适用版本
「安全与合规」目前包含审计日志、水印管理、访问安全,这三大功能目前只支持标准版租户使用,免费版租户暂不支持。
审计日志
在「审计日志」可查看企业管理日志、应用管理日志、登陆日志:
250px|700px|reset
- 企业管理日志:记录企业管理员在飞书低代码平台「管理后台」的操作。比如添加管理员。
- 应用管理日志:记录用户(通常是应用管理员和数据管理员等)对应用的管理操作。
- 登陆日志:
所有登录过飞书低代码平台开发后台和应用前台的用户,都会记录下登录时间、登录方式、登录状态和 IP 等信息。
审计日志配置
企业管理员可以配置是否「开启审计日志」,支持对不同的日志类型设置不同的日志保留时间,且可单独设置否开启对应类型日志。
250px|700px|reset
水印管理
进入「安全与合规 >> 水印管理」,系统管理员可以为基于飞书低代码平台搭建的所有应用开启水印。
- 水印会默认开启,可根据需要关闭水印
- 开启后,飞书低代码平台的每一个页面都会显示明文水印
- 水印形式:当前访问账号的姓名和邮箱拼接
250px|700px|reset
访问安全
功能上线说明:「访问安全-可信网络」能力正在灰度中,敬请期待!
功能描述
当一个企业采用云上应用程序时,网络边界将变得模糊,同时给所有的用户培训好安全意识也是不太可能的,这使得数据防泄漏变得更具有挑战性。
「访问安全」模块支持管理员通过配置,限制终端用户只能在特定条件下访问aPaaS应用,避免成员在不可信的网络、设备等环境中泄露敏感信息。
例如:
- 员工A在公共餐厅连接wifi访问应用的敏感数据,将被实时拦截,以避免应用敏感数据泄漏
- 员工B的access token被盗窃,盗窃者通过自己的IP地址访问应用,将被实时拦截
- 员工C在试图在非工作环境分享给外部人员,通过网页浏览时将被实时拦截
配置说明
飞书低代码平台管理员可访问与配置
- 可信网络 - IP 访问控制(灰度中)
- 入口:安全与合规-访问安全-可信网络- IP 围栏
- 说明:限制用户仅可在指定 IP 范围访问终端应用,避免在不可信网络中访问。开关默认为关闭,表示未开启 IP 访问控制,即所有 IP 地址均可访问。
250px|700px|reset
配置影响
配置后,终端用户在访问飞书低代码平台创建的应用时,若不在 IP 围栏(如内网)内,将跳转至无权限页面。
250px|700px|reset
- 可信网络 - 订阅查看平台出口 IP(灰度中)
- 入口:安全与合规-访问安全-可信网络-企业内网防火墙白名单
- 说明:企业网络若有防火墙,则企业可能需要将飞书低代码平台的出口 IP 加入白名单。开关开启时,可查看飞书低代码平台出站域名及 IP 地址范围,并订阅出口 IP 变化通知。开关默认关闭。
- 开启订阅并查看出口 IP 文档
250px|700px|reset
- 取消订阅
250px|700px|reset
- 可信设备 - 客户端访问控制
- 入口:安全与合规-访问安全-可信设备- 客户端类型
- 说明:配置是否允许特定客户端不可访问飞书低代码平台创建的应用。开关默认为关闭,表示未开启客户端访问控制,即所有客户端均可访问。
250px|700px|reset
配置影响
例如:
- 配置禁止访问类型为网页版时,终端用户在浏览器访问应用时将被禁止,跳转至无权限页面。仅可通过桌面端或移动端飞书访问该应用。
250px|700px|reset
- 应用开发者在「应用发布」时可查看相关安全策略提示,但不会阻塞应用开发者对相应客户端的发布
250px|700px|reset
结合飞书安全能力
举例如下:
- 配置:在低代码平台管理后台配置禁止桌面端和网页版访问;同时在飞书租户管理后台开启移动端截屏录屏保护
- 效果:终端用户仅可通过移动端访问,当通过移动端进行截图时,将无法成功。
