本文档详细介绍了 通过访问贵组织资源的设备进行端点验证。 “端点验证”会收集 设备属性 设备身份属性、可配置的设备属性以及 Chrome 浏览器属性。
设备属性
下表介绍了 您可以使用端点验证来创建访问权限级别:
属性名称 | 说明 | 支持的操作系统 | 在 CEL 表达式 |
is_secured_with_screenlock |
一个布尔值,用于指明屏幕锁定函数是否 。 |
|
device.is_secured_with_screenlock == true |
encryption_status |
设备的加密状态。可能的值:
|
|
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED |
os_type |
设备上运行的操作系统。 可能的值:
|
|
device.os_type == OsType.DESKTOP_MAC |
os_version |
设备上运行的操作系统版本。 |
|
|
verified_chrome_os |
指示请求是否来自设备的布尔值 且搭载经过验证的 ChromeOS。 | ChromeOS(仅适用于企业注册的设备) | device.verified_chrome_os == true |
model |
设备的型号。 |
|
device.model == "MacBookPro16,1" |
is_managed_browser_profile |
一个布尔值,用于指明 Chrome 内容区域账号 与某个设备的 Chrome 个人资料账号相关联。 |
|
device.is_managed_browser_profile == true |
certificates |
与设备关联的证书的属性。 例如企业证书。 |
|
device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT") |
windows_domain_name |
Windows 计算机的域名。 | Windows | device.clients["bce"].data["windows_domain_name"] == "GOOGLE" |
is_os_native_firewall_enabled |
一个布尔值,指示操作系统的 内置防火墙。 |
|
device.clients["bce"].data["is_os_native_firewall_enabled"] == true |
is_secure_boot_enabled |
一个布尔值,用于指明是否启用了 。 | Windows | device.clients["bce"].data["is_secure_boot_enabled"] == true |
av_installed |
设备上安装的防病毒软件产品列表。 | Windows | device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true |
av_enabled |
已在 Chrome 中安装和启用的防病毒软件产品列表 。 | Windows | device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true |
hotfixes |
应用于 Windows 系统的修补程序列表。 | Windows | device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true |
设备身份属性
下表介绍了 可用于识别设备的端点验证。这些属性不能 可用于创建访问权限级别。
属性名称 | 说明 | 支持的操作系统 |
序列号 | 设备的序列号。 |
|
主机名 | 设备的主机名。 |
|
设备 ID | 与设备关联的唯一标识符。 |
|
Wi-Fi MAC 地址 | 设备的 MAC 地址。 |
|
可配置的设备属性
“端点验证”提供一种用于收集精细设备属性的选项,称为 可配置的设备属性,例如文件、文件夹、 和二进制文件;注册表条目;和属性 您可以使用这些设备配置属性来创建访问权限级别。
默认情况下,此选项未启用。为了收集这些精细的可配置资源 设备属性 配置“端点验证”设置。
下表介绍了文件、文件夹和二进制文件属性。
属性名称 | 说明 | 支持的操作系统 | 在 CEL 表达式 |
presence |
指示存在文件、文件夹或二进制文件。可能的值:
|
|
device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND |
is_running |
指示二进制文件是否正在运行。对于文件或文件夹,此属性始终为 false。 |
|
device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true |
sha256_hash |
提供文件或二进制文件的 SHA-256 哈希。对于文件夹,该字段始终为空字符串。 <ph type="x-smartling-placeholder"> |
|
device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == " |
public_key_sha256 |
提供用于对可执行文件进行签名的公钥的 SHA-256 哈希值列表。对于文件或文件夹,该字段始终为空字符串。 <ph type="x-smartling-placeholder"> |
|
device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == " |
product_name |
可执行文件的产品名称。对于文件或文件夹,该字段始终为空字符串。 <ph type="x-smartling-placeholder"> |
|
device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value" |
version |
可执行文件的产品版本。对于文件或文件夹,该字段始终为空字符串。 <ph type="x-smartling-placeholder"> |
|
device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value" |
下表描述了基于注册表条目和 plist 属性的属性。
属性名称 | 说明 | 支持的操作系统 | 在 CEL 表达式 |
presence |
表示存在注册表或 plist 条目。可能的值:
|
|
|
value |
提供存储在注册表或 plist 中的数据。可能的值:
字符串的上限为 1024 个字节。 <ph type="x-smartling-placeholder"> |
|
|
Chrome 浏览器属性
下表介绍了 Google Chrome 浏览器通过 您可以使用端点验证来创建访问权限级别:
属性名称 | 说明 | 支持的操作系统 | 在 CEL 表达式 |
versionAtLeast(min_version) |
Chrome 浏览器的最低版本。 |
|
device.chrome.versionAtLeast("88.0.4321.44") |
management_state |
设备的浏览器的管理状态。 如果浏览器在注册后,则会被视为受管浏览器 Chrome 浏览器云管理。可能的值:
|
|
device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN |
is_file_upload_analysis_enabled |
一个布尔值,指示文件上传分析 连接器。 |
|
device.chrome.is_file_upload_analysis_enabled == true |
is_file_download_analysis_enabled |
一个布尔值,指示文件下载分析 连接器。 |
|
device.chrome.is_file_download_analysis_enabled == true |
is_bulk_data_entry_analysis_enabled |
一个布尔值,指示批量文本(粘贴)分析 连接器。 |
|
device.chrome.is_bulk_data_entry_analysis_enabled == true |
is_security_event_analysis_enabled |
一个布尔值,指示安全事件报告连接器 。 |
|
device.chrome.is_security_event_analysis_enabled == true |
is_realtime_url_check_enabled |
一个布尔值,指示实时网址检查连接器 。 |
|
device.chrome.is_realtime_url_check_enabled == true |
safe_browsing_protection_level |
浏览器的浏览保护级别政策。可能的值:
|
|
device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD |
is_site_isolation_enabled |
一个布尔值,用于指明网站隔离功能是否已启用 。 |
|
device.chrome.is_site_isolation_enabled == true |
is_built_in_dns_client_enabled |
一个布尔值,用于指明 Chrome 的内置 DNS 客户端 与 DNS 服务器通信 |
|
device.chrome.is_built_in_dns_client_enabled == true |
password_protection_warning_trigger |
浏览器的密码保护警告触发政策。可能的值:
|
|
device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE |
is_chrome_remote_desktop_app_blocked |
一个布尔值,指示Chrome 远程桌面远程桌面 应用。 |
|
device.chrome.is_chrome_remote_desktop_app_blocked == true |
is_chrome_cleanup_enabled |
一个布尔值,用于指示是否已启用 Chrome 清理工具。 | Windows | device.chrome.is_chrome_cleanup_enabled == true |
is_third_party_blocking_enabled |
一个布尔值,用于指示是否已启用第三方软件注入屏蔽功能。 | Windows | device.chrome.is_third_party_blocking_enabled == true |