藉助無影雲電腦企業版的登入方式設定和安全設定能力,您可以控制終端使用者登入時可用的登入方式,以及提高雲電腦使用過程中各個環節的安全性。例如,單點登入SSO、多因素裝置認證、用戶端登入校正等能力,可以確保在登入之前對終端使用者進行嚴格的身分識別驗證;用戶端逾時自動結束登入的能力,可有效控制資料意外泄露的風險。本文介紹各項登入安全設定能力及其使用方法。
使用和管理組織ID
初始的組織ID是由系統自動產生的8位隨機唯一識別碼,僅包含大寫英文字母(不含I、O等容易與數字混淆的字母)和數字。使用組織ID登入無影終端,可以訪問所有辦公網路下的雲電腦。
組織ID和辦公網路ID的區別
終端使用者登入無影終端時,可以選擇使用辦公網路ID或者組織ID登入。使用組織ID登入時,可以訪問所有辦公網路下的雲電腦。無影終端對組織ID的支援範圍是:
如果是便捷帳號,所有無影終端均支援使用組織ID登入。
如果是企業AD帳號,則支援使用組織ID登入的無影終端包括:Windows用戶端和macOS用戶端(V6.4及以上版本)。
您可以為組織ID或辦公網路ID開啟多種登入方式和安全驗證方式,但兩者的支援範圍有所差異。下表以便捷辦公網路為例介紹具體差異。
AD辦公網路支援的安全驗證方式為多因素認證和SSO。
對比項 | 組織ID | 辦公網路ID |
概念 | 組織ID是代表企業身份的唯一標識,開通無影雲電腦服務時,系統自動建立組織ID。 如果您的阿里雲主帳號已經通過企業實名認證,您可以將自動產生的組織ID修改為自訂的組織ID。具體操作,請參見修改組織ID。 | 辦公網路ID是辦公網路的唯一標識,由系統自動產生,不可修改。 |
設定生效範圍 | 在組織ID層面完成的登入設定及其安全配置對全部雲電腦生效。 | 在辦公網路層面完成的登入設定及其安全配置,僅針對該辦公網路下的雲電腦生效。 |
無影便捷帳號賬密登入 | 支援 | 支援 |
企業AD帳號賬密登入 | 支援 | 支援 |
自動登入 | 支援 | 不支援 |
逾時自動結束登入 | 支援 | 不支援 |
終端登入數量限制 | 支援 | 不支援 |
簡訊驗證碼登入 | 支援 | 不支援 |
多因素裝置認證MFA | 支援 | 支援 |
用戶端登入校正 | 支援 | 支援 |
可信裝置認證 | 支援 | 支援 |
單點登入SSO | 支援 | 支援 |
設定登入驗證方式
您可以分別為組織ID和辦公網路設定登入驗證方式,兩者互相獨立,互不影響。
如果使用組織ID登入無影終端,則遵循為組織ID設定的驗證登入方式。
如果使用辦公網路ID登入無影終端,則遵循為辦公網路ID設定的驗證登入方式。
管理組織ID下的登入方式
若為組織ID配置了多種登入方式,您可以按照以下步驟設定這些登入方式在無影終端介面上的可見度以及顯示順序。
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,按需將登入方式地區的各種登入方式開啟或關閉,也可以單擊操作列的上移或下移來調整它們在無影終端介面上的顯示順序。
修改組織ID
當您的阿里雲帳號通過企業實名認證之後,方可基於企業實名資訊申請修改組織ID。關於企業實名認證的詳細資料,請參見帳號認證常見問題。
登入無影雲電腦企業版控制台。
選擇一個操作入口:
在總覽頁面修改
在左側導覽列,單擊總覽。
在總覽頁面上的我的雲電腦地區,單擊當前組織ID右側的修改。
在登入設定頁面修改
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,單擊組織ID右側的設定。
在組織ID對話方塊中,按照介面提示輸入符合要求的組織ID,並單擊確定。
說明長度為5~15個字元,可包含英文字母(不限制大小寫)、數字和特殊符號,特殊字元只可包含
~#$%&:'_-+=|(){}[]<>,且特殊符號不能放在開頭。15天內只能修改一次。
登入通用配置
沉浸模式
為Windows用戶端開啟沉浸模式後,運行Windows用戶端的本地裝置上將只能看到用戶端介面,從而為您的終端使用者提供雲電腦的沈浸式使用體驗,排除本地裝置造成的幹擾。
該功能目前處於邀測中,如需體驗,請提交工單申請開通。
使用須知
支援範圍
此功能僅支援Windows用戶端。
生效機制
開啟或關閉沉浸模式後,終端使用者下一次成功登入終端時收到重啟本地裝置的提示訊息。終端使用者必須單擊重啟電腦,才能在本地裝置重啟後進入沉浸模式。
