บทนำ
Advanced Settings ใน Zero Trust Guard ประกอบด้วย Global Policies ที่มีผลต่อการเข้าถึงทั้งระบบ และ User Policies ที่สามารถกำหนดเฉพาะกับ user หรือ OU แต่ละกลุ่มได้ ฟีเจอร์นี้ช่วยให้ admin ปรับแต่งประสบการณ์การใช้งานให้เหมาะสมกับความต้องการขององค์กร เช่น การเร่งความเร็วเครือข่าย, การจัดการ session timeout, การ resolve domain ภายใน และการจำกัด bandwidth ต่อผู้ใช้
ข้อกำหนดเบื้องต้น (Prerequisites)
- Endpoint PC ติดตั้ง Sangfor Access Client และอยู่ในสถานะ online
- Connector ถูก deploy และเชื่อมต่อกับ Sangfor Access Secure
- Users และโครงสร้างองค์กรถูก sync จาก Sangfor IDaaS
- มีสิทธิ์ admin ในการแก้ไข Advanced Settings
ขั้นตอนการตั้งค่า (Configuration Steps)
ส่วนที่ 1: Global Policies
- Login เข้า Platform-X console และเข้า Sangfor Access Secure
- ไปที่ Core Features > Zero Trust Guard > Policy > Advanced Settings > Global Policies
- เลือก global policies ที่ต้องการ enable เช่น:
- Post Network Acceleration: เร่งความเร็วการเข้าถึง network โดย optimize TCP behavior และ packet loss
- Reduce network latency: ลด RTT ใน connection establishment และเพิ่ม stability
- Block Access from Browsers: บล็อกการเข้าถึง app เช่น WeCom, DingTalk จาก browser
- คลิก Save เพื่อบันทึก global policies
ส่วนที่ 2: User Policies
- ไปที่ Core Features > Zero Trust Guard > Policy > Advanced Settings > User Policies แล้วคลิก Add
- ที่ส่วน Basics ระบุ Name, Description และที่ Objects เลือก user หรือ OU ที่ policy นี้จะมีผล
- ที่ tab Account Settings ตั้งค่า Logout Due to Connection Timeout:
- PC Client Connection: เลือก "No Use of Keyboard or Mouse for X mins" และ/หรือ "No App Access Traffic for X mins"
- Mobile Client Connection: ตั้ง "No App Access Traffic for X hrs"
- ที่ tab Access Settings ตั้งค่า:
- Redirected to: App Center (Workspace) หรือ Specified URL หลัง login สำเร็จ
- Internal Domain Resolution: เปิดเพื่อ forward DNS request ไปที่ internal DNS server ผ่าน connector ระบุ Domain Name (รองรับ wildcard เช่น *.domain.com) และเลือก Connector
- Excluded Domain Name: ระบุ domain ที่ไม่ต้องการให้ผ่าน internal resolution
- Append DNS suffix: เปิดเพื่อ append domain suffix ให้กับ URL ที่ user พิมพ์ใน browser address bar (รองรับเฉพาะ Windows และ macOS)
- Bandwidth Restriction: จำกัด bandwidth จาก Client to PoP และ PoP to Client (0 = ไม่จำกัด, ขั้นต่ำ 32 Kbit/s)
- คลิก OK เพื่อบันทึก user policy
การตรวจสอบ (Verification)
Login เข้า Sangfor Access Client ด้วยบัญชีของ user ที่อยู่ใน policy ใหม่ ทดสอบ:
- หลัง login ระบบ redirect ไปยังปลายทางที่กำหนด (Workspace หรือ Specified URL)
- เข้าถึง app ที่ใช้ internal domain เพื่อยืนยันว่า DNS resolution ทำงานผ่าน connector
- ทดสอบ idle timeout ตามเวลาที่กำหนด user ควรถูก log out อัตโนมัติ
- ทดสอบ bandwidth ว่าถูกจำกัดตามค่าที่ตั้งไว้
หมายเหตุ (Notes)
- User Policy มี precedence สูงกว่า upper-level OU policy ซึ่งสูงกว่า Default Policy หาก user ไม่มี policy ของตัวเอง จะใช้ของ OU แม่ และหากไม่มี policy ของ OU จะใช้ Default Policy
- User คนหนึ่งสามารถ associate ได้กับ user policy เพียง 1 policy เท่านั้น
- Append DNS suffix รองรับเฉพาะ Windows และ macOS (ใช้ได้หลัง user login client เท่านั้น)
- Bandwidth Restriction ค่า 0 หมายถึงไม่จำกัด ค่าต่ำสุดที่ตั้งได้คือ 32 Kbit/s
- Internal Domain Resolution ที่ตั้งใน User Policy ต้องสอดคล้องกับ internal domain resolution settings ใน connector environment เพื่อให้ resolve domain ภายในได้ถูกต้อง
- การเปลี่ยนแปลง Global Policies อาจมีผลกระทบกับผู้ใช้ทั้งระบบ ควรทดสอบใน maintenance window
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น