管理対象の Chrome ブラウザと ChromeOS デバイスが対象です。
管理者は、拒否リストまたは許可リストに URL を登録して、特定のウェブサイトへのアクセスのみをユーザーに許可できます。
フィルタの形式
URLBlocklist ポリシーと URLAllowlist ポリシーのフィルタの形式は次のとおりです。
[スキーム://][.][ホスト][:ポート][/パス][@クエリ]
| 項目 | 詳細 |
| スキーム(省略可) |
この項目は省略可能ですが、使用する場合は末尾に「://」を付ける必要があります。詳しくは、使用可能なスキームをご覧ください。 大文字と小文字は区別されません。 |
| ホスト(必須) |
有効なホスト名または IP アドレスです。特殊文字の「*」を使用することもできます。アスタリスクはワイルドカードと同様に機能し、すべてのホスト名と IP アドレスを表します。「.」(ドット、省略可)をホストの前に付けると、サブドメインの一致を無効にできます。 大文字と小文字は区別されません。 |
| ポート(省略可) | 1〜65535 の有効なポートの値を指定します。 |
| パス(省略可) |
任意の文字列を使用できます。 大文字と小文字が区別されます。 |
| クエリ(省略可) |
「&」で区切られた Key-Value トークンと Key-Only トークンのセットです。Key と Value の間は「=」で区切られます。クエリトークンの末尾に「*」を使用すると(省略可)、それより前の部分と照合されます。照合の際、トークンの順序は無視されます。 大文字と小文字が区別されます。 |
使用可能なスキーム
標準またはカスタムのスキームを使用できます。サポートされている標準スキームは次のとおりです。
- about
- blob
- content
- chrome(非推奨。代わりに [機密性の高い Chrome の内部 URL をブロックする] を使用してください)
- cid
- data
- file
- filesystem
- gopher
- http
- https
- javascript
- mailto
- ws
- wss
その他のスキームはすべてカスタム スキームとして扱われます。カスタム スキームはサポートされていますが、使用できるパターンは [スキーム]:* と [スキーム]://* のみです。そのスキームのすべての URL と照合されます。スキームとホストでは大文字と小文字は区別されませんが、パスとクエリでは大文字と小文字が区別されます。
スキームの形式の例
- サポートされている標準スキーム
- http://example.com は HTTP://Example.com と一致し、http://example.COM は http://example.com と一致します。
- http://example.com/path?query=1 は http://example.com/path?Query=1 や http://example.com/Path?query=1 とは一致しませんが、http://Example.com/path?query=1 と一致します。
- カスタム スキーム
- [カスタム]://* または [カスタム]:* のパターンが有効で、[カスタム]:[アプリ名] と照合されます。
- [カスタム]:[アプリ名] または [カスタム]://[アプリ名] のパターンは無効です。
URL 形式の例外
フィルタの形式は URL の形式とよく似ていますが、次の点が異なります。
- [ユーザー名]:[パスワード] を含めることはできますが、無視されます。たとえば、http://user:[email protected]/pub/bigfile.iso ではなく http://example.com/pub/bigfile.iso と入力します。
- 参照区切り文字「#」を含めると、「#」以降のすべての文字が無視されます。
- ホストに「*」を指定できます。また、「.」(ドット)を先頭に付けることもできます。
- ホストの末尾に「/」または「.」(ドット)を付けることもできます。この場合、「/」または「.」以降は無視されます。
フィルタの選択
ユーザーがアクセスを試みる URL と一致する部分が最も長いフィルタが選択されます。
考慮事項
- ワイルドカード(*)は最後に検索されます。また、ワイルドカードはすべてのホストに該当します。URL の末尾にワイルドカードは使用できません(https://example.com/*、https://example.com/* など)。
- 以下の手順 4 で拒否フィルタと許可フィルタの両方が適用される際に、パスの長さとクエリトークンの数が同じ場合は、許可フィルタが優先されます。
- ホストの前に「.」(ドット)を付けると、完全に一致するホストのみがフィルタされます。たとえば、次のようになります。
- 「example.com」と指定すると、example.com、example.com、sub.example.com が一致します。
- 「.example.com」と指定すると、完全に同じ example.com のみが一致します。
フィルタ選択プロセス
| URL 拒否リストのエントリ | 結果 |
|---|---|
| example.com | example.com、example.com、sub.example.com へのすべてのリクエストを拒否します。 |
