本文介绍如何查看企业所有办公终端上安装的软件信息、配置并查看禁用软件以及审核员工提交的禁用软件申请。
软件统计
软件统计功能为您全面地、直观地展示企业所有办公终端上的软件安装情况。您可以在终端列表页面,单击终端名称查看安装的软件信息,具体步骤,请参见查看终端列表;也可以在软件统计页面按照如下步骤查看安装的软件信息。
登录办公安全平台控制台。
在左侧导航栏,选择。
在软件统计页签,查看安装的软件信息。
定位到目标软件信息,单击已安装终端数列的数字,在已安装终端明细面板,查看已安装该软件的所有终端信息。
单击操作列一键导入,可将目标软件添加至禁用软件列表。
软件禁用
您可以配置企业的禁用软件,实现企业员工办公时无法使用禁用软件,从而提升企业办公的安全性。配置企业禁用软件时,需要先配置软件类型,再创建指定类型下的软件,然后配置该软件的禁用策略。
当前SASE已为您内置了常用的即时通讯软件、云存储和云笔记以及P2P下载工具,您可以直接为这些内置的软件配置禁用策略。
添加软件类型
登录办公安全平台控制台。
在左侧导航栏,选择。
在软件禁用页签,配置软件类型。
在软件类型区域,单击添加。
在添加软件类型对话框,输入自定义软件类型名称,单击确定。
软件类型支持长度为1~128个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)和半角句号(.),且必须以中文字符、英文字母或者阿拉伯数字开头。
例如,本次配置的软件类型为即时通讯。
创建需禁用的软件
可根据实际需求选择以下任一方式:
软件列表中同步
单击创建软件,选择软件列表中同步页签,您可在搜索区域输入软件名称进行搜索或在列表区域中选择需要同步的目标软件。
单击确定,完成同步操作。
自定义软件
单击创建软件,在自定义软件页签,配置如下信息。配置完成后单击确定。
配置项 | 说明 |
软件名称 | 创建软件的名称。 长度为1~128个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)和半角句号(.),且必须以中文字符或者英文字母或者阿拉伯数字开头。 |
软件类型 | 展开下拉框,选择合适的软件类型。 单个禁用软件最多可配置10个软件类型。 |
终端系统 | 配置软件使用的终端系统、进程名称和安装目录。 终端系统包含Windows和macOS。进程名称与安装目录是一对一的关系,且最多允许添加20条数据。 |
配置软件禁用策略
若企业员工需使用禁用软件,可提交使用禁用软件申请。
单击禁用策略配置。在禁用策略配置页面,单击创建策略。在创建策略面板,配置如下信息,配置完成后单击确定。
配置项 | 说明 |
策略名称 | 策略的名称。 长度为1~128个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)和半角句号(.),且必须以中文字符或者英文字母或者阿拉伯数字开头。 |
策略动作 | 策略的动作。取值:
|
生效用户 | 策略生效的用户。
|
例外用户 | 例外的用户,即不受该策略管控范围内的用户。多个用户使用半角逗号(,)分隔。 |
禁用软件 | 禁用的软件。您可以选择按名称或者按类型设置。
|
策略状态 | 策略的启用状态。 |
优先级 | 策略的优先级。取值范围:0~99,数字越小表示优先级越高。 |
审批流配置 | 当存在禁用软件时,可以配置是否支持企业员工进行报备。 如果选择支持员工报备审批,您需要选择合适的审批流程。关于如何创建审批流程,请参见配置审批流程。 |
弹窗提示配置 | 设置拦截禁用软件的提示信息。支持设置中文和英文两种提示信息。 |
查看违规事件
查看违规事件趋势图、违规软件Top 5及对应的违规次数、违规员工Top 5及对应的违规次数。
如果您需要查看全部的禁用软件和违规员工信息,可以单击详情。
其他操作
查看违规软件详情
在违规软件页面,单击禁用软件列表右侧操作列的详情,展开详情面板,查看禁用软件的详细信息。
编辑禁用软件
在违规软件页面,单击禁用软件列表右侧操作列的编辑,可以修改禁用软件信息。
删除违规软件
如果企业确定目标软件已不属于禁用软件,单击禁用软件列表右侧操作列的删除,可以将改软件删除。删除后,员工使用该软件不会被统计为违规事件。
重要如果软件在禁用列表已存在,但实际程序未被禁用,请在详情面板中检查进程名称是否正确。
