端點驗證收集的裝置屬性

本文說明端點驗證從存取貴機構資源的裝置收集的裝置屬性詳細資料。端點驗證會收集裝置屬性裝置身分屬性可設定的裝置屬性Chrome 瀏覽器屬性

裝置屬性

下表說明端點驗證收集的屬性,可用於建立存取層級。

屬性名稱 說明 支援的作業系統 CEL 運算式中使用屬性的範例
is_secured_with_screenlock 布林值,指出裝置是否已啟用螢幕鎖定功能。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.is_secured_with_screenlock == true
encryption_status

裝置的加密狀態。可能的值包括:

  • ENCRYPTION_UNSPECIFIED = 0 表示裝置的加密狀態未指定或不明。
  • ENCRYPTION_UNSUPPORTED = 1 表示裝置不支援加密。
  • ENCRYPTION_UNENCRYPTED = 2 表示裝置支援加密,但未加密。
  • ENCRYPTED = 3 表示裝置已加密。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.encryption_status == DeviceEncryptionStatus.ENCRYPTED
os_type

裝置執行的作業系統。 可能的值包括:

  • OS_UNSPECIFIED = 0 表示裝置的作業系統未指定或不明。
  • DESKTOP_MAC = 1
  • DESKTOP_WINDOWS = 2
  • DESKTOP_LINUX = 3
  • DESKTOP_CHROME_OS = 6
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.os_type == OsType.DESKTOP_MAC
os_version 裝置執行的作業系統版本。
  • macOS
  • ChromeOS
  • Windows
  • Linux
  • device.os_version == "MacOS 13.4.0"
  • device.os_version == "ChromeOs 14541.0.0"
  • device.os_version == "Windows 10.0.19045"
  • device.os_version == "Linux rodete"
verified_chrome_os 布林值,指出要求是否來自通過驗證的 ChromeOS 裝置。 ChromeOS (僅限企業註冊的裝置) device.verified_chrome_os == true
model 裝置型號。
  • macOS
  • Windows
  • Linux
 device.model == "MacBookPro16,1"
is_managed_browser_profile 布林值,表示與裝置相關聯的 Chrome 內容區域帳戶是否與 Chrome 設定檔帳戶相符。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.is_managed_browser_profile == true
certificates 與裝置相關聯的憑證屬性。 例如企業憑證
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT")
windows_domain_name Windows 電腦的網域名稱。 Windows device.clients["bce"].data["windows_domain_name"] == "GOOGLE"
is_os_native_firewall_enabled 布林值,指出裝置是否已啟用作業系統的內建防火牆。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.clients["bce"].data["is_os_native_firewall_enabled"] == true
is_secure_boot_enabled 布林值,指出裝置是否已啟用安全啟動選項。 Windows device.clients["bce"].data["is_secure_boot_enabled"] == true
av_installed 裝置上安裝的防毒軟體產品清單。 Windows device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true
av_enabled 裝置上已安裝並啟用的防毒軟體產品清單。 Windows device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true
hotfixes Windows 系統上套用的修補程式清單。 Windows device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true

裝置身分屬性

下表說明端點驗證收集的屬性,可用於識別裝置。這些屬性無法用於建立存取層級。

屬性名稱 說明 支援的作業系統
序號 裝置的序號。
  • macOS
  • ChromeOS (僅限企業註冊的裝置)
  • Windows
  • Linux
主機名稱 裝置的主機名稱。
  • macOS
  • Windows
  • Linux
裝置 ID 與裝置相關聯的專屬識別號碼。
  • macOS
  • Windows
  • Linux
Wi-Fi MAC 位址 裝置的 MAC 位址。
  • macOS
  • ChromeOS
  • Windows
  • Linux

可設定的裝置屬性

端點驗證功能提供選項,可收集稱為「可設定的裝置屬性」的精細裝置屬性,例如檔案、資料夾和二進位檔的中繼資料屬性、登錄項目,以及 plist 中的屬性。您可以使用這些裝置設定屬性建立存取層級。

這個選項預設為停用。如要收集這些可設定的細部裝置屬性,請設定端點驗證設定

下表說明檔案、資料夾和二進位檔屬性。

屬性名稱 說明 支援的作業系統 CEL 運算式中使用屬性的範例
presence

指出檔案、資料夾或二進位檔是否存在。可能的值包括:

  • VALUE_UNKNOWN = 0 表示由於評估前發生失敗,因此系統無法判斷是否存在。
  • VALUE_INACCESSIBLE = 1 表示機構無法存取信號的資源。
  • VALUE_NOT_FOUND = 2 表示找不到資源。
  • VALUE_FOUND = 3 表示已找到資源。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
is_running 指出二進位檔是否正在執行。檔案或資料夾一律為 false。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true
sha256_hash

提供檔案或二進位檔的 SHA-256 雜湊值。如果是資料夾,這個值一律為空字串。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == ""
public_key_sha256

提供用於簽署可執行檔的公開金鑰 SHA-256 雜湊值清單。如果是檔案或資料夾,這個值一律為空白字串。
  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == "")
product_name

可執行檔的產品名稱。檔案或資料夾的這項屬性一律為空白字串。
  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value"
version

可執行檔的產品版本。檔案或資料夾的這項值一律為空白字串。

  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value"

