Cloud Identity 免费版和专业版均提供此功能。版本对比
如果有运行 ChromeOS 或 Chrome 浏览器的设备访问贵组织的数据,管理员可以通过端点验证来获取相应设备的详细信息,例如个人设备和组织自有设备的操作系统、设备类型以及用户。此外,您还可以根据设备的位置、安全状态或其他属性,利用情境感知访问权限 (CAA) 来控制是否允许设备访问数据。例如,您可以选择设备需要获得批准,然后创建 CAA 政策,在设备状态为待审批或已屏蔽时禁止设备访问数据。
支持的计算机
- Apple Mac OS X El Capitan (10.11) 及更高版本
- 搭载 ChromeOS 110 及更高版本的设备
- Linux Debian 和 Ubuntu
注意:CPU 必须支持 AES 指令。 - Microsoft Windows 10 和 11
设置端点验证
第 1 步:在管理控制台中启用端点验证通常情况下,端点验证功能会默认处于启用状态。如果您停用了此功能,请重新启用。
准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门。
-
-
在管理控制台中,依次点击“菜单”图标 设备移动设备和端点设置通用。
-
依次点击数据访问权限 端点验证。
- (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- 勾选监控有哪些设备在访问组织数据复选框。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
方法 1:让用户自行安装该扩展程序
对于 Linux、Mac 和 Windows 设备,用户可以自行安装该扩展程序。有关详情和用户操作步骤,请参阅在计算机上设置端点验证。
方法 2:在管理控制台中强制安装该扩展程序
准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门。
-
-
在管理控制台中,依次点击“菜单”图标 设备Chrome应用和扩展程序用户和浏览器。
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标 Chrome 浏览器应用和扩展程序用户和浏览器。
- (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- 点击“添加”图标 “按 ID 添加 Chrome 应用或扩展程序”图标 。
- 在扩展程序 ID 字段中输入 callobklhcbilhphinckomhgkigmfocg。请复制该代码,以免出错。
- 将来自 Chrome 应用商店保持为选中状态,然后点击保存。
- 系统会随即打开应用选项面板,请在其中的证书管理部分执行以下操作:
- 点击允许访问密钥旁边的“启用”图标 。
- 点击允许使用企业验证功能旁边的“启用”图标 。
- 关闭面板。
- 在应用列表中,点击“Endpoint Verification”行中的向下箭头 ,然后选择安装政策:
- 如要在运行 ChromeOS 的设备上强制安装该扩展程序并将其固定到浏览器工具栏上,请选择强制安装 + 固定到浏览器工具栏。
- 要强制安装该扩展程序,请选择强制安装。
- 要允许用户自行安装该扩展程序,请选择允许安装。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
方法 3:使用政策将该扩展程序添加到受管设备上
Mac、Windows 和 Linux 设备
准备工作
- (Linux 和 Windows)如果设备已注册端点验证且不需要帮助程序应用,请勿安装此应用。安装该应用可能会阻止设备向服务器报告数据。如果设备未报告数据,请让用户按照相应步骤卸载帮助程序应用,然后前往本页稍后介绍的第 4 步。
- 如果用户已安装端点验证扩展程序,系统会在需要时自动提示他们安装帮助程序应用。您可以跳过此步骤,直接进入第 4 步。
- 如果您使用的是客户端证书身份验证,请确保设备用正确的证书连接到受保护的服务,例如内部网站。该帮助程序应用会创建自签名证书,供 Chrome 浏览器内部使用。如果将自签名证书用于客户端证书请求,连接会遭拒绝。请采用以下一种或两种方法:
- 在服务器上,为客户端证书请求设置有效的 CA 名称列表。
- 设置 AutoSelectCertificateForUrls Chrome 政策,以选择受信任的证书。
安装帮助程序应用
您必须安装端点验证帮助程序应用,才能执行以下任务:
- 设置 CrowdStrike Falcon Zero Trust Assessment (Falcon ZTA) 集成。了解详情
- 为 Google Cloud 资源设置基于证书的访问权限。了解详情
- 从使用 Chrome 浏览器 M92 或更低版本的设备收集设备属性。了解详情
如要在您自己或他人的计算机上安装帮助程序应用,请执行以下操作:
端点验证问题排查
如果用户遇到问题,他们或许可以自行解决。有关详情,请参阅面向用户的端点验证问题排查。
如果 Mac 设备未在管理控制台中报告密码状态,请确保已安装端点验证帮助程序应用。
如果安装了帮助程序应用的设备无法在 Chrome 浏览器中访问受到保护的网站,请确保这些设备使用正确的证书进行连接。您可以采用以下任一方法或两种方法并用:
- 在服务器上,为客户端证书请求设置有效的 CA 名称列表。
- 设置 AutoSelectCertificateForUrls Chrome 政策,以选择受信任的证书。
如果文中的解决方案均不起作用,您可以联系 Google 支持团队。在与支持团队联系之前,我们建议您先让用户下载端点验证日志,以便支持专家可以更快地帮助他们解决问题。
查看未使用端点验证的用户名单
您可以获取未在设备上安装端点验证扩展程序的用户名单。如有需要,您可以发送电子邮件让他们进行安装。
-
-
依次点击“菜单”图标 设备 概览。
- 点击端点。
- 在设备列表的顶部,点击添加过滤条件。
- 选择排除:端点验证。
- 如要向未使用端点验证的用户发送电子邮件,请执行以下操作:
- 勾选每台设备旁边的复选框。
- 点击“向用户发送电子邮件”图标 。
系统会打开新的电子邮件窗口,其中的收件人字段会显示您选择的用户。
- 撰写电子邮件,然后点击发送。
停用端点验证
管理控制台中不会显示您停用端点验证后新添加的设备。您仍然可以查看之前监控的设备,但设备信息不会更新。
准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门。
-
-
在管理控制台中,依次点击“菜单”图标 设备移动设备和端点设置通用。
- 依次点击数据访问权限 端点验证。
- (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- 取消选中监控有哪些设备在访问组织数据对应的复选框。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
删除设备
设备一经删除,便不再同步工作数据,但系统不会从设备中移除任何信息。下次同步后,设备会重新添加到列表中,除非有情境感知访问权限政策的屏蔽。如果访问权限被政策屏蔽,设备可能需要获得批准才能重新同步数据。
-
-
依次点击“菜单”图标 设备 概览。
- 点击端点。
- 选择您要移除的设备,然后点击删除。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。