全部產品
Search

搜尋本產品

    Elastic Desktop Service:身份與訪問管理

    文件中心

    Elastic Desktop Service:身份與訪問管理

    更新時間:Oct 17, 2025

    身份與存取控制用於確保只有滿足特定許可權授權條件的管理使用者和終端使用者,才能訪問或操作您指定的阿里雲資源,避免您的雲資源被未經授權的使用者惡意訪問,以滿足合規審計的需求。本文介紹無影雲電腦企業版在身份與訪問管理方面的安全能力。

    01 帳號管理

    1.1 使用RAM使用者作為管理員帳號

    阿里雲帳號作為主帳號,對該帳號下的雲資源具備最高的存取權限,因此也蘊含潛在的風險。按照最小化授權的原則,建議您使用RAM使用者作為管理員帳號來登入無影雲電腦企業版控制台,並根據需要為RAM使用者授予適當的許可權。

    • 預設狀態:關閉

    • 配置責任:客戶

    • 功能費用:免費

    • 依賴產品:RAM

    • 條件限制:無

    1.2 終端使用者帳號生命週期

    無影雲電腦企業版的管理員可以將雲資源(即雲電腦)分配給終端使用者帳號使用。為了確保雲資源在終端使用者帳號生命週期各階段的安全性,請根據需要及時採取以下行動:

    • 及時收回分配給終端使用者帳號的雲電腦

    • 按需禁用終端使用者帳號

    • 及時刪除不再需要使用的終端使用者帳號

    • 配置責任:客戶

    • 功能費用:免費

    • 依賴產品:無

    • 條件限制:無

    配置或使用方法

    及時收回分配給終端使用者帳號的雲電腦

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇資源管理 > 雲電腦企業版

    3. 在頂部功能表列左上方處選擇目標地區。

    4. 雲電腦企業版頁面,選擇一台雲電腦,操作列中單擊 ⋮ 表徵圖,並選擇查看/添加使用者

    5. 查看/添加使用者面板上單擊添加使用者

    6. 添加使用者對話方塊中選中一個或多個待添加的使用者,並單擊確定

      添加成功的使用者將顯示在已添加使用者列表中。如果要移除使用者,請選中目標使用者並單擊移除,然後在確認對話方塊中單擊確定

    按需禁用終端使用者帳號

    如果需要暫時禁用便捷帳號,您可以將其鎖定。

    • 對於管理員啟用類型的便捷帳號,您可以在建立便捷帳號時選擇自動鎖定日期,也可以在建立後隨時手動鎖定;對於使用者啟用的便捷帳號,只能在建立後手動鎖定。

    • 終端使用者登入無影終端時,如果連續10次輸入密碼錯誤,系統將自動鎖定20分鐘。系統自動鎖定的便捷帳號會在20分鐘後自動解鎖。

    如需手動鎖定便捷帳號,請執行以下步驟:

    1. 在左側導覽列,選擇使用者管理 > 使用者與組織

    2. 使用者與組織頁面的使用者頁簽上,按需執行以下操作之一:

      • 單一操作:找到目標便捷帳號,在操作列單擊鎖定

      • 大量操作:選中多個目標便捷帳號,在列表底部單擊鎖定

        說明

        只有相同啟用類型的便捷帳號支援大量操作。

    3. 在對話方塊中單擊確定

      重要

      終端使用者無法使用鎖定的便捷帳號登入無影終端,請謹慎操作。

    及時刪除不再需要使用的終端使用者帳號

    1. 在左側導覽列,選擇使用者管理 > 使用者與組織

    2. 使用者與組織頁面的使用者頁簽上,按需執行以下操作之一:

