工作区用于容纳云桌面,是云桌面工作环境配置的集合,包括安全办公网络的划分、用户账号系统和互联网访问等相关设置。本文介绍工作区涉及的相关概念和功能。

安全办公网络

安全办公网络即工作区VPC,是一个基于阿里云专有网络VPC的私有网络。创建工作区时,您可以指定安全办公网络包含的IPv4网段,系统将基于该网段创建一个对应的VPC。在工作区下创建云桌面时,系统将自动从工作区VPC包含的网段中分配一个IP地址给云桌面。默认情况下,同一工作区内的云桌面之间无法互相访问,如果想要网络互通,您可以在工作区创建成功后修改工作区的属性,开启工作区内桌面互通功能。

注意 工作区VPC由阿里云维护,创建后您无法修改网段。工作区VPC网段内的IP个数决定了该工作区最大可以创建的云桌面数量,请务必在创建工作区前,合理规划工作区VPC的网段。
默认情况下,您可以将工作区VPC设置为以下IPv4网段及其子网段:
  • 192.168.0.0/16
  • 10.0.0.0/12
  • 172.16.0.0/12
说明 如果想要自定义设置IPv4网段,请提交工单申请。

不同的安全办公网络在逻辑上互相隔离,您可以根据需要来划分网络,建立不同的工作区来满足日常管理的需要,提高管理效率和安全性。如果工作区之间需要实现网络互通,可以将工作区加入到云企业网实例中。更多信息,请参见加入与解绑云企业网

账号系统

无影云桌面支持以下两种账号系统:
  • 便捷账号

    无影云桌面专用的用户账号体系,适用于不希望使用AD的简单场景,可以在无影云桌面控制台进行管理。

  • 企业AD账号
    通过AD Connector对接企业AD,同步AD用户的账号信息。通过AD域控相关功能,实现用户权限和资源的统一管理。
    说明 对接企业AD需要支付AD Connector的费用,关于AD Connector如何计费,请参见AD Connector计费

互联网访问

如果云桌面有访问互联网的需求,您可以为云桌面所属的工作区开通互联网访问功能,系统将自动创建一个NAT网关并配置SNAT功能,来实现该工作区下的云桌面均可访问互联网。更多信息,请参见管理互联网访问

登录设置

云桌面支持多因素认证MFA和基于SAML协议的单点登录SSO功能。创建工作区后,您可以在工作区的详情页面开启或者关闭对应功能。
  • 多因素认证MFA:

    开启MFA后,终端用户在登录客户端时,系统在校验用户名和密码的基础上,还需要校验MFA生成的动态验证码,可以提供账号的安全性。首次登录时,需要绑定MFA设备(如阿里云APP)。更多信息,请参见设置多因素认证MFA

  • 单点登录SSO
    开启SSO后,需要在身份提供商IdP(如企业AD关联的AD FS)和服务提供商SP(阿里云无影云桌面)之间配置互信。配置完成后,终端用户在登录客户端时,将只在身份提供商IdP侧验证身份,实现单点登录。更多信息,请参见:
  • 客户端登录校验

    开启客户端登录校验后,终端用户更换登录设备时,需要进行验证码校验,校验通过后才能登录。

说明
  • 修改MFA、SSO或者客户端登录校验开关后,工作区下的所有云桌面均适用。
  • 仅AD账号类型的工作区支持设置SSO功能。

共享存储

每个工作区可以创建一个共享存储NAS,工作区内的云桌面可以通过NAS来互相共享文件。更多信息,请参见创建共享存储NAS

闲置工作区冻结机制

对于一段时间内(15天及以上)没有使用的便捷工作区,如果工作区下没有创建任何云桌面,系统将进行冻结操作,仅保留工作区ID,释放VPC相关资源。如果您想要继续使用该工作区,可以在总览页面,单击工作区ID打开工作区详情页,进行手动激活。激活时,系统将根据原有配置重新创建VPC资源。
说明 如果激活失败,请提交工单。
满足以下条件的闲置工作区不会被自动冻结:
  • 账号系统类型是企业AD账号的AD工作区。
  • 已开通互联网访问的工作区。
  • 已加入云企业网CEN的工作区。
  • 已配置私网访问云桌面(即VPC连接)的工作区。