辦公安全平台SASE(Secure Access Service Edge)提供安全用戶端,用於將企業辦公終端上網流量引流到最近的阿里雲SASE服務節點。未安裝安全用戶端的辦公終端將無法受到零信任策略的管控。本文介紹如何設定賬戶資訊、配置白名單、配置訊息推送以及如何安裝和配置自訂SASE安全用戶端。
背景資訊
企業員工在終端裝置中安裝SASE安全用戶端後,企業管理員可以在終端列表中查看已安裝安全用戶端的裝置總數和終端裝置的詳細資料,也可以通過終端列表及時瞭解未安裝安全用戶端的使用者和裝置情況。更多內容,請參見查看終端列表。
企業員工成功登入SASE安全用戶端後,對應的辦公終端的上網流量會經過SASE轉寄,並由SASE檢測和管控該終端的互連網訪問行為。
設定賬戶資訊
設定賬戶頁簽包含設定企業認證標識、設定賬戶到期時間、設定賬戶到期策略三個部分,具體介紹如下。
登入辦公安全平台控制台。
在左側導覽列,單擊設定。
在賬戶設定頁簽,配置如下資訊。
設定企業認證標識
其中企業認證標識是您企業員工成功登入SASE安全用戶端前的重要憑證。建議您使用企業名稱等方便企業辦公終端使用者記憶的資訊作為企業認證標識。終端使用者首次登入SASE安全用戶端時,需要手動輸入該企業認證標識。
設定賬戶到期資訊
帳號到期時間設定
使用者終端裝置最近一次登入SASE安全用戶端,允許終端裝置開機後自動登入的時間範圍。如果超出設定的帳號到期時間,會返回到登入介面,使用者需要重新輸入帳號和密碼才能登入SASE安全用戶端。
帳號到期原則設定
立即認證
帳號到期後,SASE安全用戶端登入狀態立即登出,需企業員工重新輸入帳號及密碼認證。該配置以安全性原則優先,可能會導致辦公中斷。
網路切換時認證
帳號到期後,SASE安全用戶端狀態不會立即登出,在下一次喚醒電腦或者切換網路連接時,需企業員工重新輸入帳號及密碼認證。該配置以使用者體驗優先,不會中斷辦公。
配置白名單
當您確認訪問的內網應用、公網網站的行為以及外發的檔案、外接的裝置、浮水印資訊是安全的,並且不需要SASE對訪問該網站的行為進行管理和審計時,可通過配置白名單來實現。以下操作為您介紹如何為網站配置白名單。
登入辦公安全平台控制台。
在左側導覽列,單擊設定。
在白名單頁簽,配置內網訪問白名單或者辦公資料保護白名單。
配置內網訪問白名單
在內網訪問頁簽,為指定網站添加白名單。
SASE為指定網站添加白名單時可以通過如下兩種方式:
IP白名單:添加網站的IP或者IP段,可添加多個IP或者IP段。
網域名稱白名單:添加網站的網域名稱或者萬用字元網域名稱(泛網域名稱),可添加多個網域名稱或者萬用字元網域名稱。
單擊提交。
白名單添加完成後,企業使用者可以直接存取白名單中的內網應用。
配置辦公資料保護白名單
在辦公資料保護頁簽,為指定檔案、外接裝置或者浮水印添加白名單。
SASE支援配置以下幾類白名單,配置時多個使用者需要以英文逗號隔開:
檔案外發檢測白名單
外設管控白名單
浮水印白名單
單擊提交。
白名單添加完成後,SASE不再對白名單使用者的行為進行管控或攔截。
配置訊息推送
如果您需要及時瞭解終端使用者的登入日誌、註冊終端資訊、卸載用戶端以及禁用軟體的使用申請,您可以配置訊息推送功能。配置成功後,您關注的終端使用者訊息會依賴DingTalk、企業微信、飛書的機器人,自動將訊息推送到您的企業群,方便您隨時跟進流程。
您在配置SASE訊息推送前,需要先建立DingTalk、企業微信或者飛書的自訂機器人。
關於如何建立DingTalk自訂機器人並擷取webhook和webhook密鑰,請參見DingTalk自訂機器人。
關於如何建立企業微信自訂機器人並擷取webhook,請參見企業微信群自訂機器人。
關於如何建立飛書自訂機器人並擷取webhook和webhook密鑰,請參見飛書自訂機器人。
登入辦公安全平台控制台。
在左側導覽列,單擊設定。
在訊息推送頁簽,單擊建立模板。
在建立模板面板,根據您的資料來源配置訊息推送。
配置項
說明
通知來源
DingTalk機器人
企業微信機器人
飛書機器人
機器人配置
DingTalkwebhook
樣本值:https://oapi.dingtalk.com/robot/send?access_token=****
webhook密鑰
樣本值:123456
企業微信webhook
樣本值:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****
飛書webhook
樣本值:https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d****
webhook密鑰
樣本值:123456
訊息類型
支援的訊息類型如下,可多選。
用戶端日誌上報通知
用戶端超額註冊通知
用戶端卸載申請通知
違規軟體使用申請
連接器異常通知
單擊連通性測試。當提示框顯示連通性測試成功,再單擊確定。
如果您後續需要修改或者刪除模板,可以在訊息推送頁簽,單擊編輯或者刪除。
重要刪除訊息推送模板後,SASE無法自動將訊息推送到您的企業群,請謹慎操作。
配置用戶端元素
SASE支援定製化的安全用戶端,您可以更換中文版和英文版安全用戶端的LOGO、背景圖片、宣傳文案。以下以中文版配置為例,為您介紹如何配置自訂安全用戶端。
登入辦公安全平台控制台。
在左側導覽列,單擊設定。
在企業元素頁簽,您可以定製用戶端元素或者用戶端下載頁元素。
下載SASE安全用戶端(SASE App)
登入辦公安全平台控制台。
在左側導覽列,單擊設定。
在用戶端下載頁簽,根據介面提示下載用戶端安裝包。
目前支援PC端下載、移動端下載和企業指定版本。
解壓下載的用戶端安裝包,雙擊安裝程式setup.exe,啟動安全用戶端安裝。
安裝完成後,企業員工終端裝置案頭會出現SASE安全用戶端的表徵圖。
升級SASE安全用戶端(SASE App)
登入辦公安全平台控制台。
在左側導覽列,單擊設定。
在用戶端升級頁簽,選擇您伺服器的作業系統。
在不同作業系統的頁簽下,選擇要下載的SASE App版本,單擊操作列下載,根據介面提示下載安裝包。
如果您需要給企業員工推送升級任務,可以單擊推送升級,添加升級任務,然後單擊確定。
支援自訂升級比例,按照生效使用者組內員工名下的終端總數,按照比例進行隨機的升級。