      • 單一操作:找到目標便捷帳號,操作列中單擊 ⋮ 表徵圖,並選擇刪除

      • 大量操作:選中多個目標便捷帳號,在列表底部選擇更多 > 刪除

        說明

        只有相同啟用類型的便捷帳號支援大量操作。

    3. 在對話方塊中單擊確定

    1.3 終端使用者帳號密碼有效期間

    終端使用者便捷帳號的密碼有效期間預設為永久有效。您可以設定30~365天的有效期間。當密碼到期後,終端使用者必須先修改密碼才能繼續登入。

    • 預設狀態:密碼永久有效

    • 配置責任:客戶

    • 功能費用:免費

    • 依賴產品:無

    • 條件限制:該功能目前處於邀測中,如需體驗,請提交工單申請開通。

    配置或使用方法

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 使用者與組織

    3. 使用者與組織頁面的使用者頁簽上找到目標便捷帳號,並在密碼剩餘有效期間列中單擊表徵圖。

    4. 在彈出面板上輸入新的密碼有效期間,並單擊確定

    02 許可權管理

    2.1 基於存取控制RAM的管理員分級分權

    使用無影雲電腦企業版時,您可以藉助Resource Access Management (RAM)實現許可權管理,實現以不同RAM使用者對雲電腦的不同方面進行管控。

    • 預設狀態:關閉

    • 配置責任:客戶

    • 功能費用:免費

    • 依賴產品:RAM

    • 條件限制:無

    2.2 基於無影許可權體系的管理員分級分權

    以阿里雲主帳號登入無影雲電腦控制台時,該帳號具備所有的許可權,可以使用控制台上提供的所有管控功能,也可以操作所有的資源。對於組織圖龐大、部門多、員工數量多、雲電腦數量多的客戶而言,如果只有一名管理員來承擔所有的管控工作,一方面可能會有工作量過大的問題,另一方面可能也會不符合企業內部的許可權隔離要求。此時,就需要有一名或多名子管理員來分擔,但這種情境會有以下需求:

    • 實施功能許可權隔離:例如,子管理員A僅可建立和系統管理使用者,但不可建立和管理雲電腦;子管理員B僅可查看所有資料,不可執行其他動作。

    • 實施資料許可權隔離:例如,子管理員C僅可查看和管理研發部門的雲電腦,子管理員D僅可查看和管理設計部門的雲電腦。

    無影雲電腦企業版提供的許可權管理模組可以滿足上述需求。

    • 預設狀態:關閉

    • 配置責任:客戶

    • 功能費用:免費

    • 依賴產品:無

    • 條件限制:無

    配置或使用方法

    重要

    無影雲電腦企業版與無影雲手機共用一套分級分權模組,在其中一個產品控制台上授權後,對兩個產品的相同功能均生效。

    1. 在左側導覽列,選擇安全與審計 > 管理員權限

    2. 管理員權限頁面單擊建立管理員,然後輸入以下配置資訊,並單擊建立

      • 關聯RAM:子管理員需要使用RAM使用者來登入控制台完成管理工作,因此需要關聯一個RAM使用者。您可以執行以下操作之一:

        • 選擇一個當前阿里雲主帳號下已有的RAM帳號:選擇存量RAM帳號,並從下拉式清單中選擇一個。

        • 建立一個RAM帳號:選擇建立RAM帳號,並在彈出的存取控制快速授權頁面上單擊確認授權

          說明

          RAM使用者的使用者名稱和初始密碼會通過您填寫的郵箱或手機號發送給子管理員。

      • 管理員暱稱:輸入子管理員的顯示名稱。

      • 角色:從預設角色或者您建立的自訂角色中選擇子管理員要扮演的角色。該角色決定子管理員具備哪些功能許可權。

      • 郵箱:輸入子管理員的郵箱,用於接收RAM使用者登入憑證等相關通知。

      • (可選)電話:輸入子管理員的手機號碼,用於接收RAM使用者登入憑證等相關通知。

    3. 管理員權限頁面上找到上一步建立的子管理員,在其操作列單擊授權管理

    4. 授權管理面板上,設定該子管理員的授權範圍,並單擊確定。您可以從資源類型和資源群組維度添加授權,最終的授權範圍為二者的並集。

      1. 資源類型:可選擇雲電腦使用者

        重要

        選擇任意一種資源類型,即表示該子管理員將具備所選資源類型的全部資源系統管理權限,包括後續新增的該類型的資源。例如,如果選擇雲電腦,則該子管理員將具備當前阿里雲帳號下所有雲電腦以及將來新購的所有雲電腦的系統管理權限。

