Microsoft Edge WebView2 - 原則
最新版本的 Microsoft Edge WebView2 包含下列原則。 您可以使用這些原則來設定 Microsoft Edge WebView2 在組織中的執行方式。
如需用於控制 Microsoft Edge WebView2 更新方式和更新時機的一組額外原則之詳細資訊,請參閱 Microsoft Edge 更新原則參考。
注意
本文適用於 Microsoft Edge 版本 87 或更新版本。
可用原則
下表列出此版本 Microsoft Edge WebView2 提供的所有群組原則。 使用下表中的連結,深入了解特定原則。
載入程式重寫設定
| 原則名稱 | 標題 |
|---|---|
| BrowserExecutableFolder | 設定 [瀏覽器可執行檔] 資料夾的位置 |
| ChannelSearchKind | 設定 WebView2 發行通道搜尋種類 |
| ReleaseChannelPreference | 將發行通道搜尋順序喜好設定 (已淘汰) |
| ReleaseChannels | 設定 WebView2 發行通道 |
網路設定
| 原則名稱 | 標題 |
|---|---|
| AccessControlAllowMethodsInCORSPreflightSpecConformant | 使 CORS 預檢規格中的 Access-Control-Allow-Methods 比對符合 |
| BlockTruncatedCookies | 封鎖截斷的 Cookie |
| ZstdContentEncodingEnabled | 啟用 zstd 內容編碼支援 |
其他
| 原則名稱 | 標題 |
|---|---|
| ExperimentationAndConfigurationServiceControl | 控制與實驗和設定服務的通訊 |
| ForcePermissionPolicyUnloadDefaultEnabled | 控制是否可以停用卸除事件處理程式。 |
| HttpAllowlist | HTTP 允許清單 |
| NewBaseUrlInheritanceBehaviorAllowed | 允許啟用 NewBaseUrlInheritanceBehavior 功能 |
| NewPDFReaderWebView2List | 啟用由 Adobe Acrobat for WebView2 提供的內建 PDF 讀取器 |
| RSAKeyUsageForLocalAnchorsEnabled | 檢查本機信任錨點所簽發之伺服器證書的 RSA 金鑰使用方式 |
載入程式重寫設定原則
BrowserExecutableFolder
設定 [瀏覽器可執行檔] 資料夾的位置
支援的版本:
- Windows 上,版本 87 或更新版本
描述
這項原則會在指定路徑中,將 WebView2 應用程式設定為使用 WebView2 Runtime。 該資料夾應包含下列檔案:msedgewebview2.exe、msedge.dll 等等。
若要設定資料夾路徑的值,請提供值名稱和值配對。 將 [值名稱] 設定為 [應用程式使用者模型識別碼] 或 [可執行檔名]。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:BrowserExecutableFolder
- GP 名稱:設定 [瀏覽器可執行檔] 資料夾的位置
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/載入程式重寫設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2\BrowserExecutableFolder
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\BrowserExecutableFolder = "Name: *, Value: C:\\Program Files\\Microsoft Edge WebView2 Runtime Redistributable 85.0.541.0 x64"
ChannelSearchKind
設定 WebView2 發行通道搜尋種類
支援的版本:
- 在 Windows 上,版本為 121 或更新版本
描述
此原則會設定 WebView2 應用程式的通道搜尋種類。 根據預設,通道搜尋種類為 0,相當於對應 WebView2 API 中的「最穩定」搜尋種類;這表示 WebView2 環境建立應該搜尋從最穩定到最不穩定的發行通道:WebView2 運行時間、Beta、Dev 和 Canary。
若要反轉預設搜尋順序並使用「最小穩定」搜尋種類,請將此原則設定為1。
若要設定通道搜尋種類的值,請提供 [值名稱] 和 [值] 配對。 將 [值名稱] 設定為 [應用程式使用者模型識別碼] 或 [可執行檔名]。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ChannelSearchKind
- GP 名稱:設定 WebView2 發行通道搜尋種類
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/載入程式重寫設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 必要) (路徑:SOFTWARE\Policies\Microsoft\Edge\WebView2\ChannelSearchKind
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ChannelSearchKind = "Name: WebView2APISample.exe, Value: 1"
ReleaseChannelPreference
將發行通道搜尋順序喜好設定 (已淘汰)
已取代:此原則已被取代。 目前支援,但將在未來版本中過時。
支援的版本:
- Windows 上,版本 87 或更新版本
描述
此原則已被取代,改為使用具有相同功能的 ChannelSearchKind,而且在 124 版中將會過時。 預設通道搜尋順序為 WebView2 Runtime、Beta、Dev 和 Canary。
若要顛倒預設的搜尋順序,請將此原則設定為 1。
若要設定發行通道喜好設定的值,請提供值名稱和值配對。 將 [值名稱] 設定為 [應用程式使用者模型識別碼] 或 [可執行檔名]。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ReleaseChannelPreference
