AI 助理
备案控制台登录注册
文档
输入文档关键字查找
首页办公安全平台操作指南管理员用户指南设置

设置

更新时间:2025-04-14 03:41:28
产品详情
我的收藏

办公安全平台SASE(Secure Access Service Edge)提供安全客户端,用于将企业办公终端上网流量引流到最近的阿里云SASE服务节点。未安装安全客户端的办公终端将无法受到零信任策略的管控。本文介绍如何设置账户信息、配置白名单、配置消息推送以及如何安装和配置自定义SASE安全客户端。

背景信息

企业员工在终端设备中安装SASE安全客户端后,企业管理员可以在终端列表中查看已安装安全客户端的设备总数和终端设备的详细信息,也可以通过终端列表及时了解未安装安全客户端的用户和设备情况。更多内容,请参见查看终端列表

企业员工成功登录SASE安全客户端后,对应的办公终端的上网流量会经过SASE转发,并由SASE检测和管控该终端的互联网访问行为。

设置账户信息

设置账户页签包含设置企业认证标识、设置账户过期时间、设置账户过期策略三个部分,具体介绍如下。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置

  3. 账户设置页签,配置如下信息。

    • 设置企业认证标识

      其中企业认证标识是您企业员工成功登录SASE安全客户端前的重要凭证。建议您使用企业名称等方便企业办公终端用户记忆的信息作为企业认证标识。终端用户首次登录SASE安全客户端时,需要手动输入该企业认证标识。

    • 设置账户过期信息

      • 账号过期时间设置

        用户终端设备最近一次登录SASE安全客户端,允许终端设备开机后自动登录的时间范围。如果超出设定的账号过期时间,会返回到登录界面,用户需要重新输入账号和密码才能登录SASE安全客户端。

      • 账号过期策略设置

        • 立即认证

          账号到期后,SASE安全客户端登录状态立即注销,需企业员工重新输入账号及密码认证。该配置以安全策略优先,可能会导致办公中断。

        • 网络切换时认证

          账号到期后,SASE安全客户端状态不会立即注销,在下一次唤醒电脑或者切换网络连接时,需企业员工重新输入账号及密码认证。该配置以用户体验优先,不会中断办公。

配置白名单

当您确认访问的内网应用、公网网站的行为以及外发的文件、外接的设备、水印信息是安全的,并且不需要SASE对访问该网站的行为进行管理和审计时,可通过配置白名单来实现。以下操作为您介绍如何为网站配置白名单。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置

  3. 白名单页签,配置内网访问白名单或者办公数据保护白名单。

    • 配置内网访问白名单

      1. 内网访问页签,为指定网站添加白名单。

        SASE为指定网站添加白名单时可以通过如下两种方式:

        • IP白名单:添加网站的IP或者IP段,可添加多个IP或者IP段。

        • 域名白名单:添加网站的域名或者通配符域名(泛域名),可添加多个域名或者通配符域名。

      2. 单击提交

        白名单添加完成后,企业用户可以直接访问白名单中的内网应用。

    • 配置办公数据保护白名单

      1. 办公数据保护页签,为指定文件、数据存储空间、外接设备或者水印添加白名单。

        SASE支持配置以下几类白名单,配置时多个用户需要以英文逗号隔开:

        • 文件外发检测白名单

        • 数据存储(仅支持互联网访问安全的办公数据保护版)

        • 外设管控白名单

        • 水印白名单

      2. 单击提交

        白名单添加完成后,SASE不再对白名单用户的行为进行管控或拦截。配置存储空间白名单的用户在命中外发检测策略后不会对文件进行存储。

    • 配置上网行为管理白名单

      1. 上网行为管理页签,为用户、用户组、域名添加白名单。

        • 用户白名单

        • 用户组白名单

        • 例外域名

      2. 单击提交

        白名单添加完成后,SASE不再对白名单中用户、用户组的上网行为以及对域名的访问进行管控或拦截。

配置消息推送

如果您需要及时了解终端用户的登录日志、注册终端信息、卸载客户端以及禁用软件的使用申请,您可以配置消息推送功能。配置成功后,您关注的终端用户消息会依赖钉钉、企业微信、飞书的机器人,自动将消息推送到您的企业群,方便您随时跟进流程。

您在配置SASE消息推送前,需要先创建钉钉、企业微信或者飞书的自定义机器人。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置

  3. 消息推送页签,单击创建模板

  4. 创建模板面板,根据您的数据来源配置消息推送。

    配置项

    说明

    配置项

    说明

    通知来源

    • 钉钉机器人

    • 企业微信机器人

    • 飞书机器人

    机器人配置

    • 钉钉webhook

      示例值:https://oapi.dingtalk.com/robot/send?access_token=****

    • webhook密钥

      示例值:123456

    企业微信webhook

    示例值:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****

    • 飞书webhook

      示例值:https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d****

    • webhook密钥

      示例值:123456

    消息类型

    支持的消息类型如下,可多选。

    • 客户端日志上报通知

    • 客户端超额注册通知

    • 客户端卸载申请通知

    • 违规软件使用申请

    • 连接器异常通知

  5. 单击连通性测试。当提示框显示连通性测试成功,再单击确定

    如果您后续需要修改或者删除模板,可以在消息推送页签,单击编辑或者删除

    重要

    删除消息推送模板后,SASE无法自动将消息推送到您的企业群,请谨慎操作。

配置客户端元素

SASE支持定制化的安全客户端,您可以更换中文版和英文版安全客户端的LOGO、背景图片、宣传文案。以下以中文版配置为例,为您介绍如何配置自定义安全客户端。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置

