配置 TPM 固件更新行为
通过设置此政策,您可以配置 TPM 固件更新的可用性和行为。
请在 JSON 属性中指定各项设置:
* allow-user-initiated-powerwash:如果设为 true,用户将能够触发 Powerwash 流程以安装 TPM 固件更新。
* allow-user-initiated-preserve-device-state(Google Chrome 68 版及更高版本提供此选项):如果设为 true,用户可以调用 TPM 固件更新流程,此流程会保留设备级状态(包括企业注册情况),但不会保留用户数据。
* auto-update-mode(Google Chrome 75 版及更高版本提供此选项):控制如何对容易受到攻击的 TPM 固件强制执行自动 TPM 固件更新。所有流程都会保留本地设备状态。如果设为:
* 1 或未设置,系统不会强制执行 TPM 固件更新。
* 2,在用户确认更新后,系统将在下次重新启动时更新 TPM 固件。
* 3,系统将在下次重新启动时更新 TPM 固件。
* 4,系统将在注册后且用户登录前更新 TPM 固件。
如果您未设置此政策,TPM 固件更新将不可用。
要详细了解架构和格式,请访问 https://cloud.google.com/docs/chrome-enterprise/policies/?policy=TPMFirmwareUpdateSettings。
值示例:
{
"allow-user-initiated-powerwash": true,
"allow-user-initiated-preserve-device-state": true,
"auto-update-mode": 1
}
支持的平台: Microsoft Windows 7 或 Windows Server 2008 家族及以上版本
配置 TPM 固件更新行为(我们已弃用并将于日后移除单行字段。请开始使用下面的多行文本框。)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Google\ChromeOS |
| Value Name | TPMFirmwareUpdateSettings |
| Value Type | REG_SZ |
| Default Value |
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Google\ChromeOS |
| Value Name | TPMFirmwareUpdateSettings |
| Value Type | REG_MULTI_SZ |
| Default Value |
chromeos.admx
- Google
- Google Chrome OS - 默认设置(用户可以覆盖)
- Google Chrome OS
- Android 设置
- Borealis
- Linux 容器
- Microsoft® Active Directory® 管理设置
- PluginVm
- Wilco DTC
- 其他
- 已弃用的政策
- 已移除的政策
- 打印
- 无障碍设置
- 显示
- 电源管理
- 登录设置
- 网络设置
- 设备更新设置
- 证书管理设置
- 远程证明
- 隐私保护屏设置
- AppPack 扩展程序列表
- 为 Google Chrome OS配置系统代理服务。
- 仅允许连接到此列表中的蓝牙服务
- 停用自动更新功能
- 允许创建新的用户帐号
- 允许受管理访客会话保留显示属性
- 允许在 Quirks Server 中查询硬件配置文件
- 允许在设备上使用蓝牙功能
- 允许收集系统级性能跟踪记录
- 允许用于更新的连接类型
- 允许用户通过注册 Chrome 操作系统来兑换优惠
- 允许设备接收 LTS 更新
- 允许设备请求 Powerwash
- 允许调试网络数据包捕获流程
- 允许通过 HTTP 自动更新下载内容
- 减少受管理访客会话的自动启动通知
- 分离式 USB 设备白名单