      2. 資源群組:在可授權資源群組地區選取項目要為該子管理員添加授權的資源群組,並單擊表徵圖,以將該資源群組移動至已授權資源群組地區。

    03 身份認證

    3.1 多因素認證MFA

    多因素認證MFA(Multi-Factor Authentication)是一種簡單有效安全實踐,在使用者名稱和密碼之外再增加一層安全保護,用於管理員登入控制台或終端使用者登入終端時的二次身分識別驗證(不影響通過AccessKey的API調用),以此保護您的帳號和雲資源。

    配置或使用方法

    為管理員(阿里雲帳號)開啟MFA

    1. 使用阿里雲帳號(主帳號)登入阿里雲控制台

    2. 將滑鼠移至上方在右上方頭像的位置,單擊安全設定

    3. 安全設定頁面的帳號保護地區,單擊查看

      說明

      多因素認證(MFA)已更名為TOTP。

    4. 開啟帳號保護頁面,先選擇開啟保護的情境,然後選擇驗證方式為TOTP,最後單擊確定

    5. 驗證身份頁面,選擇合適的方式並根據頁面提示進行身分識別驗證。

    6. 安裝應用頁面,單擊下一步

    7. 在行動裝置端,添加虛擬MFA裝置。

      說明

      如下以iOS系統上的Google Authenticator應用為例。

      1. 登入Google Authenticator應用。

      2. 單擊開始使用,選擇合適的方式添加虛擬MFA裝置。

        • 掃碼添加(推薦):單擊掃描二維碼,掃描阿里雲控制台綁定MFA頁面出現的二維碼。

        • 手動添加:單擊輸入設定密鑰,輸入帳號和密鑰,然後單擊添加

          說明

          在阿里雲控制台綁定MFA頁面,滑鼠移至上方在掃描失敗處查看帳號和密鑰。

    8. 在阿里雲控制台,輸入行動裝置端顯示的動態驗證碼,單擊下一步,完成綁定。

      說明

      行動裝置端的阿里雲應用會顯示您當前帳號的動態驗證碼,每30秒更新一次。

    為終端使用者帳號開啟MFA(組織ID維度)

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的安全配置頁簽上,將多因素裝置認證設為開啟

    4. 在確認對話方塊中選擇認證方式。

      1. TOTP動態驗證碼

        使用阿里雲App或其它常用OTP App (如Google身分識別驗證器) 進行二次認證。

      2. 郵箱驗證碼

        僅對V7.6或以上版本案頭端、V7.3或以上版本移動端生效。適用於便捷帳號和AD帳號。

        說明

        若所選帳號未配置郵箱,則使用者無法完成驗證。

    為終端使用者帳號開啟MFA(辦公網路維度)

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇網路與儲存 > 辦公網路

    3. 在頂部功能表列左上方處選擇目標地區。

    4. 辦公網路頁面,單擊目標辦公網路辦公網路ID

    5. 在頁面底部的其他資訊地區開啟多因素裝置認證開關,並在確認對話方塊中單擊確定

      說明

      請確保已經關閉用戶端登入校正和SSO設定。

    3.2 限定登入終端

    除了人員有身份之外,終端也有身份,以UUID來標識,它們是終端裝置的可信身份標識,具備不可篡改、不可偽造、全球唯一的安全屬性。管理員可以開啟可信裝置認證,並為終端使用者添加限定登入終端,添加後,終端使用者只能登入添加的終端,不能登入其他終端。

    配置或使用方法

    1. 在左側導覽列,選擇使用者管理 > 使用者與組織

    2. 使用者與組織頁面的使用者頁簽上找到目標使用者,操作列中單擊 ⋮ 表徵圖,並選擇查看/限定登入終端

    3. 查看/限定登入終端面板上單擊添加終端

    4. 添加終端對話方塊中,選中要添加為限定登入終端的軟體用戶端(包括案頭端和移動端),並單擊確定

      如需移除限定登入終端,請在目標用戶端的操作列中單擊移除,並在確認對話方塊中單擊確定

    3.3 用戶端登入校正

    該配置預設關閉。開啟後,終端使用者從新的裝置登入無影終端時需完成郵箱驗證碼校正,校正通過後方可成功登入。

    • 預設狀態:關閉

    • 配置責任:客戶

    • 功能費用:免費

    • 依賴產品:無

    • 條件限制:

