AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 无影云电脑企业版 操作指南 管理员指南 部署基础资源 部署办公网络(原工作区) 创建和管理基于Microsoft Entra 账号的办公网络

创建和管理基于Microsoft Entra 账号的办公网络

更新时间:
产品详情
我的收藏

Microsoft Entra ID 是基于 Azure 的标识和访问管理服务。如果需要将云电脑加入 Azure 域,需要选择云电脑账号类型为 Microsoft Entra 账号的办公网络,并将云电脑创建在该办公网络中。本文介绍如何创建基于 Microsoft Entra 账号的办公网络。

实施步骤

说明

该功能目前处于邀测中,如需体验请提交工单联系支持团队开通此功能。

创建企业身份源

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏选择用户中心 > 企业身份源

  3. 单击新增企业身份源,选择MIcrosoft Entra ID,输入企业身份源名称,单击确定

  4. 找到创建的企业身份源,单击操作列编辑

  5. 编辑企业身份源页面应用元数据处单击下载文件

    说明

    建议保留该页面,后续步骤需要返回此页面操作。

创建并注册企业应用

  1. 登录 Microsoft Entra 管理中心

  2. 在左侧导航栏选择企业应用,单击新建应用程序

  3. 单击创建你自己的应用程序,输入应用名称,选择集成未在库中找到的任何其他应用程序(非库),单击创建

  4. 在左侧导航栏选择应用注册,在所有应用程序页签中单击应用程序名称。

  5. 在应用详情页左侧导航栏选择API 权限,单击添加权限,选择 Microsoft Graph。

  6. 选择应用程序权限,勾选Domain.Read.All权限,单击添加权限

  7. 单击代表个人授予管理员同意,单击完成授权。

完成 SAML 设置

  1. 在左侧导航栏选择企业应用,单击应用程序名称。

  2. 在应用程序详情页左侧导航栏选择用户和组,单击添加用户/组,然后单击未选择任何项,勾选需要添加的用户,单击选择,然后单击分配

  3. 返回应用程序详情页,在左侧导航栏选择单一登录,然后选择SAML

  4. 单击上传元数据文件,选择在创建企业身份源步骤中下载的应用元数据文件,单击添加,在基本 SAML 配置页面单击保存

  5. 设置 SAML 单一登录3步 SAML 证书中,单击联合元数据 XML右侧下载

  6. 返回无影控制台编辑企业身份源页面,在IdP元数据处单击上传文件,选择上一步下载的.xml文件。

  7. 开启数据同步,复制租户URL密钥标记,然后单击确定。

启动预配

  1. 返回Microsoft Entra 管理中心

  2. 在左侧导航栏选择企业应用,找到先前创建的企业应用程序。

  3. 在左侧导航栏选择预配,单击新配置

  4. 选择身份验证方法选择持有者身份验证,填入上述步骤复制的租户URL密钥标记,单击测试连接

  5. 测试成功后单击创建

  6. 在左侧导航栏选择属性映射(预览),单击Provision Microsoft Entra ID Users,单击页面最下方添加新映射源属性选择userPrincipalName目标属性选择emails[type eq "other"].value,单击确定,然后单击保存

    说明

    此步骤将entra ID账号密码同步至无影企业身份源。

    执行启动预配前,需检查userName配置项,该字段将作为唯一且不可更改的终端用户ID,推荐默认配置为mailNickName。同时需确认externalId配置项,该字段用作识别外部用户的不可变标识,建议默认配置为objectId

  7. 返回预配页面,单击启动预配。

    说明

    测试未通过提示Your application is not reachable。可能因为开启数据同步后未确定,检查无影册企业身份源配置。

  8. 预配启动后需要等待,可单击监视查看预配进度。

创建办公网络

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络

  3. 在顶部菜单栏左上角处选择目标地域。

  4. 办公网络页面上单击创建办公网络

  5. 创建办公网络面板上,选择高级办公网络,完成其他配置,并单击下一步:配置账号系统

    配置项说明

    配置项

    说明

    选择地域

    办公网络所属的地域。关于支持的地域及相关限制,请参见开服地域列表

    办公网络名称

    办公网络名称用于标识并快速查找办公网络。

    IPv4网段

    办公网络中创建云电脑时,系统将自动从办公网络VPC包含的网段中分配一个IP地址作为云电脑的IP地址。VPC网段内的IP地址数量决定其可容纳的云电脑最大数量,请合理规划网段,详细信息,请参见规划网段