- 发布指定设备政策后的非工作时间的间隔
- 发布版
- 启用 Thunderbolt/USB4 外围设备数据访问
- 启用指标报告
- 启用数据漫游
- 启用访客模式
- 在 Google Chrome 启动时应用于整个系统的设置
- 在演示登录时加载指定网址
- 在登录屏幕上显示用户名
- 在零售模式登录屏幕上显示屏幕保护程序之前的闲置时间
- 对待机用户执行退出操作前的超时时间
- 已停用企业设备打印机
- 已启用企业设备打印机
- 已启用点对点技术自动更新
- 待机退出警告讯息的持续时间
- 时区
- 更新后自动重启
- 用于零售模式登录屏幕的屏幕保护程序
- 用户可以配置 Chrome 操作系统发布版本
- 用户退出后强制设备重新启动
- 登录屏幕的电源管理设置
- 登录用户白名单
- 目标自动更新版本
- 确定变体在 Google Chrome OS中的可用情况
- 禁止开发者模式
- 自动授权这些网站在登录屏幕上连接到具有给定供应商 ID 和产品 ID 的 USB 设备。
- 自动更新分配因素
- 设备关机后自动重新启动
- 设备壁纸图片
- 设备打印机配置访问政策。
- 设备登录屏幕语言区域
- 设备登录屏幕键盘布局
- 设备的企业打印机配置文件
- 设备策略的更新频率
- 设备级网络配置
- 设置显示屏默认旋转角度,每次重新启动后都重新应用设置的角度
- 退出时清除用户数据
- 配置登录屏幕上已安装应用的列表
- 配置自动检测时区方法
- 默认情况下,使用24小时制
- Google
- Google Chrome OS - 默认设置(用户可以覆盖)
- 主页
- 其他
- 内容设置
- 启动页
- 安全浏览设置
- 密码管理器
- 已弃用的政策
- 已移除的政策
- 快速解锁
- 打印
- 新标签页
- 无障碍设置
- 默认搜索服务提供商
- 为受管理自助服务终端设置建议的语言区域
- 允许下载限制
- 允许使用"自动填充"功能填写信用卡信息
- 允许在上下文菜单中使用默认搜索服务提供商进行搜索
- 启用书签栏
- 启用备用的错误页面
- 启用安全浏览
- 启用或停用拼写检查网络服务
- 启用搜索建议
- 启用网络预测功能
- 启用翻译
- 启用自动填充
- 在工具栏上显示"主页"按钮
- 将在登录屏幕上使用的鼠标主按钮切换成右键
- 将鼠标主键切换成右键
- 当设备进入待机或暂停状态时启用锁定
- 打印机配置访问政策。
- 控制任务栏是否自动隐藏
- 控制文件架位置
- 显示完整网址
- 自动填充地址信息
- 要在启动程序中显示的固定应用的列表
- 设置下载目录
- 设置默认下载目录
- 选择任务调度程序配置
- 阻止第三方 Cookie
- Google Chrome OS
- Android 设置
- Borealis
- GAIA 用户身份管理设置
- Google Cast
- Google 云端硬盘
- Google 助理
- HTTP 身份验证
- Linux 容器
- PluginVm
- 主页
- 代理服务器
- 其他
- 内容设置
- 仅在当前会话中使用来自相符网址的 Cookie
- 允许 JavaScript 在这些网站上使用 JIT
- 允许在这些 Web 应用上使用 File Handling API
- 允许在这些网站上使用 Serial API
- 允许在这些网站上使用传感器
- 允许在这些网站上使用密钥生成功能
- 允许在这些网站上向文件和目录写入内容
- 允许在这些网站上显示不安全内容
- 允许在这些网站上显示通知
- 允许在这些网站上通过 File System API 读取内容
- 允许这些网站使用 WebUSB
- 允许这些网站运行 Flash 插件
- 在这些网站上允许 Cookie
- 在这些网站上允许 JavaScript
- 在这些网站上允许图片
- 在这些网站上允许弹出式窗口
- 在这些网站上阻止 Cookie
- 在这些网站上阻止 JavaScript
- 在这些网站上阻止图片
- 在这些网站上阻止弹出式窗口
- 将这些网站上的 Cookie 恢复为旧版 SameSite 行为
