更新时间:2023-11-24
功能说明
对于开发、设计、财务、外包等涉及知识产权和机密数据的场景,当用户是通过零信任实现外网安全接入,远程连入桌面云进行办公时,管理员可通过桌面云条件策略与零信任联动功能,复用零信任强大的终端检测能力,实现更全面的终端安全策略的动态调控,保障业务安全。
前提条件
1.零信任atrust版本需要为2.2.4及以上正式版本;
2.零信任设备的应用防护策略需启用“事件通知”功能,才可作为云桌面的条检测策略判断条件;
3.VDC需已和零信任设备完成联动对接配置以及零信任设备登录配置,具体配置方式可参考本文档“联动设置”与“深信服零信任认证”两个章节配置内容。
注意事项
针对条件策略和用户策略、虚拟机策略冲突的情况,优先级情况如下:
临时策略 > 条件策略 > 策略组(虚拟机关联策略)> 策略组(用户关联策略),若有多个条件策略关联了生效了同一个对象,则以条件策略中配置的生效优先级为准。
:
隐藏导航条、关机一体化和网页重定向功能仅对用户生效,虚拟机即使配置该策略,也无法独立生效。
操作步骤
- 登录VDC控制台,进入[业务中心→认证管理→深信服零信任认证]界面,确认“条件联动”处的“零信任联动策略”已勾选;
- 进入[安全加固→条件授权]界面,点击<新建>,进入【新建条件授权】配置页面;
- 填写条件授权的基本信息。
- 选择条件策略需要作用的对象,可以选择用户或特定的虚拟机。
选择对象 |
说明 |
用户 |
选择“用户”作为对象时,条件授权将对用户生效,支持选择“接入IP范围”、“终端IP范围”、“门户地址”(即虚拟门户地址)、“终端类型”四种作为生效条件,可配置“独享桌面策略”、“Winserver应用与共享桌面策略”和“辅助认证”作为满足条件的执行动作。 |
虚拟机 |
选择“虚拟机”作为对象时,条件授权将只对独享桌面生效,仅支持选择“接入IP范围”、“终端IP范围”、和“终端类型”三种作为生效条件,仅支持配置 “独享桌面策略” 作为满足条件的执行动作。 |
- 在“条件与执行动作”处,勾选“零信任联动配置”并依据实际场景填写条件授权的生效条件与执行动作即可。
①零信任联动配置的条件用于填写联动的零信任应用防护策略的编号,在零信任控制台的[安全中心→安全基线→应用防护策略]界面可查看所设置的应用防护策略的编号。
②执行动作支持“独享桌面策略”和“Winserver应用与共享桌面策略”两种,点击<添加动作>可同时执行不同类型动作。
执行动作 |
说明 |
独享桌面策略 |
此动作用于指定当条件满足时,用户的独享桌面资源需要应用的策略组,适用于需要根据用户接入环境不同限制其在独享桌面内操作权限的场景。支持条件授权以“用户”和“虚拟机”为对象 |
Winserver应用与共享桌面策略 |
此动作用于指定当条件满足时,用户的虚拟应用和共享桌面资源需要应用的策略组,适用于需要根据用户接入环境不同限制其在虚拟应用或共享桌面内操作权限的场景。只支持条件授权以“用户”为对象。 |