AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

设置

更新时间:
复制为 MD 格式
产品详情
我的收藏

办公安全平台SASE(Secure Access Service Edge)提供安全客户端,用于将企业办公终端上网流量引流到最近的阿里云SASE服务节点。未安装安全客户端的办公终端将无法受到零信任策略的管控。本文介绍如何设置账户信息、配置白名单、配置消息推送以及如何安装和配置自定义SASE安全客户端。

背景信息

企业员工在终端设备中安装SASE安全客户端后,企业管理员可以在终端列表中查看已安装安全客户端的设备总数和终端设备的详细信息,也可以通过终端列表及时了解未安装安全客户端的用户和设备情况。更多内容,请参见查看终端列表

企业员工成功登录SASE安全客户端后,对应的办公终端的上网流量会经过SASE转发,并由SASE检测和管控该终端的互联网访问行为。

设置账户信息

包含设置企业认证标识、设置账户过期时间、设置账户过期策略三个部分,具体介绍如下。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置中心 > 通用配置

  3. 账户设置页签,配置如下信息。

    • 企业认证标识

      其中企业认证标识是企业员工成功登录SASE安全客户端前的重要凭证。建议您使用企业名称等方便企业办公终端用户记忆的信息作为企业认证标识。终端用户首次登录SASE安全客户端时,需要手动输入该企业认证标识。

    • 账户过期时间设置

      用户终端设备最近一次登录SASE安全客户端,允许终端设备开机后自动登录的时间范围。如果超出设定的账号过期时间,会返回到登录界面,用户需要重新输入账号和密码才能登录SASE安全客户端。

    • 账户过期策略设置

      • 立即认证

        账号到期后,SASE安全客户端登录状态立即注销,需企业员工重新输入账号及密码认证。该配置以安全策略优先,可能会导致办公中断。

      • 网络切换时认证

        账号到期后,SASE安全客户端状态不会立即注销,在下一次唤醒电脑或者切换网络连接时,需企业员工重新输入账号及密码认证。该配置以用户体验优先,不会中断办公。

配置白名单

当您确认访问的内网应用、公网网站的行为以及外发的文件、外接的设备、水印信息是安全的,并且不需要SASE对访问该网站的行为进行管理和审计时,可通过配置白名单来实现。以下操作为您介绍如何为网站配置白名单。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置中心 > 通用配置

  3. 白名单页签,配置内网访问白名单或者办公数据保护白名单。

    • 配置内网访问白名单

      1. 内网访问页签,为指定网站添加白名单。

        SASE为指定网站添加白名单时可以通过如下两种方式:

        • IP白名单:添加网站的IP或者IP段,可添加多个IP或者IP段。

        • 域名白名单:添加网站的域名或者通配符域名(泛域名),可添加多个域名或者通配符域名。

      2. 单击提交

        白名单添加完成后,企业用户可以直接访问白名单中的内网应用。

    • 配置办公数据保护白名单

      1. 数据保护页签,为指定文件、数据存储空间、外接设备或者水印添加白名单。

        SASE支持配置以下几类白名单,配置时多个用户需要以英文逗号隔开:

        • 文件外发检测白名单

        • 数据存储(仅支持互联网访问安全的办公数据保护版)

        • 外设管控白名单

        • 屏幕水印白名单

        • 应用水印白名单

        • 打印水印白名单

      2. 单击提交

        白名单添加完成后,SASE不再对白名单用户的行为进行管控或拦截。配置存储空间白名单的用户在命中外发检测策略后不会对文件进行存储。

    • 配置上网行为管理白名单

      1. 上网行为管理页签,为用户、用户组、域名添加白名单。

        • 用户白名单

        • 用户组白名单

        • 例外域名

      2. 单击提交

        白名单添加完成后,SASE不再对白名单中用户、用户组的上网行为以及对域名的访问进行管控或拦截。

配置消息推送

如果您需要及时了解终端用户的登录日志、注册终端信息、卸载客户端以及禁用软件的使用申请,您可以配置消息推送功能。配置成功后,您关注的终端用户消息会依赖钉钉、企业微信、飞书的机器人,自动将消息推送到您的企业群,方便您随时跟进流程。

