Secure Access Service Edge：設定

背景資訊

企業員工在終端裝置中安裝SASE安全用戶端後，企業管理員可以在終端列表中查看已安裝安全用戶端的裝置總數和終端裝置的詳細資料，也可以通過終端列表及時瞭解未安裝安全用戶端的使用者和裝置情況。更多內容，請參見查看終端列表。

企業員工成功登入SASE安全用戶端後，對應的辦公終端的上網流量會經過SASE轉寄，並由SASE檢測和管控該終端的互連網訪問行為。

設定賬戶資訊

設定賬戶頁簽包含設定企業認證標識、設定賬戶到期時間、設定賬戶到期策略三個部分，具體介紹如下。

1. 登入辦公安全平台控制台。

2. 在左側導覽列，單擊設定。

3. 在賬戶設定頁簽，配置如下資訊。

   • 設定企業認證標識

     其中企業認證標識是您企業員工成功登入SASE安全用戶端前的重要憑證。建議您使用企業名稱等方便企業辦公終端使用者記憶的資訊作為企業認證標識。終端使用者首次登入SASE安全用戶端時，需要手動輸入該企業認證標識。

   • 設定賬戶到期資訊

     • 帳號到期時間設定

       使用者終端裝置最近一次登入SASE安全用戶端，允許終端裝置開機後自動登入的時間範圍。如果超出設定的帳號到期時間，會返回到登入介面，使用者需要重新輸入帳號和密碼才能登入SASE安全用戶端。

     • 帳號到期原則設定

       • 立即認證

         帳號到期後，SASE安全用戶端登入狀態立即登出，需企業員工重新輸入帳號及密碼認證。該配置以安全性原則優先，可能會導致辦公中斷。

       • 網路切換時認證

         帳號到期後，SASE安全用戶端狀態不會立即登出，在下一次喚醒電腦或者切換網路連接時，需企業員工重新輸入帳號及密碼認證。該配置以使用者體驗優先，不會中斷辦公。

配置白名單

當您確認訪問的內網應用、公網網站的行為以及外發的檔案、外接的裝置、浮水印資訊是安全的，並且不需要SASE對訪問該網站的行為進行管理和審計時，可通過配置白名單來實現。以下操作為您介紹如何為網站配置白名單。

1. 登入辦公安全平台控制台。

2. 在左側導覽列，單擊設定。

3. 在白名單頁簽，配置內網訪問白名單或者辦公資料保護白名單。

   • 配置內網訪問白名單

     1. 在內網訪問頁簽，為指定網站添加白名單。

        SASE為指定網站添加白名單時可以通過如下兩種方式：

        • IP白名單：添加網站的IP或者IP段，可添加多個IP或者IP段。

        • 網域名稱白名單：添加網站的網域名稱或者萬用字元網域名稱（泛網域名稱），可添加多個網域名稱或者萬用字元網域名稱。

     2. 單擊提交。

        白名單添加完成後，企業使用者可以直接存取白名單中的內網應用。

   • 配置辦公資料保護白名單

     1. 在辦公資料保護頁簽，為指定檔案、資料存放區空間、外接裝置或者浮水印添加白名單。

        SASE支援配置以下幾類白名單，配置時多個使用者需要以英文逗號隔開：

        • 檔案外發檢測白名單

        • 資料存放區（僅支援互連網訪問安全的辦公資料保護版）

        • 外設管控白名單

        • 浮水印白名單

     2. 單擊提交。

        白名單添加完成後，SASE不再對白名單使用者的行為進行管控或攔截。配置儲存空間白名單的使用者在命中外發檢測策略後不會對檔案進行儲存。

   • 配置上網行為管理白名單

     1. 在上網行為管理頁簽，為使用者、使用者組、網域名稱添加白名單。

        • 使用者白名單

        • 使用者組白名單

        • 例外網域名稱

     2. 單擊提交。

        白名單添加完成後，SASE不再對白名單中使用者、使用者組的上網行為以及對網域名稱的訪問進行管控或攔截。

配置訊息推送

如果您需要及時瞭解終端使用者的登入日誌、註冊終端資訊、卸載用戶端以及禁用軟體的使用申請，您可以配置訊息推送功能。配置成功後，您關注的終端使用者訊息會依賴DingTalk、企業微信、飛書的機器人，自動將訊息推送到您的企業群，方便您隨時跟進流程。