删除禁用软件前,需确保所有禁用策略中不涉及该软件,否则无法删除该禁用软件。
软件库
软件库为一个集中的软件管理平台。将企业内部使用的各类软件安装包上传至软件库,并统一配置软件的分类、可见范围及安装检测策略后,企业员工即可在SASE客户端的软件库中进行安装,也可由管理员通过软件分发功能将其推送到所有安装了SASE客户端的主机并自动进行安装。
软件管理
进入软件库页面,可执行如下操作:
添加软件
单击添加软件。在添加软件面板,配置如下信息,完成后单击确定。
配置项
说明
软件名称
设置软件的自定义名称。
软件描述
设置软件的描述信息。
软件分类
设置软件所属的分类。支持展开下拉框选择已有分类,或单击添加分类新增自定义分类。
上传LOGO
上传软件的图标。支持文件类型:png,jpg,jpeg,webp,大小不超过20M。
可见范围
指定用户组:仅指定用户组内的用户可见。
指定设备标签:仅具有指定标签的设备可见。
指定设备:仅指定的设备可见。
全部用户:所有用户均可见。
全部设备:所有设备均可见。
暂不配置:在客户端中不可见。
安装检测
分发时,检测终端主机是否成功安装此软件。开启后,需至少选择一个操作系统。
Windows
软件全称:获取方法请参见获取Windows软件全称。
软件英文全称:获取方法请参见获取Windows软件英文全称。
Mac
Bundle ID:获取方法请参见获取macOS应用程序的BundleID。
编辑软件
定位目标软件,单击操作列下的查看,然后在弹出的面板顶部,单击编辑,即可修改软件信息。
删除软件
定位目标软件,单击操作列下的删除并按页面提示操作,即可删除软件。
说明若当前软件存在执行中的软件分发任务,则不允许删除。如需删除,请先停止软件分发任务。
软件版本管理
进入软件库页面,定位目标软件,单击操作列下的查看。随后可执行如下操作:
添加版本
在详情面板的版本信息区域,单击添加版本。
在添加软件版本对话框,配置如下信息,完成后单击确定。
配置项
说明
操作系统
Windows
macOS(Apple)
macOS(Intel)
软件发布者
本地上传:单击上传本地文件选择本地安装包上传。Windows支持
exe、msi格式,macOS支持dmg、pkg格式。第三方链接:输入外部下载链接。
MD5
输入安装包的MD5摘要值,用于校验安装包的完整性。上传本地文件时,将自动生成,无需手动填写。
软件版本号
设置软件的具体版本号。
发布版本
定位目标版本,打开状态列下的开关,即可发布该版本。
发布版本后,在SASE客户端(5.0 及以上版本)的中即可查看和安装此版本。
分发版本
提交软件分发任务后,系统将自动向 SASE 客户端(5.0 及以上版本)下发安装指令,由客户端自动执行安装。
定位目标版本记录,单击操作列下的分发,在弹出的面板中填写(可参考创建软件分发任务)相关信息后,单击确定,即可创建分发任务。
进入软件分发页面,即可查看软件分发的状态及结果,详情可参考查看软件分发任务状态。如需停止任务,可参考停止软件分发任务。
编辑版本
定位目标版本,单击操作列下的编辑,即可修改软件版本信息。
删除版本
定位目标版本,单击操作列下的删除,即可删除软件版本。
说明若当前软件存在执行中的软件分发任务,则不允许删除。如需删除,请先停止软件分发任务。
软件分发
软件分发功能支持将软件库内的安装包下发至安装有 SASE 客户端(5.0 及以上版本)的指定终端,并执行自动安装。该功能支持配置分发时间、生效范围、有效期、下载限速及重试策略,以保障分发过程的可控性。分发任务完成后,可查看分发状态与任务明细。
创建软件分发任务
进入软件分发页面,单击软件分发。
在软件分发对话框,配置如下信息,完成后单击确定。
配置项
说明
任务名称
设置分发任务的名称。
分发软件
从软件库中选择需要分发的软件。
分发时间
立即分发:任务创建后立即执行。
指定时间:可指定多个时间段执行分发任务,任务一旦完成,后续时间段将不再执行,即整个任务仅执行一次。
安装参数
设置软件安装时需要的安装参数。
生效范围
支持以下六种范围类型:
指定用户组
指定设备标签
指定设备
全部用户
全部设备
分发有效期
有效天数:设置具体的有效天数(1~100天)。
无限期:分发任务永久有效。
分发限速
启用:设置SASE客户端下载软件的最大速度,单位为KB/s。
不启用:不限制下载速度。
分发重试次数
设置分发失败后的自动重试次数(0~5次)。