- 控制 File Handling API 的使用方式
- 控制 File System API 在写入方面的使用
- 控制 File System API 在读取方面的使用
- 控制对 JavaScript JIT 的使用
- 控制对 Serial API 的使用
- 控制对 Web Bluetooth API 的使用
- 控制对 WebUSB API 的使用
- 控制对不安全内容例外情况的使用
- 禁止 JavaScript 在这些网站上使用 JIT
- 禁止在这些 Web 应用上使用 File Handling API
- 禁止在这些网站上使用 Serial API
- 禁止在这些网站上使用传感器
- 禁止在这些网站上使用密钥生成功能
- 禁止在这些网站上向文件和目录写入内容
- 禁止在这些网站上显示不安全内容
- 禁止在这些网站上通过 File System API 读取内容
- 禁止这些网站使用 WebUSB
- 禁止这些网站运行 Flash 插件
- 自动授权这些网站通过给定的供应商 ID 和产品 ID 连接到 USB 设备。
- 自动选择这些网站的客户端证书
- 阻止在这些网站上显示通知
- 默认 Cookie 设置
- 默认 Flash 设置
- 默认 JavaScript 设置
- 默认传感器设置
- 默认图片设置
- 默认地理位置设置
- 默认弹出式窗口设置
- 默认旧版 SameSite Cookie 行为设置
- 默认的密钥生成设置
- 默认通知设置
- 启动页
- 安全浏览设置
- 家长监督设置
- 密码管理器
- 已弃用的政策
- 为远程访问主机配置所需的域名
- 为远程访问客户端配置必要的域名
- 企业网上应用店名称(已弃用)
- 企业网上应用店网址(已弃用)
- 使用交流电源供电时的屏幕关闭延迟时间
- 使用交流电源供电时的屏幕变暗延迟时间
- 使用交流电源供电时的屏幕锁定延迟时间
- 使用交流电源供电时的闲置延迟时间
- 使用交流电源供电时的闲置警告延迟时间
- 使用电池供电时的屏幕锁定延迟时间
- 使用电池供电时的闲置延迟时间
- 使用电池供电时的闲置警告延迟时间
- 使用电源供电时的屏幕关闭延迟时间
- 使用电源供电时的屏幕变暗延迟时间
- 使用默认引荐来源网址政策值 no-referrer-when-downgrade。
- 停用 SPDY 协议
- 停用网址协议架构
- 允许用户在密码管理器中显示密码(已弃用)
- 允许网站在导航的同时打开弹出式窗口
- 允许访问本机 CUPS 打印机
- 启用"即搜即得"
- 启用 JavaScript
- 启用网络预测功能
- 启用隐身模式
- 在 TLS 中启用 DHE 加密套件
- 在 TLS 中启用 RC4 加密套件
- 在对扩展程序更新和安装进行完整性检查时允许使用不安全的算法
- 在浏览器关闭时清除网站数据(已弃用)
- 强制使用安全搜索
- 强制启用 YouTube 安全模式
- 当闲置延迟时间已过且使用交流电源供电时执行的操作
- 当闲置延迟时间已过且使用电池供电时应执行的操作
- 指定已停用插件的列表
- 指定已启用插件的列表
- 指定该用户可启用或停用的插件的列表
- 控制 User-Agent Client Hints 功能。
- 支持通过远程访问客户端穿越防火墙
- 演示模式下待机延迟时间的调整幅度(百分比)(已弃用)
- 要回退到的最低 TLS 版本
- 选择如何指定代理服务器设置
- 闲置延迟时间已过时执行的操作
- 阻止在新标签页上显示应用宣传信息
- 默认 mediastream 设置
- 已移除的政策
- 快速解锁
- 打印
- 企业打印机配置文件
- 允许删除打印任务记录
- 允许访问 CUPS 打印机
- 单个打印任务可以使用的纸张数上限
- 向原生打印机发送用户名和文件名
- 外部打印服务器
- 已停用企业打印机
- 已启用企业打印机
- 已启用的外部打印服务器
- 已启用的外部打印服务器
- 打印机配置访问政策。
- 禁用拒绝列表中的打印机类型
- 能够在通过 chrome.printing API 发送打印任务时跳过确认对话框的扩展程序
