当企业员工在终端设备上首次登录SASE安全客户端时,该终端设备会被注册到当前员工名下。本文介绍如何设置终端注册策略、审批超额注册的申请、审批卸载客户端的申请。
设置终端注册策略
设置企业员工终端注册策略(即终端注册上限)后,当企业员工注册的终端超过注册上限时,超出的终端默认以超额注册进行申请。SASE会将超过的终端信息显示在超额注册列表中,您需要根据实际业务,允许或者拒绝超额注册申请。只有被允许的超额注册终端才可以访问企业的办公应用。
登录办公安全平台控制台。
在左侧导航栏,选择。
在已注册终端页签,单击注册策略。
在注册策略页面,单击添加。
在添加策略面板,配置如下信息。
配置项
说明
策略名称
设置策略的名称。
长度为1~128个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。
公司设备注册限制和个人设备注册限制
按照总数:设置员工可注册终端上限。
按照终端分类:设置员工可注册电脑终端上限和员工可注册手机终端上限。
优先级
设置策略优先级。
支持输入数字且范围在0~99之间。数字越小,优先级越高。
生效用户
全部用户
部分用户
例外用户
设置例外用户,对于例外用户,终端注册策略不做约束。
状态
只有启用的策略才能生效。
完成后,设置的策略信息显示在已注册终端列表中。
您可以根据实际情况,在已注册终端列表中,执行如下操作:
禁用:企业员工的登录账号默认是启用状态,您可以根据实际业务,手动更改账号状态。被禁用的账号无法访问企业的办公应用。
查询:您可以询注册的终端信息。
导入公司设备:单击导入公司设备,按照界面提示将公司设备全部导入。
已上传MAC地址:查看已上传的MAC地址。
审批超额注册的申请
当企业员工提交了超额注册申请后,您需要对超额注册申请进行审批。当您审批通过该申请后,策略会在3~5分钟后生效,生效后,企业员工即可使用终端设备重新登录SASE安全客户端。
登录办公安全平台控制台。
在左侧导航栏,选择。
在超额注册页签,查看企业员工申请的超额注册信息。
根据实际情况,在超额注册列表中,执行如下操作:
允许:在操作列,单击允许,表示同意企业员工超额注册的申请。被允许后,该条数据的状态为审核通过,被允许的终端设备在已注册终端列表中显示。
拒绝:在操作列,单击拒绝,表示拒绝企业员工超额注册的申请。被拒绝后,该条数据的状态为审核不通过,被拒绝的终端设备无法访问企业办公应用。
查询:
按状态查询
展开下拉框,设置按状态维度查询企业员工及其终端设备。目前支持的维度包括:全部、待审核、审核通过、审核不通过。
按企业员工的用户名、部门、Mac地址查询
展开下拉框,设置要查询的维度(用户名、部门、Mac地址),然后在输入框中输入相应的数据查询超额注册的申请。
配置防卸载策略及审批卸载申请
您可以开启SASE安全客户端防卸载开关、安全客户端自启动与防退出开关,统一对企业员工的访问行为进行管控。如果企业员工需要对SASE安全客户端进行卸载,可以通过提交卸载客户端申请,并在管理员审批通过后进行卸载。
登录办公安全平台控制台。
在左侧导航栏,选择。
在卸载审核页签,单击防卸载策略。
在客户端防卸载策略面板,为企业员工配置防卸载策略。
配置项
说明
客户端配置开关
客户端防卸载:开启该开关,表示不允许企业员工随意卸载SASE安全客户端。
客户端自启动与防退出:开启该开关,表示SASE安全客户端在企业员工终端上自动启动并防止退出。
生效范围
设置SASE安全客户端防卸载生效的用户或者用户组。
白名单
配置白名单信息。白名单的用户可自行卸载SASE安全客户端,不受防卸载策略限制。
审批流配置
当企业员工卸载SASE App时,可以配置是否支持企业员工进行报备。
如果选择支持员工报备审批,您需要选择合适的审批流程。关于如何创建审批流程,请参见配置审批流程。
弹窗提示配置
配置申请卸载的弹框界面。支持设置中文和英文两个弹框界面。
单击确定。
SASE会给生效范围内的企业员工下发配置的策略。
在卸载审核页签,查看企业员工申请的卸载信息。
根据业务需要,在防卸载策略列表中执行如下操作:
允许:在操作列,单击允许,表示同意企业员工的卸载申请。被允许后,该条数据的状态为审核通过,被允许的终端可以卸载SASE安全客户端。
拒绝:在操作列,单击拒绝,表示拒绝企业员工的卸载申请。被拒绝后,该条数据的状态为审核不通过,被拒绝的终端无法卸载SASE安全客户端。
查询:
按审核状态查询
展开审核状态下拉框,设置按审核状态查询企业员工的卸载申请。目前支持的维度包括:全部、待审核、审核通过、审核不通过。
按企业员工的用户名、部门、Mac地址查询
展开下拉框,设置要查询的维度(用户名、部门、Mac地址),然后在输入框中输入相应的数据查询卸载申请。