文档

设置多因素认证

开启多因素认证后,终端用户登录无影终端时,不仅需要输入用户名和密码,还需要输入多因素认证的验证码,从而提高账号安全。本文介绍如何开启多因素认证。

概述

多因素认证

多因素认证MFA(Multi-factor authentication)是一种简单有效的安全实践,可以在用户名和密码之外再增加一层安全保护。启用多因素认证并绑定多因素认证设备后,终端用户在登录无影终端时,系统将校验两层安全要素,以此提高账号的安全性。

  • 第一层安全要素:输入用户名和密码。

  • 第二层安全要素:输入虚拟MFA设备生成的验证码。

说明

虚拟MFA:基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:阿里云App、Google Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位验证码,从而避免因密码被盗而引起的非法登录。

无影云电脑(专业版)支持基于软件的虚拟MFA设备,您可以在智能手机上安装阿里云App,以此来作为虚拟MFA设备。

使用流程

实现多因素认证的流程如下:

  1. 管理员在无影云电脑(专业版)控制台为办公网络(原工作区)或者组织ID开启多因素设备认证。

  2. 终端用户首次登录无影终端时,需要绑定虚拟MFA设备。

    当绑定过虚拟MFA设备后,终端用户后续再登录时,需要输入验证码,校验通过方可成功登录。

办公网络(原工作区)开启多因素认证

您可以参考下文操作为办公网络开启多因素认证,开启后,终端用户访问该办公网络下的云电脑,都要校验虚拟MFA设备的验证码。

  1. 登录无影云电脑控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络(原工作区)

  3. 在顶部菜单栏左上角,选择地域。

  4. 办公网络(原工作区)页面,找到待开启多因素认证的办公网络并单击办公网络ID。

  5. 在办公网络详情页面的左侧导航栏,选择其他信息

  6. 其他信息区域,打开多因素设备认证的开关。

    开启多因素设备认证,终端用户下次登录时生效。

为组织ID开启多因素认证

您可以参考下文操作为组织ID开启多因素认证,开启后,使用组织ID访问全部云电脑都要校验虚拟MFA设备的验证码。

  1. 登录无影云电脑控制台

  2. 在左侧导航栏,选择用户与管理员 > 登录

  3. 登录页面的安全配置页签下,开启多因素设备认证

    开启多因素设备认证,终端用户下次登录时生效。

终端用户绑定MFA设备

单击面板,可以查看终端用户绑定MFA设备的具体操作。

组织ID或者办公网络开启多因素认证,终端用户首次登录无影终端,需要绑定多因素认证设备。

前置操作

执行操作之前,终端用户需要完成以下工作:

  1. 在手机上下载并安装阿里云App。

    根据手机的操作系统类型,终端用户在App Store或者应用市场搜索阿里云。

  2. 根据实际情况,已在本地终端设备下载并安装无影软件客户端或者准备好无影硬件终端

    下载无影软件客户端请单击无影客户端,购买无影硬件终端请单击无影硬件终端购买页

操作步骤

下文以智能手机上的阿里云App为例,介绍终端用户在使用Windows客户端登录并绑定虚拟MFA的操作。

  1. 在本地终端上双击无影云电脑.png图标,打开Windows客户端

  2. 专业版(旧版本中为企业版)登录页面,输入办公网络ID,并单击下一步.png图标。

    终端用户可以根据实际情况,按需输入组织ID或办公网络ID。

  3. 输入用户名和密码,并单击下一步.png图标。

  4. 按照界面提示,打开手机上的阿里云App并扫描Windows客户端上的二维码,然后输入扫码获取的验证码,绑定虚拟MFA设备。

    MFA设备-扫码-zh.png
    • 如果连续输入MFA验证码错误次数超过10次,则绑定失败,系统将禁用该虚拟MFA设备。您需要重新登录Windows客户端,绑定新的虚拟MFA设备。

    • 如果输入的MFA验证码正确并校验通过,则绑定成功,将直接显示云电脑卡片页面。下次登录时,在输入用户名和密码后,可以直接输入对应的MFA验证码进行验证。

删除MFA设备

您在控制台上开启多因素认证功能且终端用户已经绑定虚拟MFA设备的前提下,如果终端用户更新了虚拟MFA设备,无需继续使用原来的虚拟MFA设备,您可以将原来的虚拟MFA设备删除;或者当前绑定的MFA设备被锁定导致暂时无法使用,此时您可以在控制台解绑终端用户和虚拟MFA设备之间的绑定关系。

说明

为办公网络开启多因素认证,且终端用户使用企业AD账号登录无影终端并绑定了虚拟MFA设备,如果终端用户连续输入错误码的次数超过了10次,系统将锁定该MFA设备1个小时。在锁定期间,如果想要登录云电脑,可以调用UnlockVirtualMFADevice - 解锁虚拟MFA设备进行解锁,或者调用DeleteVirtualMFADevice - 删除多因素认证设备删除该设备,重新绑定新的虚拟MFA设备。

删除便捷用户绑定的MFA设备

  1. 登录无影云电脑控制台

  2. 在左侧导航栏,选择云电脑管理 > 云电脑

  3. 在顶部菜单栏左上角,选择地域。

  4. 云电脑管理页面,找到用户使用的云电脑,操作列单击3个点..png图标并选择管理用户MFA设备

    在弹出页面,您可以查看该云电脑对应用户的用户名及其绑定的虚拟MFA设备序列号。

  5. 找到要删除的虚拟MFA设备,在操作列单击删除,然后单击确认

    删除后,对应的AD用户在下次登录客户端时,需重新绑定虚拟MFA设备。

删除企业AD用户账号绑定的MFA设备

下文为您介绍如何删除企业AD用户绑定的虚拟MFA设备。

  • 删除办公网络下企业AD用户绑定的MFA设备

    1. 登录无影云电脑(专业版)控制台

    2. 在左侧导航栏,选择云电脑管理 > 云电脑

    3. 在顶部菜单栏左上角处,选择地域。

    4. 云电脑管理页面,找到企业AD用户分配的云电脑,操作列单击3个点..png图标并选择管理用户MFA设备

    5. 管理用户MFA设备面板,按照界面提示删除虚拟MFA设备。

  • 删除组织ID下企业AD用户绑定的MFA设备

    1. 登录无影云电脑控制台

    2. 在左侧导航栏,选择用户与管理员 > 登录

    3. 登录页面的安全配置页签下,找到目标AD域名称并单击其后的管理用户MFA设备

    4. 管理用户MFA设备面板,按照界面提示删除虚拟MFA设备。

  • 本页导读 (0)
文档反馈