全部产品
Search
文档中心

无影云电脑:设置登录多因素认证MFA

更新时间:Nov 27, 2024

开启多因素认证MFA(Multi-Factor Authentication)后,终端用户登录无影终端时,不仅需要输入用户名和密码,还需要输入多因素认证的动态口令,从而增加一层额外的安全防护。本文介绍如何开启多因素认证。

背景信息

多因素认证是一种简单有效的安全实践。在办公网络或组织ID层面启用多因素认证后,终端用户每次登录时,系统将校验两层安全因素:

  • 第一层安全因素:输入用户名和密码。

  • 第二层安全因素:输入虚拟MFA设备生成的动态口令。

    说明

    虚拟MFA:基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:Google Authenticator、Microsoft Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位动态口令,从而避免因密码被盗而引起的非法登录。

无影终端支持基于软件的虚拟MFA设备,您可以在智能手机上安装Google Authenticator、Microsoft Authenticator等TOTP应用来用作虚拟MFA设备。

办公网络开启多因素认证

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络

  3. 在顶部菜单栏左上角处选择目标地域。

  4. 办公网络页面,单击目标办公网络办公网络ID

  5. 在页面底部的其他信息区域打开多因素设备认证开关,并在确认对话框中单击确定

    说明

    请确保已经关闭客户端登录校验和SSO设置。

开启成功后,终端用户使用该办公网络登录无影终端时,将需要输入MFA动态口令。

为组织ID开启多因素认证

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择用户管理 > 登录

  3. 登录页面的安全配置页签上,将多因素设备认证设为开启

开启成功后,终端用户使用该组织ID登录无影终端时,将需要输入该认证方式要求的动态口令。

删除MFA设备

您在控制台上开启多因素认证后,终端用户首次登录时需要绑定虚拟MFA设备。如果终端用户更换了虚拟MFA设备,您可以在控制台上将原来的虚拟MFA设备删除。删除后,用户在下次登录时将需要重新绑定虚拟MFA设备。

删除便捷用户绑定的MFA设备

  1. 在左侧导航栏,选择资源管理 > 云电脑企业版

  2. 在左侧导航栏,选择用户管理 > 用户与组织

  3. 用户与组织页面的用户页签上找到目标用户,操作列单击 ⋮ 图标,并选择管理用户MFA设备

  4. 管理用户MFA设备对话框中找到要删除的虚拟MFA设备,在操作列中单击删除,然后单击确认

删除企业AD用户账号绑定的MFA设备

删除办公网络下企业AD用户绑定的MFA设备

  1. 在左侧导航栏,选择资源管理 > 云电脑企业版

  2. 在顶部菜单栏左上角处选择目标地域。

  3. 云电脑企业版页面上找到为企业AD用户分配的云电脑,操作列单击 ⋮ 图标,并选择管理用户MFA设备

  4. 管理用户MFA设备面板上,按照页面提示删除虚拟MFA设备。

说明

若已经为办公网络开启多因素认证,且终端用户使用企业AD账号登录无影终端并绑定了虚拟MFA设备,则当终端用户连续输错动态口令超过10次时,系统将锁定该虚拟MFA设备1小时。在锁定期间,如果终端用户想要登录,您可以调用UnlockVirtualMFADevice - 解锁虚拟MFA设备接口进行解锁,或者调用DeleteVirtualMFADevice - 删除AD账号绑定的虚拟MFA设备接口删除该设备,并让终端用户重新绑定新的虚拟MFA设备。

删除组织ID下企业AD用户绑定的MFA设备

  1. 在左侧导航栏,选择资源管理 > 云电脑企业版

  2. 在左侧导航栏,选择用户管理 > 登录

  3. 登录页面的安全配置页签上,找到目标AD域名称并单击其后的管理用户MFA设备

  4. 管理用户MFA设备面板上,按照页面提示删除虚拟MFA设备。