全部產品
Search
文件中心

Elastic Desktop Service:設定登入多因素認證MFA

更新時間:Nov 28, 2024

開啟多因素認證MFA(Multi-Factor Authentication)後,終端使用者登入無影終端時,不僅需要輸入使用者名稱和密碼,還需要輸入多因素認證的動態口令,從而增加一層額外的安全防護。本文介紹如何開啟多因素認證。

背景資訊

多因素認證是一種簡單有效安全實踐。在辦公網路或組織ID層面啟用多因素認證後,終端使用者每次登入時,系統將校正兩層安全因素:

  • 第一層安全因素:輸入使用者名稱和密碼。

  • 第二層安全因素:輸入虛擬MFA裝置產生的動態口令。

    說明

    虛擬MFA:限時單次密碼演算法(TOTP)是一種廣泛採用的多因素認證協議。在手機或其他裝置上,支援TOTP的應用(例如:Google Authenticator、Microsoft Authenticator等)被稱為虛擬MFA裝置。如果使用者啟用了虛擬MFA裝置,在使用者登入時,阿里雲將要求使用者必須輸入應用上產生的6位動態口令,從而避免因密碼被盜而引起的非法登入。

無影終端支援基於軟體的虛擬MFA裝置,您可以在智能手機上安裝Google Authenticator、Microsoft Authenticator等TOTP應用來用作虛擬MFA裝置。

辦公網路開啟多因素認證

  1. 登入無影雲電腦企業版控制台

  2. 在左側導覽列,選擇網路與儲存 > 辦公網路

  3. 在頂部功能表列左上方處選擇目標地區。

  4. 辦公網路頁面,單擊目標辦公網路辦公網路ID

  5. 在頁面底部的其他資訊地區開啟多因素裝置認證開關,並在確認對話方塊中單擊確定

    說明

    請確保已經關閉用戶端登入校正和SSO設定。

開啟成功後,終端使用者使用該辦公網路登入無影終端時,將需要輸入MFA動態口令。

為組織ID開啟多因素認證

  1. 登入無影雲電腦企業版控制台

  2. 在左側導覽列,選擇使用者管理 > 登入

  3. 登入頁面的安全配置頁簽上,將多因素裝置認證設為開啟

開啟成功後,終端使用者使用該組織ID登入無影終端時,將需要輸入該認證方式要求的動態口令。

刪除MFA裝置

您在控制台上開啟多因素認證後,終端使用者首次登入時需要綁定虛擬MFA裝置。如果終端使用者更換了虛擬MFA裝置,您可以在控制台上將原來的虛擬MFA裝置刪除。刪除後,使用者在下次登入時將需要重新綁定虛擬MFA裝置。

刪除便捷使用者綁定的MFA裝置

  1. 在左側導覽列,選擇資源管理 > 雲電腦企業版

  2. 在左側導覽列,選擇使用者管理 > 使用者與組織

  3. 使用者與組織頁面的使用者頁簽上找到目標使用者,操作列單擊 ⋮ 表徵圖,並選擇系統管理使用者MFA裝置

  4. 系統管理使用者MFA裝置對話方塊中找到要刪除的虛擬MFA裝置,在操作列中單擊刪除,然後單擊確認

刪除企業AD使用者帳號綁定的MFA裝置

刪除辦公網路下企業AD使用者綁定的MFA裝置

  1. 在左側導覽列,選擇資源管理 > 雲電腦企業版

  2. 在頂部功能表列左上方處選擇目標地區。

  3. 雲電腦企業版頁面上找到為企業AD使用者指派的雲電腦,操作列單擊 ⋮ 表徵圖,並選擇系統管理使用者MFA裝置

  4. 系統管理使用者MFA裝置面板上,按照頁面提示刪除虛擬MFA裝置。

說明

若已經為辦公網路開啟多因素認證,且終端使用者使用企業AD帳號登入無影終端並綁定了虛擬MFA裝置,則當終端使用者連續輸錯動態口令超過10次時,系統將鎖定該虛擬MFA裝置1小時。在鎖定期間,如果終端使用者想要登入,您可以調用UnlockVirtualMFADevice - 解鎖虛擬MFA裝置介面進行解鎖,或者調用DeleteVirtualMFADevice - 刪除AD帳號綁定的虛擬MFA裝置介面刪除該裝置,並讓終端使用者重新綁定新的虛擬MFA裝置。

刪除群組織ID下企業AD使用者綁定的MFA裝置

  1. 在左側導覽列,選擇資源管理 > 雲電腦企業版

  2. 在左側導覽列,選擇使用者管理 > 登入

  3. 登入頁面的安全配置頁簽上,找到目標AD網域名稱稱並單擊其後的系統管理使用者MFA裝置

  4. 系統管理使用者MFA裝置面板上,按照頁面提示刪除虛擬MFA裝置。