开启多因素认证MFA(Multi-Factor Authentication)后,终端用户登录无影终端时,不仅需要输入用户名和密码,还需要输入多因素认证的动态口令或验证码,从而增加一层额外的安全防护。本文介绍如何开启多因素认证。
背景信息
多因素认证是一种简单有效的安全实践。在办公网络或组织ID层面启用多因素认证后,终端用户每次登录时,系统将校验两层安全因素:
第一层安全因素:输入用户名和密码。
第二层安全因素:输入虚拟MFA设备生成的动态口令或在短信或邮箱中收到的验证码。
说明虚拟MFA:基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:阿里云App、Google Authenticator、Microsoft Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位动态口令,从而避免因密码被盗而引起的非法登录。
无影云电脑企业版支持以下多因素认证方式:
认证方式 | 支持的启用维度 | 支持的终端类型 | 支持的账号类型 |
TOTP动态口令 | 组织ID和办公网络 | 不限 | 不限 |
短信验证码 | 组织ID |
| 便捷账号和AD账号(必须已配置手机号) |
邮箱验证码 | 组织ID |
| 便捷账号和AD账号(必须已配置邮箱地址) |
为办公网络开启多因素认证
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面,单击目标办公网络的办公网络ID。
在页面底部的其他信息区域打开多因素设备认证开关,并在确认对话框中单击确定。
说明请确保已经关闭客户端登录校验和SSO设置。
开启成功后,终端用户使用该办公网络登录无影终端时,将需要输入MFA动态口令。
为组织ID开启多因素认证
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的安全配置页签上,将多因素设备认证设为开启。
在认证方式对话框中选择一种方式。
重要若选择短信验证码,则只有已配置手机号的用户账号才能完成验证并登录;若选择邮箱验证码,则只有已配置邮箱地址的用户账号才能完成验证并登录。
设置完毕后如需更换,请在认证方式右侧单击修改,并重新选择。
开启成功后,终端用户使用该组织ID登录无影终端时,将需要输入该认证方式要求的动态口令或验证码。
删除MFA设备
您在控制台上开启TOTP动态口令类型的多因素认证后,终端用户首次登录时需要绑定虚拟MFA设备。如果终端用户更换了虚拟MFA设备,您可以在控制台上将原来的虚拟MFA设备删除。删除后,用户在下次登录时将需要重新绑定虚拟MFA设备。
删除便捷用户绑定的MFA设备
在左侧导航栏,选择
。在左侧导航栏,选择
。在用户与组织页面的用户页签上找到目标用户,在操作列单击 ⋮ 图标,并选择管理用户MFA设备。
在管理用户MFA设备对话框中找到要删除的虚拟MFA设备,在操作列中单击删除,然后单击确认。