您在配置SASE消息推送前,需要先创建钉钉、企业微信或者飞书的自定义机器人。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置中心 > 通用配置

  3. 消息推送页签,单击创建模板

  4. 创建模板面板,根据您的数据来源配置消息推送。

    配置项

    说明

    通知来源

    • 钉钉机器人

    • 企业微信机器人

    • 飞书机器人

    • 短信

    • 邮箱

    机器人配置

    • 钉钉webhook

      示例值:https://oapi.dingtalk.com/robot/send?access_token=****

    • webhook密钥

      示例值:123456

    企业微信webhook

    示例值:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****

    • 飞书webhook

      示例值:https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d****

    • webhook密钥

      示例值:123456

    消息类型

    支持的消息类型如下,可多选。

    • 日志存储容量消耗达到阈值通知

    • 文件存储容量消耗达到阈值通知

    • 客户端日志上报通知

    • 客户端超额注册通知

    • 客户端卸载申请通知

    • 违规软件使用申请

    • 连接器异常通知

    • 终端安全告警

  5. 单击连通性测试。当提示框显示连通性测试成功,再单击确定

    如果您后续需要修改或者删除模板,可以在消息推送页签,单击编辑或者删除

    重要

    删除消息推送模板后,SASE无法自动将消息推送到您的企业群,请谨慎操作。

配置客户端企业元素

SASE支持定制化的企业元素,您可以更换中文版和英文版的客户端、下载页、浏览器认证页及帮助引导的相关企业元素。以下以中文版配置为例,为您介绍如何自定义企业元素。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置中心 > 通用配置

  3. 企业元素页签,进行相关配置。

    定制客户端元素

    1. 单击定制客户端元素

    2. 中文版设置英文版设置页签中,分别配置客户端中文版和英文版的LOGO背景图片标题宣传文案,并可在页面右侧进行效果预览。

    3. 配置完成后,单击确定

    定制客户端下载页元素

    1. 单击定制客户端下载页元素

    2. 中文版设置英文版设置页签中,分别配置客户端下载页中文版和英文版的LOGOLOGO名称标题描述android客户端下载地址ios客户端下载地址,并可在页面右侧进行效果预览。

    3. 配置完成后,单击确定

    定制浏览器认证页元素

    1. 单击定制浏览器认证页元素

    2. 中文版设置英文版设置页签中,分别配置浏览器认证页中文版和英文版的LOGO背景图片标题,并可在页面右侧进行效果预览。

    3. 配置完成后,单击确定

    配置帮助引导

    帮助引导功能旨在提升用户体验,帮助用户快速理解并高效使用软件功能或产品规范。常见形式包括新手引导、操作提示、常见问题解答(FAQ)等,用户可通过客户端随时查看,轻松掌握使用方法。

    1. 单击帮助引导

    2. 中文版设置英文版设置页签中,分别配置帮助引导中文版和英文版的标题描述链接,然后单击确定

    3. 登录SASE客户端。

    4. 设置 > 工具箱中查看配置的帮助引导。

      重要

      请确保您的SASE App版本不低于v4.8.5。

      单击官方文档卡片即可查看帮助引导。

配置自定义存储

在当前的外发检测过程中,溯源数据默认存储在云端。为了增强数据的安全性和控制权,SASE互联网访问安全的办公数据保护版支持自定义存储配置,允许您将溯源数据存储在您账号下的对象存储服务(OSS)或本地的MinIO存储系统中。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置中心 > 通用配置