1. 登入辦公安全平台控制台。

2. 在左側導覽列，單擊設定。

3. 在訊息推送頁簽，單擊建立模板。

4. 在建立模板面板，根據您的資料來源配置訊息推送。

   配置項	說明
   通知來源	DingTalk機器人 企業微信機器人 飛書機器人
   機器人配置	DingTalkwebhook 樣本值：https://oapi.dingtalk.com/robot/send?access_token=**** webhook密鑰 樣本值：123456
   	企業微信webhook 樣本值：https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****
   	飛書webhook 樣本值：https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d**** webhook密鑰 樣本值：123456
   訊息類型	支援的訊息類型如下，可多選。 用戶端日誌上報通知 用戶端超額註冊通知 用戶端卸載申請通知 違規軟體使用申請 連接器異常通知

5. 單擊連通性測試。當提示框顯示連通性測試成功，再單擊確定。

   如果您後續需要修改或者刪除模板，可以在訊息推送頁簽，單擊編輯或者刪除。

   重要

   刪除訊息推送模板後，SASE無法自動將訊息推送到您的企業群，請謹慎操作。

配置用戶端企業元素

SASE支援定製化的企業元素，您可以更換中文版和英文版的用戶端、下載頁、瀏覽器認證頁及協助引導的相關企業元素。以下以中文版配置為例，為您介紹如何自訂企業元素。

1. 登入辦公安全平台控制台。

2. 在左側導覽列，單擊設定。

3. 在企业元素頁簽，進行相關配置。

   

   定製用戶端元素

   1. 單擊定制客户端元素。

   2. 在中文版设置和英文版设置頁簽中，分別配置用戶端中文版和英文版的LOGO、背景圖片、标题和宣傳文案，並可在頁面右側進行效果預覽。

   3. 配置完成後，單擊確定。

   定製用戶端下載頁元素

   1. 單擊定制客户端下载页元素。

   2. 在中文版设置和英文版设置頁簽中，分別配置用戶端下載頁中文版和英文版的LOGO、LOGO名称、标题、描述、android客户端下载地址和ios客户端下载地址，並可在頁面右側進行效果預覽。

   3. 配置完成後，單擊確定。

   定製瀏覽器認證頁元素

   1. 單擊定製瀏覽器認證頁元素。

   2. 在中文版设置和英文版设置頁簽中，分別配置瀏覽器認證頁中文版和英文版的LOGO、背景圖片、标题，並可在頁面右側進行效果預覽。

   3. 配置完成後，單擊確定。

   配置協助引導

   協助引導功能旨在提升使用者體驗，協助使用者快速理解並高效使用軟體功能或產品規範。常見形式包括新手引導、操作提示、常見問題集（FAQ）等，使用者可通過用戶端隨時查看，輕鬆掌握使用方法。

   1. 單擊幫手引路。

   2. 在中文版设置和英文版设置頁簽中，分別配置協助引導中文版和英文版的标题、描述和鍊接，然後單擊確定。

   3. 登入SASE用戶端。

   4. 在設定 > 工具箱中查看配置的協助引導。

      重要

      請確保您的SASE App版本不低於v4.8.5。

      

配置自訂儲存

在當前的外發檢測過程中，溯來源資料預設儲存在雲端。為了增強資料的安全性和控制權，SASE互連網訪問安全的辦公資料保護版支援自訂儲存配置，允許您將溯來源資料儲存在您帳號下的Object Storage Service服務（OSS）或本地的MinIO儲存系統中。

