Elastic Desktop Service (EDS) Enterpriseコンソールでログオン認証とセキュリティ設定を構成して、エンドユーザーのログオンの認証方法を管理し、セキュリティを向上させることができます。 シングルサインオン (SSO) 、多要素認証 (MFA) 、クライアントのログオン検証などのログオン認証方法は、エンドユーザーがクラウドコンピューターに接続する前にユーザーIDを認証するのに役立ちます。 タイムアウトトリガーの自動ログオフ機能は、予期しないデータリークを防ぐこともできます。 このトピックでは、ログオン認証とログオン認証の設定方法について説明します。
組織ID
EDS Enterpriseの組織IDは、エンドユーザーが組織内のクラウドコンピューターに接続するために使用する8桁の識別子です。 初期組織IDは、EDSエンタープライズシステムによってランダムに生成され、大文字と数字が含まれます。 ただし、数字と混同される可能性のある文字は、組織IDには含まれません。 例: IとO。エンドユーザーが組織IDを使用してAlibaba Cloud Workspaceターミナルにログインすると、エンドユーザーはオフィスネットワークにあるすべてのクラウドコンピューターにアクセスできます。
オフィスネットワークIDと組織IDの比較
エンドユーザーは、オフィスネットワークIDまたは組織IDを使用してAlibaba Cloud Workspaceターミナルにログインできます。 組織IDを使用するエンドユーザーは、組織のオフィスネットワーク内のクラウドコンピューターにアクセスできます。 ログインに組織IDを使用するには、次の項目に注意してください。
エンドユーザーがコンビニエンスアカウントを使用している場合、すべてのAlibaba Cloud Workspace端末へのログインに組織IDを使用できます。
エンドユーザーがエンタープライズActive Directory (AD) アカウントを使用している場合、組織IDはAlibaba Cloud Workspace V6.4.0以降のWindowsクライアントおよびmacOSクライアントへのログインにのみ使用できます。
組織IDとオフィスネットワークIDを使用して、ログイン時に複数の認証方法を有効にし、セキュリティを向上させることができます。 ただし、認証設定は異なります。 認証方法の違いを次の表に示します。 この表では、便利なオフィスネットワークが例として使用されています。
エンタープライズADオフィスネットワークはMFAとSSOをサポートしています。
項目 | 組織ID | オフィスネットワークID |
概念 | 組織IDは、EDS enterprise内の一意のエンタープライズ識別子です。 EDS Enterpriseを有効にすると、システムは企業の組織IDを生成します。 Alibaba Cloudアカウントが実名認証に合格した場合、生成された組織IDを変更できます。 詳細については、「組織IDの変更」をご参照ください。 | オフィスネットワークIDは、一意のオフィスネットワーク識別子であり、システムによって自動的に生成され、変更できません。 |
有効範囲 | ログインとセキュリティの設定は、組織内のすべてのクラウドコンピューターに対して有効になります。 | オフィスネットワーク内のクラウドコンピューターでは、ログオンとセキュリティ設定が有効になります。 |
ユーザー名-便利なアカウントのパスワードログイン | 対応 | 対応 |
ユーザー名-エンタープライズADアカウントのパスワードログイン | 対応 | 対応 |
SSO | 対応 | 対応 |
多要素認証 | 対応 | 対応 |
クライアントのログオン検証 | 対応 | 対応 |
信頼できるデバイス認証 | 対応 | 対応 |
組織IDのスキップ | 対応 | 非対応 |
タイムアウトトリガー自動ログオフ | 対応 | 非対応 |
ショートメッセージサービス (SMS) ログオン | 対応 | 非対応 |
ログイン認証方法の設定
組織IDとオフィスネットワークIDを使用して、ログオンの認証方法を個別に設定できます。 設定は互いに競合しません。
エンドユーザーが組織IDを使用してAlibaba Cloud Workspaceターミナルにログインする場合、システムは組織用に設定された認証方法を使用します。
エンドユーザーがオフィスネットワークIDを使用してAlibaba Cloud Workspaceターミナルにログインする場合、システムはオフィスネットワークに設定された認証方法を使用します。
認証方法の管理
組織IDに複数の認証方法が設定されている場合、エンドユーザーがAlibaba Cloud Workspace端末にログインするときに、次の手順を実行して表示および認証順序を調整できます。
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。[ログイン設定] ページの [全般] タブで、[認証方法] セクションに表示される認証オプションをオンにするか、[操作] 列の [上に移動] または [下に移動] をクリックして、[Alibaba Cloud Workspaceターミナル] の認証順序を調整します。
組織IDの変更
Alibaba Cloudアカウントが実名認証に合格した場合、組織IDの変更を申請できます。 エンタープライズ実名検証の詳細については、
アカウント確認に関するFAQ をご参照ください。
EDS Enterpriseコンソールにログインします。
続行するエントリを選択します。
概要ページ
左側のナビゲーションペインから [概要] をクリックします。
[概要] ページで、[組織ID] パラメーターを見つけ、右側の疑問符をクリックします。 ポップアップウィンドウで、[組織IDの変更] をクリックします。
