无影云电脑如何进行身份与访问管理_无影云电脑企业版-阿里云帮助中心

身份与访问控制用于确保只有满足特定权限授权条件的管理员用户和终端用户，才能访问或操作您指定的阿里云资源，避免您的云资源被未经授权的用户恶意访问，以满足合规审计的需求。本文介绍无影云电脑企业版在身份与访问管理方面的安全能力。

01 账号管理

1.1 使用RAM用户作为管理员账号

阿里云账号作为主账号，对该账号下的云资源具备最高的访问权限，因此也蕴含潜在的风险。按照最小化授权的原则，建议您使用RAM用户作为管理员账号来登录无影云电脑企业版控制台，并根据需要为RAM用户授予适当的权限。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：RAM
条件限制：无

配置或使用方法

1.2 终端用户账号生命周期

无影云电脑企业版的管理员可以将云资源（即云电脑）分配给终端用户账号使用。为了确保云资源在终端用户账号生命周期各阶段的安全性，请根据需要及时采取以下行动：

及时收回分配给终端用户账号的云电脑
按需禁用终端用户账号
及时删除不再需要使用的终端用户账号

配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无

配置或使用方法

及时收回分配给终端用户账号的云电脑

登录无影云电脑企业版控制台。
在左侧导航栏，选择资源管理 > 云电脑企业版。
在顶部菜单栏左上角处选择目标地域。
在云电脑企业版页面，选择一台云电脑，在操作列中单击 ⋮ 图标，并选择查看/添加用户。
在查看/添加用户面板上单击添加用户。
在添加用户对话框中选中一个或多个待添加的用户，并单击确定。
添加成功的用户将显示在已添加用户列表中。如果要移除用户，请选中目标用户并单击移除，然后在确认对话框中单击确定。

按需禁用终端用户账号

如果需要暂时禁用便捷账号，您可以将其锁定。

对于管理员激活类型的便捷账号，您可以在创建便捷账号时选择自动锁定日期，也可以在创建后随时手动锁定；对于用户激活的便捷账号，只能在创建后手动锁定。
终端用户登录无影终端时，如果连续10次输入密码错误，系统将自动锁定20分钟。系统自动锁定的便捷账号会在20分钟后自动解锁。

如需手动锁定便捷账号，请执行以下步骤：

在左侧导航栏，选择用户管理 > 用户与组织。
在用户与组织页面的用户页签上，按需执行以下操作之一：
- 单一操作：找到目标便捷账号，在操作列单击锁定。
- 批量操作：选中多个目标便捷账号，在列表底部单击锁定。
  说明
  只有相同激活类型的便捷账号支持批量操作。
在对话框中单击确定。
重要
终端用户无法使用已锁定的便捷账号登录无影终端，请谨慎操作。

及时删除不再需要使用的终端用户账号

在左侧导航栏，选择用户管理 > 用户与组织。
在用户与组织页面的用户页签上，按需执行以下操作之一：
- 单一操作：找到目标便捷账号，在操作列中单击 ⋮ 图标，并选择删除。
- 批量操作：选中多个目标便捷账号，在列表底部选择更多 > 删除。
  说明
  只有相同激活类型的便捷账号支持批量操作。
在对话框中单击确定。
重要
如果便捷账号名下有已授权的企业网盘（原无影云盘），则删除便捷账号时将同步取消该授权，请谨慎操作。

1.3 终端用户账号密码有效期

终端用户便捷账号的密码有效期默认为永久有效。您可以设置30~365天的有效期。当密码到期后，终端用户必须先修改密码才能继续登录。

默认状态：密码永久有效
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：该功能目前处于邀测中，如需体验，请提交工单申请开通。

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择用户管理 > 用户与组织。
在用户与组织页面的用户页签上找到目标便捷账号，并在密码剩余有效期列中单击图标。
在弹出面板上输入新的密码有效期，并单击确定。

02 权限管理

2.1 基于访问控制RAM的管理员分级分权

使用无影云电脑企业版时，您可以借助访问控制 RAM（Resource Access Management）实现权限管理，实现以不同RAM用户对云电脑的不同方面进行管控。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：RAM
条件限制：无

