办公安全平台SASE(Secure Access Service Edge)提供安全客户端,用于将企业办公终端上网流量引流到最近的阿里云SASE服务节点。未安装安全客户端的办公终端将无法受到零信任策略的管控。本文介绍如何设置账户信息、配置白名单、配置消息推送以及如何安装和配置自定义SASE安全客户端。
背景信息
企业员工在终端设备中安装SASE安全客户端后,企业管理员可以在终端列表中查看已安装安全客户端的设备总数和终端设备的详细信息,也可以通过终端列表及时了解未安装安全客户端的用户和设备情况。更多内容,请参见查看终端列表。
企业员工成功登录SASE安全客户端后,对应的办公终端的上网流量会经过SASE转发,并由SASE检测和管控该终端的互联网访问行为。
设置账户信息
设置账户页签包含设置企业认证标识、设置账户过期信息、安装SASE安全客户端三个部分,具体介绍如下。
- 登录办公安全平台控制台。
- 在左侧导航栏,单击设置。
在账户设置页签,配置如下信息。
设置企业认证标识
在企业认证标识区域,设置企业认证标识。
其中企业认证标识是您企业员工成功登录SASE安全客户端前的重要凭证。建议您使用企业名称等方便企业办公终端用户记忆的信息作为企业认证标识。终端用户首次登录SASE安全客户端时,需要手动输入该企业认证标识。
设置账户过期信息
在账户设置区域,设置账号过期时间和账号过期策略。
账号过期时间
用户终端设备最近一次登录SASE安全客户端,允许终端设备开机后自动登录的时间范围。如果超出设定的账号过期时间,会返回到登录界面,用户需要重新输入账号和密码才能登录SASE安全客户端。
账号过期策略
立即认证
账号到期后,SASE安全客户端登录状态立即注销,需企业员工重新输入账号及密码认证。该配置以安全策略优先,可能会导致办公中断。
网络切换时认证
账号到期后,SASE安全客户端状态不会立即注销,在下一次唤醒电脑或者切换网络连接时,需企业员工重新输入账号及密码认证。该配置以用户体验优先,不会中断办公。
安装SASE安全客户端
在安全客户端下载区域,根据界面提示下载客户端安装包。
目前支持下载PC端、移动端和企业指定版本。
双击安装程序setup.exe,启动安全客户端安装。
安装完成后,企业员工终端设备桌面会出现SASE安全客户端的图标。
配置白名单
当您确认访问的内网应用、公网网站的行为以及外发的文件、外接的设备、水印信息是安全的,并且不需要SASE对访问该网站的行为进行管理和审计时,可通过配置白名单来实现。以下操作为您介绍如何为网站配置白名单。
- 登录办公安全平台控制台。
- 在左侧导航栏,单击设置。
在白名单页签,配置互联网访问白名单或者办公数据保护白名单。
配置内网访问白名单
在内网访问页签,为指定网站添加白名单。
SASE为指定网站添加白名单时可以通过如下两种方式:
IP白名单:添加网站的IP或者IP段,可添加多个IP或者IP段。
域名白名单:添加网站的域名或者通配符域名(泛域名),可添加多个域名或者通配符域名。
单击提交。
白名单添加完成后,企业用户可以直接访问白名单中的内网应用。
配置互联网访问白名单
在互联网访问页签,为指定网站添加白名单。
SASE为指定网站添加白名单时可以通过如下两种方式:
IP白名单:添加网站的IP或者IP段,可添加多个IP或者IP段。
域名白名单:添加网站的域名或者通配符域名(泛域名),可添加多个域名或者通配符域名。
单击提交。
白名单添加完成后,SASE不再对访问白名单中网站的行为进行管控或拦截。
配置办公数据保护白名单
在办公数据保护页签,为指定文件、外接设备或者水印添加白名单。
SASE支持配置以下几类白名单,配置时多个用户需要以英文逗号隔开:
文件外发检测白名单
外设管控白名单
水印白名单
单击提交。
白名单添加完成后,SASE不再对白名单用户的行为进行管控或拦截。
配置消息推送
如果您需要及时了解终端用户的登录日志、注册终端信息、卸载客户端以及禁用软件的使用申请,您可以配置消息推送功能。配置成功后,您关注的终端用户消息会依赖钉钉、企业微信、飞书的机器人,自动将消息推送到您的企业群,方便您随时跟进流程。
您在配置SASE消息推送前,需要先创建钉钉、企业微信或者飞书的自定义机器人。
关于如何创建钉钉自定义机器人并获取webhook和webhook密钥,请参见钉钉自定义机器人。
关于如何创建企业微信自定义机器人并获取webhook,请参见企业微信群自定义机器人。
关于如何创建飞书自定义机器人并获取webhook和webhook密钥,请参见飞书自定义机器人。
- 登录办公安全平台控制台。
- 在左侧导航栏,单击设置。
在消息推送页签,单击创建模板。
在创建模板面板,根据您的数据来源配置消息推送。
配置项
说明
通知来源
钉钉机器人
企业微信机器人
飞书机器人
机器人配置
钉钉webhook
示例值:https://oapi.dingtalk.com/robot/send?access_token=****
webhook密钥
示例值:123456
企业微信webhook
示例值:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****
飞书webhook
示例值:https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d****
webhook密钥
示例值:123456
消息类型
支持的消息类型如下,可多选。
客户端日志上报通知
客户端超额注册通知
客户端卸载申请通知
违规软件使用申请
连接器异常通知
单击连通性测试。当提示框显示连通性测试成功,再单击确定。
如果您后续需要修改或者删除模板,可以在消息推送页签,单击编辑或者删除。
重要删除消息推送模板后,SASE无法自动将消息推送到您的企业群,请谨慎操作。
解绑OTP
解绑OTP后,第三方App绑定OTP需要重新扫码绑定以获取最新的口令,SASE App的OTP只需重新启动App即可获取最新口令,解绑操作对企业自有OTP不生效。
- 登录办公安全平台控制台。
- 在左侧导航栏,单击设置。
在解绑OTP页签,添加解绑OTP白名单,多个用户需要以英文逗号隔开。单击提交。
配置自定义客户端
SASE支持定制化的安全客户端,您可以更换中文版和英文版安全客户端的LOGO、背景图片、宣传文案。以下以中文版配置为例,为您介绍如何配置自定义安全客户端。
- 登录办公安全平台控制台。
- 在左侧导航栏,单击设置。
在自定义客户端的中文版配置页签,配置如下信息。
LOGO
支持上传的图片格式为PNG。建议图片高度为16 px,图片宽度不限制。
背景图片
支持上传的图片格式为PNG、JPG、JPEG。图片最小尺寸为275*480。
宣传文案
支持输入30个字符,允许输入中文、数字、字母、空格以及短划线(-)和下划线(_)。
- 本页导读 (1)