Подробное руководство по настройке расширений с помощью политики ExtensionSettings
Microsoft Edge предлагает несколько способов управления расширениями. Распространенным способом является настройка нескольких политик в одном месте с помощью строки JSON в редакторе групповой политики Windows или в реестре Windows, используя политикуExtensionSettings.
Примечание.
Сейчас развертывается служба управления Microsoft Edge, специальное и упрощенное средство управления в Центре администрирования Microsoft 365. Подробнее.
Перед началом работы
Решите, хотите ли вы задать все параметры управления расширениями в политике ExtensionSettings или задать эти элементы управления с помощью других политик.
Политика ExtensionSettings может заменять другие политики, которые были установлены в других частях групповой политики, включая следующие:
- ExtensionAllowedTypes
- ExtensionInstallBlocklist
- ExtensionInstallForcelist
- ExtensionInstallSources
- ExtensionInstallAllowlist
Поля политики ExtensionSettings
Эта политика может управлять такими параметрами, как ОБНОВЛЕНИЕ URL-адреса, из которого загружается расширение для начальной установки, и Заблокированные разрешения. Вы также можете использовать эту политику, чтобы определить, какие разрешения не разрешены для запуска. Доступные поля политик описаны в следующей таблице.
Поле политики | Описание |
---|---|
allowed_types | Может использоваться только для настройки конфигурации по умолчанию *. Указывает, какие типы приложений или расширений разрешено устанавливать на Microsoft Edge. Значение представляет собой список строк, каждая из которых должна иметь один из следующих типов: "extension", "theme", "user_script" и "hosted_app". |
blocked_install_message | Если вы блокируете установку определенных расширений пользователями, можно указать сообщение, которое будет отображаться в браузере, если пользователи попытаются установить их. Добавление текста к универсальному сообщению об ошибке, отображаемому на веб-сайте надстроек Microsoft Edge. Например, вы можете сообщить пользователям, как связаться с ИТ-отделом, или почему конкретное расширение недоступно. Сообщение должно содержать не более 1 000 символов. |
blocked_permissions | Запрещает пользователям устанавливать и запускать расширения, запрашивающие определенные разрешения API, которые не разрешены вашей организацией. Например, можно заблокировать расширения, которые обращаются к файлам cookie. Если для расширения требуется заблокированное разрешение, пользователи не смогут установить его. Если пользователи установили расширение ранее, оно не загружается. Если расширение содержит заблокированные разрешения в качестве необязательных требований, оно устанавливается в обычном режиме. Затем при запуске расширения заблокированные разрешения будут автоматически отклонены. Список доступных разрешений см. в разделе Объявление разрешений. |
file_url_navigation_allowed | Браузер Edge версии 120 и более поздних Позволяет расширениям переходить по указанным URL-адресам файлов. |
installation_mode | Указывает, добавляются ли в Microsoft Edge расширения, которые вы указываете, и если дат, то как. Можно задать один из следующих режимов установки: - allowed : пользователи могут установить расширение. Если не определен режим установки, этот параметр применяется по умолчанию.- blocked : пользователи не могут установить расширение.- force_installed : автоматическая установка расширения без взаимодействия с пользователем. Пользователи не могут удалить его. Также необходимо определить расположение загрузки расширения с помощью update_url. Примечание. Вы не можете использовать этот параметр с *, так как Microsoft Edge не будет знать, какое расширение следует установить автоматически.- normal_installed : автоматическая установка расширения без взаимодействия с пользователем. Пользователи могут отключить его. Также необходимо определить расположение загрузки расширения с помощью update_url. Примечание. Вы не можете использовать этот параметр с *, так как Microsoft Edge не будет знать, какое расширение следует установить автоматически.- removed : пользователи не могут установить расширение. Если пользователи установили расширение ранее, Microsoft Edge удаляет его. |
install_sources | Можно использовать только для настройки конфигурации по умолчанию * . Указывает, с каких URL-адресов можно устанавливать расширения. Этим шаблонам должно быть разрешено как местоположение файла *.crx, так и страница, с которой начинается загрузка (реферер). Примеры шаблонов URL см. в разделе Шаблоны соответствия. |
