрещает расширениям вносить изменения или читать данные с указанных вами веб-сайтов.

  • Runtime_allowed_hosts. Этот параметр позволяет расширениям вносить изменения или читать данные с указанных вами веб-сайтов. Следующий формат используется для указания сайтов в строке JSON в политике.

    [http|https|ftp|*]://[subdomain|*].[hostname|*].[eTLD|*] [http|https|ftp|*],
    

    Примечание.

    [hostname|*], and [eTLD|*] разделы являются обязательными, но [subdomain|*] раздел является необязательным.

В следующей таблице показаны примеры допустимых шаблонов узлов и шаблонов соответствий.

Допустимые шаблоны узлов Соответствуют Не соответствуют
*://*.example.* http://example.com
https://test.example.co.uk
https://example.microsoft.com
http://example.microsoft.co.uk
http://example.* http://example.com
http://example.ly
https://example.com
http://test.example.com
http://example.com http://example.com https://example.com
http://test.example.co.uk
*://* Все URL-адреса

Чтобы заблокировать или разрешить расширениям доступ к веб-сайту или домену, используйте следующие действия в качестве руководства.

  1. Откройте редактор управления групповыми политиками, перейдите в раздел Административные шаблоны > Расширения Microsoft Edge>, а затем выберите Настроить параметры управления расширениями.
  2. Включите политику, а затем введите разрешения, которые нужно разрешить или заблокировать, сжав разрешения в одной строке JSON.

В следующих примерах показано, как блокировать расширения в имени узла и в одном домене.

Пример JSON для блокировки имени узла

В этом примере показан формат JSON и сжатая строка JSON с целью заблокировать любому расширению доступ к имени узла www.microsoft.com.

{ 
    "*":{ 
            "runtime_blocked_hosts":["www.microsoft.com"] 
    } 
} 
{"*":{"runtime_blocked_hosts":["www.microsoft.com"]}} 

Примечание.

Чтобы заблокировать доступ к веб-странице для всех расширений, используйте звездочку для ИД расширения, как показано в предыдущем примере. Если вместо звездочки указать один ИД расширения, политика будет применяться только к этому расширению. Вы можете заблокировать несколько расширений, но они должны быть отдельными записями.

Пример JSON для блокировки расширений в одном домене

В этом примере показан формат JSON и сжатая строка JSON с целью заблокировать запуск определенных расширений в одном домене "importantwebsite".

{ 
    "aapbdbdomjkkjkaonfhkkikfgjllcleb": { 
        "runtime_blocked_hosts": ["*://*.importantwebsite"] 
    }, 
    "bfbmjmiodbnnpllbbbfblcplfjjepjdn": { 
        "runtime_blocked_hosts": ["*://*.importantwebsite"] 
    } 
} 
{"aapbdbdomjkkjkaonfhkkikfgjllcleb": {"runtime_blocked_hosts": ["*://,*.importantwebsite"]},"bfbmjmiodbnnpllbbbfblcplfjjepjdn": {"runtime_blocked_hosts": ["*://*.importantwebsite"]}} 

Разрешение или блокировка расширений в групповой политике

Вы можете использовать политики ExtensionInstallBlocklist и ExtensionInstallAllowlist, чтобы управлять тем, какие расширения заблокированы или разрешены. Используйте следующие действия в качестве руководства, чтобы разрешить все расширения, за исключением тех, которые необходимо заблокировать.

  1. Откройте редактор управления групповыми политиками, перейдите в раздел Административные шаблоны > Расширения >Microsoft Edge>, а затем выберите Управление, какие расширения нельзя установить.

  2. Выберите Включено.

  3. Щелкните Показать.

  4. Введите идентификатор приложения для расширений, которые необходимо заблокировать. При добавлении нескольких идентификаторов приложений используйте отдельную строку для каждого идентификатора.

  5. Чтобы заблокировать все расширения, введите * в политику, чтобы запретить установку любых расширений. Эту команду можно использовать с политикой "Разрешить установку определенных расширений", чтобы разрешить установку только определенных расширений. На следующем снимке экрана показано расширение, которое будет заблокировано на основе указанного идентификатора приложения.

    Чтобы заблокировать расширение, используйте идентификатор приложения.

    Совет

    Если не удается найти идентификатор приложения для расширения, просмотрите расширение на веб-сайте надстроек Microsoft Edge. Найдите определенное расширение, и вы увидите идентификатор приложения в конце URL-адреса в омнибоксе.

Примечание.

Вы можете добавить расширение в список блокировок, который уже установлен на компьютере пользователя. Это отключит расширение и запретит пользователю повторно включить его. Оно не будет удалено, а просто будет отключено.

Принудительная установка расширения

Чтобы управлять блокировкой и разрешением расширений, используйте политику ExtensionInstallForcelist. Используйте следующие действия в качестве руководства для принудительной установки расширения.

  1. В редакторе групповой политики перейдите к разделу Административные шаблоны> Расширения >Microsoft Edge > и выберите Управление тем, какие расширения устанавливаются автоматически.
  2. Выберите Включено.
  3. Щелкните Показать.
  4. Введите идентификатор приложения или идентификаторы для расширения или расширений, которые необходимо установить принудительно.

Расширение устанавливается автоматически без вмешательства пользователя. Кроме того, пользователь не сможет удалить или отключить расширение. Этот параметр перезаписывает любую включенную политику списка блокировок.

Примечание.

Для расширений из интернет-магазина Chrome используйте строку pckdojakecnhhplcgfflhndiffaohfah;https://clients2.google.com/service/update2/crx. Для локальных расширений используйте шаблон extension_id;update_url, где update_url указывает на расположение XML-файла манифеста обновления. Например, mfjlfjaknfckffgjgmdfeheeealceoak;https://file_location.azurewebsites.net/picture_of_the_day.xml.

Блокировка расширений из определенного магазина или URL-адреса обновления

Чтобы заблокировать расширения из определенного магазина или URL-адреса, необходимо заблокировать update_url для этого магазина с помощью политики ExtensionSettings.

Используйте следующие действия в качестве руководства для блокировки расширений из определенного магазина или URL-адреса.

  1. Откройте редактор управления групповыми политиками, перейдите в раздел Административные шаблоны > Расширения >Microsoft Edge>, а затем выберите Настроить параметры управления расширениями.
  2. Включите политику, а затем введите разрешения, которые нужно разрешить или заблокировать, сжав их в одной строке JSON.

В следующем примере показан формат JSON и сжатая строка JSON для блокировки из интернет-магазина Chrome с помощью URL-адреса обновления (https://clients2.google.com/service/update2/crx).

Пример JSON для блокировки по URL-адресу обновления

{ 
"update_url:https://clients2.google.com/service/update2/crx":{ 
                                                             " installation_mode":"blocked" 
                                                             } 
} 
{"update_url:https://clients2.google.com/service/update2/crx":{"installation_mode":"blocked"}} 

Примечание.

Вы по-прежнему можете использовать ExtensionInstallForceList и ExtensionInstallAllowList, чтобы разрешить или принудить установить определенные расширения, даже если магазин заблокирован с помощью формата JSON в предыдущем примере.

См. также