このページでは、Endpoint Verification の基本コンセプトについて説明します。
Endpoint Verification は、Google Cloud、Cloud Identity、G Suite Business、G Suite Enterprise のすべてのお客様がご利用いただけるプロダクトです。このプロダクトを使用すると、管理者またはセキュリティ運用担当者として、組織のデータにアクセスしているデバイスのインベントリを作成できるようになります。Endpoint Verification によって、BeyondCorp Enterprise ソリューションの一部として、重要なデバイスの信頼とセキュリティ ベースのアクセス制御も実現できます。
Endpoint Verification の用途
Endpoint Verification は、組織のノートパソコン、デスクトップ、モバイル デバイスのセキュリティ体制の概要を把握する場合に使用します。
デバイス インベントリ Endpoint Verification は、セキュリティの維持に役立つ情報を提供します。Endpoint Verification を BeyondCorp Enterprise サービスと組み合わせると、Google Cloud リソースに対する詳細なアクセス制御を実現できます。
Endpoint Verification の仕組み
Endpoint Verification は Chrome 拡張機能で構成されていますが、Linux デバイスや、Chrome 80 以降を使用していない Mac や Windows デバイスにはネイティブ ヘルパーアプリも必要です。Chrome OS デバイスに必要なのは Chrome 拡張機能だけです。
G Suite Google 管理コンソールで有効にすると、Endpoint Verification Chrome 拡張機能を企業のデバイスにデプロイできます。従業員は管理対象外の個人のデバイスにもインストールできます。この拡張機能は Google Cloud と常に同期し、デバイス情報を収集して報告します。
Endpoint Verification は、Chrome 拡張機能から収集した詳細情報を使用して、Chrome OS と Chrome ブラウザを実行し、組織のデータにアクセスするデバイスのインベントリを作成します。たとえば、従業員が Endpoint Verification 拡張機能をインストールすると、Endpoint Verification は、従業員が Google Cloud リソースへのアクセスに使用したデバイスに関する情報を入力します。管理者であるユーザーは、暗号化ステータス、OS、ユーザーの詳細などの情報を確認できます。
収集されたデバイス情報
次の表は、企業のリソースにアクセスするデバイスから収集されたプロパティと属性を示しています。
デバイスのプロパティ
カテゴリ | プロパティ名 | 説明 | サポートされるデバイス |
デバイスのコンプライアンス | ステータス | デバイスの管理ステータス: [承認済み] または不明 |
|
ユーザーの詳細 | 名前 | ユーザーの名前 |
|
ユーザーのメール ID とエイリアス |
|
||
ポリシーのプロファイル | 最初の同期 | ユーザーがそのデバイスで初めて企業データを同期した日時 |
|
最終同期 | 最も新しい同期の日時 |
|
|
デバイスのパスワードのステータス | デバイスに画面ロックのパスワードが設定されているかどうか
注: このプロパティでは、デバイスにその他の種類のパスワード(Mac のファームウェア パスワードなど)が設定されているかどうかは確認できません。 |
|
|
暗号化ステータス | デバイスが暗号化されているかどうか |
|
|
デバイスのプロパティ | デバイス ID | ユーザーのデバイスに関連付けられた一意の番号 |
|
シリアル番号 | デバイスのシリアル番号 |
|
|
型 | デバイスの製造元 |
|
|
OS | オペレーティング システムの名前 |
|
|
確認済みアクセス | Chrome OS が組織のポリシーを遵守しているかどうかを示す 関連トピック: |
Chrome OS
|
BeyondCorp Enterprise
Endpoint Verification は、Google Cloud、オンプレミスのアプリとリソース、Google ワークスペース アプリを保護するための BeyondCorp Enterprise アプローチの一部です。エンドポイント アクセスによって収集された属性は、Google Cloud や Google Workspace リソースへのアクセスを制御するために Access Context Manager で使用することもできます。
Access Context Manager は、エンドポイントの確認によって収集されたデバイス属性を参照し、アクセスレベルによってきめ細かいアクセス制御を実施します。また、個々のデバイスにタグを付けることや会社所有デバイスをマークすることもできます。
手動でのタグ付けは、デバイスの承認が必要なデバイスのアクセスレベルを作成することによって適用されます。会社所有のデバイスは、会社所有デバイスを必要とするデバイスのアクセスレベルを作成することによって適用されます。