minimum_version_required | Microsoft Edge отключает расширения, в том числе вынужденно установленные расширения, с версией старше указанной минимальной версии. Формат строки версии тот же, что и в манифесте расширения. |
update_url | Применяется только к force_installed и normal_installed . Указывает, откуда Microsoft Edge следует скачать расширение. Если расширение расположено на веб-сайте надстроек Microsoft Edge, используйте это расположение: https://edge.microsoft.com/extensionwebstorebase/v1/crx .Microsoft Edge использует URL-адрес, указанный вами для начальной установки расширения. Для последующих обновлений расширения Microsoft Edge использует URL-адрес в манифесте расширения. |
runtime_allowed_hosts | Позволяет расширениям взаимодействовать с указанными веб-сайтами, даже если они также определены в runtime_blocked_hosts. Можно указать до 100 элементов. Элементы сверх этого числа удаляются. Формат шаблона узла аналогичен шаблону сопоставления, за исключением того, что вы не можете определить путь. Например: - ://.example.com - ://example. — поддерживаются подстановочные знаки eTLD |
runtime_blocked_hosts | Запретить расширениям взаимодействовать с указанными веб-сайтами или изменять их. Изменения включают блокировку внедрения JavaScript, доступ к файлам cookie и изменения по веб-запросу. Можно указать до 100 элементов. Элементы сверх этого числа удаляются. Формат шаблона узла аналогичен шаблону соответствия ex'cept, путь к которому нельзя определить. Например: - ://.example.com - ://example. — поддерживаются подстановочные знаки eTLD |
override_update_url | Доступно в Microsoft Edge 93 Если для этого поля задано значение true , Microsoft Edge использует URL-адрес обновления, указанный в политике ExtensionSettings или в политике ExtensionInstallForcelist, для последующих обновлений расширений.Если это поле не задано или имеет значение false , Microsoft Edge использует URL-адрес, указанный в манифесте расширения, для обновлений. |
toolbar_state | Доступно в Microsoft Edge 103 Этот параметр политики позволяет принудительно отобразить установленное расширение на панели инструментов. Состояние по умолчанию — default_hidden для всех расширений. Для этого параметра возможны следующие значения:- force_shown : вы можете принудительно отобразить установленное расширение на панели инструментов. Пользователи не смогут скрыть указанный значок расширения на панели инструментов.- default_hidden : это параметр по умолчанию для всех установленных расширений в браузере.- default_shown : в этом состоянии расширения отображаются на панели инструментов при установке. При необходимости пользователи могут скрыть их на панели инструментов. |
sidebar_auto_open_blocked | Доступно в Microsoft Edge 119 Если для этого поля задано значение true , любое приложение боковой панели с указанным идентификатором расширения будет запрещено автоматически открывать. |
В глобальной области (*) разрешены следующие ключи:
- blocked_permissions
- installation_mode — только
"blocked"
,"allowed"
или"removed"
являются допустимыми значениями в этой области. - runtime_blocked_hosts
- blocked_install_message
- allowed_types
- runtime_allowed_hosts
- install_sources
Следующие ключи разрешены в отдельной области расширения:
- blocked_permissions
- minimum_version_required
- blocked_install_message
- installation_mode —
"blocked"
,"allowed"
,"removed"
и"force_installed"
"normal_installed"
— возможные значения. - runtime_allowed_hosts
- update_url
- override_update_url
- runtime_blocked_hosts
- toolbar_state
- sidebar_auto_open_blocked
В области обновления URL-адреса разрешены следующие ключи:
- blocked_permissions
- installation_mode — только
"blocked"
,"allowed"
или"removed"
являются допустимыми значениями в этой области.
Настройка строки JSON в редакторе групповой политики Windows
При использовании политики параметров расширения с помощью GPO предполагается, что вы уже импортировали ADM/ADMX для политик Microsoft Edge.
- Откройте редактор групповой политики и перейдите в раздел Расширения > Microsoft Edge > Настройка политики управления расширениями.
- Включите политику и введите ее компактные данные нотации объектов JavaScript (JSON) в текстовое поле в виде одной строки без разрывов строк.
- Чтобы проверить политику и сжать ее до одной строки, используйте средство сжатия JSON.
Правильное форматирование JSON для политики параметров расширения
Необходимо понимать две части этой политики: область по умолчанию и отдельную область. Область по умолчанию охватывает все расширения без их собственных областей. Индивидуальная область применяется только к данному расширению.