超时时间
设置任务执行的超时时间(单位为秒,取值范围0~86400)。
停止软件分发任务
进入软件分发页面,定位目标分发任务,可通过以下任意方式停止任务:
方法一:单击操作列下的停止,按页面提示完成操作。
方法二:单击操作列下的查看,在弹出的面板中单击停止分发/安装,按页面提示完成操作。
停止后不可重新启用该任务。如需再次分发,请重新创建分发任务。
查看软件分发任务状态
进入软件分发页面,定位目标分发任务,可进行以下操作查看相关状态和明细:
查看分发状态
查看状态列,状态包括:待执行、执行中、已停止。
查看执行结果分布
将鼠标悬停至任务结果列的单元格,即可查看各状态下的任务数量(全部、待执行、执行中、执行成功、执行失败)。
查看完整全部信息
单击操作列下的查看,在弹出的面板中即可查看:目标设备总数、分发状态分布、软件安装状态分布、分发与安装明细。
查看终端设备的执行日志
单击操作列下的查看,在弹出的面板中,定位目标设备分发记录,单击操作列下的查看日志。
下载分发任务明细记录
单击操作列下的查看,在弹出的面板中,单击策略导出任务,即可下载所有分发任务的明细记录。
审批员工申请
企业员工因为特殊原因需要使用禁用软件时,可以提交使用禁用软件申请。申请后,您可以在员工申请页签审核申请信息。审核通过后,企业员工可以在规定的使用时间内使用该软件。关于企业员工如何提交使用禁用软件申请,请参见提交违规软件申请。
登录办公安全平台控制台。
在左侧导航栏,选择。
在员工申请页签,审核企业员工提交的使用禁用软件申请。
允许:被允许的软件,企业员工在规定的使用时长内可以使用该软件,使用过程中不会被统计为违规行为。
拒绝:被拒绝的软件,企业员工不可以使用该软件,否则会被统计为违规行为。
附录:获取软件唯一标识符
获取Windows软件全称
Windows 系统中的软件全称是用于唯一标识一个应用程序的字符串,属于其基本属性,在系统中具有唯一性。可通过以下两种方式获取:
在SASE控制台的软件管理中获取:适用于 SASE 控制台已收录该软件的场景。
在Windows系统的“卸载或更新程序”中获取:适用于 SASE 控制台未显示相关软件的场景。
在SASE控制台的软件管理中获取(推荐)
进入软件统计页面,选择终端类型为Windows,定位目标软件,即可在软件名称列查看。
在Windows系统的“卸载或更新程序”中获取
打开 Windows 的“卸载或更新程序”。
在“卸载或更新程序”中找到对应软件名称。
获取Windows软件英文全称
若 Windows 系统语言为英文,则直接使用“获取Windows软件全称”步骤中获得的软件全称作为其英文名称,无需执行以下操作。
Windows 系统中的软件英文名称是用于唯一标识一个应用程序的字符串,属于其基本属性,在系统中具有唯一性。可通过以下方式获取:
在 Windows 设置中找到“时间和语言”。
在“首选语言”中添加“English (United Kingdom)”。
安装“English (United Kingdom)”语言并选择“设置为我的 Windows 显示语言”。
打开 Windows 的“卸载或更新程序”。
在“卸载或更新程序”中找到对应软件名称。
获取macOS应用程序的BundleID
macOS 系统中的软件全称是用于唯一标识一个应用程序的字符串,属于其基本属性,在系统中具有唯一性。可通过以下两种方式获取:
在SASE控制台的软件管理中获取:适用于 SASE 控制台已收录该软件的场景。
在macOS系统的终端中获取:适用于 SASE 控制台未显示相关软件的场景。
在SASE控制台的软件管理中获取(推荐)
进入软件统计页面,选择终端类型为macOS,定位目标软件。
单击已安装终端数列的数字,在已安装终端明细面板的列表中即可查看bundleId。
说明同一应用程序通过不同渠道安装时,其 BundleID 可能不同。请根据具体终端及其所属用户查询对应的 BundleID。
若无法确定终端或用户,可在新增通道配置中添加多个 BundleID。
在macOS系统的终端中获取
打开 macOS 系统的“终端”。
输入
codesign -dvvv命令,并将待加入的应用拖入终端中并执行命令。例如:
codesign -dvvv /Applications/DingTalk.app。执行完成后,输出中
Identifier字段的值即为 BundleID。