      說明

      僅便捷帳號且網路接入方式為公網串連時生效。

    • 參考文檔:用戶端登入校正

    配置或使用方法

    為組織ID開啟用戶端登入校正

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的安全配置頁簽上,開啟用戶端登入校正開關。

    4. 請在彈窗中確認提示資訊,並單擊確定

    辦公網路開啟用戶端登入校正

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇網路與儲存 > 辦公網路

    3. 在頂部功能表列左上方處選擇目標地區。

    4. 辦公網路頁面上找到目標辦公網路,單擊辦公網路ID

    5. 辦公網路詳情頁面最底部的其他資訊地區開啟用戶端登入校正開關。

      說明

      SSO設定、多因素認證和用戶端登入校正三者之間為互斥關係。同一時間只能為一個辦公網路開啟其中一種登入驗證方式。對於組織ID,上述三者之間沒有互斥關係,可以同時開啟。

    6. 請在彈窗中確認提示資訊,並單擊確定

    04 存取控制

    4.1 終端訪問管控

    雲電腦策略支援通過登入方式管控和雲電腦訪問IP白名單的策略項進行終端訪問管控。建議您合理配置雲電腦策略,確保終端使用者只能登入您指定類型的無影終端,且只能從您指定的IP地址網段串連雲電腦。

    • 登入方式管控規則用於限制終端使用者可以使用哪種無影終端串連雲電腦。

      樣本情境:為了保障公司資訊安全,管理員將規則設定為僅允許使用Windows用戶端macOS用戶端串連雲電腦。

    • 雲電腦訪問IP白名單規則用於限制哪些IP位址區段的無影終端可以串連雲電腦。

      樣本情境:為了保障公司資訊安全,管理員將辦公場所的無影終端IP地址網段添加至白名單,因此員工只能通過辦公場所的無影終端串連雲電腦,在其他場所無法串連。

    • 預設狀態:關閉

    • 配置責任:客戶

    • 功能費用:免費

    • 依賴產品:無

    • 條件限制:無

    配置或使用方法

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇營運管理 > 策略

    3. 策略頁面上單擊建立策略

    4. 建立策略頁面上按照頁面提示填寫策略名稱稱,根據需要修改策略配置,並單擊確定

      策略建立完成後,您可以在策略頁面的列表中查看建立的策略。

    配置項

    說明

    登入方式管控

    用於限制終端使用者可以使用的無影終端類型。可選項包括:

    • Windows用戶端

    • macOS用戶端

    • iOS用戶端

    • Android用戶端

    • Web用戶端

    以上選項預設全部選中,您可以根據需要取消選擇部分選項。

    雲電腦訪問IP白名單

    用於指定哪些IP位址區段的無影終端可以串連雲電腦。

    單擊新增IP位址區段,並在添加IP網段對話方塊中輸入允許的源IP位址區段,然後單擊確定

    IP位址區段格式要求:CIDR格式塊,例如:192.0.XX.XX/3210.0.XX.XX/8

    4.2 逾時自動結束登入

    該功能預設關閉。開啟後,若終端使用者登入了您指定類型的無影終端,但沒有串連任何雲資源(包括雲電腦、雲應用、雲手機、企業網盤等),則當達到您在此處設定的逾時時間長度,無影終端將自動結束登入,從而有效保護雲資源的資料安全。

    • 預設狀態:關閉

    • 配置責任:客戶

    • 功能費用:免費

    • 依賴產品:無

    • 條件限制:無

    配置或使用方法

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的通用配置頁簽上,單擊登入配置右側的修改登入配置

    4. 修改登入配置面板上完成以下配置,並單擊確定

      配置項

      說明

      逾時自動結束登入

      可以開啟或關閉。

      逾時時間長度

      終端使用者未在無影終端上串連任何雲資源的時間長度。當逾時自動結束登入已開啟時,該選項可見。

      生效終端

      該功能對哪些無影終端生效。

      說明

      若選擇無影自研硬體終端,請注意,僅對V7.5及以上版本的硬體終端生效;若該硬體終端配置了免密登入,則逾時自動結束登入不生效。

      說明

      • 設定用戶端逾時自動結束登入後,終端使用者下次登入用戶端時生效。

      • 在即將達到逾時時間長度之前,終端使用者將收到提醒,終端使用者可以選擇終止該流程,但如果終端使用者不採取任何操作,則用戶端將自動結束登入。