开启多因素认证MFA(Multi-Factor Authentication)后,终端用户登录无影终端时,不仅需要输入用户名和密码,还需要输入多因素认证的动态口令,从而增加一层额外的安全防护。本文介绍如何开启多因素认证。
背景信息
多因素认证是一种简单有效的安全实践。在办公网络或组织ID层面启用多因素认证后,终端用户每次登录时,系统将校验两层安全因素:
第一层安全因素:输入用户名和密码。
第二层安全因素:输入虚拟MFA设备生成的动态口令。
说明虚拟MFA:基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:Google Authenticator、Microsoft Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位动态口令,从而避免因密码被盗而引起的非法登录。
无影终端支持基于软件的虚拟MFA设备,您可以在智能手机上安装Google Authenticator、Microsoft Authenticator等TOTP应用来用作虚拟MFA设备。
为办公网络开启多因素认证
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面,单击目标办公网络的办公网络ID。
在页面底部的其他信息区域打开多因素设备认证开关,并在确认对话框中单击确定。
说明请确保已经关闭客户端登录校验和SSO设置。
开启成功后,终端用户使用该办公网络登录无影终端时,将需要输入MFA动态口令。
为组织ID开启多因素认证
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的安全配置页签上,将多因素设备认证设为开启。
开启成功后,终端用户使用该组织ID登录无影终端时,将需要输入该认证方式要求的动态口令。
删除MFA设备
您在控制台上开启多因素认证后,终端用户首次登录时需要绑定虚拟MFA设备。如果终端用户更换了虚拟MFA设备,您可以在控制台上将原来的虚拟MFA设备删除。删除后,用户在下次登录时将需要重新绑定虚拟MFA设备。
删除便捷用户绑定的MFA设备
在左侧导航栏,选择
。在左侧导航栏,选择
。在用户与组织页面的用户页签上找到目标用户,在操作列单击 ⋮ 图标,并选择管理用户MFA设备。
在管理用户MFA设备对话框中找到要删除的虚拟MFA设备,在操作列中单击删除,然后单击确认。