ログイン設定ページ
左側のナビゲーションウィンドウで、
を選択します。[ログイン設定] ページの [全般] タブで、[組織ID] の横にある [変更] をクリックします。
[組織IDの変更] ダイアログボックスで、有効な組織IDを入力します。
説明フォーマット: 組織IDの長さは5 ~ 15文字で、英数字、特殊文字を使用できます。 組織IDは特殊文字で始めることはできません。
[送信] をクリックし、プロンプトに従って続行します。
組織IDは15日以内に1回だけ変更できます。 レビューのために変更を送信した後、[概要] ページの [メッセージセンター] セクションでレビューの進行状況を確認できます。 新しいIDが承認される前に現在の組織IDを変更したくない場合は、送信を取り消します。
一般的なログイン設定
自動ログイン
この設定は、エンドユーザーがAlibaba Cloud Workspaceターミナルのログオンページで自動ログオンを有効にできるかどうかを指定します。 自動ログオンを有効にすると、繰り返しログオン資格情報の入力を回避して時間を節約できます。 自動ログインパラメーターを [エンドユーザーによるカスタマイズ] または [管理者による管理] に設定できます。 次に、フィーチャの有効期間を指定します。
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。[ログイン設定] ページの [全般] タブで、[ログイン設定] の横にある [ログイン設定の変更] をクリックします。
[ログイン設定の変更] パネルで、ビジネス要件に基づいて次のパラメーターを設定し、[確認] をクリックします。
パラメーター
説明
自動ログオン
有効な値:
エンドユーザーによるカスタマイズ: エンドユーザーは、Alibaba Cloud Workspace端末での自動ログインを有効または無効にできます。 エンドユーザーが自動ログオンを有効にする場合、エンドユーザーは自動ログオンの有効期間も指定する必要があります。
管理者: 管理者はEDS Enterpriseコンソールで自動ログインを設定します。 エンドユーザーは、Alibaba Cloud Workspace端末の自動ログイン設定を変更できません。
自動ログオン
このスイッチは、[自動ログイン] パラメーターを [管理者管理] に設定した場合にのみ使用できます。 このスイッチをオンまたはオフにすることができます。
説明この機能は招待プレビューです。 この機能を使用する場合は、チケットを起票
してください。
有効期間
このパラメーターは、[自動ログイン] パラメーターを [管理者] に設定し、[自動ログイン] スイッチをオンにした場合にのみ使用できます。
重要コンビニエンスアカウントのパスワードの有効期間が30日から365日に設定されており、クライアントの自動ログオン期間がパスワードの残りの有効期間を超えている場合、コンビニエンスアカウントを使用するエンドユーザーはクライアントに自動的にログオンできない可能性があります。 コンビニエンスアカウントのパスワード有効期間を設定する方法の詳細については、「コンビニエンスアカウントの作成」をご参照ください。
タイムアウトトリガー自動ログオフ
デフォルトでは、この機能は無効化されています。 この機能を有効にすると、エンドユーザーが端末にログインした後、特定の時間枠内にクラウドコンピューター、クラウドアプリケーション、クラウドフォン、エンタープライズドライブなどのクラウドリソースに接続しない場合、Alibaba Cloud Workspace端末は自動的にログオフされ、データのセキュリティが保護されます。
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。[ログイン設定] ページの [全般] タブで、[ログイン設定] の横にある [ログイン設定の変更] をクリックします。
[ログイン設定の変更] パネルで、ビジネス要件に基づいて次のパラメーターを設定し、[確認] をクリックします。
パラメーター
説明
タイムアウトトリガー自動ログアウト
このスイッチをオンまたはオフにすることができます。
タイムアウト期間:
Alibaba cloud Workspace端末にログインした後、エンドユーザーがクラウドリソースに接続しない時間枠。 このパラメーターは、Timeout-triggered Automatic Logoutスイッチをオンにした場合にのみ使用できます。
端末
この機能が有効になるAlibaba Cloud Workspaceターミナル。
説明[Alibaba Cloud Workspace Hardware Terminal] を選択した場合、ターミナルのバージョンが7.5以降であることを確認します。 指定されたハードウェア端末でパスワードなしのログオンが有効になっている場合、この機能は有効になりません。
説明クライアントを指定した場合、この機能は、指定された端末へのエンドユーザーのその後のログオンで有効になります。
タイムアウト期間が終了する前に、システムはエンドユーザーに通知します。 エンドユーザーが通知を無視すると、タイムアウト期間が終了すると、クライアントは自動的にログオフされます。
ログオン端末数の制限
デフォルトでは、エンドユーザーは任意の数のAlibaba Cloud Workspace端末に同時にログインできます。 エンドユーザーがログオンできるAlibaba Cloud Workspace端末の数に制限を設定できます。 実際の数がこの制限を超えた場合、エンドユーザーがログオンした最初の端末は自動的にログオフされます。
この機能は招待プレビューです。 この機能を使用する場合は、チケットを起票
してください。
