Endpoint Verification によって収集されたデバイス属性

このドキュメントでは、組織のリソースにアクセスするデバイスから Endpoint Verification によって収集されるデバイス属性の詳細について説明します。Endpoint Verification では、デバイスの属性デバイス ID の属性設定可能なデバイス属性Chrome ブラウザの属性が収集されます。

デバイスの属性

次の表に、Endpoint Verification によって収集される、アクセスレベルの作成に使用できる属性を示します。

属性名 説明 サポート対象の OS CEL 式での属性の使用例
is_secured_with_screenlock デバイスで画面ロック機能が有効になっているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.is_secured_with_screenlock == true
encryption_status

デバイスの暗号化ステータス。値は次のいずれかです。

  • ENCRYPTION_UNSPECIFIED = 0 は、デバイスの暗号化ステータスが指定されていないか不明であることを示します。
  • ENCRYPTION_UNSUPPORTED = 1 は、デバイスが暗号化をサポートしていないことを示します。
  • ENCRYPTION_UNENCRYPTED = 2 は、デバイスが暗号化をサポートしているが、暗号化されていないことを示します。
  • ENCRYPTED = 3 は、デバイスが暗号化されていることを示します。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED
os_type

デバイスで実行されているオペレーティング システム。 値は次のいずれかです。

  • OS_UNSPECIFIED = 0 は、デバイスのオペレーティング システムが指定されていないか不明であることを示します。
  • DESKTOP_MAC = 1
  • DESKTOP_WINDOWS = 2
  • DESKTOP_LINUX = 3
  • DESKTOP_CHROME_OS = 6
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.os_type == OsType.DESKTOP_MAC
os_version デバイスで実行されているオペレーティング システムのバージョン。
  • macOS
  • ChromeOS
  • Windows
  • Linux
  • device.os_version == "MacOS 13.4.0"
  • device.os_version == "ChromeOs 14541.0.0"
  • device.os_version == "Windows 10.0.19045"
  • device.os_version == "Linux rodete"
verified_chrome_os 検証済みの ChromeOS を搭載したデバイスからリクエストが送られたかどうかを示すブール値。 ChromeOS(エンタープライズ登録済みのデバイスのみ) device.verified_chrome_os == true
model デバイスのモデル。
  • macOS
  • Windows
  • Linux
device.model == "MacBookPro16,1"
is_managed_browser_profile デバイスに関連付けられている Chrome コンテンツ エリア アカウントが、その Chrome プロファイル アカウントと一致しているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.is_managed_browser_profile == true
certificates デバイスに関連付けられている証明書の属性。 たとえば、エンタープライズ証明書
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT")
windows_domain_name Windows マシンのドメイン名。 Windows device.clients["bce"].data["windows_domain_name"] == "GOOGLE"
is_os_native_firewall_enabled オペレーティング システムの組み込みファイアウォールがデバイスで有効になっているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.clients["bce"].data["is_os_native_firewall_enabled"] == true
is_secure_boot_enabled デバイスでセキュアブート オプションが有効になっているかどうかを示すブール値。 Windows device.clients["bce"].data["is_secure_boot_enabled"] == true
av_installed デバイスにインストールされているウイルス対策ソフトウェア プロダクトのリスト。 Windows device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true
av_enabled デバイスにインストールされ、有効になっているウイルス対策ソフトウェア プロダクトのリスト。 Windows device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true
hotfixes Windows システムに適用される修正プログラムのリスト。 Windows device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true

デバイス ID 属性

次の表に、Endpoint Verification によって収集され、デバイスの識別に使用できる属性を示します。これらの属性はアクセスレベルの作成に使用できません。

属性名 説明 サポート対象の OS
シリアル番号 デバイスのシリアル番号。
  • macOS
  • ChromeOS(エンタープライズ登録済みのデバイスのみ)
  • Windows
  • Linux
ホスト名 デバイスのホスト名。
  • macOS
  • Windows
  • Linux
デバイス ID デバイスに関連付けられた一意の識別番号。
  • macOS
  • Windows
  • Linux
Wi-Fi MAC アドレス デバイスの MAC アドレス。
  • macOS
  • ChromeOS
  • Windows
  • Linux

