结合SASE实现阿里云无影云电脑访问防护_办公安全平台(SASE)-阿里云帮助中心

本文介绍如何结合办公安全平台SASE（Secure Access Service Edge），实现阿里云无影云电脑访问控制。

前提条件

您已开通办公安全平台。如果您未开通办公安全平台，需购买并开通服务。具体操作，请参见购买服务。您也可以申请7天免费试用。具体操作，请参见申请免费试用。
您已配置对接身份源。在SASE控制台配置企业对接的身份源信息，支持钉钉、微信、飞书、LDAP、IDaaS 等身份源登录，具体操作，请参见身份认证管理。
您已安装并成功登录SASE App。如果您未安装SASE App，具体操作，请参见安装并登录SASE App。

适用场景

仅允许受SASE管控的设备访问无影云电脑。

办公安全平台介绍

SASE是阿里云首个一站式办公安全管控平台，企业无需再投资复杂且昂贵的安全硬件设备，即可快速构建零信任内网访问、办公数据防泄漏、上网行为管理与审计、办公访问加速等在内的办公安全体系。通过在阿里云无影云控制台创建高级办公网络，并设置仅通过VPC登录访问，首先在无影云中创建一个仅通过VPC连接的办公网络，然后将该办公网络加入云企业网CEN中。接着，将需要管控的云电脑迁移至该办公网络，并在SASE中一键打通SASE内网与云企业网CEN实例。随后，在SASE中创建应用，并通过零信任策略放行连接访问无影云所需的域名地址，最终实现仅通过SASE内网访问阿里云无影云电脑的安全防护。

操作步骤

步骤一：创建无影高级办公网络并加入CEN云企业网

在无影云控制台创建办公网络，设置云电脑的连接方式为通过VPC企业专网连接，并将办公网络接入CEN云企业专网，详情请参见创建和管理基于便捷账号的办公网络。

步骤二：将云电脑实例迁入配置的办公网

将实例迁移到办公网络，SASE就可以通过CEN打通内网连接，迁入办公网络成功后，会给云电脑的用户发送相关邮件，包含终端接入方式与办公网络ID。

步骤三：打通SASE内网与云电脑VPC网络

登录办公安全平台控制台。
在左侧导航栏，选择内网访问 > 网络配置。
在网络配置页面，选择无影云电脑办公网所加入的CEN实例，并开启网络打通。
在打通的VPC实例的自定义网段项填入无影云办公网网段。

步骤四：创建无影云应用并配置零信任策略

在无影云控制台找到创建的办公网络，在网络信息中获取到私网网关地址。
获取云电脑所属地域里访问所需要的各种服务对应的域名地址。
例如无影电脑所属华东1（杭州），则将华东1地域云电脑服务域名添加在SASE应用中，不同地域对应的服务域名详见云电脑服务端口要求。
在SASE添加应用，并配置这些域名地址。添加应用的详细操作，请参见配置办公应用。
将应用的零信任策略配置为放行。具体操作，请参见配置零信任策略。

步骤四：在无影云客户端连接云电脑

在无影云终端输入云电脑办公网的办公网络ID，选择网络接入方式为企业专网，即可实现通过SASE对阿里云无影云电脑进行访问控制，办公网络ID可以在无影云控制台云电脑信息查看。