配置或使用方法

2.2 基于无影权限体系的管理员分级分权

以阿里云主账号登录无影云电脑控制台时，该账号具备所有的权限，可以使用控制台上提供的所有管控功能，也可以操作所有的资源。对于组织结构庞大、部门多、员工数量多、云电脑数量多的客户而言，如果只有一名管理员来承担所有的管控工作，一方面可能会有工作量过大的问题，另一方面可能也会不符合企业内部的权限隔离要求。此时，就需要有一名或多名子管理员来分担，但这种场景会有以下需求：

实施功能权限隔离：例如，子管理员A仅可创建和管理用户，但不可创建和管理云电脑；子管理员B仅可查看所有数据，不可执行其他操作。
实施数据权限隔离：例如，子管理员C仅可查看和管理研发部门的云电脑，子管理员D仅可查看和管理设计部门的云电脑。

无影云电脑企业版提供的权限管理模块可以满足上述需求。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无

配置或使用方法

重要

无影云电脑企业版与无影云手机共用一套分级分权模块，在其中一个产品控制台上授权后，对两个产品的相同功能均生效。

在左侧导航栏，选择安全与审计 > 管理员权限。
在管理员权限页面单击创建管理员，然后输入以下配置信息，并单击创建。
- 关联RAM：子管理员需要使用RAM用户来登录控制台完成管理工作，因此需要关联一个RAM用户。您可以执行以下操作之一：
  - 选择一个当前阿里云主账号下已有的RAM账号：选择存量RAM账号，并从下拉列表中选择一个。
  - 新建一个RAM账号：选择新建RAM账号，并在弹出的访问控制快速授权页面上单击确认授权。
    说明
    RAM用户的用户名和初始密码会通过您填写的邮箱或手机号发送给子管理员。
- 管理员昵称：输入子管理员的显示名称。
- 角色：从默认角色或者您创建的自定义角色中选择子管理员要扮演的角色。该角色决定子管理员具备哪些功能权限。
- 邮箱：输入子管理员的邮箱，用于接收RAM用户登录凭证等相关通知。
- （可选）电话：输入子管理员的手机号码，用于接收RAM用户登录凭证等相关通知。
在管理员权限页面上找到上一步创建的子管理员，在其操作列单击授权管理。
在授权管理面板上，设置该子管理员的授权范围，并单击确定。您可以从资源类型和资源组维度添加授权，最终的授权范围为二者的并集。
1. 资源类型：可选择云电脑或用户。
  重要
  选择任意一种资源类型，即表示该子管理员将具备所选资源类型的全部资源管理权限，包括后续新增的该类型的资源。例如，如果选择云电脑，则该子管理员将具备当前阿里云账号下所有云电脑以及将来新购的所有云电脑的管理权限。
2. 资源组：在可授权资源组区域选择要为该子管理员添加授权的资源组，并单击图标，以将该资源组移动至已授权资源组区域。

03 身份认证

3.1 多因素认证MFA

多因素认证MFA（Multi-Factor Authentication）是一种简单有效的安全实践，在用户名和密码之外再增加一层安全保护，用于管理员登录控制台或终端用户登录终端时的二次身份验证（不影响通过AccessKey的API调用），以此保护您的账号和云资源。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无
参考文档：设置登录多因素认证MFA

配置或使用方法

为管理员（阿里云账号）开启MFA

使用阿里云账号（主账号）登录阿里云控制台。
将鼠标悬停在右上角头像的位置，单击安全设置。
在左侧导航栏，单击账号安全。
在虚拟MFA区域，单击绑定。
在验证身份页面，选择合适的方式并根据页面提示进行身份验证。
在安装应用页面，单击下一步。
在移动设备端，添加虚拟MFA设备。
说明
如下以Android系统上的阿里云应用为例。
1. 登录阿里云应用。
2. 在页面右上角，先点击+图标，然后点击图标。
3. 单击+图标，选择合适的方式添加虚拟MFA设备。
  - 扫码添加（推荐）：单击扫码添加，扫描阿里云控制台绑定MFA页面出现的二维码，然后单击确定。
  - 手动添加：在移动设备端，单击手动添加，输入账号和密钥，然后单击确定。
    说明
    在阿里云控制台绑定MFA页面，鼠标悬停在扫描失败处查看账号和密钥。
在阿里云控制台，输入移动设备端显示的动态验证码，单击下一步，完成绑定。
说明
移动设备端的阿里云应用会显示您当前账号的动态验证码，每30秒更新一次。

