办公安全平台SASE(Secure Access Service Edge)提供安全客户端,用于将企业办公终端上网流量引流到最近的阿里云SASE服务节点。未安装安全客户端的办公终端将无法受到零信任策略的管控。本文介绍如何设置账户信息、配置白名单、配置消息推送以及如何安装和配置自定义SASE安全客户端。
背景信息
企业员工在终端设备中安装SASE安全客户端后,企业管理员可以在终端列表中查看已安装安全客户端的设备总数和终端设备的详细信息,也可以通过终端列表及时了解未安装安全客户端的用户和设备情况。更多内容,请参见查看终端列表。
企业员工成功登录SASE安全客户端后,对应的办公终端的上网流量会经过SASE转发,并由SASE检测和管控该终端的互联网访问行为。
设置账户信息
设置账户页签包含设置企业认证标识、设置账户过期时间、设置账户过期策略三个部分,具体介绍如下。
登录办公安全平台控制台。
在左侧导航栏,单击设置。
在账户设置页签,配置如下信息。
设置企业认证标识
其中企业认证标识是您企业员工成功登录SASE安全客户端前的重要凭证。建议您使用企业名称等方便企业办公终端用户记忆的信息作为企业认证标识。终端用户首次登录SASE安全客户端时,需要手动输入该企业认证标识。
设置账户过期信息
账号过期时间设置
用户终端设备最近一次登录SASE安全客户端,允许终端设备开机后自动登录的时间范围。如果超出设定的账号过期时间,会返回到登录界面,用户需要重新输入账号和密码才能登录SASE安全客户端。
账号过期策略设置
立即认证
账号到期后,SASE安全客户端登录状态立即注销,需企业员工重新输入账号及密码认证。该配置以安全策略优先,可能会导致办公中断。
网络切换时认证
账号到期后,SASE安全客户端状态不会立即注销,在下一次唤醒电脑或者切换网络连接时,需企业员工重新输入账号及密码认证。该配置以用户体验优先,不会中断办公。
配置白名单
当您确认访问的内网应用、公网网站的行为以及外发的文件、外接的设备、水印信息是安全的,并且不需要SASE对访问该网站的行为进行管理和审计时,可通过配置白名单来实现。以下操作为您介绍如何为网站配置白名单。
登录办公安全平台控制台。
在左侧导航栏,单击设置。
在白名单页签,配置内网访问白名单或者办公数据保护白名单。
配置内网访问白名单
在内网访问页签,为指定网站添加白名单。
SASE为指定网站添加白名单时可以通过如下两种方式:
IP白名单:添加网站的IP或者IP段,可添加多个IP或者IP段。
域名白名单:添加网站的域名或者通配符域名(泛域名),可添加多个域名或者通配符域名。
单击提交。
白名单添加完成后,企业用户可以直接访问白名单中的内网应用。
配置办公数据保护白名单
在办公数据保护页签,为指定文件、外接设备或者水印添加白名单。
SASE支持配置以下几类白名单,配置时多个用户需要以英文逗号隔开:
文件外发检测白名单
外设管控白名单
水印白名单
单击提交。
白名单添加完成后,SASE不再对白名单用户的行为进行管控或拦截。
配置消息推送
如果您需要及时了解终端用户的登录日志、注册终端信息、卸载客户端以及禁用软件的使用申请,您可以配置消息推送功能。配置成功后,您关注的终端用户消息会依赖钉钉、企业微信、飞书的机器人,自动将消息推送到您的企业群,方便您随时跟进流程。
您在配置SASE消息推送前,需要先创建钉钉、企业微信或者飞书的自定义机器人。
关于如何创建钉钉自定义机器人并获取webhook和webhook密钥,请参见钉钉自定义机器人。
关于如何创建企业微信自定义机器人并获取webhook,请参见企业微信群自定义机器人。
关于如何创建飞书自定义机器人并获取webhook和webhook密钥,请参见飞书自定义机器人。
登录办公安全平台控制台。
在左侧导航栏,单击设置。
在消息推送页签,单击创建模板。
在创建模板面板,根据您的数据来源配置消息推送。
配置项
说明
通知来源
钉钉机器人
企业微信机器人
飞书机器人
机器人配置
钉钉webhook
示例值:https://oapi.dingtalk.com/robot/send?access_token=****
webhook密钥
示例值:123456
企业微信webhook
示例值:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****
飞书webhook
示例值:https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d****
webhook密钥
示例值:123456
消息类型
支持的消息类型如下,可多选。
客户端日志上报通知
客户端超额注册通知
客户端卸载申请通知
违规软件使用申请
连接器异常通知
单击连通性测试。当提示框显示连通性测试成功,再单击确定。
如果您后续需要修改或者删除模板,可以在消息推送页签,单击编辑或者删除。
重要删除消息推送模板后,SASE无法自动将消息推送到您的企业群,请谨慎操作。
配置客户端元素
SASE支持定制化的安全客户端,您可以更换中文版和英文版安全客户端的LOGO、背景图片、宣传文案。以下以中文版配置为例,为您介绍如何配置自定义安全客户端。
登录办公安全平台控制台。
在左侧导航栏,单击设置。
在企业元素页签,您可以定制客户端元素或者客户端下载页元素。
下载SASE安全客户端(SASE App)
登录办公安全平台控制台。
在左侧导航栏,单击设置。
在客户端下载页签,根据界面提示下载客户端安装包。
目前支持PC端下载、移动端下载和企业指定版本。
解压下载的客户端安装包,双击安装程序setup.exe,启动安全客户端安装。
安装完成后,企业员工终端设备桌面会出现SASE安全客户端的图标。
升级SASE安全客户端(SASE App)
登录办公安全平台控制台。
在左侧导航栏,单击设置。
在客户端升级页签,选择您服务器的操作系统。
在不同操作系统的页签下,选择要下载的SASE App版本,单击操作列下载,根据界面提示下载安装包。
如果您需要给企业员工推送升级任务,可以单击推送升级,添加升级任务,然后单击确定。
支持自定义升级比例,按照生效用户组内员工名下的终端总数,按照比例进行随机的升级。
