カスタム アクセスレベルの仕様

リクエストの送信元 IP アドレス。IP アドレスを判別できない場合、origin.ip はエラーと評価されます。文字列を比較するのではなく、inIpRange を使用して、送信元 IP アドレスが特定の IP アドレス範囲内にあるかどうか確認することをおすすめします。

例:

inIpRange(origin.ip, ["203.0.113.24"])

リクエスト送信元の国またはリージョンの ISO 3166-1 alpha-2 コード。リージョン コードを判別できない場合、origin.region_code はエラーと評価されます。

例:

origin.region_code == "GB"
origin.region_code in ["US", "FR", "JP"]

リクエストを発行したユーザーの一意の ID。

request.auth.principal の値は、1 つ以上の固有のユーザー ID である必要があります。UUID は Admin SDK Directory API を使用して取得できます。

値は次の形式にする必要があります。 https://accounts.google.com/UUID

ここで、UUID はユーザーの UUID です。

例:

request.auth.principal == "https://accounts.google.com/1134924314572461055"
request.auth.principal in ["https://accounts.google.com/1134924314572461055", "https://accounts.google.com/3134824314572461115"]

ユーザーはパスワードで認証されます。

例:

request.auth.claims.crd_str.pwd == true

モバイル デバイスへのプッシュ通知でユーザーは認証されます。

例:

request.auth.claims.crd_str.push == true

ユーザーは、SMS または通話に送信されたコードを使用して認証されます。

例:

request.auth.claims.crd_str.sms == true

2 段階認証プロセスには、スマートフォンなどのソフトウェアキーをセキュリティ キーとして使用します。

例:

request.auth.claims.crd_str.swk == true

2SV には Google Titan キーなどのハードウェア キーを使用します。

例:

request.auth.claims.crd_str.hwk == true

ユーザーは、ワンタイム パスワード方式（Google 認証システムとバックアップ コード）で認証されます。

例:

request.auth.claims.crd_str.otp == true

ユーザーは、このテーブル（pwdを除く）のメソッドのいずれかで認証されます。

例:

request.auth.claims.crd_str.mfa == true

年（例: 2023）を取得します。

例:

request.time.getFullYear("America/Los_Angeles") == 2024

月（0（1 月）～ 11（12 月））を取得します。

例:

request.time.getMonth("America/Los_Angeles") == 0（1 月）

1 ～ 31 の範囲で、月の何日目かを取得します。

例:

request.time.getDate("America/Los_Angeles") == 1

月の何日目か（0 ～ 30、0 は 1 日目）を取得します。

例:

request.time.getDayOfMonth("America/Los_Angeles") == 0（月の 1 日）

曜日を 0（日曜日）から 6（土曜日）までの値で取得します。

例:

request.time.getDayOfWeek("America/Los_Angeles") == 1（月曜日）

年の経過日数を 0 ～ 365 の範囲で取得します。

例:

request.time.getDayOfYear("America/Los_Angeles") == 0（1 月 1 日）

午前 0 時から午後 11 時までの時間を取得します。

例:

request.time.getHours("America/Los_Angeles") == 19（午後 7 時）

0 ～ 59 の範囲で、時間の分を取得します。

例:

request.time.getMinutes("America/Los_Angeles") == 30

level name は、既存のアクセスレベルの名前に対応します。

使用する場合は、カスタム アクセスレベルの他の要件に加えて、指定したアクセスレベルの条件も満たしている必要があります。

例:

levels.allow_corp_ips

ここで、allow_corp_ips はアクセスレベルの名前です。

デバイスの暗号化ステータスを示します。

列挙値:

enum DeviceEncryptionStatus {
  // The encryption status of the device is not specified or not known.
  ENCRYPTION_UNSPECIFIED == 0;
  // The device does not support encryption.
  ENCRYPTION_UNSUPPORTED == 1;
  // The device supports encryption, but is currently unencrypted.
  UNENCRYPTED == 2;
  // The device is encrypted.
  ENCRYPTED == 3;
}

例:

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED

デバイスがドメイン管理者によって承認されているかどうかを示します。

例:

device.is_admin_approved_device == true

組織がデバイスを所有しているかどうかを示します。

例:

device.is_corp_owned_device == true

デバイスで画面ロック機能が有効になっているかどうかを示します。

例:

device.is_secured_with_screenlock == true

デバイスが使用しているオペレーティング システムを特定します。

列挙値:

enum OsType {
  // The operating system of the device is not specified or not known.
  OS_UNSPECIFIED == 0;
  // A desktop Mac operating system.
  DESKTOP_MAC == 1;
  // A desktop Windows operating system.
  DESKTOP_WINDOWS == 2;
  // A desktop Linux operating system.
  DESKTOP_LINUX == 3;
  // An Android operating system.
  ANDROID == 4;
  // An iOS operating system.
  IOS == 5;
  // A desktop ChromeOS operating system.
  DESKTOP_CHROME_OS == 6;
}

例:

device.os_type == OsType.DESKTOP_MAC
device.os_type != OsType.OS_UNSPECIFIED

vendors オブジェクトは、サードパーティのセキュリティ ベンダーやエンドポイント管理ベンダーが提供するデータへのアクセスに使用されます。各ベンダーは、is_compliant_device、is_managed_device、device_health_score の 3 つの共有トップレベル属性を入力できます。