使用阿里云账号（主账号）登录。
将鼠标悬停在右上角头像的位置，单击安全设置。
在安全设置页面的账号保护区域，单击查看。
说明
多因素认证（MFA）已更名为TOTP。
在开启账号保护页面，先选择开启保护的场景，然后选择验证方式为TOTP，最后单击确定。
在验证身份页面，选择合适的方式并根据页面提示进行身份验证。
在安装应用页面，单击下一步。
在移动设备端，添加虚拟MFA设备。
说明
如下以iOS系统上的Google Authenticator应用为例。
1. 登录Google Authenticator应用。
2. 单击开始使用，选择合适的方式添加虚拟MFA设备。
  - 扫码添加（推荐）：单击扫描二维码，扫描阿里云控制台绑定MFA页面出现的二维码。
  - 手动添加：单击输入设置密钥，输入账号和密钥，然后单击添加。
    说明
    在阿里云控制台绑定MFA页面，鼠标悬停在扫描失败处查看账号和密钥。
在阿里云控制台，输入移动设备端显示的动态验证码，单击下一步，完成绑定。
说明
移动设备端的阿里云应用会显示您当前账号的动态验证码，每30秒更新一次。

为管理员（RAM用户）开启MFA

阿里云账号（主账号）或RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户登录名称/显示名称列，单击目标RAM用户名称。
在认证管理页签下的安全信息管理区域，复制绑定VMFA链接，然后在浏览器中打开该链接。
在移动端，添加虚拟MFA设备。
说明
如下以Android系统上的阿里云App为例。
1. 登录阿里云App。
2. 在页面右上角，点击图标。
3. 点击+图标，选择合适的方式添加虚拟MFA设备。
  - 扫码添加（推荐）：在移动端，先点击扫码添加，然后扫描阿里云控制台绑定虚拟MFA页面上的二维码，最后点击确定。
  - 手动添加：在移动端，先点击手动添加，然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥，最后点击确定。
在阿里云控制台，输入移动端显示的动态验证码，然后单击确定。

为终端用户账号开启MFA（组织ID维度）

登录无影云电脑企业版控制台。
在左侧导航栏，选择用户管理 > 登录。
在登录页面的安全配置页签上，将多因素设备认证设为开启。
在确认对话框中选择认证方式。
1. TOTP动态验证码
  使用阿里云App或其它常用OTP App (如Google身份验证器) 进行二次认证。
2. 短信验证码
  仅对V7.6或以上版本桌面端、V7.3或以上版本移动端生效。适用于便捷账号和AD账号。
  说明
  若所选账号未配置手机号，则用户无法完成验证。
3. 邮箱验证码
  仅对V7.6或以上版本桌面端、V7.3或以上版本移动端生效。适用于便捷账号和AD账号。
  说明
  若所选账号未配置邮箱，则用户无法完成验证。

为终端用户账号开启MFA（办公网络维度）

登录无影云电脑企业版控制台。
在左侧导航栏，选择网络与存储 > 办公网络。
在顶部菜单栏左上角处选择目标地域。
在办公网络页面，单击目标办公网络的办公网络ID。
在页面底部的其他信息区域打开多因素设备认证开关，并在确认对话框中单击确定。
说明
请确保已经关闭客户端登录校验和SSO设置。

3.2 限定登录终端

除了人员有身份之外，终端也有身份，以SN或UUID来标识，它们是终端设备的可信身份标识，具备不可篡改、不可伪造、全球唯一的安全属性。管理员可以开启可信设备认证，并为终端用户添加限定登录终端，添加后，终端用户只能登录添加的终端，不能登录其他终端。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：
- 已开启可信设备认证。具体操作，请参见可信设备认证。
- 已添加终端。只要终端用户用您的组织ID登录过硬件终端或软件客户端，这些硬件终端或软件客户端的信息就会被自动添加到控制台。对于硬件终端，您还可以手动添加，具体操作，请参见纳管硬件终端。
参考文档：为便捷账号添加限定登录终端、为AD账号添加限定登录终端

配置或使用方法

在左侧导航栏，选择用户管理 > 用户与组织。
在用户与组织页面的用户页签上找到目标用户，在操作列中单击 ⋮ 图标，并选择查看/限定登录终端。
在查看/限定登录终端面板上单击添加终端。
在添加终端对话框中，选中要添加为限定登录终端的硬件终端或软件客户端（包括桌面端和移动端），并单击确定。
如需移除限定登录终端，请在目标硬件终端或客户端的操作列中单击移除，并在确认对话框中单击确定。