- GP 名稱:將發行通道搜尋順序喜好設定 (已淘汰)
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/載入程式重寫設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannelPreference
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannelPreference = "Name: *, Value: 1"
ReleaseChannels
設定 WebView2 發行通道
支援的版本:
- 在 Windows 上,版本為 121 或更新版本
描述
這個原則會設定 WebView2 應用程式的發行通道選項。 若要設定這些選項,請將值設定為以逗號分隔的整數位符串,這會對應至 COREWEBVIEW2_RELEASE_CHANNELS 對應 WebView2 API 中的值。 這些值為:WebView2 運行時間 (0) 、Beta (1) 、Dev (2) 和 Canary (3) 。 根據預設,環境建立會使用在裝置上找到的第一個通道,搜尋從大部分到最不穩定的通道。 提供時 ReleaseChannels ,環境建立只會搜尋集合中指定的通道。 例如,值 「0,2」 和 「2,0」 表示環境建立應該只搜尋開發通道和 WebView2 運行時間,並使用 所指示的 ChannelSearchKind順序。 環境建立會嘗試解譯每個整數,並將任何無效的專案視為穩定通道。 設定 ChannelSearchKind 為反轉搜尋順序,讓環境建立先搜尋最不穩定的組建。 如果同時 BrowserExecutableFolder 提供 和 ReleaseChannels , BrowserExecutableFolder 則會優先使用 ,而不論通道 BrowserExecutableFolder 是否包含在中 ReleaseChannels。
若要設定發行通道的值,請提供值名稱和值組。 將值名稱設定為應用程式使用者模型識別碼或可執行檔名。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ReleaseChannels
- GP 名稱:設定 WebView2 發行通道
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/載入程式重寫設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 必要) (路徑:SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannels
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannels = "Name: WebView2APISample.exe, Value: 0,1,2"
網路設定原則
AccessControlAllowMethodsInCORSPreflightSpecConformant
使 CORS 預檢規格中的 Access-Control-Allow-Methods 比對符合
支援的版本:
- 在 Windows 上,版本為 123 或更新版本
描述
此原則可控制在 CORS 預檢中與 Access-Control-Allow-Methods 回應標頭比對時,要求方法是否為大寫。
如果您停用此原則,要求方法會是大寫。 這是 Microsoft Edge 108 上或之前的行為。
如果啟用或未設定此原則,除非以不區分大小寫的方式與 DELETE、GET、HEAD、OPTIONS、POST 或 PUT 進行比對,否則要求方法不會大寫。
這會拒絕擷取 (url,{method: 'Foo'}) + “Access-Control-Allow-Methods: FOO” 回應標頭,並接受擷取 (url,{method: 'Foo'}) + “Access-Control-Allow-Methods: Foo” 回應標頭。
注意:要求方法 「post」 和 「put」 不會受到影響,而「修補程式」則會受到影響。
此原則是暫時性的,未來將會移除。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:否 - 需要重新啟動瀏覽器
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:AccessControlAllowMethodsInCORSPreflightSpecConformant
- GP 名稱:使 CORS 預檢規格中的 Access-Control-Allow-Methods 符合規範
- GP 路徑 (必要) :系統管理範本/Microsoft Edge WebView2/網路設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 數值名稱:AccessControlAllowMethodsInCORSPreflightSpecConformant
- 數值類型:REG_DWORD
範例值:
0x00000001
BlockTruncatedCookies
封鎖截斷的 Cookie
支援的版本:
- 在 Windows 上,版本為 123 或更新版本
描述
此原則提供暫時退出,以變更 Microsoft Edge 處理透過 JavaScript 設定的 Cookie 的方式,其中包含特定控制字元 (NULL、歸位字元和換行字元) 。 之前,Cookie 字串中是否有任何這些字元會導致它被截斷,但仍會設定。 現在,這些字元的存在會導致忽略整個 Cookie 字串。
如果您啟用或未設定此原則,則會啟用新行為。
如果您停用此原則,則會啟用舊的行為。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:BlockTruncatedCookies
- GP 名稱:封鎖截斷的 Cookie
- GP 路徑 (必要) :系統管理範本/Microsoft Edge WebView2/網路設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 數值名稱:BlockTruncatedCookies
- 數值類型:REG_DWORD
範例值:
0x00000000
ZstdContentEncodingEnabled
啟用 zstd 內容編碼支援
支援的版本:
