本文說明端點驗證功能從存取貴機構資源的裝置收集的裝置屬性詳細資料。端點驗證會收集裝置屬性、裝置身分屬性、可設定的裝置屬性和 Chrome 瀏覽器屬性。
裝置屬性
下表說明端點驗證收集的屬性,可用於建立存取層級。
| 屬性名稱 | 說明 | 支援的作業系統 | 在 CEL 運算式中使用屬性的範例 |
is_secured_with_screenlock |
布林值,指出裝置是否已啟用螢幕鎖定功能。 |
|
device.is_secured_with_screenlock == true |
encryption_status |
裝置的加密狀態。可能的值包括:
|
|
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED |
os_type |
裝置執行的作業系統。 可能的值包括:
|
|
device.os_type == OsType.DESKTOP_MAC |
os_version |
裝置上執行的作業系統版本。 |
|
|
verified_chrome_os |
布林值,指出要求是否來自通過驗證的 ChromeOS 裝置。 | ChromeOS (僅限企業註冊的裝置) | device.verified_chrome_os == true |
model |
裝置型號。 |
|
device.model == "MacBookPro16,1" |
is_managed_browser_profile |
布林值,指出與裝置相關聯的 Chrome 內容區域帳戶是否與 Chrome 設定檔帳戶相符。 |
|
device.is_managed_browser_profile == true |
certificates |
與裝置相關聯的憑證屬性。例如企業憑證。 |
|
device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT") |
windows_domain_name |
Windows 電腦的網域名稱。 | Windows | device.clients["bce"].data["windows_domain_name"] == "GOOGLE" |
is_os_native_firewall_enabled |
布林值,指出裝置是否已啟用作業系統的內建防火牆。 |
|
device.clients["bce"].data["is_os_native_firewall_enabled"] == true |
is_secure_boot_enabled |
布林值,指出裝置是否已啟用安全啟動選項。 | Windows | device.clients["bce"].data["is_secure_boot_enabled"] == true |
av_installed |
裝置上安裝的防毒軟體產品清單。 |
Windows | device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true |
av_enabled |
裝置上已安裝並啟用的防毒軟體產品清單。 |
Windows | device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true |
hotfixes |
Windows 系統上套用的修補程式清單。 |
Windows | device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true |
裝置身分屬性
下表說明端點驗證收集的屬性,可用於識別裝置。這些屬性無法用於建立存取層級。
| 屬性名稱 | 說明 | 支援的作業系統 |
| 序號 | 裝置的序號。 |
|
| 主機名稱 | 裝置的主機名稱。 |
|
| 裝置 ID | 與裝置相關聯的專屬識別號碼。 |
|
| Wi-Fi MAC 位址 | 裝置的 MAC 位址。 |
|
可設定的裝置屬性
端點驗證提供收集精細裝置屬性的選項,稱為「可設定的裝置屬性」,例如檔案、資料夾和二進位檔的中繼資料屬性、登錄項目,以及 plist 中的屬性。您可以使用這些裝置設定屬性建立存取層級。
這個選項預設為停用。如要收集這些可設定的精細裝置屬性,請設定端點驗證設定。
下表說明檔案、資料夾和二進位屬性。
| 屬性名稱 | 說明 | 支援的作業系統 | 在 CEL 運算式中使用屬性的範例 |
presence |
指出檔案、資料夾或二進位檔是否存在。可能的值包括:
|
|
device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND |
is_running |
指出二進位檔是否正在執行。檔案或資料夾一律為 false。 |
|
device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true |
sha256_hash |
提供檔案或二進位檔的 SHA-256 雜湊值。資料夾一律為空字串。 |
|
device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == " |
public_key_sha256 |
提供用於簽署可執行檔的公開金鑰 SHA-256 雜湊值清單。如果是檔案或資料夾,這項屬性一律為空白字串。 |
|
device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == " |
product_name |
可執行檔的產品名稱。如果是檔案或資料夾,這個值一律為空白字串。 |
|
device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value" |
version |
可執行檔的產品版本。檔案或資料夾一律為空白字串。 |
|
device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value" |
下表說明根據登錄項目和 plist 屬性列出的屬性。
| 屬性名稱 | 說明 | 支援的作業系統 | 在 CEL 運算式中使用屬性的範例 |
presence |
表示登錄或 plist 項目是否存在。可能的值包括:
|
|
|
value |
提供儲存在登錄或 plist 中的資料。可能的值包括:
字串長度上限為 1024 個位元組。 |
|
|
Chrome 瀏覽器屬性