- 能够在通过 chrome.printing API 发送打印任务时跳过确认对话框的扩展程序
- 设置打印任务元数据的存储时间段(天)
- 配置打印机列表
- 限制 PIN 码打印模式
- 限制双面打印模式
- 限制打印颜色模式
- 限制背景图片打印模式
- 默认 PIN 码打印模式
- 默认使用双面打印模式
- 默认打印页面大小
- 默认打印颜色模式
- 默认背景图片打印模式
- 扩展程序
- 新标签页
- 无障碍设置
- 电源管理
- 证书管理设置
- 远程访问
- 为远程访问主机配置 TalkGadget 前缀
- 为远程访问主机配置所需的域名
- 为远程访问客户端配置所需的域名
- 允许远程访问主机使用中继服务器
- 允许针对远程访问主机进行 gnubby 身份验证
- 启用远程访问主机的屏蔽设置
- 支持通过远程访问主机穿越防火墙
- 要求本地用户的名称和远程访问主机所有者的名称必须一致
- 覆盖与远程访问主机的调试版本号相关的政策
- 远程访问客户端获取身份验证令牌的网址
- 连接到 RemoteAccessHostTokenValidationUrl 时使用的客户端证书
- 针对远程访问主机启用或停用无 PIN 码身份验证
- 限制远程访问主机使用的UDP端口范围
- 验证远程访问客户端身份验证令牌时使用的网址
- 远程证明
- 隐私保护屏设置
- 默认搜索服务提供商
- AutoOpenFileTypes 可应用到的网址
- ecryptfs 迁移策略
- WebRTC 的 IP 处理政策
- 下载前询问每个文件的保存位置
- 不为那些定位到"_blank"页面的链接设置 window.opener
- 为 ARC 应用设置证书可用性
- 为个人资料类型启用静默身份验证。
- 为受管理自助服务终端设置建议的语言区域
- 为已加入"高级保护"计划的用户启用更多保护功能
- 为所有网站启用网站隔离功能
- 为指定的来源启用网站隔离功能
- 为本地信任锚启用 TLS 1.3 安全功能。
- 为混合内容启用更严格的处理方式
- 为特定来源的网站设定受管理配置值
- 为设备本地帐号设置服务条款
- 代理设置
- 以列表形式指定:哪些名称将绕过 HSTS 政策检查
- 以只读模式处理外部存储设备
- 企业打印机配置文件
- 使"统一桌面"功能可供用户使用,并使其在默认情况下处于启用状态
- 使用内置 DNS 客户端
- 使用旧版 CORS 实现方案(而非新版 CORS)
- 停用 TLS False Start
- 停用与 Google 同步数据的功能
- 停用保存浏览器历史记录的功能
- 停用对 3D 图形 API 的支持
- 停用开发者工具
- 停用截取屏幕截图功能
- 允许 Google Cast 连接到位于所有 IP 地址的 Cast 设备。
- 允许 WebRTC 降级至旧版 TLS/DTLS
- 允许下载限制
- 允许从 Google 服务收集 WebRTC 事件日志
- 允许从特定来源上的 SSL 警告页面继续操作
- 允许使用"自动填充"功能填写信用卡信息
- 允许使用 Lacros
- 允许使用 QUIC 协议
- 允许使用 Smart Lock
- 允许使用 Smart Lock 登录功能。
- 允许使用即时网络共享功能。
- 允许使用由本地信任锚颁发的 SHA-1 签名证书
- 允许使用由本地信任锚颁发的缺少 subjectAlternativeName 扩展项的证书
- 允许全屏模式
- 允许关闭 SSL 警告页面并继续操作
- 允许删除浏览器历史记录和下载记录
- 允许合并具有多个不同来源的列表政策
- 允许合并来自多个不同来源的字典政策
- 允许启用 Phone Hub。
- 允许启用 Phone Hub 任务延续功能。
- 允许启用 Phone Hub 通知。
- 允许在 Google Chrome OS设备和一部已连接的 Android 手机之间同步 Wi-Fi 网络配置。
- 允许在 Google Chrome OS锁定屏幕启用加入白名单的备注应用
- 允许在上下文菜单中使用默认搜索服务提供商进行搜索
- 允许在任务管理器中结束进程