下表說明根據登錄項目和 plist 屬性得出的屬性。

屬性名稱 說明 支援的作業系統 CEL 運算式中使用屬性的範例
presence

表示登錄或 plist 項目是否存在。可能的值包括:

  • VALUE_UNKNOWN = 0 表示由於評估前發生失敗,因此系統無法判斷是否存在。
  • VALUE_INACCESSIBLE = 1 表示機構無法存取信號的資源。
  • VALUE_NOT_FOUND = 2 表示找不到資源。
  • VALUE_FOUND = 3 表示已找到資源。
  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
  • device.clients["bce"].data["plist_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
value

提供儲存在登錄或 plist 中的資料。可能的值包括:

  • macOS:NSStringNSNumber
  • Windows:REG_SZREG_DWORDREG_QWORD

字串長度上限為 1024 個位元組。
  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["value"] == <"string value"|boolean|double|int>
  • device.clients["bce"].data["plist_config"]["config_name"]["value"] == <"string value"|boolean|double|int>

Chrome 瀏覽器屬性

下表說明端點驗證收集的 Google Chrome 瀏覽器屬性,可用於建立存取層級:

屬性名稱 說明 支援的作業系統 CEL 運算式中使用屬性的範例
versionAtLeast(min_version) Chrome 瀏覽器的最低版本。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.versionAtLeast("88.0.4321.44")
management_state

裝置瀏覽器的管理狀態。 如果瀏覽器已註冊 Chrome 瀏覽器雲端管理,即視為受管理。可能的值包括:

  • CHROME_MANAGEMENT_STATE_UNSPECIFIED = 0 表示裝置的管理狀態未指定或不明。
  • CHROME_MANAGEMENT_STATE_UNMANAGED = 1 表示瀏覽器或設定檔未受任何機構管理。
  • CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN = 2 表示瀏覽器受到管理,但管理機構並非貴機構。
  • CHROME_MANAGEMENT_STATE_PROFILE_MANAGED = 3 表示瀏覽器未受管理,但設定檔是由機構管理。
  • CHROME_MANAGEMENT_STATE_BROWSER_MANAGED = 4 表示瀏覽器和設定檔是由機構管理。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN
is_file_upload_analysis_enabled 這個布林值表示裝置是否已啟用檔案上傳分析連接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_file_upload_analysis_enabled == true
is_file_download_analysis_enabled 這個布林值表示裝置是否已啟用檔案下載分析連接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_file_download_analysis_enabled == true
is_bulk_data_entry_analysis_enabled 布林值,指出裝置是否已啟用大量文字 (貼上) 分析連接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_bulk_data_entry_analysis_enabled == true
is_security_event_analysis_enabled 這個布林值表示裝置是否已啟用安全性事件報告連接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_security_event_analysis_enabled == true
is_realtime_url_check_enabled 這個布林值表示裝置是否已啟用即時網址檢查連接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_realtime_url_check_enabled == true
safe_browsing_protection_level

瀏覽器的瀏覽保護機制等級政策。可能的值包括:

  • SAFE_BROWSING_LEVEL_UNSPECIFIED = 0 表示裝置未設定瀏覽器保護層級政策。
  • SAFE_BROWSING_LEVEL_DISABLED = 1 表示裝置已停用瀏覽器防護等級政策,因此無法防範危險的網站、下載內容和擴充功能。
  • SAFE_BROWSING_LEVEL_STANDARD = 2 表示裝置受到保護,可防範已知的危險網站、下載內容和擴充功能。
  • SAFE_BROWSING_LEVEL_ENHANCED = 3
    • 表示裝置會主動防範危險的網站、下載內容和擴充功能。
  • Mac
  • ChromeOS
  • Windows
  • Linux
 device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD
is_site_isolation_enabled 布林值,指出是否為所有網站啟用網站隔離功能。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_site_isolation_enabled == true
is_built_in_dns_client_enabled 這個布林值表示 Chrome 內建的 DNS 用戶端是否與 DNS 伺服器通訊。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_built_in_dns_client_enabled == true
password_protection_warning_trigger

瀏覽器的密碼保護警告觸發條件政策。可能的值:

  • PASSWORD_PROTECTION_TRIGGER_UNSPECIFIED = 0 表示密碼保護警告觸發條件政策未設定。
  • PASSWORD_PROTECTION_TRIGGER_PROTECTION_OFF = 1 表示系統一律不會偵測密碼重複使用情形。
  • PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE = 2 表示當使用者在未經允許的網站重複使用受保護的密碼時,系統會顯示警告訊息。
  • PASSWORD_PROTECTION_TRIGGER_PHISHING_REUSE = 3 表示當使用者在網路釣魚網站上重複使用受保護的密碼時,系統會顯示警告訊息。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE
is_chrome_remote_desktop_app_blocked 指出是否封鎖 Chrome 遠端桌面遠端應用程式的布林值。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_chrome_remote_desktop_app_blocked == true
is_chrome_cleanup_enabled 指出是否啟用 Chrome 清理工具的布林值。 Windows device.chrome.is_chrome_cleanup_enabled == true
is_third_party_blocking_enabled 表示是否啟用第三方軟體插入封鎖功能的布林值。 Windows device.chrome.is_third_party_blocking_enabled == true

後續步驟