1. 登入辦公安全平台控制台。

2. 在左側導覽列，單擊設定。

3. 在自訂儲存配置頁簽，展示內建儲存使用量，單擊開關表徵圖，並單擊確定。

4. 在資料存放區配置對話方塊中，您可以配置已購買的阿里雲OSS儲存空間或本地的MinIO儲存系統，並參考如下內容進行配置。

   配置項	說明
   自訂儲存方式	阿里雲OSS：配置已購買的阿里雲OSS儲存空間。 本地MinIO儲存系統：支援將資料轉送至您本地的儲存空間。當前僅支援MinIO儲存系統。 說明 1、將資料存放區在本地的MinIO中，需要您自行對MinIO中的資料進行儲存加密，減少明文儲存資料帶來的安全隱患。 2、當檔案儲存體在本地MinIO時，若本地MinIO空間與阿里雲辦公安全平台網路不通，將導致無法在控制台溯源日誌中下載原檔案，需要您根據日誌中的檔案儲存體地址，去您本地MinIO中下載原檔案。 3、因阿里雲辦公安全平台當前的OCR檢測引擎在雲端，當前對於圖片檔案的檢測將會上傳至辦公平台雲端進行檢測，但阿里雲辦公安全平台不會儲存您企業的外發圖片資料。
   Bucket	設定儲存空間的Bucket。
   Endpoint	設定儲存空間的Endpoint。支援配置HTTP和HTTPS協議。 重要 建議您配置HTTPS協議，否則可能需要對瀏覽器進行相關設定才能看到截圖取證或者下載源檔案。
   AccessKeyid	設定儲存空間的AK帳號。請填寫具備“資料下載許可權”的AK賬戶，避免後續使用時無法在“日誌審計-敏感檔案檢測”中下載原檔案。
   AccessKey Secret	設定儲存空間的AccessKey Secret。
   單個檔案儲存體大小配置	設定單個檔案儲存體大小。最大限制為60MB。

5. 單擊測試連通性。對儲存空間的連通性進行測試。

6. 單擊確認。

   配置完成後會自動開啟自訂資料存放區，命中外發檢測策略的資料檔案，將會儲存在您指定的資料存放區空間內。

   如果您需要關閉自訂資料存放區，可以單擊開關按鈕，關閉自訂資料存放區。關閉後，命中外發檢測策略的資料檔案，將儲存在SASE內建的儲存空間。請檢查內建儲存空間容量是否充足，避免儲存空間已滿，無法繼續儲存資料。

下載SASE安全用戶端（SASE App）

1. 登入辦公安全平台控制台。

2. 在左側導覽列，單擊設定。

3. 在用戶端下載頁簽，根據介面提示下載用戶端安裝包。

   目前支援PC端下載、移動端下載和企業指定版本。

4. 解壓下載的用戶端安裝包，雙擊安裝程式setup.exe，啟動安全用戶端安裝。

   安裝完成後，企業員工終端裝置案頭會出現SASE安全用戶端的表徵圖。

升級SASE安全用戶端（SASE App）

1. 登入辦公安全平台控制台。

2. 在左側導覽列，單擊設定。

3. 在用戶端升級頁簽，選擇您伺服器的作業系統。

   

4. 在不同作業系統的頁簽下，選擇要下載的SASE App版本，單擊操作列下載，根據介面提示下載安裝包。

5. 如果您需要給企業員工推送升級任務，可以單擊推送升級，添加升級任務，然後單擊確定。

   支援自訂升級比例，按照生效使用者組內員工名下的終端總數，按照比例進行隨機的升級。

   

引流設定

SASE為每個VPC分配的預設回源IP地址可能與企業內網應用IP範圍重疊，導致路由衝突或訪問失敗，因此支援自訂代理IP以避免衝突。

1. 登入辦公安全平台控制台。

2. 在左側導覽列，單擊設定。

3. 在引流设置頁簽中，配置不同作業系統的Proxy 位址。並單擊提交。

   重要

   • 代理IP僅支援配置內網IP。

   • 如果企業的內網應用部署了防火牆或安全管控策略，需要確保這些策略中允許存取了SASE的回源IP地址，以避免流量被攔截。