- 允许在设备上使用受管理自助服务终端
- 允许将短信从手机同步到 Chromebook。
- 允许或拒绝屏幕截图
- 允许所列网站从不安全情境向更专用网络上的端点发送请求。
- 允许托管扩展程序使用 Enterprise Hardware Platform API
- 允许播放视频
- 允许更新 Google Chrome 中的组件
- 允许来源查询设备属性
- 允许滚动至网址片段指定的文本所在的位置
- 允许用户启用安全浏览扩展报告功能
- 允许用户在"新标签页"页面上自定义背景
- 允许用户在 Lacros 浏览器中创建和使用次级个人资料以及使用访客模式
- 允许用户在设备锁定时播放媒体
- 允许用户提供反馈
- 允许用户玩恐龙复活节彩蛋游戏
- 允许用户管理 VPN 连接
- 允许用户管理已安装的 CA 证书。
- 允许用户管理已安装的客户端证书。
- 允许登录其他 Google 帐号
- 允许符合网址格式白名单中所列格式的网页自动播放媒体内容
- 允许符合网址格式许可名单中所列格式的网页自动播放媒体内容
- 允许系统冻结后台标签页
- 允许网站查询可用的付款方式。
- 允许自动播放媒体内容
- 允许访问指定的一系列网址
- 允许访问指定的一系列网址
- 允许运行过期的插件
- 允许进行远程调试
- 允许重新启用 AppCache 功能,即使此功能默认处于关闭状态。
- 允许针对其他 DNS 记录类型发出 DNS 查询
- 允许锁定屏幕
- 允许页面在关闭过程中执行同步 XHR 请求。
- 允许页面在取消加载的过程中显示弹出式窗口
- 内网重定向行为
- 受管理的书签
- 可在 Google Chrome OS锁定屏幕中显示的笔记应用的列表。
- 向系统任务栏添加退出按钮
- 启用"Get Image Descriptions from Google"。
- 启用"点击通话"功能
- 启用 Android Backup Service
- 启用 Android Google 位置信息服务
- 启用 ARC
- 启用 chrome://devices
- 启用 DNS 拦截检查功能
- 启用 Lacros 浏览器
- 启用 PAC 网址剔除功能(适用于 https:// 类网址)
- 启用 PDF 注释
- 启用 Signed HTTP Exchange (SXG) 支持
- 启用WPAD优化
- 启用书签栏
- 启用以网址为键的匿名化数据收集功能
- 启用全局范围的 HTTP 身份验证缓存
- 启用全屏提醒
- 启用在线 OCSP/CRL 检查
- 启用备用的错误页面
- 启用媒体推荐内容
- 启用安全浏览
- 启用实验性政策
- 启用已弃用的 Privet 本地打印
- 启用或停用书签修改功能
- 启用或停用拼写检查网络服务
- 启用打印功能
- 启用拼写检查
- 启用搜索建议
- 启用政策原子组的概念
- 启用数据泄露预防报告
- 启用最低 SSL 版本
- 启用最高 SSL 版本
- 启用网络预测功能
- 启用翻译
- 启用自动填充
- 启用虚拟键盘
- 启用表情符号建议
- 启用针对不安全表单的警告
- 在"打开新的标签页"页面和应用启动器中不显示网上应用店
- 在"新标签页"页面上显示卡片
- 在 WebRTC ICE 候选路径中显示本地 IP 的网址
- 在传输层安全协议 (TLS) 中启用 3DES 加密套件
- 在多功能框中使用锁形图标表示安全连接
- 在工具栏上显示"主页"按钮
- 在工具栏中显示浏览器实验性功能图标
- 在新版 CORS 实现方案中启用 CORS 检查缓解功能
- 在登录屏幕和锁定屏幕上启用显示密码按钮
- 在登录期间允许显示同步同意声明
- 在非默认端口上启用 HTTP/0.9 支持
- 壁纸图片
- 始终运行需要获得授权的插件(已弃用)
- 定义允许访问 Google Workspace 的网域
- 密钥使用权限
- 对于指定的一系列 subjectPublicKeyInfo 哈希,不强制执行证书透明化要求
- 对于指定的一系列旧版证书授权机构,不强制执行证书透明化要求
