此页面由 Cloud Translation API 翻译。

“端点验证”收集的设备属性

本文档详细介绍了通过访问贵组织资源的设备进行端点验证。 “端点验证”会收集设备属性设备身份属性、可配置的设备属性以及 Chrome 浏览器属性。

设备属性

下表介绍了您可以使用端点验证来创建访问权限级别：

属性名称	说明	支持的操作系统	在 CEL 表达式
`is_secured_with_screenlock`	一个布尔值，用于指明屏幕锁定函数是否。	macOS ChromeOS Windows Linux	`device.is_secured_with_screenlock == true`
`encryption_status`	设备的加密状态。可能的值： `ENCRYPTION_UNSPECIFIED = 0` 表示未指定或未知设备的加密状态。 `ENCRYPTION_UNSUPPORTED = 1` 表示设备不支持加密。 `ENCRYPTION_UNENCRYPTED = 2` 表示设备支持加密，但未加密。 `ENCRYPTED = 3` 表示设备已加密。	macOS ChromeOS Windows Linux	`device.encryption_status == DeviceEncryptionStatus.ENCRYPTED`
`os_type`	设备上运行的操作系统。可能的值： `OS_UNSPECIFIED = 0` 表示设备的操作系统未指定或未知。 `DESKTOP_MAC = 1` `DESKTOP_WINDOWS = 2` `DESKTOP_LINUX = 3` `DESKTOP_CHROME_OS = 6`	macOS ChromeOS Windows Linux	`device.os_type == OsType.DESKTOP_MAC`
`os_version`	设备上运行的操作系统的版本。	macOS ChromeOS Windows Linux	`device.os_version == "MacOS 13.4.0"` `device.os_version == "ChromeOs 14541.0.0"` `device.os_version == "Windows 10.0.19045"` `device.os_version == "Linux rodete"` 注意：操作系统名称区分大小写。
`verified_chrome_os`	一个布尔值，指示请求是否来自装有经过验证的 ChromeOS 的设备。	ChromeOS（仅适用于已注册到企业的设备）	`device.verified_chrome_os == true`
`model`	设备的型号。	macOS Windows Linux	`device.model == "MacBookPro16,1"`
`is_managed_browser_profile`	一个布尔值，用于指明 Chrome 内容区域账号与设备关联的 Chrome 个人资料账号一致。	macOS ChromeOS Windows Linux	`device.is_managed_browser_profile == true`
`certificates`	与设备关联的证书的属性。例如，企业证书。	macOS ChromeOS Windows Linux	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT")`
`windows_domain_name`	Windows 计算机的域名。	Windows	`device.clients["bce"].data["windows_domain_name"] == "GOOGLE"`
`is_os_native_firewall_enabled`	一个布尔值，指示操作系统的内置防火墙。	macOS ChromeOS Windows Linux	`device.clients["bce"].data["is_os_native_firewall_enabled"] == true`
`is_secure_boot_enabled`	一个布尔值，表示设备上是否启用了安全启动选项。	Windows	`device.clients["bce"].data["is_secure_boot_enabled"] == true`
`av_installed`	设备上安装的防病毒软件产品列表。	Windows	`device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true`
`av_enabled`	设备上已安装并启用的防病毒软件产品的列表。	Windows	`device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true`
`hotfixes`	在 Windows 系统上应用的补丁列表。	Windows	`device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true`

设备身份属性

下表介绍了可用于识别设备的端点验证。这些属性不能创建访问权限级别

属性名称	说明	支持的操作系统
序列号	设备的序列号。	macOS ChromeOS（仅适用于已注册到企业的设备） Windows Linux
主机名	设备的主机名。	macOS Windows Linux
设备 ID	与设备关联的唯一标识符。	macOS Windows Linux
Wi-Fi MAC 地址	设备的 MAC 地址。	macOS ChromeOS Windows Linux

可配置的设备属性

Endpoint Verification 提供了一个选项，用于收集称为可配置的设备属性的精细设备属性，例如文件、文件夹和二进制文件的元数据属性；注册表条目；以及 plist 中的属性。您可以使用这些设备配置属性来创建访问权限级别。

默认情况下，此选项未启用。如需收集这些可配置的精细设备属性，请配置端点验证设置。

下表介绍了文件、文件夹和二进制文件属性。

属性名称	说明	支持的操作系统	在 CEL 表达式中使用该属性的示例
`presence`	表示文件、文件夹或二进制文件的存在。可能的值： `VALUE_UNKNOWN = 0` 表示由于在评估之前发生了失败，因此未知是否存在。 `VALUE_INACCESSIBLE = 1` 表示组织无权访问信号的资源。 `VALUE_NOT_FOUND = 2` 表示找不到资源。 `VALUE_FOUND = 3` 表示找到了资源。	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND`
`is_running`	指示二进制文件是否正在运行。对于文件或文件夹，此属性始终为 false。	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true`
`sha256_hash`	提供文件或二进制文件的 SHA-256 哈希值。对于文件夹，此字段始终为空字符串。注意：比较字符串时区分大小写。	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == ""`
`public_key_sha256`	提供用于对可执行文件进行签名的公钥的 SHA-256 哈希值列表。对于文件或文件夹，该字段始终为空字符串。注意：比较字符串时区分大小写。	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == "")`
`product_name`	可执行文件的商品名称。对于文件或文件夹，此字段始终为空字符串。注意：字符串比较区分大小写。	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value"`
`version`	可执行文件的产品版本。对于文件或文件夹，此字段始终为空字符串。注意：比较字符串时区分大小写。	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value"`

