本文說明原則的每個網站設定,以及瀏覽器如何處理從網站載入的頁面。
瀏覽器作為決策者
作為每個頁面載入的一部分,瀏覽器會做出許多決定。 其中一些決策包括:特定 API 是否可用、是否允許資源載入,以及是否允許執行指令碼。
在大部分情況下,瀏覽器決策是由下列輸入所控管:
- 使用者設定
- 做出決定之頁面的 URL
在 Internet Explorer Web 平臺中,每個決策都稱為 URLAction。 如需詳細資訊,請參閱 URL 動作旗標。 網際網路控制台中的 URLAction、企業群組原則和使用者設定會控制瀏覽器如何處理每個決策。
在 Microsoft Edge 中,大部分的每個網站許可權都是使用使用具有有限萬用字元支援的簡單語法來表示的設定和原則來控制。 Windows 安全性區域仍用於一些設定決策。
Windows 安全性區域
為了簡化使用者或管理員的設定,舊版平台將網站分類為五個不同的安全區域之一。 這些安全性區域包括:本機電腦、本機內部網路、受信任、因特網和受限制的網站。
做出頁面載入決策時,瀏覽器會將網站對應至區域,然後查閱該區域的 URLAction 設定,以決定要執行的動作。 合理的預設值,例如「自動滿足來自內部網路的驗證挑戰」,表示大部分使用者永遠不需要變更任何預設設定。
使用者可以使用網際網路控制台將特定網站指派給區域,並設定每個區域的權限結果。 在受管理環境中,管理員可以使用群組原則透過「站台到區域指派清單」原則) 將特定站台指派給區域 (,並根據每個區域指定 URLActions 的設定。 除了手動系統管理或使用者將網站指派給區域之外,其他啟發性分析法還可以將 網站指派給本機內部網路區域。 特別是,例如, http://payroll 無點主機名稱 () 已指派給內部網路區域。 如果使用 Proxy 組態指令碼,則設定為略過 Proxy 的任何站台都會對應至內部網路區域。
用於 WebView1 控件和舊版 Microsoft Edge 的 EdgeHTML 繼承了其 Internet Explorer 前身的區域架構,並進行了一些簡化的更改:
- Windows 的五個內建區域已摺疊為三個:Internet (Internet) 、受信任 (Intranet+受信任) ,以及本機電腦。 已移除「限制的網站」區域。
- 區域到 URLAction 的對應已硬式編碼到瀏覽器,忽略網際網路控制台中的群組原則和設定。
Microsoft Edge 中的每個網站權限
Microsoft Edge 有限地使用 Windows 安全性區域。 相反地,透過 原則 為系統管理員提供每個網站設定的大部分許可權和功能都依賴 URL 篩選格式中的規則清單。
當使用者開啟設定頁面時 edge://settings/content/siteDetails?site=https://example.com,例如,他們會找到一長串組態參數和各種權限的清單。 用戶很少直接使用“設置”頁面,而是在瀏覽和使用 頁面信息 下拉菜單中的各種小部件和切換時進行選擇。 當您選取網址列中的鎖定圖示時,會出現此清單。 您也可以使用網址列右邊緣的各種提示或按鈕。 下一個螢幕擷取畫面顯示頁面資訊的範例。
企業可以使用群組原則來設定控制瀏覽器行為的個別原則的網站清單。 若要尋找這些原則,請開啟 Microsoft Edge 群組原則檔,並搜尋 「ForUrls」 ,以根據載入網站的 URL 來尋找允許和封鎖行為的原則。 大部分相關設定都列在 [內容設定的群組原則] 區段中。
還有許多原則 (其名稱包含「預設」) 可控制指定設定的預設行為。
許多設置 (WebSerial、WebMIDI) 都是晦澀難懂的,並且通常沒有理由將設置從默認值更改為止。
Microsoft Edge 中的安全性區域
雖然 Microsoft Edge 主要依賴使用 URL 過濾器格式的單個策略,但在某些情況下默認情況下它會繼續使用 Windows 的安全區域。 此方法可簡化歷來依賴區域組態的企業中的部署。
區域原則可控制下列行為:
- 決定是否要自動發行 Windows 整合式驗證 (Kerberos 或 NTLM) 認證。
- 決定如何處理檔案下載。
- 對於 Internet Explorer 模式。
憑證發行
根據預設,Microsoft Edge 會評估 URLACTION_CREDENTIALS_USE 以決定是否自動使用 Windows 整合式驗證,或使用者是否會看到手動驗證提示。 設定 AuthServerAllowlist 網站清單原則 可防止查閱區域原則。
檔案下載
從網際網路區域下載的檔案會記錄檔案下載 (也稱為「網路標記」的來源證據。 其他應用程式,例如 Windows Shell 和 Microsoft Office 在決定如何處理檔案時,可能會考慮此原始辨識項。
如果 Windows 安全性區域原則設定為停用啟動應用程式和下載不安全檔案的設定,則 Microsoft Edge 的下載管理員會封鎖從該區域中的網站下載檔案。 用戶將看到此註釋:“無法下載 - 已阻止”。
IE 模式
IE 模式可以設定為 在 IE 模式中開啟所有內部網路網站。 使用此設定時,Microsoft Edge 會在決定 URL 是否應該以 IE 模式開啟時評估 URL 的區域。 除了這個初始決策之外,IE 模式索引標籤實際上正在執行 Internet Explorer,因此它們會評估每個原則決策的區域設定,就像 Internet Explorer 一樣。
摘要
在大部分情況下,可以將 Microsoft Edge 設定保留為其預設值。 想要變更所有網站或特定網站預設值的系統管理員,可以使用適當的群組原則來指定網站清單或預設行為。 在少數情況下,例如憑據釋放、文件下載和 IE 模式,管理員將繼續通過配置 Windows 安全性區域設置來控制行為。
常見問題集
URL 篩選器格式是否與網站的 IP 位址相符?
否,此格式不支援指定允許清單和封鎖清單的 IP 範圍。 它確實支援個別 IP 文字的規格,但只有在使用者使用所述文字 ((例如) ) http://127.0.0.1/ 導覽至網站時,才會遵守這類規則。 如果使用主機名稱 (http://localhost),即使主機的解析 IP 符合篩選列出的 IP,也不會考慮 IP 常值規則。
URL 過濾器可以匹配無點主機名稱嗎?
否。 您必須列出每個主機名稱,例如 https://payroll、 、 https://stockhttps://who、 等。
如果您有足夠的前瞻性思維來建構內部網路,以便主機名稱採用下列形式,那麼您已經實作了最佳實務。
https://payroll.contoso-intranet.comhttps://timecard.contoso-intranet.comhttps://sharepoint.contoso-intranet.com
在上述案例中,您可以使用 *.contoso-intranet.com 專案來設定每個原則,而且您的整個內部網路都會選擇加入。