Chrome 瀏覽器是 Chrome Enterprise 進階版的零信任端點平台,可為企業提供隨處辦公的支援和保護。Chrome Enterprise 進階版與 Chrome 瀏覽器原生整合,提供集中式安全政策管理、無代理程式端點防護,以及整合式零信任存取權。
Chrome Enterprise 進階版提供下列端點安全防護功能:
- 資料保護:防止在檔案傳輸和瀏覽器上傳內容時,洩漏機密資料 (例如個人身分識別資訊)。
- 威脅防護:透過信譽、簽章和雲端沙箱,防範惡意軟體轉移。
- 企業分析:針對惡意軟體轉移、造訪網路釣魚網站、憑證遭竊或機密資料轉移等安全事件,提供分析和調查結果。
為確保使用者從安全環境存取資源,您可以設定零信任政策,確保使用者瀏覽器環境已啟用這些威脅和資料保護功能。
重要事項:Chrome 屬性只適用於瀏覽器流量,如果要求不是來自瀏覽器 (例如來自 gcloud CLI 或 Google Cloud SDK 的要求),這些屬性就不會生效。
下表說明端點驗證收集的 Google Chrome 瀏覽器屬性,可用於建立存取層級:
| 屬性名稱 | 說明 | 支援的作業系統 | 在 CEL 運算式中使用屬性的範例 |
versionAtLeast(min_version) |
Chrome 瀏覽器的最低版本。 |
|
device.chrome.versionAtLeast("88.0.4321.44") |
management_state |
裝置瀏覽器的管理狀態。 如果瀏覽器已註冊 Chrome 瀏覽器雲端管理,即視為受管理。可能的值包括:
|
|
device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN |
is_file_upload_analysis_enabled |
這個布林值可指明裝置是否已啟用檔案上傳分析連接器。 |
|
device.chrome.is_file_upload_analysis_enabled == true | false |
is_file_download_analysis_enabled |
布林值,指出裝置是否已啟用檔案下載分析連接器。 |
|
device.chrome.is_file_download_analysis_enabled == true | false |
is_bulk_data_entry_analysis_enabled |
布林值,指出裝置上是否已啟用大量文字 (貼上) 分析連接器。 |
|
device.chrome.is_bulk_data_entry_analysis_enabled == true | false |
is_security_event_analysis_enabled |
布林值,指出裝置是否已啟用安全性事件報告連接器。 |
|
device.chrome.is_security_event_analysis_enabled == true | false |
is_realtime_url_check_enabled |
布林值,指出裝置是否已啟用即時網址檢查連接器。 |
|
device.chrome.is_realtime_url_check_enabled == true | false |
safe_browsing_protection_level |
瀏覽器的瀏覽保護機制等級政策。可能的值包括:
|
|
device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD |
is_site_isolation_enabled |
布林值,指出是否為所有網站啟用網站隔離功能。 |
|
device.chrome.is_site_isolation_enabled == true |
is_built_in_dns_client_enabled |
布林值,指出 Chrome 內建的 DNS 用戶端是否與 DNS 伺服器通訊。 |
|
device.chrome.is_built_in_dns_client_enabled == true |
password_protection_warning_trigger |
瀏覽器的密碼保護警告觸發條件政策。可能的值:
|
|
device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE |
is_chrome_remote_desktop_app_blocked |
指出是否封鎖 Chrome 遠端桌面遠端應用程式的布林值。 |
|
device.chrome.is_chrome_remote_desktop_app_blocked == true |
is_chrome_cleanup_enabled |
布林值,指出是否啟用 Chrome 清理工具。 | Windows | device.chrome.is_chrome_cleanup_enabled == true |
is_third_party_blocking_enabled
|
表示是否啟用第三方軟體插入封鎖功能的布林值。 | Windows | device.chrome.is_third_party_blocking_enabled == true |
下表列出您可以設定的政策範例:
| 範例政策 | 運算式 |
|---|---|
| 僅允許使用者透過完整管理的 Chrome 瀏覽器存取,而非僅透過受管理的 Chrome 設定檔存取。透過完整管理的 Chrome 瀏覽器完成驗證後,使用者也可以使用 Google Cloud CLI 存取資源。 | device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
|
| 只有在啟用下載內容分析功能時,才允許存取資源,確保管理員可以偵測到敏感內容下載作業。 | device.chrome.is_file_download_analysis_enabled == true
|
| 只有在瀏覽器啟用威脅和資料保護功能時,才允許存取內容。 | device.chrome.is_file_download_analysis_enabled == true &&
device.chrome.is_file_upload_analysis_enabled == true &&
device.chrome.is_realtime_url_check_enabled == true
|
| 只有在啟用安全性事件回報功能時,才允許存取內容。 | device.chrome.is_security_event_analysis_enabled == true
|