  3. 自定义存储配置页签,展示内置存储使用量,单击开关图标,并单击确定

  4. 数据存储配置对话框中,您可以配置已购买的阿里云OSS存储空间或本地的MinIO存储系统,并参考如下内容进行配置。

    配置项

    说明

    自定义存储方式

    • 阿里云OSS:配置已购买的阿里云OSS存储空间。

    • 本地MinIO存储系统:支持将数据传输至您本地的存储空间。当前仅支持MinIO存储系统。

      说明

      1、将数据存储在本地的MinIO中,需要您自行对MinIO中的数据进行存储加密,减少明文存储数据带来的安全隐患。

      2、当文件存储在本地MinIO时,若本地MinIO空间与阿里云办公安全平台网络不通,将导致无法在控制台溯源日志中下载原文件,需要您根据日志中的文件存储地址,去您本地MinIO中下载原文件。

      3、因阿里云办公安全平台当前的OCR检测引擎在云端,当前对于图片文件的检测将会上传至办公平台云端进行检测,但阿里云办公安全平台不会存储您企业的外发图片数据。

    Bucket

    设置存储空间的Bucket。

    Endpoint

    设置存储空间的Endpoint。支持配置HTTPHTTPS协议。

    重要

    建议您配置HTTPS协议,否则可能需要对浏览器进行相关设置才能看到截图取证或者下载源文件。

    AccessKeyid

    设置存储空间的AK账号。请填写具备“数据下载权限”的AK账户,避免后续使用时无法在“日志审计-敏感文件检测”中下载原文件。

    AccessKey Secret

    设置存储空间的AccessKey Secret。

    单个文件存储大小配置

    设置单个文件存储大小。最大限制为60MB。

  5. 单击测试连通性。对存储空间的连通性进行测试。

  6. 单击确认

    配置完成后会自动开启自定义数据存储,命中外发检测策略的数据文件,将会存储在您指定的数据存储空间内。

    如果您需要关闭自定义数据存储,可以单击开关按钮,关闭自定义数据存储。关闭后,命中外发检测策略的数据文件,将存储在SASE内置的存储空间。请检查内置存储空间容量是否充足,避免存储空间已满,无法继续存储数据。

其他操作

如果您的内置存储空间不足,可以对存储空间进行扩容清空操作。

  • 扩容:单击扩容,在办公安全平台购买页,购买文件存储容量。

  • 清空:单击清空,在清空日志对话框中,可以设置按时间段清空清空全部。并单击确定

下载SASE安全客户端(SASE App)

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置中心 > 通用配置

  3. 客户端下载页签,根据界面提示下载客户端安装包。

    目前支持PC端下载移动端下载

  4. 解压下载的客户端安装包,双击安装程序setup.exe,启动安全客户端安装。下载并解压安装包后,打开 x64 文件夹,双击运行 setup.exe 开始安装。

    安装完成后,企业员工终端设备桌面会出现SASE安全客户端的图标。

升级SASE安全客户端(SASE App)

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置中心 > 通用配置

  3. 客户端升级页签,选择您服务器的操作系统。

    可选的操作系统包括 WindowsmacOSLinuxAndroidiOS

  4. 在不同操作系统的页签下,选择要下载的SASE App版本,单击操作下载,根据界面提示下载安装包。

  5. 如果您需要给企业员工推送升级任务,可以单击推送升级,添加升级任务,然后单击确定

    支持自定义升级比例,按照生效用户组内员工名下的终端总数,按照比例进行随机的升级。

    添加升级任务弹窗中,设置任务名称升级版本升级比例升级模式静默升级为推荐选项,Linux/Android/iOS不支持静默升级;另可选弹窗提示)、任务下发时间优先级(取值范围1~99,数值越小优先级越高)。

引流设置

SASE为每个VPC分配的默认回源IP地址可能与企业内网应用IP范围重叠,导致路由冲突或访问失败,因此支持自定义代理IP以避免冲突。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,单击设置中心 > 通用配置

  3. 引流设置页签中,配置不同操作系统的代理地址。并单击提交

    重要

    • 代理IP仅支持配置内网IP。

    • 如果企业的内网应用部署了防火墙或安全管控策略,需要确保这些策略中放行了SASE的回源IP地址,以避免流量被拦截。

上一篇:日志分析下一篇:多账号管理