此页面由 Cloud Translation API 翻译。

Endpoint Verification 收集的设备属性

本文档详细介绍了 Endpoint Verification 从访问组织资源的设备收集的设备属性。Endpoint Verification 会收集设备属性、设备身份属性、可配置的设备属性和 Chrome 浏览器属性。

设备属性

下表介绍了端点验证功能收集的属性，您可以使用这些属性来创建访问权限级别。

属性名称	说明	支持的操作系统	在 CEL 表达式中使用属性的示例
`is_secured_with_screenlock`	一个布尔值，用于指示设备上是否启用了屏幕锁定功能。	macOS ChromeOS Windows Linux	`device.is_secured_with_screenlock == true`
`encryption_status`	设备的加密状态。可能的值： `ENCRYPTION_UNSPECIFIED = 0` 表示设备的加密状态未指定或未知。 `ENCRYPTION_UNSUPPORTED = 1` 表示设备不支持加密。 `ENCRYPTION_UNENCRYPTED = 2` 表示设备支持加密，但未加密。 `ENCRYPTED = 3` 表示设备已加密。	macOS ChromeOS Windows Linux	`device.encryption_status == DeviceEncryptionStatus.ENCRYPTED`
`os_type`	设备上运行的操作系统。可能的值： `OS_UNSPECIFIED = 0` 表示设备的操作系统未指定或未知。 `DESKTOP_MAC = 1` `DESKTOP_WINDOWS = 2` `DESKTOP_LINUX = 3` `DESKTOP_CHROME_OS = 6`	macOS ChromeOS Windows Linux	`device.os_type == OsType.DESKTOP_MAC`
`os_version`	设备上运行的操作系统版本。	macOS ChromeOS Windows Linux	`device.os_version == "MacOS 13.4.0"` `device.os_version == "ChromeOs 14541.0.0"` `device.os_version == "Windows 10.0.19045"` `device.os_version == "Linux rodete"` 注意：操作系统名称区分大小写。
`verified_chrome_os`	一个布尔值，用于指示请求是否来自装有经过验证的 ChromeOS 的设备。	ChromeOS（仅适用于企业注册的设备）	`device.verified_chrome_os == true`
`model`	设备的型号。	macOS Windows Linux	`device.model == "MacBookPro16,1"`
`is_managed_browser_profile`	一个布尔值，用于指示与设备关联的 Chrome 内容区域账号是否与其 Chrome 个人资料账号一致。	macOS ChromeOS Windows Linux	`device.is_managed_browser_profile == true`
`certificates`	与设备关联的证书的属性。例如，企业证书。	macOS ChromeOS Windows Linux	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT")`
`windows_domain_name`	Windows 机器的域名。	Windows	`device.clients["bce"].data["windows_domain_name"] == "GOOGLE"`
`is_os_native_firewall_enabled`	一个布尔值，用于指示设备上是否已启用操作系统的内置防火墙。	macOS ChromeOS Windows Linux	`device.clients["bce"].data["is_os_native_firewall_enabled"] == true`
`is_secure_boot_enabled`	一个布尔值，用于指示设备上是否启用了安全启动选项。	Windows	`device.clients["bce"].data["is_secure_boot_enabled"] == true`
`av_installed`	设备上安装的防病毒软件产品列表。	Windows	`device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true`
`av_enabled`	设备上已安装并启用的防病毒软件产品的列表。	Windows	`device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true`
`hotfixes`	已在 Windows 系统上应用的热修复的列表。	Windows	`device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true`

设备身份属性

下表介绍了端点验证功能收集的属性，您可以使用这些属性来识别设备。这些属性不能用于创建访问权限级别。

属性名称	说明	支持的操作系统
序列号	设备的序列号。	macOS ChromeOS（仅适用于企业注册的设备） Windows Linux
主机名	设备的 hostname。	macOS Windows Linux
设备 ID	与设备关联的唯一标识号。	macOS Windows Linux
Wi-Fi MAC 地址	设备的 MAC 地址。	macOS ChromeOS Windows Linux

