使用群組原則管理 Microsoft Edge 擴充功能

本文將說明使用群組原則管理擴充功能的選項和步驟。 這些選項假設您已為使用者管理Microsoft Edge。 如果您尚未設定要為使用者管理Microsoft Edge，請遵循下列連結立即執行此動作。

• 管理企業中的 Microsoft Edge 擴充功能

注意

Microsoft Edge 管理服務是Microsoft 365 系統管理中心的專用且簡化的管理工具，現已推出。 進一步了解。

根據擴充功能的權限封鎖擴充功能

您可以使用 ExtensionSettings 原則，根據權限來控制使用者可以安裝的擴充功能。 如果已安裝的擴充功能需要封鎖的許可權，則不會執行。 不會移除擴充功能，只會停用。

注意

只能在擴充功能設定原則內設定遭封鎖的權限設定。

使用下列步驟做為封鎖擴充功能的指南。

1. 開啟組策略管理編輯器，並移至 [Edge > 擴充功能Microsoft系統管理>範本]，然後選取 [設定延伸模組管理設定]。

2. 啟用該原則，然後使用壓縮的 JSON 字串輸入您想要允許或封鎖的權限。 下一個螢幕擷取畫面顯示如何封鎖使用 "usb" 權限的擴充功能。

   

下列範例顯示 JSON 以封鎖任何需要使用權限 "usb" 及其壓縮字串的擴充功能。

JSON 範例

{ 
     "*": { 
          "blocked_permissions": ["usb"] 
     } 
} 

{"*":{"blocked_permissions":["usb"]}} 

注意

若要封鎖所有使用該權限的擴充功能，請使用星號作為擴充功能識別碼，如上一個範例所示。 如果您指定一個擴充識別碼，原則只會套用至該擴充功能。 您可以封鎖多個擴充功能，但這些擴充功能必須是個別項目。

防止擴充功能變更網頁

此設定可防止擴充功能從敏感性網站和網域讀取和變更數據。 封鎖不想要的動作是透過封鎖以下動作來完成：指令碼插入您的網站、讀取 Cookie 或進行網路要求修改。 此設定不會防止您的使用者安裝或移除擴充功能，它只會防止擴充功能改變指定的網站。

注意

只能在擴充功能設定原則內設定執行階段允許/封鎖主機設定。

您可以在 ExtensionSettings 原則中設定下列設定，以防止 (或允許) 變更網站或網域：

• Runtime_blocked_hosts。 此設定會阻止擴充功能進行變更，或從您指定的網站讀取資料。

• Runtime_allowed_hosts。 此設定可允許擴充功能進行變更，或從您指定的網站讀取資料。 以下格式用於在原則的 JSON 字串中指定您的網站：

  [http|https|ftp|*]://[subdomain|*].[hostname|*].[eTLD|*] [http|https|ftp|*],
  

  注意

  [hostname|*], and [eTLD|*] 區段是必要的，但 [subdomain|*] 區段是選擇性的。

下表顯示有效的主機模式和相符模式的範例。

有效的主機模式	相符項目	不相符
*://*.example.*	http://example.com https://test.example.co.uk	https://example.microsoft.com http://example.microsoft.co.uk
http://example.*	http://example.com http://example.ly	https://example.com http://test.example.com
http://example.com	http://example.com	https://example.com http://test.example.co.uk
*://*	所有 URL

使用下列步驟做為封鎖或允許擴充功能存取網站或網域的指南。

1. 開啟組策略管理編輯器，移至 [Edge 擴充功能] Microsoft > [系統管理範>本]，然後選取 [設定延伸模組管理設定]。
2. 啟用該原則，然後輸入您想要允許或封鎖的權限，將權限壓縮為單一 JSON 字串。

下列範例顯示如何封鎖主機名稱上的擴充功能，以及如何封鎖同一個網域上的擴充功能。

封鎖主機名稱的 JSON 範例

此範例顯示 JSON 和壓縮的 JSON 字串，以封鎖任何擴充功能，禁止其存取 www.microsoft.com 主機名稱。

{ 
    "*":{ 
            "runtime_blocked_hosts":["www.microsoft.com"] 
    } 
} 

{"*":{"runtime_blocked_hosts":["www.microsoft.com"]}} 

注意

若要封鎖所有擴充功能存取網頁，請使用星號作為擴充功能識別碼，如上一個範例所示。 如果您指定一個擴充識別碼而不指定星號，原則只會套用至該擴充功能。 您可以封鎖多個擴充功能，但這些擴充功能必須是個別項目。