    默认情况下,您可以将办公网络VPC设置为以下IPv4网段及其子网段:

    • 192.168.0.0/16

    • 10.0.0.0/12

    • 172.16.0.0/12

    如需使用其他自定义IPv4网段,您可以提交工单以获取阿里云技术支持。

    云电脑连接方式

    决定云电脑终端用户可以通过哪种方式连接办公网络内的云电脑。支持的选项包括:

    • 互联网:只允许通过互联网连接(默认选项)。如需选用此方式,则运行云电脑的本地设备必须能够访问互联网。

    • 企业专网(VPC):只允许通过专有网络VPC连接。如需选用此方式,则需要将办公网络加入云企业网 CEN(Cloud Enterprise Network)实例,同时选择高速通道(Express Connect)(专线)、智能接入网关 SAG(Smart Access Gateway)或者VPN 网关(VPN Gateway)等产品来打通本地网络和云上网络。详细信息,请参见加入与解绑云企业网如何选择私网类产品?

    • 互联网和企业专网(VPC):同时支持上述两种方式。

    说明

    VPC连接依赖于阿里云私网连接(PrivateLink)服务,该服务不收取费用。选择VPC连接或者公网和VPC都允许时,系统将自动为您开通私网连接服务。

    云企业网

    若要使用VPC连接方式,则选择加入。您可以按需选择同账号或者跨账号的云企业网实例ID。

    说明

    如果本地网络通过智能接入网关高速通道(专线)或VPN 网关接入云上网络,则办公网络需要加入同一个云企业网实例。

    为保障办公网络内云电脑正常使用,选择云企业网实例ID之后,请单击校验,以校验所选云企业网实例的路由和办公网络IPv4网段是否有冲突。若校验未通过,则单击查看冲突详情和推荐网段,并根据建议重新设置IPv4网段或云企业网实例。

  6. 配置账号系统页签的云电脑账号类型区域选择Microsoft Entra 账号,完成以下配置,并单击底部的完成创建

    配置项

    说明

    Azure接入点

    选择当前使用的 Microsoft Entra ID 身份验证服务提供商,支持:

    • 微软公共云(login.microsoftonline.com)

    • 微软中国公共云(世纪互联运营)(login.chinacloudapi.cn)

    租户

    每个租户有唯一的全局标识符。获取方式:前往Microsoft Entra 管理中心,在概述>基本信息中获取。

    主域

    租户的默认域名,格式为 <customername>.onmicrosoft.com。可接入默认域名或用户自定义域名。获取方式:前往Microsoft Entra 管理中心,在概述>基本信息中获取。

    应用ID

    在 Entra ID 中注册应用时分配的唯一标识符。获取方式:前往Microsoft Entra 管理中心>应用注册,复制目标应用的应用程序(客户端) ID

    应用密钥

    应用的密钥(密码),用于代替用户密码进行身份验证。获取方式:前往Microsoft Entra 管理中心>应用注册,单击目标应用程序名称,在应用程序详情页左侧导航栏选择证书和密码,选择客户端密码并单击新客户端密码创建一个密码并复制值。

  7. 创建完成后单击办公网络ID等待状态更新,如果状态为已注册,说明办公网络创建成功,可继续进行结果验证。如果状态为配置失败,单击编辑并重试,根据配置项说明中的获取方式获取并更新相关配置。

结果验证

  1. 预配完成,返回无影云电脑企业版控制台

  2. 用户中心 > 用户管理中,查看在完成 SAML 设置步骤中配置的用户信息是否完成同步。

  3. 在创建的办公网络中创建云电脑,并分配同步的 Microsoft Entra ID 用户。

    说明

    创建云电脑时需选择共享镜像,使用技术支持团队提供的指定镜像创建云电脑,默认镜像暂不支持。

  4. 使用 Microsoft Entra ID 登录云电脑。

使用 Microsoft Entra ID 成功登录云电脑说明 Microsoft Entra ID 办公网络已正确部署。

上一篇:创建和管理基于企业AD账号的办公网络下一篇:借助全球加速GA提升跨地域访问云电脑体验