可配置的设备属性

Endpoint Verification 提供了一个选项，用于收集称为可配置设备属性的精细设备属性，例如文件、文件夹和二进制文件的元数据属性；注册表条目；以及 plist 中的属性。您可以使用这些设备配置属性来创建访问权限级别。

此选项默认处于未启用状态。如需收集这些精细的可配置设备属性，请配置端点验证设置。

下表介绍了文件、文件夹和二进制属性。

属性名称	说明	支持的操作系统	在 CEL 表达式中使用属性的示例
`presence`	表示文件、文件夹或二进制文件的存在。可能的值： `VALUE_UNKNOWN = 0` 表示由于评估之前发生的故障，系统无法确定是否存在。 `VALUE_INACCESSIBLE = 1` 表示组织无权访问信号的资源。 `VALUE_NOT_FOUND = 2` 表示找不到资源。 `VALUE_FOUND = 3` 表示找到了资源。	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND`
`is_running`	指示二进制文件是否正在运行。对于文件或文件夹，此值始终为 false。	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true`
`sha256_hash`	提供文件或二进制文件的 SHA-256 哈希值。对于文件夹，该值始终为空字符串。注意：字符串比较区分大小写。	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == ""`
`public_key_sha256`	提供用于对可执行文件进行签名的公钥的 SHA-256 哈希值列表。对于文件或文件夹，此属性始终为空字符串。注意：字符串比较区分大小写。	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == "")`
`product_name`	可执行文件的产品名称。对于文件或文件夹，此属性始终为空字符串。注意：字符串比较区分大小写。	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value"`
`version`	可执行文件的产品版本。对于文件或文件夹，此属性始终为空字符串。注意：字符串比较区分大小写。	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value"`

下表介绍了基于注册表条目和 plist 属性的属性。

属性名称 说明 支持的操作系统 在 CEL 表达式中使用属性的示例

presence

指示是否存在注册表或 plist 条目。可能的值：

VALUE_UNKNOWN = 0 表示由于评估之前发生的故障，系统无法确定是否存在。
VALUE_INACCESSIBLE = 1 表示组织无权访问信号的资源。
VALUE_NOT_FOUND = 2 表示找不到资源。
VALUE_FOUND = 3 表示找到了资源。

macOS
Windows

device.clients["bce"].data["registry_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
device.clients["bce"].data["plist_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND

value

提供存储在注册表或 plist 中的数据。可能的值：

macOS：NSString 或 NSNumber
Windows：REG_SZ、REG_DWORD 或 REG_QWORD

字符串的长度上限为 1024 字节。

macOS
Windows

device.clients["bce"].data["registry_config"]["config_name"]["value"] == <"string value"|boolean|double|int>
device.clients["bce"].data["plist_config"]["config_name"]["value"] == <"string value"|boolean|double|int>