- 在 Windows 上,版本為 125 或更新版本
描述
此功能可在 Accept-Encoding 要求標頭中啟用廣告「zstd」支援,並支援解壓縮 zstd Web 內容。
如果您啟用或未設定此原則,Microsoft Edge 將會接受以 zstd 壓縮的伺服器回應。
如果停用此原則,則在處理伺服器回應時,不會公告或支援 zstd 內容編碼功能。
此原則是暫時性的,未來將會移除。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:否 - 需要重新啟動瀏覽器
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ZstdContentEncodingEnabled
- GP 名稱:啟用 zstd 內容編碼支援
- GP 路徑 (必要) :系統管理範本/Microsoft Edge WebView2/網路設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 數值名稱:ZstdContentEncodingEnabled
- 數值類型:REG_DWORD
範例值:
0x00000001
其他原則
ExperimentationAndConfigurationServiceControl
控制與實驗和設定服務的通訊
支援的版本:
- Windows 上,版本 97 或更新版本
描述
試驗和設定服務會用來部署試驗和設定承載至用戶端。
實驗承載是由 Microsoft 為測試和意見反應所啟用的開發功能的早期清單所組成。
設定承載包含 Microsoft 要部署以最佳化使用者體驗的建議設定清單。
設定承載可能也包含基於相容性原因,要在特定網域上採取之動作的清單。 例如,如果網站損毀,則瀏覽器可能會覆寫網站上的使用者代理程式字串。 這些動作都是 Microsoft 嘗試解決網站擁有者的問題時的暫時性動作。
如果將此原則設定為 'FullMode',則會透過實驗和設定服務下載完整承載。 這同時包括實驗和設定承載。
如果將此原則設定為 'ConfigurationsOnlyMode',則只會下載設定承載。
如果將此原則設定為 'RestrictedMode’,就會完全停止與實驗和設定服務的通訊。 Microsoft 不建議此設定。
如果未設定此原則,在受管理的裝置上,穩定和 Beta 版通道上的行為與 'ConfigurationsOnlyMode' 相同。 在 Canary 和開發人員通道上,行為與 'FullMode' 相同。
如果未設定此原則,則在未受管理的裝置上,其行為與 'FullMode' 相同。
原則選項對應:
FullMode (2) = 擷取設定和實驗
ConfigurationsOnlyMode (1) = 僅擷取設定
RestrictedMode (0) = 停用與實驗和設定服務的通訊
設定此原則時,請使用上述資訊。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 整數
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ExperimentationAndConfigurationServiceControl
- GP 名稱:控制與實驗和設定服務的通訊
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 數值名稱:ExperimentationAndConfigurationServiceControl
- 數值類型:REG_DWORD
範例值:
0x00000002
ForcePermissionPolicyUnloadDefaultEnabled
控制是否可以停用卸除事件處理程式。
支援的版本:
- 在 Windows 上,版本為 118 或更新版本
描述
卸除事件處理程式已被取代。 是否引發取決於卸除的 Permissions-Policy。 目前,原則默認允許它們。 在未來,它們將會逐漸移至預設不允許,而網站必須使用 Permissions-Policy 標頭明確啟用它們。 此企業原則可藉由強制預設保持啟用,來退出退出此漸進式淘汰。
頁面可能相依於卸除事件處理程式來儲存數據,或向伺服器發出使用者會話結束的訊號。 不建議這麼做,因為它不可靠,而且會封鎖使用BackForwardCache來影響效能。 建議的替代專案存在,但卸除事件已使用很長一段時間。 有些應用程式可能仍然依賴它們。
如果您停用或未設定此原則,卸除事件處理程式會隨著淘汰推出逐漸淘汰,而未設定 Permissions-Policy 標頭的網站將會停止引發 unload 事件。
如果您啟用此原則,則卸除事件處理程式預設會繼續運作。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ForcePermissionPolicyUnloadDefaultEnabled
- GP 名稱:控制是否可以停用卸除事件處理程式。
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 數值名稱:ForcePermissionPolicyUnloadDefaultEnabled
- 數值類型:REG_DWORD
範例值:
0x00000001
HttpAllowlist
HTTP 允許清單
支援的版本:
- 在 Windows 上,版本為 123 或更新版本
描述
設定原則會指定主機名或主機名模式 (清單,例如 '[*.]example.com 不會升級至 HTTPS 的 ) ,如果啟用 HTTPS-First 模式,則不會顯示插入式錯誤。 組織可以使用此原則來維護不支援 HTTPS 之伺服器的存取權,而不需要停用 “AutomaticHttpsDefault”。
提供的主機名稱必須經過規範:任何 IDN 都必須轉換成其 A 標籤格式,而且所有 ASCII 字母都必須是小寫。
不允許主機通配符 (,也就是“” 或 “[]”) 。 相反地,HTTPS-First 模式和 HTTPS 升級應該透過其特定原則明確停用。
注意:此原則不適用於 HSTS 升級。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:HttpAllowlist
- GP 名稱:HTTP 允許清單
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制) :SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist = "testserver.example.com"
SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist = "[*.]example.org"
NewBaseUrlInheritanceBehaviorAllowed
允許啟用 NewBaseUrlInheritanceBehavior 功能
支援的版本:
- 在 Windows 上,版本為 123 或更新版本
描述
NewBaseUrlInheritanceBehavior 是 Microsoft Edge 功能,可讓 about:blank 和 about:srcdoc 畫面一致地透過起始端基底 URL 的快照集繼承其基底 URL 值。
如果您停用此原則,它會防止使用者或 Microsoft Edge 變化啟用 NewBaseUrlInheritanceBehavior,以防發現相容性問題。
如果您啟用或未設定此原則,則允許啟用 NewBaseUrlInheritanceBehavior。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:NewBaseUrlInheritanceBehaviorAllowed
- GP 名稱:允許啟用 NewBaseUrlInheritanceBehavior 功能
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 數值名稱:NewBaseUrlInheritanceBehaviorAllowed
- 數值類型:REG_DWORD
範例值:
0x00000001
NewPDFReaderWebView2List
啟用由 Adobe Acrobat for WebView2 提供的內建 PDF 讀取器
支援的版本:
- 在 Windows 上,版本為 116 或更新版本
描述
此原則會設定 WebView2 應用程式,以啟動 Adobe Acrobat 的 PDF 讀取器所提供的新版 PDF 讀取器。 新的 PDF 讀取器可確保不會遺失功能,並提供增強的 PDF 體驗。 此體驗包括更豐富的轉譯、改善的效能、增強的 PDF 檔案處理安全性,以及更高的輔助功能。
如果為應用程式指定此原則,也可能會影響其他相關應用程式。 此原則會套用至共用相同 WebView2 用戶數據資料夾的所有 WebView2。 如果這些可能來自相同產品系列的應用程式設計為共用相同的用戶數據資料夾,則這些 WebView2 可能屬於多個應用程式。
使用名稱/值群組為應用程式啟用新的 PDF 讀取器。 將名稱設定為應用程式使用者模型識別碼或可執行檔名。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。 將 [值] 設定為 true 以啟用新的讀取器,或將它設定為 false 以使用現有的讀取器。
如果您為指定的 WebView2 應用程式啟用此原則,它們將會使用新的 Adobe Acrobat 支援的 PDF 讀取器來開啟所有 PDF 檔案。
如果您停用指定之 WebView2 應用程式的原則,或未加以設定,它們將會使用現有的 PDF 讀取器來開啟所有 PDF 檔案。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:否 - 需要重新啟動瀏覽器
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:NewPDFReaderWebView2List
- GP 名稱:啟用由 Adobe Acrobat for WebView2 提供的內建 PDF 讀取器
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制) :SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "app1.exe", "value": true}
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "app_id_for_app2", "value": true}
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "*", "value": false}
RSAKeyUsageForLocalAnchorsEnabled
檢查本機信任錨點所簽發之伺服器證書的 RSA 金鑰使用方式
支援的版本:
- 在 Windows 上,版本為 123 或更新版本
描述
X.509 金鑰使用方式延伸模組會宣告如何使用憑證中的密鑰。 這些指示可確保憑證不會在非預期的內容中使用,以防範 HTTPS 和其他通訊協定上的一類跨通訊協議攻擊。 HTTPS 用戶端必須確認伺服器證書符合連線的 TLS 參數。
如果啟用此原則,Microsoft Edge 將會執行此金鑰檢查。 這有助於防止攻擊者操作瀏覽器,以憑證擁有者不想要的方式解譯密鑰。
如果此原則設定為停用或未設定,Microsoft Edge 將會略過交涉 TLS 1.2 的 HTTPS 連線中的此密鑰檢查,並使用鏈結至本機信任錨點的 RSA 憑證。 本機信任錨點的範例包括原則提供或使用者安裝的跟證書。 在所有其他情況下,會執行與此原則設定無關的檢查。
此原則可供系統管理員預覽未來版本的行為,預設會啟用這項檢查。 此時,此原則將暫時提供給需要更多時間來更新其憑證以符合新 RSA 金鑰使用需求的系統管理員。
若 Connections 失敗,此檢查將會失敗,並出現錯誤ERR_SSL_KEY_USAGE_INCOMPATIBLE。 因此錯誤而失敗的網站可能具有設定錯誤的憑證。 新式ECDHE_RSA加密套件使用 「digitalSignature」 金鑰使用選項,而舊版 RSA 解密加密套件則使用 「keyEncipherment」 密鑰使用選項。 如果不確定,系統管理員應該在適用於 HTTPS 的 RSA 憑證中同時包含這兩者。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:RSAKeyUsageForLocalAnchorsEnabled
- GP 名稱:檢查本機信任錨點所簽發之伺服器證書的 RSA 金鑰使用方式
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 數值名稱:RSAKeyUsageForLocalAnchorsEnabled
- 數值類型:REG_DWORD
範例值:
0x00000001
請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應