设置登录多因素认证MFA

开启多因素认证MFA(Multi-Factor Authentication)后,终端用户登录无影终端时,不仅需要输入用户名和密码,还需要输入多因素认证的动态口令或验证码,从而增加一层额外的安全防护。本文介绍如何开启多因素认证。

背景信息

多因素认证是一种简单有效的安全实践。在办公网络或组织ID层面启用多因素认证后,终端用户每次登录时,系统将校验两层安全因素:

  • 第一层安全因素:输入用户名和密码。

  • 第二层安全因素:输入虚拟MFA设备生成的动态口令或在短信或邮箱中收到的验证码

    说明

    虚拟MFA:基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:阿里云App、Google Authenticator、Microsoft Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位动态口令,从而避免因密码被盗而引起的非法登录。

无影云电脑企业版支持以下多因素认证方式:

认证方式

支持的启用维度

支持的终端类型

支持的账号类型

TOTP动态口令

组织ID和办公网络

不限

不限

短信验证码

组织ID

  • Windows客户端macOS客户端(版本不低于V7.6)

  • Android客户端iOS客户端(版本不低于V7.3)

便捷账号和AD账号(必须已配置手机号)

邮箱验证码

组织ID

  • Windows客户端macOS客户端(版本不低于V7.6)

  • Android客户端iOS客户端(版本不低于V7.3)

便捷账号和AD账号(必须已配置邮箱地址)

办公网络开启多因素认证

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络

  3. 在顶部菜单栏左上角处选择目标地域。

  4. 办公网络页面,单击目标办公网络办公网络ID

  5. 在页面底部的其他信息区域打开多因素设备认证开关,并在确认对话框中单击确定

    说明

    请确保已经关闭客户端登录校验和SSO设置。

开启成功后,终端用户使用该办公网络登录无影终端时,将需要输入MFA动态口令。

为组织ID开启多因素认证

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择用户管理 > 登录

  3. 登录页面的安全配置页签上,将多因素设备认证设为开启

  4. 认证方式对话框中选择一种方式。

    重要

    若选择短信验证码,则只有已配置手机号的用户账号才能完成验证并登录;若选择邮箱验证码,则只有已配置邮箱地址的用户账号才能完成验证并登录。

    设置完毕后如需更换,请在认证方式右侧单击修改,并重新选择。

开启成功后,终端用户使用该组织ID登录无影终端时,将需要输入该认证方式要求的动态口令或验证码

删除MFA设备

您在控制台上开启TOTP动态口令类型的多因素认证后,终端用户首次登录时需要绑定虚拟MFA设备。如果终端用户更换了虚拟MFA设备,您可以在控制台上将原来的虚拟MFA设备删除。删除后,用户在下次登录时将需要重新绑定虚拟MFA设备。

删除便捷用户绑定的MFA设备

  1. 在左侧导航栏,选择资源管理 > 云电脑企业版

  2. 在左侧导航栏,选择用户管理 > 用户与组织

  3. 用户与组织页面的用户页签上找到目标用户,操作列单击 ⋮ 图标,并选择管理用户MFA设备

  4. 管理用户MFA设备对话框中找到要删除的虚拟MFA设备,在操作列中单击删除,然后单击确认

删除企业AD用户账号绑定的MFA设备

删除办公网络下企业AD用户绑定的MFA设备

  1. 在左侧导航栏,选择资源管理 > 云电脑企业版

  2. 在顶部菜单栏左上角处选择目标地域。

  3. 云电脑企业版页面上找到为企业AD用户分配的云电脑,操作列单击 ⋮ 图标,并选择管理用户MFA设备

  4. 管理用户MFA设备面板上,按照页面提示删除虚拟MFA设备。

说明

若已经为办公网络开启多因素认证,且终端用户使用企业AD账号登录无影终端并绑定了虚拟MFA设备,则当终端用户连续输错动态口令超过10次时,系统将锁定该虚拟MFA设备1小时。在锁定期间,如果终端用户想要登录,您可以调用UnlockVirtualMFADevice - 解锁虚拟MFA设备接口进行解锁,或者调用DeleteVirtualMFADevice - 删除AD账号绑定的虚拟MFA设备接口删除该设备,并让终端用户重新绑定新的虚拟MFA设备。

删除组织ID下企业AD用户绑定的MFA设备

  1. 在左侧导航栏,选择资源管理 > 云电脑企业版

  2. 在左侧导航栏,选择用户管理 > 登录

  3. 登录页面的安全配置页签上,找到目标AD域名称并单击其后的管理用户MFA设备

  4. 管理用户MFA设备面板上,按照页面提示删除虚拟MFA设备。