Chrome 浏览器属性

下表介绍了端点验证功能收集的 Google Chrome 浏览器属性，您可以使用这些属性来创建访问权限级别：

属性名称	说明	支持的操作系统	在 CEL 表达式中使用属性的示例
`versionAtLeast(min_version)`	Chrome 浏览器的最低版本。	macOS ChromeOS Windows Linux	`device.chrome.versionAtLeast("88.0.4321.44")`
`management_state`	设备的浏览器管理状态。如果浏览器已注册 Chrome 浏览器云管理，则视为受管理。可能的值： `CHROME_MANAGEMENT_STATE_UNSPECIFIED = 0` 表示设备的管理状态未指定或未知。 `CHROME_MANAGEMENT_STATE_UNMANAGED = 1` 表示浏览器或个人资料未由任何组织管理。 `CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN = 2` 表示浏览器处于受管状态，但由其他组织管理。 `CHROME_MANAGEMENT_STATE_PROFILE_MANAGED = 3` 表示浏览器不受管理，但个人资料由组织管理。 `CHROME_MANAGEMENT_STATE_BROWSER_MANAGED = 4` 表示浏览器和个人资料由组织管理。	macOS ChromeOS Windows Linux	`device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN`
`is_file_upload_analysis_enabled`	一个布尔值，用于指示设备上是否启用了文件上传分析连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_file_upload_analysis_enabled == true`
`is_file_download_analysis_enabled`	一个布尔值，用于指示设备上是否启用了文件下载分析连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_file_download_analysis_enabled == true`
`is_bulk_data_entry_analysis_enabled`	一个布尔值，用于指示设备上是否启用了批量文本（粘贴）分析连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_bulk_data_entry_analysis_enabled == true`
`is_security_event_analysis_enabled`	一个布尔值，用于指示设备上是否已启用安全性事件报告连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_security_event_analysis_enabled == true`
`is_realtime_url_check_enabled`	一个布尔值，用于指示设备上是否启用了实时网址检查连接器。	macOS ChromeOS Windows Linux	`device.chrome.is_realtime_url_check_enabled == true`
`safe_browsing_protection_level`	浏览器的浏览保护级别政策。可能的值： `SAFE_BROWSING_LEVEL_UNSPECIFIED = 0` 表示未为设备设置浏览器保护级别政策。 `SAFE_BROWSING_LEVEL_DISABLED = 1` 表示浏览器保护级别政策已针对设备停用，并且设备不会受到保护，免受危险网站、下载内容和扩展程序的侵害。 `SAFE_BROWSING_LEVEL_STANDARD = 2` 表示设备受到保护，可防范已知危险的网站、下载内容和扩展程序。 `SAFE_BROWSING_LEVEL_ENHANCED = 3` 表示设备可主动防范危险的网站、下载内容和扩展程序。	Mac ChromeOS Windows Linux	`device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD`
`is_site_isolation_enabled`	一个布尔值，用于指示是否为所有网站启用网站隔离功能。	macOS ChromeOS Windows Linux	`device.chrome.is_site_isolation_enabled == true`
`is_built_in_dns_client_enabled`	一个布尔值，用于指示 Chrome 的内置 DNS 客户端是否与 DNS 服务器通信。	macOS ChromeOS Windows Linux	`device.chrome.is_built_in_dns_client_enabled == true`
`password_protection_warning_trigger`	浏览器的密码保护服务警告功能触发条件政策。可能的值： `PASSWORD_PROTECTION_TRIGGER_UNSPECIFIED = 0` 表示未设置密码保护服务警告触发政策。 `PASSWORD_PROTECTION_TRIGGER_PROTECTION_OFF = 1` 表示一律不检测重复使用密码的情况。 `PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE = 2` 表示当最终用户在未列入许可名单的网站上重复使用受保护的密码时，系统会显示警告。 `PASSWORD_PROTECTION_TRIGGER_PHISHING_REUSE = 3` 表示当最终用户在网上诱骗性质的网站上重复使用受保护的密码时，系统会显示警告。	macOS ChromeOS Windows Linux	`device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE`
`is_chrome_remote_desktop_app_blocked`	一个布尔值，用于指示是否屏蔽 Chrome 远程桌面远程应用。	macOS ChromeOS Windows Linux	`device.chrome.is_chrome_remote_desktop_app_blocked == true`
`is_chrome_cleanup_enabled`	一个布尔值，用于指示 Chrome 清理工具是否已启用。	Windows	`device.chrome.is_chrome_cleanup_enabled == true`
`is_third_party_blocking_enabled` 注意：此属性仅在 Chrome 65 版至 135 版中受支持。对于高于 135 的 Chrome 版本，此属性已被弃用。	一个布尔值，用于指示是否启用了第三方软件注入屏蔽。	Windows	`device.chrome.is_third_party_blocking_enabled == true`