  3. 企业元素页签,您可以定制客户端元素或者客户端下载页元素。

配置自定义存储

在当前的外发检测过程中,溯源数据默认存储在云端。为了增强数据的安全性和控制权,SASE互联网访问安全的办公数据保护版支持自定义存储配置,允许您将溯源数据存储在您账号下的对象存储服务(OSS)或本地的MinIO存储系统中。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置

  3. 自定义存储配置页签,展示内置存储使用量,单击开关图标,并单击确定

  4. 数据存储配置对话框中,您可以配置已购买的阿里云OSS存储空间或本地的MinIO存储系统,并参考如下内容进行配置。

    配置项

    说明

    配置项

    说明

    自定义存储方式

    • 阿里云OSS:配置已购买的阿里云OSS存储空间。

    • 本地MinIO存储系统:支持将数据传输至您本地的存储空间。当前仅支持MinIO存储系统。

      说明

      1、将数据存储在本地的MinIO中,需要您自行对MinIO中的数据进行存储加密,减少明文存储数据带来的安全隐患。

      2、当文件存储在本地MinIO时,若本地MinIO空间与阿里云办公安全平台网络不通,将导致无法在控制台溯源日志中下载原文件,需要您根据日志中的文件存储地址,去您本地MinIO中下载原文件。

      3、因阿里云办公安全平台当前的OCR检测引擎在云端,当前对于图片文件的检测将会上传至办公平台云端进行检测,但阿里云办公安全平台不会存储您企业的外发图片数据。

    Bucket

    设置存储空间的Bucket。

    Endpoint

    设置存储空间的Endpoint。支持配置HTTPHTTPS协议。

    重要

    建议您配置HTTPS协议,否则可能需要对浏览器进行相关设置才能看到截图取证或者下载源文件。

    AccessKeyid

    设置存储空间的AK账号。请填写具备“数据下载权限”的AK账户,避免后续使用时无法在“日志审计-敏感文件检测”中下载原文件。

    AccessKey Secret

    设置存储空间的AccessKey Secret。

    单个文件存储大小配置

    设置单个文件存储大小。最大限制为60MB。

  5. 单击测试连通性。对存储空间的连通性进行测试。

  6. 单击确认

    配置完成后会自动开启自定义数据存储,命中外发检测策略的数据文件,将会存储在您指定的数据存储空间内。

    如果您需要关闭自定义数据存储,可以单击开关按钮,关闭自定义数据存储。关闭后,命中外发检测策略的数据文件,将存储在SASE内置的存储空间。请检查内置存储空间容量是否充足,避免存储空间已满,无法继续存储数据。

其他操作

如果您的内置存储空间不足,可以对存储空间进行扩容清空操作。

  • 扩容:单击扩容,在办公安全平台购买页,购买文件存储容量。

  • 清空:单击清空,在清空日志对话框中,可以设置按时间段清空清空全部。并单击确定

下载SASE安全客户端(SASE App)

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置

  3. 客户端下载页签,根据界面提示下载客户端安装包。

    目前支持PC端下载移动端下载企业指定版本

  4. 解压下载的客户端安装包,双击安装程序setup.exe,启动安全客户端安装。安装程序

    安装完成后,企业员工终端设备桌面会出现SASE安全客户端的图标。

升级SASE安全客户端(SASE App)

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置

  3. 客户端升级页签,选择您服务器的操作系统。

    image

  4. 在不同操作系统的页签下,选择要下载的SASE App版本,单击操作下载,根据界面提示下载安装包。

  5. 如果您需要给企业员工推送升级任务,可以单击推送升级,添加升级任务,然后单击确定

    支持自定义升级比例,按照生效用户组内员工名下的终端总数,按照比例进行随机的升级。

    image

引流设置

SASE为每个VPC分配的默认回源IP地址可能与企业内网应用IP范围重叠,导致路由冲突或访问失败,因此支持自定义代理IP以避免冲突。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置

  3. 引流设置页签中,配置不同操作系统的代理地址。并单击提交

    重要

    • 代理IP仅支持配置内网IP。

    • 如果企业的内网应用部署了防火墙或安全管控策略,需要确保这些策略中放行了SASE的回源IP地址,以避免流量被拦截。

上一篇:日志分析下一篇:多账号管理
  • 本页导读 (1)
  • 背景信息
  • 设置账户信息
  • 配置白名单
  • 配置消息推送
  • 配置客户端元素
  • 配置自定义存储
  • 其他操作
  • 下载SASE安全客户端(SASE App)
  • 升级SASE安全客户端(SASE App)
  • 引流设置
AI助理

点击开启售前

在线咨询服务

你好,我是AI助理

可以解答问题、推荐解决方案等