設定可能なデバイス属性

Endpoint Verification には、ファイル、フォルダ、バイナリのメタデータ属性、レジストリ エントリ、plist のプロパティなど、設定可能なデバイス属性と呼ばれる詳細なデバイス属性を収集するオプションが用意されています。 これらのデバイス設定属性を使用して、アクセスレベルを作成できます。

このオプションはデフォルトでは有効になっていません。これらのきめ細かい設定可能なデバイス属性を収集するには、Endpoint Verification の設定を行います。

次の表に、ファイル、フォルダ、バイナリの属性を示します。

属性名 説明 サポート対象の OS CEL 式での属性の使用例
presence

ファイル、フォルダ、またはバイナリが存在することを示します。値は次のいずれかです。

  • VALUE_UNKNOWN = 0 は、評価前に発生した障害により、存在が不明であることを示します。
  • VALUE_INACCESSIBLE = 1 は、組織がシグナルのリソースにアクセスできないことを示します。
  • VALUE_NOT_FOUND = 2 は、リソースが見つからなかったことを示します。
  • VALUE_FOUND = 3 は、リソースが見つかったことを示します。
  • macOS
  • Windows
  • Linux
device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
is_running バイナリが実行されているかどうかを示します。ファイルやフォルダの場合、これは常に誤です。
  • macOS
  • Windows
  • Linux
device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true
sha256_hash

ファイルやバイナリの SHA-256 ハッシュを指定します。フォルダの場合、これは常に空の文字列です。

  • macOS
  • Windows
  • Linux
device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == ""
public_key_sha256

実行可能ファイルの署名に使用される公開鍵の SHA-256 ハッシュ値のリストを指定します。ファイルやフォルダの場合、これは常に空の文字列になります。

  • macOS
  • Windows
device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == "")
product_name

実行可能ファイルのプロダクト名。ファイルやフォルダの場合、これは常に空の文字列になります。

  • macOS
  • Windows
device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value"
version

実行可能ファイルのプロダクト バージョン。ファイルやフォルダの場合、これは常に空の文字列です。

  • macOS
  • Windows
device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value"

次の表に、レジストリ エントリと plist のプロパティに基づく属性を示します。

属性名 説明 サポート対象の OS CEL 式での属性の使用例
presence

レジストリや plist エントリが存在することを示します。値は次のいずれかです。

  • VALUE_UNKNOWN = 0 は、評価前に発生した障害により、存在が不明であることを示します。
  • VALUE_INACCESSIBLE = 1 は、組織がシグナルのリソースにアクセスできないことを示します。
  • VALUE_NOT_FOUND = 2 は、リソースが見つからなかったことを示します。
  • VALUE_FOUND = 3 は、リソースが見つかったことを示します。
  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
  • device.clients["bce"].data["plist_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
value

レジストリや plist に保存されるデータを指定します。値は次のいずれかです。

  • macOS: NSString または NSNumber
  • Windows: REG_SZREG_DWORD、または REG_QWORD

文字列は 1,024 バイトまでに制限されています。

  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["value"] == <"string value"|boolean|double|int>
  • device.clients["bce"].data["plist_config"]["config_name"]["value"] == <"string value"|boolean|double|int>

Chrome ブラウザの属性

次の表に、Endpoint Verification によって収集される Google Chrome ブラウザの属性を示します。これらを使用して、アクセスレベルを作成できます。

属性名 説明 サポート対象の OS CEL 式での属性の使用例
versionAtLeast(min_version) Chrome ブラウザの最小バージョン。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.versionAtLeast("88.0.4321.44")
management_state