JSON 範例，可封鎖相同網域上的擴充功能

此範例顯示 JSON 和壓縮的 JSON 字串，以封鎖特定擴充功能在相同網域 "importantwebsite" 上執行。

{ 
    "aapbdbdomjkkjkaonfhkkikfgjllcleb": { 
        "runtime_blocked_hosts": ["*://*.importantwebsite"] 
    }, 
    "bfbmjmiodbnnpllbbbfblcplfjjepjdn": { 
        "runtime_blocked_hosts": ["*://*.importantwebsite"] 
    } 
} 

{"aapbdbdomjkkjkaonfhkkikfgjllcleb": {"runtime_blocked_hosts": ["*://,*.importantwebsite"]},"bfbmjmiodbnnpllbbbfblcplfjjepjdn": {"runtime_blocked_hosts": ["*://*.importantwebsite"]}} 

在群組原則中允許或封鎖擴充功能

您可以使用 ExtensionInstallBlocklist 和 ExtensionInstallAllowlist 原則來控制要封鎖或允許的擴充功能。 使用下列步驟做為指南，以允許所有擴充功能，除了您想要封鎖的擴充功能之外。

1. 開啟組策略管理編輯器，移至 [Edge > 擴充功能] Microsoft [系統管理範>本]>，然後選取 [控制無法安裝哪些延伸模組]。

2. 選取 [啟用]。

3. 按一下 [顯示]。

4. 輸入要封鎖之擴充功能的應用程式識別碼。 新增多個應用程式識別碼時，請針對每個標識碼使用個別的數據列。

5. 若要封鎖所有擴充功能，請將 * 輸入該原則，以防止安裝任何擴充功能。 您可以使用此命令搭配「允許安裝特定擴充功能」原則，只允許安裝特定擴充功能。 下一個螢幕擷取畫面顯示將根據提供的應用程式識別碼封鎖的擴充功能。

   

   提示

   如果您找不到延伸模組的應用程式識別碼，請查看 Microsoft Edge 附加元件網站中的延伸模組。 找到特定的擴充功能，您將在 omnibox 的 URL 結尾看到應用程式識別碼。

注意

您可以將延伸模組新增至已安裝在使用者電腦上的封鎖清單。 這將停用擴充功能，並防止使用者重新啟用它。 不會解除安裝擴充功能，只會停用。

強制安裝擴充功能

使用 ExtensionInstallForcelist 原則來控制要封鎖或允許的擴充功能。 使用下列步驟做為強制安裝擴充功能的指南。

1. 在組策略編輯器中，移至 [Edge 延伸>模組Microsoft>系統管理範>本]，然後選取 [控制以無訊息方式安裝哪些延伸模組]。
2. 選取 [啟用]。
3. 按一下 [顯示]。
4. 輸入要強制安裝的擴充功能的應用程式識別碼。

擴充功能會以無訊息方式安裝，而不需要用戶互動。 此外，使用者將無法卸載或停用擴充功能。 這個設定會覆寫任何已啟用的封鎖清單原則。

注意

對於在 Chrome線上應用程式商店中託管的擴充功能，請使用字串，例如：pckdojakecnhhplcgfflhndiffaohfah;https://clients2.google.com/service/update2/crx。 對於自我裝載延伸模組，請使用模式extension_id;update_url其中update_url指向更新指令清單 XML 檔案的位置。 例如，mfjlfjaknfckffgjgmdfeheeealceoak;https://file_location.azurewebsites.net/picture_of_the_day.xml。

封鎖來自特定商店或更新 URL 的擴充功能

若要封鎖來自特定商店或 URL 的擴充功能，您只需要使用 ExtensionSettings 原則封鎖該商店的 update_url 即可。

使用下列步驟做為指南，以封鎖來自特定商店或 URL 的擴充功能。

1. 開啟組策略管理編輯器，移至 [Edge > 延伸>模組] Microsoft [系統管理範>本]，然後選取 [設定延伸模組管理設定]。
2. 啟用該原則，然後輸入您想要允許或封鎖的權限，將權限壓縮為單一 JSON 字串。

下一個範例顯示 JSON 和壓縮的 JSON 字串，以使用其更新 URL (https://clients2.google.com/service/update2/crx) 封鎖 Chrome 線上應用程式商店。

封鎖更新 URL 的 JSON 範例

{ 
"update_url:https://clients2.google.com/service/update2/crx":{ 
                                                             " installation_mode":"blocked" 
                                                             } 
} 

{"update_url:https://clients2.google.com/service/update2/crx":{"installation_mode":"blocked"}} 

注意

您仍然可以使用 ExtensionInstallForceList 和 ExtensionInstallAllowList 來允許/強制安裝特定擴充功能，即使是在前一個範例中已使用 JSON 來封鎖商店。

另請參閱

• 管理企業中的 Microsoft Edge 擴充功能
• 建立 Web Store 以託管 Microsoft Edge 擴充功能
• ExtensionSettings 原則的參考指南
• Microsoft Edge 擴充功能常見問題集
• Microsoft Edge 企業登陸頁面