配置 Chrome 浏览器特性

Chrome 浏览器是 BeyondCorp Enterprise 的零信任端点平台,可助力并保护移动办公企业。BeyondCorp Enterprise 与 Chrome 浏览器原生集成,提供集中式安全政策管理、无代理端点保护和集成式零信任访问权限。

BeyondCorp Enterprise 端点保护包括如下威胁和数据保护功能:

  • 数据保护 - 防止泄露传输的文件和浏览器上传的内容中的敏感数据(例如个人身份信息)。
  • 威胁防护 - 使用声誉、签名和云沙盒来防范恶意软件传输。
  • 企业分析 - 提供针对安全事件(例如恶意软件传输、钓鱼式攻击网站访问、凭据盗用或敏感数据传输)的分析和调查。

为确保用户通过安全环境访问资源,您可以设置零信任政策,以确保用户的浏览器环境启用了这些威胁防范和数据保护功能。

重要提示:Chrome 属性仅适用于基于浏览器的流量;当不是来自浏览器的请求(例如来自 gcloud CLI 或 Google Cloud SDK 的请求)时,这些属性不会产生任何影响。

下面介绍了您可以在 Access Context Manager 的自定义访问权限级别中使用的新访问权限条件。

特性/函数 定义
management_state 是否在浏览器级别或配置文件级别管理浏览器以及浏览器是否由正确网域中的企业管理。

如果政策是集中管理并推送的,并且受管理的浏览器或配置文件的网域与服务器端的预期网域匹配,则浏览器会被视为受管理的浏览器。

“托管”仅指云托管。此设置未考虑平台管理,例如代管式 Microsoft AD 组策略对象。

管理状态是互斥的。例如,如果浏览器已注册 Chrome 浏览器云管理 (CBCM),则会选择 CHROME_MANAGEMENT_STATE_PROFILE_MANAGED=False

如果浏览器已在其他网域中注册的 CBCM,则该字段始终为 CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN,即使已登录用户位于其他网域中。

device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN | ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED | ChromeManagementState.CHROME_MANAGEMENT_STATE_PROFILE_MANAGED | ChromeManagementState.CHROME_MANAGEMENT_STATE_UNMANAGED

versionAtLeast(min_version) 浏览器是否高于特定的最低版本。

device.chrome.versionAtLeast("88.0.4321.44")

is_realtime_url_check_enabled 是否启用实时网址检查连接器。

device.chrome.is_realtime_url_check_enabled == true | false

is_file_upload_analysis_enabled 是否启用文件上传分析连接器。

device.chrome.is_file_upload_analysis_enabled == true | false

is_file_download_analysis_enabled 是否启用文件下载分析连接器。

device.chrome.is_file_download_analysis_enabled == true | false

is_bulk_data_entry_analysis_enabled 是否启用批量文本(粘贴)分析连接器。

device.chrome.is_bulk_data_entry_analysis_enabled == true | false

is_security_event_analysis_enabled 是否启用安全性事件报告连接器。

device.chrome.is_security_event_analysis_enabled == true | false

下表包含您可以设置的政策示例:

政策示例 表达式
仅当用户使用全代管式 Chrome 浏览器(而不仅仅是受管理的 Chrome 个人资料)时,才允许访问。 通过全代管式 Chrome 浏览器进行身份验证后,用户还可以使用 Google Cloud CLI 访问资源。 device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
仅在启用了下载内容分析时才允许访问资源,以便管理员确保可以检测到敏感内容下载。 device.chrome.is_file_download_analysis_enabled == true
仅在浏览器启用威胁和数据保护功能时才允许访问内容。 device.chrome.is_file_download_analysis_enabled == true && device.chrome.is_file_upload_analysis_enabled == true && device.chrome.is_realtime_url_check_enabled == true
仅在启用安全性事件报告时才允许访问内容。 device.chrome.is_security_event_analysis_enabled == true