3.3 客户端登录校验

该配置默认关闭。开启后，终端用户从新的设备登录无影终端时需完成短信或邮箱验证码校验，校验通过后方可成功登录。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：
说明
仅便捷账号且网络接入方式为公网连接时生效。
参考文档：客户端登录校验

配置或使用方法

为组织ID开启客户端登录校验

登录无影云电脑企业版控制台。
在左侧导航栏，选择用户管理 > 登录。
在登录页面的安全配置页签上，打开客户端登录校验开关。
请在弹窗中确认提示信息，并单击确定。

为办公网络开启客户端登录校验

登录无影云电脑企业版控制台。
在左侧导航栏，选择网络与存储 > 办公网络。
在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到目标办公网络，单击办公网络ID。
在办公网络详情页面最底部的其他信息区域打开客户端登录校验开关。
说明
SSO设置、多因素认证和客户端登录校验三者之间为互斥关系。同一时间只能为一个办公网络开启其中一种登录验证方式。对于组织ID，上述三者之间没有互斥关系，可以同时开启。
请在弹窗中确认提示信息，并单击确定。

3.4 生物特征识别

当硬件终端进入锁屏状态时，除了可以用解锁密码解锁之外，对于部分已集成指纹识别模组的无影硬件终端（例如无影魔方Pro、无影方舟Pro ），也可以使用指纹ID来解锁硬件终端，进一步提高安全性。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无
参考文档：设置锁屏

配置或使用方法

在系统设置面板的账户与安全界面上单击安全设置页签，并在生物ID区域按照界面提示录入指纹。

04 访问控制

4.1 终端访问管控

云电脑策略支持通过登录方式管控和云电脑访问IP白名单的策略项进行终端访问管控。建议您合理配置云电脑策略，确保终端用户只能登录您指定类型的无影终端，且只能从您指定的IP地址网段连接云电脑。

登录方式管控规则用于限制终端用户可以使用哪种无影终端连接云电脑。
示例场景：为了保障企业信息安全，管理员将规则设置为仅允许使用Windows客户端、macOS客户端和无影自研硬件终端连接云电脑。
云电脑访问IP白名单规则用于限制哪些IP地址段的无影终端可以连接云电脑。
示例场景：为了保障企业信息安全，管理员将办公场所的无影终端IP地址网段添加至白名单，因此员工只能通过办公场所的无影终端连接云电脑，在其他场所无法连接。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择运维管理 > 策略。
在策略页面上单击创建策略。
在创建策略页面上按照页面提示填写策略名称，根据需要修改策略配置，并单击确定。
策略创建完成后，您可以在策略页面的列表中查看新建的策略。

配置项

说明

登录方式管控

用于限制终端用户可以使用的无影终端类型。可选项包括：

Windows客户端
macOS客户端
iOS客户端
Android客户端
Web客户端
无影自研硬件终端

以上选项默认全部选中，您可以根据需要取消选择部分选项。

云电脑访问IP白名单

用于指定哪些IP地址段的无影终端可以连接云电脑。

单击新增IP地址段，并在添加IP网段对话框中输入允许的源IP地址段，然后单击确定。

IP地址段格式要求：CIDR格式块，例如：192.0.XX.XX/32或10.0.XX.XX/8。

4.2 超时自动退出登录

该功能默认关闭。开启后，若终端用户登录了您指定类型的无影终端，但没有连接任何云资源（包括云电脑、云应用、云手机、企业网盘等），则当达到您在此处设置的超时时长，无影终端将自动退出登录，从而有效保护云资源的数据安全。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择用户管理 > 登录。
在登录页面的通用配置页签上，单击登录配置右侧的修改登录配置。

在修改登录配置面板上完成以下配置，并单击确定。

配置项	说明
超时自动退出登录	可以开启或关闭。
超时时长	终端用户未在无影终端上连接任何云资源的时长。当超时自动退出登录已开启时，该选项可见。
生效终端	该功能对哪些无影终端生效。说明若选择无影自研硬件终端，请注意，仅对V7.5及以上版本的硬件终端生效；若该硬件终端配置了免密登录，则超时自动退出登录不生效。

说明

设置客户端超时自动退出登录后，终端用户下次登录客户端时生效。
在即将达到超时时长之前，终端用户将收到提醒，终端用户可以选择终止该流程，但如果终端用户不采取任何操作，则客户端将自动退出登录。