說明終端使用者必須單擊用戶端彈窗中的重啟電腦才會生效,通過本地裝置自身的重啟功能來重啟裝置是不會生效的。
該功能會修改終端使用者的本地裝置的Windows註冊表資訊。若未正常生效,可能是因為被終端使用者本地裝置上的安全軟體攔截。
影響及範圍
開啟沉浸模式後,終端使用者無法從用戶端介面回到本地裝置的作業系統,也不能使用本地作業系統的功能(例如開啟本地作業系統的控制台、工作管理員、瀏覽器、網路設定等)。
該配置項將影響您組織下的所有使用者。
操作步驟
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,單擊登入配置右側的修改登入配置。
在修改登入配置面板的沉浸模式地區,開啟使用者登入終端後開啟沉浸模式開關。
自動登入
該配置項控制終端使用者能否在無影終端登入介面上啟用自動登入,以及在啟用的情況下,終端使用者可以在登入成功後的多長時間內免去重新輸入登入憑證的步驟。您可以設定為由終端使用者配置,也可以按照以下步驟設定為由管理員配置,並設定具體的自動登入有效期間。
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,單擊登入配置右側的修改登入配置。
在修改登入配置面板上完成以下配置,並單擊確定。
配置項
說明
自動登入
可選項包括:
終端使用者自訂:終端使用者可以在無影終端上自行啟用或禁用自動登入,而且可以自行設定自動登入的期間。
管理員管控:管理員在無影雲電腦企業版控制台上配置自動登入功能,終端使用者在無影終端上沒有修改許可權。
自動登入設定
當自動登入設為管理員管控時,該選項可見。您可以啟用或禁用該選項。
說明終端策略中的硬體終端自動登入配置項已下線,因此已納管硬體終端上是否顯示自動登入選項僅受此配置項控制。當自動登入設為管理員管控,且自動登入設定設為禁用時,已納管硬體終端上不顯示自動登入選項。
自動登入有效期間
當自動登入設為管理員管控,且自動登入設定設為啟用時,您可以設定自動登入的期間。
重要如果您將某個便捷帳號的密碼有效期間設定為有限的值(30天~365天)而非永久有效,並且此處設定的自動登入有效期間大於該便捷帳號的剩餘密碼有效期間,則可能會導致該便捷帳號在自動登入有效期間內無法自動登入。關於如何設定便捷帳號的密碼有效期間,請參見建立便捷帳號。
逾時自動結束登入
該功能預設關閉。開啟後,若終端使用者登入了您指定類型的無影終端,但沒有串連任何雲資源(包括雲電腦、雲應用、雲手機、企業網盤等),則當達到您在此處設定的逾時時間長度,無影終端將自動結束登入,從而有效保護雲資源的資料安全。
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,單擊登入配置右側的修改登入配置。
在修改登入配置面板上完成以下配置,並單擊確定。
配置項
說明
逾時自動結束登入
可以開啟或關閉。
逾時時間長度
終端使用者未在無影終端上串連任何雲資源的時間長度。當逾時自動結束登入已開啟時,該選項可見。
生效終端
該功能對哪些無影終端生效。
說明若選擇無影自研硬體終端,請注意,僅對V7.5及以上版本的硬體終端生效;若該硬體終端配置了免密登入,則逾時自動結束登入不生效。
說明設定用戶端逾時自動結束登入後,終端使用者下次登入用戶端時生效。
在即將達到逾時時間長度之前,終端使用者將收到提醒,終端使用者可以選擇終止該流程,但如果終端使用者不採取任何操作,則用戶端將自動結束登入。
終端登入數量限制
預設情況下,終端使用者可以同時登入任意數量的無影終端。您可以在此配置終端登入數量的上限,超過該上限時,終端使用者最早登入的無影終端將自動結束登入。
該功能目前處於邀測中,如需體驗,請提交工單申請開通。
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,單擊登入配置右側的修改登入配置。
在修改登入配置面板上完成以下配置,並單擊確定。
配置項
說明
終端登入數量限制
可以開啟或關閉。
使用者可登入終端/用戶端數量
終端使用者可以同時登入的無影終端最大數量(1~10)。當終端登入數量限制已開啟時,該選項可見。
登入安全配置
多因素裝置認證MFA
開啟多因素認證MFA(Multi-Factor Authentication)後,終端使用者登入無影終端時,不僅需要輸入使用者名稱和密碼,還需要輸入多因素認證的動態口令或驗證碼,從而增加一層額外的安全防護。詳細資料,請參見設定登入多因素認證MFA。
用戶端登入校正