下表描述了基于注册表条目和 plist 属性的属性。

属性名称 说明 支持的操作系统 在 CEL 表达式中使用该属性的示例

presence

指示是否存在注册表或 plist 条目。可能的值：

VALUE_UNKNOWN = 0 表示由于在评估之前发生了失败，因此未知是否存在。
VALUE_INACCESSIBLE = 1 表示组织无权访问信号的资源。
VALUE_NOT_FOUND = 2 表示找不到资源。
VALUE_FOUND = 3 表示找到了资源。

macOS
Windows

device.clients["bce"].data["registry_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
device.clients["bce"].data["plist_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND

value

提供存储在注册表或 plist 中的数据。可能的值：

macOS：NSString 或 NSNumber
Windows：REG_SZ、REG_DWORD 或 REG_QWORD

字符串的长度上限为 1024 字节。

macOS
Windows

device.clients["bce"].data["registry_config"]["config_name"]["value"] == <"string value"|boolean|double|int>
device.clients["bce"].data["plist_config"]["config_name"]["value"] == <"string value"|boolean|double|int>

Chrome 浏览器属性

下表介绍了 Google Chrome 浏览器通过您可以使用端点验证来创建访问权限级别：

属性名称	说明	支持的操作系统	在 CEL 表达式中使用该属性的示例
`versionAtLeast(min_version)`	Chrome 浏览器的最低版本。	macOS ChromeOS Windows Linux	`device.chrome.versionAtLeast("88.0.4321.44")`
`management_state`	设备的浏览器管理状态。如果浏览器已注册 Chrome 浏览器云管理，则会被视为受管理的浏览器。可能的值： `CHROME_MANAGEMENT_STATE_UNSPECIFIED = 0` 表示设备的管理状态未指定或未知。 `CHROME_MANAGEMENT_STATE_UNMANAGED = 1` 表示浏览器或个人资料不由任何组织管理。 `CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN = 2` 表示浏览器是由某个其他组织管理的。 `CHROME_MANAGEMENT_STATE_PROFILE_MANAGED = 3` 表示浏览器不受管理，个人资料由组织管理。 `CHROME_MANAGEMENT_STATE_BROWSER_MANAGED = 4` 表示浏览器和个人资料由组织管理。	macOS ChromeOS Windows Linux	`device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN`
`is_file_upload_analysis_enabled`	一个布尔值，用于指示设备上是否启用了文件上传分析连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_file_upload_analysis_enabled == true`
`is_file_download_analysis_enabled`	一个布尔值，用于指示设备上是否启用了文件下载分析连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_file_download_analysis_enabled == true`
`is_bulk_data_entry_analysis_enabled`	一个布尔值，用于指示设备上是否启用了批量文本（粘贴）分析连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_bulk_data_entry_analysis_enabled == true`
`is_security_event_analysis_enabled`	一个布尔值，指示设备上是否启用了安全事件报告连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_security_event_analysis_enabled == true`
`is_realtime_url_check_enabled`	一个布尔值，用于指示设备上是否启用了实时网址检查连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_realtime_url_check_enabled == true`
`safe_browsing_protection_level`	浏览器的浏览保护级别政策。可能的值： `SAFE_BROWSING_LEVEL_UNSPECIFIED = 0` 表示浏览器未设置该设备的保护级别政策。 `SAFE_BROWSING_LEVEL_DISABLED = 1` 表示已为设备停用浏览器保护级别政策，并且设备未受到针对危险网站、下载内容和扩展程序的保护。 `SAFE_BROWSING_LEVEL_STANDARD = 2` 表示设备受到保护，可防范已知危险的网站、下载内容和扩展程序。 `SAFE_BROWSING_LEVEL_ENHANCED = 3` 表示设备已启用主动保护功能，可防范危险的网站、下载内容和扩展程序。	Mac ChromeOS Windows Linux	`device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD`
`is_site_isolation_enabled`	一个布尔值，用于指明网站隔离功能是否已启用。	macOS ChromeOS Windows Linux	`device.chrome.is_site_isolation_enabled == true`
`is_built_in_dns_client_enabled`	一个布尔值，指示 Chrome 的内置 DNS 客户端是否与 DNS 服务器通信。	macOS ChromeOS Windows Linux	`device.chrome.is_built_in_dns_client_enabled == true`
`password_protection_warning_trigger`	浏览器的密码保护警告触发政策。可能的值： `PASSWORD_PROTECTION_TRIGGER_UNSPECIFIED = 0` 表示未设置密码保护警告触发器政策。 `PASSWORD_PROTECTION_TRIGGER_PROTECTION_OFF = 1` 表示绝不会检测到重复使用密码的情况 `PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE = 2` 表示当最终用户在未获许可的网站上重复使用受保护的密码时，系统会显示警告。 `PASSWORD_PROTECTION_TRIGGER_PHISHING_REUSE = 3` 表示当最终用户在钓鱼式网站上重复使用受保护的密码时，系统会显示警告。	macOS ChromeOS Windows Linux	`device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE`
`is_chrome_remote_desktop_app_blocked`	一个布尔值，指示 Chrome 远程桌面远程应用是否已被屏蔽。	macOS ChromeOS Windows Linux	`device.chrome.is_chrome_remote_desktop_app_blocked == true`
`is_chrome_cleanup_enabled`	一个布尔值，用于指示是否已启用 Chrome 清理工具。	Windows	`device.chrome.is_chrome_cleanup_enabled == true`
`is_third_party_blocking_enabled`	一个布尔值，用于指示是否已启用第三方软件注入屏蔽功能。	Windows	`device.chrome.is_third_party_blocking_enabled == true`