Область по умолчанию отмечена звездочкой (*). В следующем примере определяется область по умолчанию и индивидуальная область расширения.
{
"*": {},
"nckgahadagoaajjgafhacjanaoiihapd": {}
}
Расширение получит параметры только одной из областей. Если для этого расширения есть отдельная область расширения, это будут параметры, которые применяются к нему. Если не существует отдельной области расширения, то расширение будет использовать область по умолчанию.
Следующий образец JSON запрещает любому расширению запуск .example.com
, а также блокирует любое расширение, требующее разрешения "USB".
{
"*": {
"runtime_blocked_hosts": ["*://*.example.com"],
"blocked_permissions": ["usb"]
}
}
Сжатая JSON
{"*":{"runtime_blocked_hosts":["*://*.example.com"],"blocked_permissions":["usb"]}}
Еще несколько примеров JSON для параметров расширения
Использование свойства installation_mode для разрешения и блокировки расширений
Пользователь может установить все расширения — параметр по умолчанию
{ "*": {"installation_mode": "allowed" }}
Пользователь не может установить расширения.
{ "*": {"installation_mode": "blocked" }}
Укажите пользовательское сообщение, которое будет отображаться при блокировке установки.
{"*": {"blocked_install_message": ["Call IT(408 - 555 - 1234) for an exception"]}}
Использование свойства installation_mode для принудительной установки расширений
При использовании свойства installation_mode как "force_installed" расширение автоматически устанавливается без взаимодействия с пользователем. Пользователь не может отключить или удалить расширение. Если расширение установлено как "normal" или "force", поле update_ur тоже должно быть заполнено. Это поле указывает, откуда можно установить расширение. Используйте следующие расположения для поля update_url:
Если скачиваемое расширение размещено в хранилище надстроек Microsoft Edge, используйте расположение в следующем примере JSON:
{"nckgahadaanghapdoaajjgafhacjaoii": {"installation_mode": "force_installed","update_url": "https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
Если скачиваемое расширение размещено в Веб-магазине Chrome, используйте расположение в следующем примере JSON:
{"nckgiihapdoaajjgafhacjgahadaanao": {"installation_mode": "force_installed","update_url": "https://clients2.google.com/service/update2/crx"}}
Если вы размещаете расширение на собственном сервере, используйте URL-адрес, по которому Microsoft Edge может скачать упакованную версию расширения (.crx файл). Пример JSON
{"nckgahadagoaajjgafhacjanaoiihapd": {"installation_mode": "force_installed","update_url": "https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
В предыдущем примере, если вместо "force_installed" вы используете "normal_installed", расширение автоматически устанавливается без участия пользователя, но оно может отключить его.
Совет
Правильно отформатировать строку JSON может быть сложно. Перед реализацией политики используйте проверку JSON. Или попробуйте раннюю версию Extension Settings Generator Tool
Настройка с помощью реестра Windows
Политика ExtensionSettings должна быть записана в этот раздел реестра:
HKLM\Software\Policies\Microsoft\Edge\
Примечание.
Вместо HKLM можно использовать HKCU. Эквивалентный путь можно настроить с помощью объекта групповой политики (GPO).
Для Microsoft Edge все параметры будут запускаться в этом разделе:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\
Следующий ключ, который вы создадите, — это идентификатор расширения для отдельной области или звездочка (*) для области по умолчанию. Например, вы используете следующее расположение в реестре для параметров, которые применяются к Google Hangouts:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings\nckgahadagoaajjgafhacjanaoiihapd
Для параметров, которые применяются к области по умолчанию (звездочка), используйте следующее расположение в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings\*
Для разных параметров требуются разные форматы в зависимости от того, является ли они строкой или массивом строк. Значения массива требуют формата ["значение"]. Строки могут быть введены без изменений. В следующем списке показано, какие параметры являются массивами или строками:
- nstallation_mode = Строка
- update_url = Строка
- blocked_permissions = Массив строк
- allowed_permissions = Массив строк
- minimum_version_required = Строка
- runtime_blocked_hosts = Массив строк
- runtime_allowed_hosts = Массив строк
- blocked_install_message = Строка