- 对于指定的一系列网址,不强制要求必须符合证书透明度政策
- 将 Flash 内容设置的涵盖面扩展至所有内容(已弃用)
- 将在登录屏幕上使用的鼠标主按钮切换成右键
- 将鼠标主键切换成右键
- 已为 TLS 启用 CECPQ2 后量子密钥协议算法
- 已停用企业打印机
- 已启用企业打印机
- 应从同步操作中排除的类型列表
- 应在下载完毕后自动打开的文件类型的列表
- 强制停用语言拼写检查
- 强制停用语言拼写检查
- 强制启用 Google 安全搜索功能
- 强制启用最低级别的 YouTube 受限模式
- 强制检查语言拼写
- 当用户从 Google Chrome OS设备上移除安全令牌(例如智能卡)时,系统会执行什么操作。
- 当用户从 Google Chrome OS设备上移除智能卡时,通知会持续显示多长时间。
- 当设备进入待机或暂停状态时启用锁定
- 打印机配置访问政策。
- 指定所需 DNS-over-HTTPS 解析器的 URI 模板
- 指定是否允许不安全网站向更专用网络上的端点发送请求
- 指定是否应停用插件查找器(已弃用)
- 指定虚拟机 CLI 权限
- 控制 DNS-over-HTTPS 模式
- 控制 IntensiveWakeUpThrottling 功能。
- 控制 SafeSites 的成人内容滤除机制。
- 控制任务栏是否自动隐藏
- 控制可在哪些情况下使用开发者工具
- 控制多用户配置会话中的用户行为
- 控制对无头模式的使用权限
- 控制文件架位置
- 政策失效后的最大提取延迟
- 无痕模式的可用性
- 无需提示用户即可使用视频捕获设备的网址
- 无需提示用户即可使用音频捕获设备的网址
- 明确允许使用的网络端口
- 是否允许视频捕获
- 是否允许音频捕获
- 显示完整网址
- 显示让用户确认退出登录的对话框
- 本机打印
- 浏览数据生命周期设置
- 用户头像图片
- 用户策略的更新频率
- 用户级网络配置
- 确定是否会使用内置的证书验证程序来验证服务器证书
- 禁止从安全浏览警告页面继续访问
- 禁止启动浏览器窗口
- 禁止在特定网域中针对相似域名显示警告
- 禁止显示"操作系统不受支持"警告
- 禁止显示从其他来源的子框架触发的 JavaScript 对话框
- 禁止装载外部存储设备
- 系统建议或要求重新启动浏览器或重启设备时,通知用户
- 自动允许直接安全密钥认证的网址/网域
- 自动填充地址信息
- 要在启动程序中显示的固定应用的列表
- 要求为本地信任锚执行在线 OCSP/CRL 检查
- 让已弃用的网络平台功能在限定的时间内发挥功效
- 设定数据大小下限以与旨在预防数据泄露的剪贴板限制规则搭配使用
- 设置一个时间段以用于显示更新通知
- 设置一系列规则,防止数据泄露。
- 设置下载目录
- 设置已停用功能的用户体验
- 设置设备本地帐号的显示名称
- 设置重新启动时间间隔
- 设置首次用户重新启动通知的时间
- 进行强制门户身份验证时忽略代理服务器
- 退出时清除浏览数据
- 选择任务调度程序配置
- 配置 ARC
- 配置可在用户会话中使用的语言
- 配置可在用户会话中使用的输入法
- 配置强制安装的 Web 应用的列表
- 配置要停用的摄像头、浏览器设置、操作系统设置、扫描功能、网上应用店、画布、Google 新闻和探索功能
- 重新启用 Web Components v0 API 直至 M84。
- 针对不安全来源的安全性限制不适用于哪些来源或主机名模式
- 针对含侵扰性广告的网站的广告设置
- 针对误导性体验的强制干预政策
- 阻止第三方 Cookie
- 阻止访问网址列表
- 阻止访问网址列表
- 限制 WebRTC 使用的本地 UDP 端口的范围
- 限制用户会话的长度
- 限制通过 GAIA(不使用 SAML)验证身份的用户可在锁定屏幕上离线登录的时长
- 限制通过 SAML 验证身份的用户可在锁定屏幕上离线登录的时长
- 限制通过SAML验证身份的用户可离线登录的时长
- 首次运行时,将第一个浏览器窗口最大化
- 默认打印机选择规则
- Google Chrome OS - 默认设置(用户可以覆盖)