如何管理企业办公应用_办公安全平台-阿里云帮助中心

办公安全平台SASE（Secure Access Service Edge）提供的应用管理功能，帮助您管理企业的应用或资源。本文介绍如何配置应用或资源。

应用管理

企业办公应用是为企业员工办公所使用的内部Web应用服务、服务器或数据库等IT资源，无需企业员工配置公网地址。企业员工需使用安装了SASE安全客户端的办公设备，并通过身份与安全策略校验，便可以访问对应的局域网应用或资源。

如果您存在信任的企业办公内网应用，且不需要对来自该应用的网络流量进行安全分析与审计，您可以单击白名单配置，将信任的企业办公内网应用加入内网访问白名单。加入白名单后，该应用的网络流量不经过SASE，且企业员工可以访问该应用。关于如何加入内网访问白名单，请参见配置白名单。

创建企业办公内网应用

登录办公安全平台控制台。
在左侧导航栏，选择内网访问 > 应用管理。
在内网应用页签的标签区域，单击添加，设置标签名称，然后单击确定。
为应用添加自定义的标签，方便您对应用进行分类、搜索和管理。

在内网应用页签，单击添加应用。

如果您的业务存在用于解析企业内网网段的DNS服务器，您可以单击内网DNS配置，在DNS地址对话框手动填写默认DNS服务和自定义DNS服务。默认DNS组（1个DNS组最多可以添加2个DNS服务器IP）会作为企业主DNS下发到SASE安全客户端，企业员工可在客户端上自行切换DNS组以便满足办公时特殊的访问需求。

如果您不配置DNS服务，SASE会默认为您配置阿里云DNS服务器用于企业内网网段的DNS解析。如果业务配置了云解析PrivateZone时，优先使用PrivateZone进行IP或者域名解析。

支持手动配置和批量导入两种方式：

手动配置

在手动配置页签，根据如下表格说明设置基础配置参数。

配置项	说明
名称	内网应用的名称。长度为2~100个字符，支持输入汉字、字母、数字、中划线（-）、下划线（_）和半角句号（.）。
描述	内网应用的说明。
标签	应用的自定义标签，方便您对应用进行分类、搜索和管理。您可以在内网应用的标签区域添加标签，或者单击添加自定义标签添加标签。
访问控制	应用的访问权限。取值：启用：表示应用处于可服务状态。禁用：表示应用处于不可服务状态。

单击下一步，根据如下表格说明设置应用地址信息。

配置项	说明
应用地址	应用的内网访问地址。支持使用IP、IP段、域名和泛域名的方式定义企业应用或资源。您可根据应用的实际情况，设置应用的多个内网访问地址。
端口	应用使用的端口号或者端口段。
协议	应用的协议类型。取值：全部、TCP协议、UDP协议。

批量导入
1. 在批量导入页签，单击模板下载。
2. 单击上传本地文件，上传已填写的模板文件。
  说明
  支持XLSX文件，文件的上限为100 MB。

单击确定。
创建成功的企业办公内网应用会在应用列表显示。

办公区识别

添加办公区识别条件

您可以通过设置识别条件来定义企业办公区特征，SASE安全客户端通过设置的特征来识别员工设备所在位置是否在办公区。当员工在办公区访问已关联的内网应用时，关联的应用流量不经过SASE安全客户端，您不需要对这部分应用流量进行安全分析与审计。

登录办公安全平台控制台。
在左侧导航栏，选择内网访问 > 应用管理。
在办公区识别页签，单击添加识别条件。

配置办公区识别条件。

支持设置1个或者多个办公区识别条件。

配置项	说明
名称	条件的名称。长度为2~128个字符，支持输入汉字、字母、数字、中划线（-）和下划线（_）。
条件配置	单个办公区识别条件中的条件配置如下，您可以设置1个或者多个条件配置。条件取值：办公区SSID：输入您的办公区SSID。服务集标识符SSID（Service Set Identifier）是无线局域网络（WLAN）的名称。可访问内网IP：仅在办公区网络环境下才能访问的内网IP地址，SASE客户端会自动探测此IP，当连通性正常时，被作为办公区识别的特征之一。可访问内网域名：仅在办公区网络环境下才能访问的内网域名地址，SASE客户端会自动探测此域名，当连通性正常时，被作为办公区识别的特征之一。多个条件之间您可以设置逻辑关系为OR或者AND。默认为逻辑OR，您可以单击OR将逻辑关系切换为AND。
关联应用	单击添加，通过应用标签或者应用名称关联内网应用。

单击保存。
多个识别条件的优先级为条件1、条件2、条件3，依次类推。只要匹配到其中1个识别条件，即可判断该区域为办公区。

后续步骤

添加应用后，您可以在零信任策略中选择相关应用，实现对企业员工访问指定应用的访问进行有效管控。具体操作，请参见配置零信任策略。

管理应用