デバイスのブラウザの管理状態。 Chrome ブラウザ クラウド管理に登録されているブラウザは、管理対象とみなされます。値は次のいずれかです。

  • CHROME_MANAGEMENT_STATE_UNSPECIFIED = 0 は、デバイスの管理状態が指定されていないか、不明であることを示します。
  • CHROME_MANAGEMENT_STATE_UNMANAGED = 1 は、ブラウザやプロファイルが組織によって管理されていないことを示します。
  • CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN = 2 は、ブラウザが管理対象であるものの、他の組織によって管理されていることを示します。
  • CHROME_MANAGEMENT_STATE_PROFILE_MANAGED = 3 は、組織によってブラウザが管理されておらず、プロファイルが管理されていることを示します。
  • CHROME_MANAGEMENT_STATE_BROWSER_MANAGED = 4 は、ブラウザとプロファイルが組織によって管理されていることを示します。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN
is_file_upload_analysis_enabled デバイスでファイル アップロード分析コネクタが有効になっているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_file_upload_analysis_enabled == true
is_file_download_analysis_enabled デバイスでファイル ダウンロード分析コネクタが有効になっているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_file_download_analysis_enabled == true
is_bulk_data_entry_analysis_enabled デバイスで一括テキスト(貼り付け)分析コネクタが有効になっているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_bulk_data_entry_analysis_enabled == true
is_security_event_analysis_enabled デバイスでセキュリティ イベント レポート コネクタが有効になっているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_security_event_analysis_enabled == true
is_realtime_url_check_enabled デバイスでリアルタイム URL チェック コネクタが有効になっているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_realtime_url_check_enabled == true
safe_browsing_protection_level

ブラウザのブラウジング保護レベルポリシー。値は次のいずれかです。

  • SAFE_BROWSING_LEVEL_UNSPECIFIED = 0 は、デバイスに対してブラウザ保護レベルポリシーが設定されていないことを示します。
  • SAFE_BROWSING_LEVEL_DISABLED = 1 は、デバイスに対してブラウザ保護レベルポリシーが無効になっており、デバイスが危険なウェブサイト、ダウンロード、拡張機能から保護されていないことを示します。
  • SAFE_BROWSING_LEVEL_STANDARD = 2 は、危険であると認識されているウェブサイト、ダウンロード、拡張機能からデバイスが保護されていることを示します。
  • SAFE_BROWSING_LEVEL_ENHANCED = 3
  • は、危険なウェブサイト、ダウンロード、拡張機能からデバイスがプロアクティブに保護されていることを示します。
  • Mac
  • ChromeOS
  • Windows
  • Linux
device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD
is_site_isolation_enabled すべてのサイトでサイト分離が有効になっているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_site_isolation_enabled == true
is_built_in_dns_client_enabled Chrome の組み込みの DNS クライアントが DNS サーバーと通信しているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_built_in_dns_client_enabled == true
password_protection_warning_trigger

ブラウザのパスワード保護の警告トリガー ポリシー。値は次のいずれかです。

  • PASSWORD_PROTECTION_TRIGGER_UNSPECIFIED = 0 は、パスワード保護の警告トリガー ポリシーが設定されていないことを示します。
  • PASSWORD_PROTECTION_TRIGGER_PROTECTION_OFF = 1 は、パスワードの再利用が検出されないことを示します。
  • PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE = 2 は、エンドユーザーが許可されていないサイトで保護されたパスワードを再利用したときに警告が表示されることを示します。
  • PASSWORD_PROTECTION_TRIGGER_PHISHING_REUSE = 3 は、エンドユーザーがフィッシング サイトで保護されたパスワードを再利用すると警告が表示されることを示します。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE
is_chrome_remote_desktop_app_blocked Chrome リモート デスクトップ リモート アプリケーションがブロックされているかどうかを示すブール値。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_chrome_remote_desktop_app_blocked == true
is_chrome_cleanup_enabled Chrome クリーンアップ ツールが有効かどうかを示すブール値。 Windows device.chrome.is_chrome_cleanup_enabled == true
is_third_party_blocking_enabled サードパーティ ソフトウェアによるコード挿入のブロックが有効かどうかを示すブール値。 Windows device.chrome.is_third_party_blocking_enabled == true

次のステップ