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。[ログイン設定] ページの [全般] タブで、[ログイン設定] の横にある [ログイン設定の変更] をクリックします。
[ログイン設定の変更] パネルで、ビジネス要件に基づいて次のパラメーターを設定し、[確認] をクリックします。
パラメーター
説明
マックス ターミナル
このスイッチをオンまたはオフにすることができます。
利用可能なターミナル
エンドユーザーが同時にログオンできるAlibaba Cloud Workspaceターミナルの最大数。 有効な値: 1 ~ 10。 このパラメータは Max. Terminalsの切り替えをオンにした場合にのみ使用できます。
ログオン認証設定
MFA
MFAは、認証プロセスに追加の保護層を追加します。 MFAを設定した後、エンドユーザーはユーザー名、パスワード、および動的コードを提供する必要があります
エンドユーザーがAlibaba Cloud Workspaceターミナルにログインしたときに、仮想MFAデバイスによって送信されます。 詳細は、「MFAの設定」をご参照ください。
クライアントのログイン検証
デフォルトでは、この機能は無効化されています。 クライアントログオン検証スイッチをオンにした後、エンドユーザーが新しいデバイスからAlibaba Cloud Workspaceターミナルにログオンするときに、検証コードに基づくID検証が必要になります。 指定されたメールアドレスに確認コードが送信されます
. 検証が完了すると、ログオンが許可されます。
このパラメーターは、エンドユーザーがコンビニエンスアカウントを使用してインターネット経由でクラウドコンピューターにアクセスする場合にのみ有効です。
組織IDのクライアントログイン検証
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。[ログオン] ページの [セキュリティ] タブで、[クライアントログオン確認] スイッチをオンにします。
オフィスネットワークのクライアントログオン検証
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。上部ナビゲーションバーの左上でリージョンを選択します。
[オフィスネットワーク] ページで、管理するオフィスネットワークを見つけ、[ID] をクリックします。
オフィスネットワークの詳細ページの [その他の情報] セクションで、[クライアントログイン確認] をオンにします。
説明SSO、MFA、およびクライアントログオン検証機能は、相互に排他的です。 一定期間内にオフィスネットワークの機能の1つのみを有効にできます。 組織IDの場合、機能は相互に排他的ではありません。 すべてを同時に有効にすることができます。
SSO
シングルサインオン (SSO) は、シングルサインオンで複数の信頼できるアプリケーションシステムに効率的にアクセスできる安全な通信テクノロジーです。 SSOは、IDフェデレーションに基づいてログオンを実装します。
SSOシナリオでは、次の用語がよく使用されます。
IDプロバイダー (IdP): 外部IDプロバイダーのメタデータを含むエンティティ。 IdPはID管理サービスを提供し、ユーザー名やパスワードなどのユーザーID情報を収集して保存し、ユーザーログオン時にユーザーIDを検証します。
一般的なIdPs:
オンプレミスIdP: Microsoft Active Directoryフェデレーションサービス (AD FS) やShibbolethなどのオンプレミスアーキテクチャを使用します。
クラウドIdP:
Azure AD、Googleワークスペース、Okta、およびOneLogin。
サービスプロバイダー (SP): IdPのID管理機能を使用して、IdPとの信頼関係に基づいて特定のサービスをユーザーに提供するアプリケーション。 OpenID Connect (OIDC) など、SAML (Security Assertion Markup Language) プロトコルに準拠していない特定のIDシステムでは、SPはIdPの依存関係者です。
SAML 2.0: 企業のユーザーID認証の標準プロトコルです。 これは、SPとIdP間の通信の技術的実装の1つです。 SAMLは、企業がSSOを実装するために使用する事実上の標準です。
SSOを有効にすると、エンドユーザーはSSOモードでAlibaba Cloud Workspaceターミナルにログインします。 デフォルトでは、SSOはオフィスネットワークに対して無効になっています。 デフォルトでは、SSOは組織IDに対して有効になっています。 SSOを無効にすることはできません。
手順
SSOを有効にするには、次の手順を実行します。
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。上部ナビゲーションバーの左上でリージョンを選択します。
[オフィスネットワーク] ページで、管理するオフィスネットワークを見つけ、[ID] をクリックします。
オフィスネットワークの詳細ページの [その他の情報] セクションで、SSOスイッチをオンにします。
説明SSO、MFA、およびクライアントログオン検証機能は、相互に排他的です。 一定期間内にオフィスネットワークの機能の1つのみを有効にできます。 組織IDの場合、機能は相互に排他的ではありません。 すべてを同時に有効にすることができます。
関連ドキュメント
SAMLベースSSOの設定方法の詳細については、「SAMLベースSSOの設定」をご参照ください。
EDS EnterpriseとIDプロバイダー (IdP) 間のベストプラクティスの詳細については、「シングルサインオン (SSO) 」をご参照ください。