辦公安全平臺SASE(Secure Access Service Edge)提供安全客戶端,用于將企業辦公終端上網流量引流到最近的阿里云SASE服務節點。未安裝安全客戶端的辦公終端將無法受到零信任策略的管控。本文介紹如何設置賬戶信息、配置白名單、配置消息推送以及如何安裝和配置自定義SASE安全客戶端。
背景信息
企業員工在終端設備中安裝SASE安全客戶端后,企業管理員可以在終端列表中查看已安裝安全客戶端的設備總數和終端設備的詳細信息,也可以通過終端列表及時了解未安裝安全客戶端的用戶和設備情況。更多內容,請參見查看終端列表。
企業員工成功登錄SASE安全客戶端后,對應的辦公終端的上網流量會經過SASE轉發,并由SASE檢測和管控該終端的互聯網訪問行為。
設置賬戶信息
設置賬戶頁簽包含設置企業認證標識、設置賬戶過期時間、設置賬戶過期策略三個部分,具體介紹如下。
登錄辦公安全平臺控制臺。
在左側導航欄,單擊設置。
在賬戶設置頁簽,配置如下信息。
設置企業認證標識
其中企業認證標識是您企業員工成功登錄SASE安全客戶端前的重要憑證。建議您使用企業名稱等方便企業辦公終端用戶記憶的信息作為企業認證標識。終端用戶首次登錄SASE安全客戶端時,需要手動輸入該企業認證標識。
設置賬戶過期信息
賬號過期時間設置
用戶終端設備最近一次登錄SASE安全客戶端,允許終端設備開機后自動登錄的時間范圍。如果超出設定的賬號過期時間,會返回到登錄界面,用戶需要重新輸入賬號和密碼才能登錄SASE安全客戶端。
賬號過期策略設置
立即認證
賬號到期后,SASE安全客戶端登錄狀態立即注銷,需企業員工重新輸入賬號及密碼認證。該配置以安全策略優先,可能會導致辦公中斷。
網絡切換時認證
賬號到期后,SASE安全客戶端狀態不會立即注銷,在下一次喚醒電腦或者切換網絡連接時,需企業員工重新輸入賬號及密碼認證。該配置以用戶體驗優先,不會中斷辦公。
配置白名單
當您確認訪問的內網應用、公網網站的行為以及外發的文件、外接的設備、水印信息是安全的,并且不需要SASE對訪問該網站的行為進行管理和審計時,可通過配置白名單來實現。以下操作為您介紹如何為網站配置白名單。
登錄辦公安全平臺控制臺。
在左側導航欄,單擊設置。
在白名單頁簽,配置內網訪問白名單或者辦公數據保護白名單。
配置內網訪問白名單
在內網訪問頁簽,為指定網站添加白名單。
SASE為指定網站添加白名單時可以通過如下兩種方式:
IP白名單:添加網站的IP或者IP段,可添加多個IP或者IP段。
域名白名單:添加網站的域名或者通配符域名(泛域名),可添加多個域名或者通配符域名。
單擊提交。
白名單添加完成后,企業用戶可以直接訪問白名單中的內網應用。
配置辦公數據保護白名單
在辦公數據保護頁簽,為指定文件、外接設備或者水印添加白名單。
SASE支持配置以下幾類白名單,配置時多個用戶需要以英文逗號隔開:
文件外發檢測白名單
外設管控白名單
水印白名單
單擊提交。
白名單添加完成后,SASE不再對白名單用戶的行為進行管控或攔截。
配置消息推送
如果您需要及時了解終端用戶的登錄日志、注冊終端信息、卸載客戶端以及禁用軟件的使用申請,您可以配置消息推送功能。配置成功后,您關注的終端用戶消息會依賴釘釘、企業微信、飛書的機器人,自動將消息推送到您的企業群,方便您隨時跟進流程。
您在配置SASE消息推送前,需要先創建釘釘、企業微信或者飛書的自定義機器人。
關于如何創建釘釘自定義機器人并獲取webhook和webhook密鑰,請參見釘釘自定義機器人。
關于如何創建企業微信自定義機器人并獲取webhook,請參見企業微信群自定義機器人。
關于如何創建飛書自定義機器人并獲取webhook和webhook密鑰,請參見飛書自定義機器人。
登錄辦公安全平臺控制臺。
在左側導航欄,單擊設置。
在消息推送頁簽,單擊創建模板。
在創建模板面板,根據您的數據來源配置消息推送。
配置項
說明
通知來源
釘釘機器人
企業微信機器人
飛書機器人
機器人配置
釘釘webhook
示例值:https://oapi.dingtalk.com/robot/send?access_token=****
webhook密鑰
示例值:123456
企業微信webhook
示例值:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****
飛書webhook
示例值:https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d****
webhook密鑰
示例值:123456
消息類型
支持的消息類型如下,可多選。
客戶端日志上報通知
客戶端超額注冊通知
客戶端卸載申請通知
違規軟件使用申請
連接器異常通知
單擊連通性測試。當提示框顯示連通性測試成功,再單擊確定。
如果您后續需要修改或者刪除模板,可以在消息推送頁簽,單擊編輯或者刪除。
重要刪除消息推送模板后,SASE無法自動將消息推送到您的企業群,請謹慎操作。
配置客戶端元素
SASE支持定制化的安全客戶端,您可以更換中文版和英文版安全客戶端的LOGO、背景圖片、宣傳文案。以下以中文版配置為例,為您介紹如何配置自定義安全客戶端。
登錄辦公安全平臺控制臺。
在左側導航欄,單擊設置。
在企業元素頁簽,您可以定制客戶端元素或者客戶端下載頁元素。
下載SASE安全客戶端(SASE App)
登錄辦公安全平臺控制臺。
在左側導航欄,單擊設置。
在客戶端下載頁簽,根據界面提示下載客戶端安裝包。
目前支持PC端下載、移動端下載和企業指定版本。
解壓下載的客戶端安裝包,雙擊安裝程序setup.exe,啟動安全客戶端安裝。
安裝完成后,企業員工終端設備桌面會出現SASE安全客戶端的圖標。
升級SASE安全客戶端(SASE App)
登錄辦公安全平臺控制臺。
在左側導航欄,單擊設置。
在客戶端升級頁簽,選擇您服務器的操作系統。
在不同操作系統的頁簽下,選擇要下載的SASE App版本,單擊操作列下載,根據界面提示下載安裝包。
如果您需要給企業員工推送升級任務,可以單擊推送升級,添加升級任務,然后單擊確定。
支持自定義升級比例,按照生效用戶組內員工名下的終端總數,按照比例進行隨機的升級。
