配置 Chrome 浏览器特性

Chrome 浏览器是 BeyondCorp Enterprise 的零信任端点平台,可助力并保护移动办公企业。BeyondCorp Enterprise 与 Chrome 浏览器原生集成,提供集中式安全政策管理、无代理端点保护和集成式零信任访问权限。

BeyondCorp Enterprise 端点保护包括如下威胁和数据保护功能:

  • 数据保护 - 防止泄露传输的文件和浏览器上传的内容中的敏感数据(例如个人身份信息)。
  • 威胁防护 - 使用声誉、签名和云沙盒来防范恶意软件传输。
  • 企业分析 - 提供针对安全事件(例如恶意软件传输、钓鱼式攻击网站访问、凭据盗用或敏感数据传输)的分析和调查。

为确保用户从安全环境访问资源,您可以设置零信任政策,以确保用户的浏览器环境已启用这些威胁和数据保护功能。下面介绍了您可以在 Access Context Manager 的自定义访问权限级别中使用的新访问权限条件。

特性/函数 定义
management_state 是否在浏览器级别或配置文件级别管理浏览器以及浏览器是否由正确网域中的企业管理。

如果政策是集中管理并推送的,并且受管理的浏览器或配置文件的网域与服务器端的预期网域匹配,则浏览器会被视为受管理的浏览器。

device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN | ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED | ChromeManagementState.CHROME_MANAGEMENT_STATE_PROFILE_MANAGED | ChromeManagementState.CHROME_MANAGEMENT_STATE_UNMANAGED

versionAtLeast(min_version) 浏览器是否高于特定的最低版本。

device.chrome.versionAtLeast("88.0.4321.44")

is_realtime_url_check_enabled 是否启用实时网址检查连接器。

device.chrome.is_realtime_url_check_enabled == true | false

is_file_upload_analysis_enabled 是否启用文件上传分析连接器。

device.chrome.is_file_upload_analysis_enabled == true | false

is_file_download_analysis_enabled 是否启用文件下载分析连接器。

device.chrome.is_file_download_analysis_enabled == true | false

is_bulk_data_entry_analysis_enabled 是否启用批量文本(粘贴)分析连接器。

device.chrome.is_bulk_data_entry_analysis_enabled == true | false

is_security_event_analysis_enabled 是否启用安全性事件报告连接器。

device.chrome.is_security_event_analysis_enabled == true | false

下表包含您可以设置的政策示例:

政策示例 表达式
仅在用户来自全代管式 Chrome 浏览器(而不只是代管式 Chrome 配置文件)时才允许访问资源。 device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
仅在启用了下载内容分析时才允许访问资源,以便管理员确保可以检测到敏感内容下载。 device.chrome.is_file_download_analysis_enabled == true
仅在浏览器启用威胁和数据保护功能时才允许访问内容。 device.chrome.is_file_download_analysis_enabled == true && device.chrome.is_file_upload_analysis_enabled == true && device.chrome.is_realtime_url_check_enabled == true
仅在启用安全性事件报告时才允许访问内容。 device.chrome.is_security_event_analysis_enabled == true