更新时间:2023-11-24
功能说明
当企业管理员想要通过终端接入环境状态作为判断条件来相应地设置用户和虚拟机的策略时,比如:
- 用户从外网接入和内网接入时,应用不同的策略。
- 用户从内网不同的IP段接入时,应用不同的策略。
- 用户通过不同类型的终端接入时,应用不同的策略。
- 用户通过不同的门户地址接入时,应用不同的策略。
此时可使用条件策略,即当用户的接入环境满足某些条件时,给用户或者虚拟机分配相应的策略动作(包括独享桌面与Windows应用策略、Winserver应用与共享桌面策略、辅助认证)来提高接入安全性。
前提条件
无。
注意事项
针对条件策略和用户策略、虚拟机策略冲突的情况,优先级情况如下:
临时策略 > 条件策略 > 策略组(虚拟机关联策略)> 策略组(用户关联策略),若有多个条件策略关联了生效了同一个对象,则以条件策略中配置的生效优先级为准。
:
隐藏导航条、关机一体化和网页重定向功能仅对用户生效,虚拟机即使配置该策略,也无法独立生效。
操作步骤
- 登录VDC控制台,进入[安全加固→条件授权]界面,点击<新建>,进入【新建条件授权】配置页面;
- 填写条件授权的基本信息。
- 选择条件策略需要作用的对象,可以选择用户或特定的虚拟机。
选择对象 |
说明 |
用户 |
选择“用户”作为对象时,条件授权将对用户生效(5.9.1版本开始支持生效对象为AD域用户和安全组),支持选择“接入IP范围”、“终端IP范围”、“门户地址”(即虚拟门户地址)、“终端类型”四种作为生效条件,可配置“独享桌面策略”、“Winserver应用与共享桌面策略”和“辅助认证”作为满足条件的执行动作。 |
虚拟机 |
选择“虚拟机”作为对象时,条件授权将只对独享桌面生效,仅支持选择“接入IP范围”、“终端IP范围”、和“终端类型”三种作为生效条件,仅支持配置 “独享桌面策略” 作为满足条件的执行动作。 |
- 在“条件与执行动作”处,勾选“VDC本地配置”并依据实际场景填写条件授权的生效条件与执行动作即可。
①条件支持“接入IP范围”、“终端IP范围”、“门户地址”(即虚拟门户地址)、“终端类型”四种类型。点击<添加条件>可配置条件组合,组合方式有两种:“与”、“或”,最多支持两种条件进行组合。
生效条件 |
说明 |
接入IP范围 |
此项条件用于识别用户接入桌面云平台,终端访问到VDC的数据包最终的源IP地址,可用于识别外网用户接入来源。可应用于以下典型场景:
- 居家办公场景,用户访问到VDC时,数据包源IP会被出口网关替换为公网IP ,则VDC识别此公网IP,不会因为用户家庭网络网段与公司内网相同识别为内网接入;
- VPN访问场景,用户通过VPN通道接入桌面云平台时,数据包源IP一般会被VPN网关转换为VPN网关地址,则VDC识别VPN网关的IP,可判断通过VPN接入的用户。
|
终端IP范围 |
此项条件用于识别用户接入桌面云平台的终端本地的IP地址,适用于内网接入场景,判断用户在公司的接入位置。 |
门户地址 |
此项条件用于识别用户接入桌面云使用的虚拟门户地址,仅在以用户作为对象时可选择此条件。适用于启用了虚拟门户的场景,可依据用户接入门户的不同来判断是否执行动作。 |
终端类型 |
此项条件用于识别用户当前接入桌面云使用的终端类型,依据接入终端类型来控制是否生效差异化策略。设置此条件时,不支持将“Winserver应用与共享桌面策略”和“分布式防火墙策略”作为满足条件的执行动作。 |
②执行动作支持“独享桌面策略”、“Winserver应用与共享桌面策略”和“辅助认证”三种,点击<添加动作>可同时执行不同类型动作。
执行动作 |
说明 |
独享桌面策略 |
此动作用于指定当条件满足时,用户的独享桌面资源需要应用的策略组,适用于需要根据用户接入环境不同限制其在独享桌面内操作权限的场景。支持条件授权以“用户”和“虚拟机”为对象 |
Winserver应用与共享桌面策略 |
此动作用于指定当条件满足时,用户的虚拟应用和共享桌面资源需要应用的策略组,适用于需要根据用户接入环境不同限制其在虚拟应用或共享桌面内操作权限的场景。只支持条件授权以“用户”为对象。 |
辅助认证 |
此动作用于指定当条件满足时,用户登录桌面云是否要启用辅助认证,适用于需要依据接入环境不同提高认证安全等级的场景。只支持条件授权以“用户”为对象 |