該配置預設關閉。開啟後,終端使用者從新的裝置登入無影終端時需完成郵箱驗證碼校正,校正通過後方可成功登入。
僅便捷帳號且網路接入方式為公網串連時生效。
為組織ID開啟用戶端登入校正
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在登入頁面的安全配置頁簽上,開啟用戶端登入校正開關。
請在彈窗中確認提示資訊,並單擊確定。
為辦公網路開啟用戶端登入校正
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到目標辦公網路,單擊辦公網路ID。
在辦公網路詳情頁面最底部的其他資訊地區開啟用戶端登入校正開關。
說明SSO設定、多因素認證和用戶端登入校正三者之間為互斥關係。同一時間只能為一個辦公網路開啟其中一種登入驗證方式。對於組織ID,上述三者之間沒有互斥關係,可以同時開啟。
請在彈窗中確認提示資訊,並單擊確定。
可信裝置認證
該配置預設關閉。開啟後,僅允許終端使用者通過已添加的限定登入終端登入。
該功能僅適用於便捷帳號。
前提條件
已在控制台添加無影終端,並為終端綁定使用者。具體操作,請參見管理軟體用戶端。
開啟步驟
為組織ID開啟可信裝置認證
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在登入頁面的安全配置頁簽上,開啟可信裝置認證開關。
請在彈窗中確認提示資訊,並單擊確定。
為辦公網路開啟可信裝置認證
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到目標辦公網路,單擊辦公網路ID。
在辦公網路詳情頁面最底部的其他資訊地區開啟可信裝置認證開關。
請在彈窗中確認提示資訊,並單擊確定。
攔截不可信終端登入
該配置預設禁用。啟用後,僅可信終端(已納管硬體終端、已納管案頭端及已為使用者添加的限定登入終端)可登入,其他所有終端均視為不可信終端,將無法登入。
該操作屬於強管控操作,可能會影響終端使用者使用,請謹慎啟用。
開啟步驟
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在登入頁面的安全配置頁簽上,開啟攔截不可信終端登入開關。
在彈窗中選擇攔截生效範圍(請至少選擇一項)。
攔截生效範圍
攔截效果
組織ID
可信終端以外的所有終端,將無法使用此組織ID進行登入。
辦公網路ID
可信終端以外的所有終端,將無法使用此辦公網路ID登入。
單擊確定。
單點登入SSO
單點登入SSO(Single Sign On)是一種協助使用者快速存取多個應用系統的安全通訊技術,也稱為身份同盟登入,可以實現在多個系統中,只需要登入一次,就可以訪問其他相互信任的系統。
相關概念如下:
身份供應商IdP:一個包含有關外部身份供應商中繼資料的實體,提供身份管理服務,負責收集儲存使用者身份資訊(例如使用者名稱、密碼等),在登入時驗證使用者身份。
常見的身份供應商IdP有:
企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服務提供者SP:利用IdP的身份管理功能,通過與IdP建立互信關係,為使用者提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供者稱作IdP的信賴方。
安全性聲明標記語言SAML 2.0:實現企業級使用者身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。
開啟SSO設定並配置SSO之後,終端使用者登入無影終端時將通過SSO方式登入。對於辦公網路,SSO設定預設關閉。對於組織ID,預設開啟SSO設定,不需要開啟任何開關,也不支援關閉SSO設定。
開啟步驟
您可以按照以下步驟為辦公網路開啟SSO設定。
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到目標辦公網路,單擊辦公網路ID。
在辦公網路詳情頁面最底部的其他資訊地區開啟SSO設定開關。
說明SSO設定、多因素認證和用戶端登入校正三者之間為互斥關係。同一時間只能為一個辦公網路開啟其中一種登入驗證方式。對於組織ID,上述三者之間沒有互斥關係,可以同時開啟。
相關文檔
關於如何基於SAML配置SSO,請參見基於SAML配置SSO。
關於雲電腦與企業身份供應商IdP的最佳實務,請參見單點登入SSO。