| http://example.com | example.com とそのサブドメインに対するすべての HTTP リクエストを拒否し、HTTPS リクエストは許可します。 |
| https://* | あらゆるドメインへのすべての HTTPS リクエストを拒否します。 |
| mail.example.com | mail.example.com に対するリクエストを拒否します。example.com や example.com に対するリクエストは拒否しません。 |
| .example.com | example.com へのリクエストを拒否しますが、example.com/docs などのサブドメインは拒否しません。 |
| .example.com | example.com へのリクエストを拒否しますが、サブドメインへのリクエストは拒否しません。 |
| * | すべてのリクエストを拒否します(拒否リストの例外 URL を除く)。http://google.com、https://gmail.com、chrome://policy などの URL スキームも含まれます。 |
| *:8080 | ポート 8080 へのすべてのリクエストを拒否します。 |
| example.com/stuff | example.com/stuff とそのサブドメインへのすべてのリクエストを拒否します。 |
| 192.0.2.1 | この IP アドレスと完全に一致するリクエストを拒否します。 |
|
?v *?video=* *?video=100* |
クエリに ?video=100 を含むすべてのリクエストを拒否します。 |
| *?a=1&b=2 |
次のクエリを含むリクエストをすべて拒否します。 ?b=2&a=1 ?a=1&b=2 ?a=1&c=3&b=2 |
| youtube.com/watch?v=xyz |
ID が「xyz」の YouTube 動画を拒否します。 拒否リストでは、Key-Value ペアの順序に関係なく一致していれば拒否します。 許可リストでは、すべての Key の順序とその値が一致している必要があります。 例 許可リストに「youtube.com/watch?v=V2」と指定した場合、youtube.com/watch?v=V1&v=V2 は許可されませんが、youtube.com/watch?v=V2&v=V2 は許可されます。 |
http://mail.example.com/mail/inbox に一致するフィルタを探す
- はじめに、ホストの部分が mail.example.com に該当するフィルタを探して、手順 2 に進みます。該当するフィルタがない場合は example.com、次に com で探します。これでもない場合は「""」となっているフィルタを探します。
- 該当するフィルタのうち、スキームが http 以外のフィルタを除外します。
- 該当するフィルタのうち、80 以外のポート番号が指定されているものを除外します。
- 該当するフィルタのうち、パスの先頭部分が「/mail/inbox」ではないものを除外します。
- パスが最も長いフィルタが選択され、適用されます。このようなフィルタがない場合は、手順 1 に戻って次のサブドメインを確認します。
一部のサイトのみを許可する
- 拒否リストに「*」と指定します。
- アクセスを許可する一部のサイト(「mail.example.com」、「myownpersonaldomain.com」、「google.com」)を許可リストに指定します。
ドメインへのすべてのアクセスを拒否する(HTTPS 接続を介したメールサーバーへのアクセスとメインページへのアクセスのみを許可する)
- 拒否リストに「example.com」と指定します。
- 許可リストに「https://mail.example.com」と指定します。
- 許可リストに「.example.com」または「.example.com」と指定します。
YouTube の一部の動画へのアクセスのみを許可し、他のすべての動画へのアクセスを拒否する
- 拒否リストに「youtube.com」と指定します。
- 許可リストに「youtube.com/watch?v=V1」と指定します。
- 許可リストに「youtube.com/watch?v=V2」と指定します。
組織内のサポート対象の ChromeOS デバイスで Android アプリを有効にしている場合、Android システムの WebView を使用するアプリには、URL の拒否リストと拒否リストの例外が適用されません。そのようなアプリに対して拒否リストを強制的に適用するには、拒否リストに登録された URL をテキスト ファイルで定義し(以下を参照)、その拒否リストを Android アプリに適用します。詳しくは、管理対象の設定を Android アプリに適用するをご覧ください。
次の例では、拒否リストに登録する URL を指定する方法を示しています。
{ "com.android.browser:URLBlocklist": "[\"solamora.com\"]" }
Android システムの WebView を使用していないアプリについては、アプリのドキュメントを参照のうえ、同様の方法でアクセスを制限する方法をご確認ください。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。