本文档详细介绍了 通过访问贵组织资源的设备进行端点验证。 “端点验证”会收集 设备属性 设备身份属性、可配置的设备属性以及 Chrome 浏览器属性。
设备属性
下表介绍了 您可以使用端点验证来创建访问权限级别:
属性名称 | 说明 | 支持的操作系统 | 在 CEL 表达式 |
is_secured_with_screenlock |
一个布尔值,用于指明屏幕锁定函数是否 。 |
|
device.is_secured_with_screenlock == true |
encryption_status |
设备的加密状态。可能的值:
|
|
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED |
os_type |
设备上运行的操作系统。 可能的值:
|
|
device.os_type == OsType.DESKTOP_MAC |
os_version |
设备上运行的操作系统的版本。 |
|
|
verified_chrome_os |
一个布尔值,指示请求是否来自装有经过验证的 ChromeOS 的设备。 | ChromeOS(仅适用于已注册到企业的设备) | device.verified_chrome_os == true |
model |
设备的型号。 |
|
device.model == "MacBookPro16,1" |
is_managed_browser_profile |
一个布尔值,用于指明 Chrome 内容区域账号 与设备关联的 Chrome 个人资料账号一致。 |
|
device.is_managed_browser_profile == true |
certificates |
与设备关联的证书的属性。 例如,企业证书。 |
|
device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT") |
windows_domain_name |
Windows 计算机的域名。 | Windows | device.clients["bce"].data["windows_domain_name"] == "GOOGLE" |
is_os_native_firewall_enabled |
一个布尔值,指示操作系统的 内置防火墙。 |
|
device.clients["bce"].data["is_os_native_firewall_enabled"] == true |
is_secure_boot_enabled |
一个布尔值,表示设备上是否启用了安全启动选项。 | Windows | device.clients["bce"].data["is_secure_boot_enabled"] == true |
av_installed |
设备上安装的防病毒软件产品列表。 | Windows | device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true |
av_enabled |
设备上已安装并启用的防病毒软件产品的列表。 | Windows | device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true |
hotfixes |
在 Windows 系统上应用的补丁列表。 | Windows | device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true |
设备身份属性
下表介绍了 可用于识别设备的端点验证。这些属性不能 创建访问权限级别
属性名称 | 说明 | 支持的操作系统 |
序列号 | 设备的序列号。 |
|
主机名 | 设备的主机名。 |
|
设备 ID | 与设备关联的唯一标识符。 |
|
Wi-Fi MAC 地址 | 设备的 MAC 地址。 |
|
可配置的设备属性
Endpoint Verification 提供了一个选项,用于收集称为可配置的设备属性的精细设备属性,例如文件、文件夹和二进制文件的元数据属性;注册表条目;以及 plist 中的属性。您可以使用这些设备配置属性来创建访问权限级别。
默认情况下,此选项未启用。如需收集这些可配置的精细设备属性,请配置端点验证设置。
下表介绍了文件、文件夹和二进制文件属性。
属性名称 | 说明 | 支持的操作系统 | 在 CEL 表达式中使用该属性的示例 |
presence |
表示文件、文件夹或二进制文件的存在。可能的值:
|
|
device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND |
is_running |
指示二进制文件是否正在运行。对于文件或文件夹,此属性始终为 false。 |
|
device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true |
sha256_hash |
提供文件或二进制文件的 SHA-256 哈希值。对于文件夹,此字段始终为空字符串。 |
|
device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == " |
public_key_sha256 |
提供用于对可执行文件进行签名的公钥的 SHA-256 哈希值列表。对于文件或文件夹,该字段始终为空字符串。 |
|
device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == " |
product_name |
可执行文件的商品名称。对于文件或文件夹,此字段始终为空字符串。 |
|
device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value" |
version |
可执行文件的产品版本。对于文件或文件夹,此字段始终为空字符串。 |
|
device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value" |
下表描述了基于注册表条目和 plist 属性的属性。
属性名称 | 说明 | 支持的操作系统 | 在 CEL 表达式中使用该属性的示例 |
presence |
指示是否存在注册表或 plist 条目。可能的值:
|
|
|
value |
提供存储在注册表或 plist 中的数据。可能的值:
字符串的长度上限为 1024 字节。 |
|
|
Chrome 浏览器属性
下表介绍了 Google Chrome 浏览器通过 您可以使用端点验证来创建访问权限级别:
属性名称 | 说明 | 支持的操作系统 | 在 CEL 表达式中使用该属性的示例 |
versionAtLeast(min_version) |
Chrome 浏览器的最低版本。 |
|
device.chrome.versionAtLeast("88.0.4321.44") |
management_state |
设备的浏览器管理状态。 如果浏览器已注册 Chrome 浏览器云管理,则会被视为受管理的浏览器。可能的值:
|
|
device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN |
is_file_upload_analysis_enabled |
一个布尔值,用于指示设备上是否启用了文件上传分析连接器。 |
|
device.chrome.is_file_upload_analysis_enabled == true |
is_file_download_analysis_enabled |
一个布尔值,用于指示设备上是否启用了文件下载分析连接器。 |
|
device.chrome.is_file_download_analysis_enabled == true |
is_bulk_data_entry_analysis_enabled |
一个布尔值,用于指示设备上是否启用了批量文本(粘贴)分析连接器。 |
|
device.chrome.is_bulk_data_entry_analysis_enabled == true |
is_security_event_analysis_enabled |
一个布尔值,指示设备上是否启用了安全事件报告连接器。 |
|
device.chrome.is_security_event_analysis_enabled == true |
is_realtime_url_check_enabled |
一个布尔值,用于指示设备上是否启用了实时网址检查连接器。 |
|
device.chrome.is_realtime_url_check_enabled == true |
safe_browsing_protection_level |
浏览器的浏览保护级别政策。可能的值:
|
|
device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD |
is_site_isolation_enabled |
一个布尔值,用于指明网站隔离功能是否已启用 。 |
|
device.chrome.is_site_isolation_enabled == true |
is_built_in_dns_client_enabled |
一个布尔值,指示 Chrome 的内置 DNS 客户端是否与 DNS 服务器通信。 |
|
device.chrome.is_built_in_dns_client_enabled == true |
password_protection_warning_trigger |
浏览器的密码保护警告触发政策。可能的值:
|
|
device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE |
is_chrome_remote_desktop_app_blocked |
一个布尔值,指示 Chrome 远程桌面远程应用是否已被屏蔽。 |
|
device.chrome.is_chrome_remote_desktop_app_blocked == true |
is_chrome_cleanup_enabled |
一个布尔值,用于指示是否已启用 Chrome 清理工具。 | Windows | device.chrome.is_chrome_cleanup_enabled == true |
is_third_party_blocking_enabled |
一个布尔值,用于指示是否已启用第三方软件注入屏蔽功能。 | Windows | device.chrome.is_third_party_blocking_enabled == true |