さらに、ベンダーは、data 属性を使用して参照される独自のキーと値を提供できます。data 属性で使用可能なキーはベンダーごとに異なります。ポリシー エクスプレッションの Key-Value を比較する際は、一貫性があることを確認してください。たとえば、Key-Value が文字列またはブール値になると予想される場合は、対応するポリシー エクスプレッションの文字列またはブール値と比較してください。値が整数の場合は、ポリシー エクスプレッションで 2 倍の数値と比較する必要があります。

デバイスの状態を参照するには、key-acme の形式を使用します。ここで、acme は組織の顧客 ID です。お客様 ID は GET https://www.googleapis.com/admin/directory/v1/customers/my_customer URL から取得できます。レスポンスの ID フィールドには、文字 C で始まる顧客 ID が含まれます。お客様 ID には、文字 C を除く、文字 C の後の文字列を使用します。

列挙値:

// Health score of the device as provided by the vendor (possibly third party).
enum DeviceHealthScore {
  // The health score for the device is not specified or unknown.
  DEVICE_HEALTH_SCORE_UNSPECIFIED = 0;
  // The health of the device is very poor.
  VERY_POOR = 1;
  // The health of the device is poor.
  POOR = 2;
  // The health of the device is ok.
  NEUTRAL = 3;
  // The health of the device is good.
  GOOD = 4;
  // The health of the device is very good.
  VERY_GOOD = 5;
}

例:

device.vendors["some_vendor"].is_compliant_device == true

device.vendors["some_vendor"].is_managed_device == true

device.vendors["some_vendor"].device_health_score == DeviceHealthScore.VERY_GOOD

device.vendors["some_vendor"].data["is_device_compromised"] == true

device.vendors["some_vendor"].data["some_num"] == 1.0

Android 確認付きブートステータスが green かどうか。

例:

device.android_device_security.verified_boot == true

デバイスが CTS プロファイル コンプライアンスに合格するかどうか。

例:

device.android_device_security.cts_profile_match == true

デバイスで Google Play プロテクトの [アプリの確認] が有効になっているかどうか。

例:

device.android_device_security.verify_apps_enabled == true

デバイスで有害な可能性があるアプリが見つかったかどうかを示します。

例:

device.android_device_security.has_potentially_harmful_apps == true

iOS デバイスが制限解除された事が判明しているかどうか。

例:

device.ios_device_security.is_device_jailbroken == true

検証済みの Chrome OS のデバイスからリクエストが送られたものかどうかを示します。

例:

device.verified_chrome_os == true

ブラウザはブラウザレベルまたはプロファイル レベルで管理されているか、企業の正しいドメインの元で管理されていますか。

ポリシーが一元的に管理、プッシュされており、管理対象ブラウザまたはプロファイルのドメインがサーバー側の想定ドメインと一致すると、ブラウザは管理対象とみなされます。

利用可能な Chrome 管理の状態は次のとおりです。

例:

device.chrome.management_state in
    [
        ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED,
        ChromeManagementState.CHROME_MANAGEMENT_STATE_PROFILE_MANAGED,
    ]

ブラウザが特定の最小バージョン以上ですか。

例:

device.chrome.versionAtLeast("88.0.4321.44")

リアルタイム URL チェック コネクタが有効になっていますか。

例:

device.chrome.is_realtime_url_check_enabled == true | false

ファイル アップロード分析コネクタが有効になっていますか。

例:

device.chrome.is_file_upload_analysis_enabled == true | false

ファイル ダウンロード分析コネクタが有効になっていますか。

例:

device.chrome.is_file_download_analysis_enabled == true | false

一括テキスト（貼り付け）分析コネクタが有効になっていますか。

例:

device.chrome.is_bulk_data_entry_analysis_enabled == true | false

セキュリティ イベント レポート コネクタが有効になっていますか。

例:

device.chrome.is_security_event_analysis_enabled == true | false

IP アドレスが指定したサブネットの 1 つに属するかを確認します。

例:

inIpRange(origin.ip, ["192.0.2.0/24", "198.51.100.0/24", "203.0.113.0/24"])

デバイスのオペレーティング システムが少なくとも特定のバージョンかどうかを確認します。この関数は、device.os_type 属性と一緒に使用することをおすすめします。

例:

device.versionAtLeast("10.0") == true

発信元に関連付けられたクライアント証明書がデバイスと一致し、状態を報告するかを確認します。

関数から返される状態は、次のいずれかになります。

• CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE
• CertificateBindingState.CERT_NOT_MATCHING_EXISTING_DEVICE
• CertificateBindingState.CERT_STATE_UNKNOWN

例:

certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE

文字列オペランドが接頭辞引数で始まるかどうかをテストします。

例:

"Sample string".startsWith("Sample")

文字列オペランドが接尾辞引数で終わるかどうかをテストします。

例:

"Sample string".endsWith("string")

発信元に関連付けられた証明書のフィンガープリントを返します。これをマクロで使用してデバイス証明書をテストできます。

例:

// Checks if the enterprise certificate associated with the origin matches the device.
device.certificates.exists(cert, cert.is_valid && cert.cert_fingerprint == origin.clientCertFingerprint())