参数 说明 登录名 自定义登录系统的用户名。创建后不可修改，且系统内“登录名”唯一不能重复。 认证类型 选择登录系统的认证方式。 AD域：通过Windows AD域服务器对用户进行身份认证。 LDAP：通过LDAP协议，由第三方认证服务器对用户进行身份认证。 RADIUS：通过RADIUS协议，由第三方认证服务器对用户进行身份认证。 Azure AD：基于SAML配置，由Azure平台对登录用户进行身份认证。 密码/确认密码 用户登录系统的密码。 姓名 自定义用户姓名，便于区分不同的用户。 手机 用户系统预留手机号码。可通过手机短信验证登录身份或找回密码。 邮箱 用户系统预留邮箱地址。可通过邮箱收取系统消息通知。 角色 选择用户的角色，一个用户仅能选择一个角色。仅 admin 是可自定义角色或编辑默认角色的权限范围。 所属部门 选择用户所属部门组织。 用户描述 （可选）对用户情况的简要描述。

修改基本信息 1. 登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面 3. 单击“编辑”，弹出基本信息修改窗口。 4. 输入用户“姓名”、“手机”或“邮箱”。 5. 单击“确定”，返回个人基本信息页面。修改后用户姓名、手机号码、邮箱地址立即生效。

本页介绍天翼云TeleDB数据库如何创建、编辑、查看和删除角色。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 用户管理 ，进入用户管理页面。 3. 创建角色 1. 在用户管理 页面，单击创建用户 ，出现创建用户对话框。 2. 在创建用户 对话框，输入用户账号 、用户名称 、用户角色 、用户密码 、确认密码 和邮箱 ，单击确定，完成创建用户。 4. 批量导入用户 1. 单击批量导入 ，出现批量导入对话框。 2. 进入批量导入对话框，单击上传文件，文件上传完成后，单击导入即可批量导入用户。 说明 上传的文件格式需符合下载模板，若不符合，可先下载模板，填写完成后重新上传，每次只能上传一个文件，且不超过2MB。 5. 编辑用户 单击目标用户所在的编辑按钮，修改用户。 6. 删除用户 单击目标用户所在行的删除按钮，即可删除对应的用户。 7. 查看用户详情 单击目标用户所对应的详情，即可查看该用户的具体信息。 8. 查看用户列表 您可根据角色和用户名称进行搜索。

本页介绍天翼云TeleDB数据库如何创建、批量导入用户。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 用户管理 ，进入用户管理 页面。 3. 创建角色 1. 在用户管理 页面，单击创建用户 ，出现创建用户 对话框。 2. 在创建用户 对话框，输入用户账号 、用户名称 、用户角色 、用户密码 、确认密码 和邮箱 ，单击确定 ，完成创建用户。 4. 批量导入用户 1. 单击批量导入 ，出现批量导入 对话框。 2. 进入批量导入 对话框，单击上传文件，文件上传完成后，单击导入即可批量导入用户。 说明 上传的文件格式需符合下载模板，若不符合，可先下载模板，填写完成后重新上传，每次只能上传一个文件，且不超过2MB。 5. 编辑用户 单击目标用户所在的编辑 按钮，修改用户。 6. 删除用户 单击目标用户所在行的删除 按钮，即可删除对应的用户。 7. 查看用户详情 单击目标用户所对应的详情 ，即可查看该用户的具体信息。 8. 查看用户列表 您可根据角色和用户名称进行搜索。

本文介绍如何创建会议。 快速会议 适用场景 当您需要临时召开会议，可使用“快速会议”功能。该功能适用于突发性的临时会议需求，如紧急协调或临时决策。 操作步骤 1. 打开AOne会议客户端，进入主界面。 2. 点击首页“快速会议”按钮，即可发起快速会议并自动入会。 3. 会中可点击左上角的“会议详情”按钮，或工具栏中的“邀请参会”>“分享会议”按钮。 4. 在弹出的窗口中复制会议号或会议链接。 5. 将会议号或会议链接通过微信、邮箱、钉钉等方式发送给需要参会的人员，即可完成邀请。 注意事项 快速会议默认为立即生效、无需密码，若有安全需求，请在会中通过“安全”按钮打开设置，手动设置锁定会议或入会范围。 发起人自动成为会议主持人，可进行全局会控操作。 默认时长为30分钟，如若超过会议结束时间6小时仍未结束会议，系统将会强制结束会议。 预定普通会议 适用场景 当您需要提前安排会议并通知参会人员时，可使用“预定会议”功能。适用于正式会议、面试、线上培训等场景。 操作步骤 1. 打开AOne会议客户端，进入主界面。 2. 点击首页的“预定会议”按钮。 3. 在“预定会议”设置页面，填写以下信息： 会议主题 、开始时间 、结束时间。 参会人员（可选），点击“添加参会人”邀请本企业成员。 是否启用入会密码 、等候室、会议水印、成员入会时静音、成员入会时关闭摄像头等安全配置。 是否启用自动开启云录制，可选择“主持人入会后开启”或“成员入会后开启”。启用后，该会议将在主持人/成员加入会议时自动开启云录制。 4. 点击“预定会议”，完成会议创建。 5. 会议创建成功后，可在您的会议列表中查看该会议。

用户操作 创建用户 功能描述 创建新用户。 使用约束 userName必填，长度132位 name.formatted（真实姓名）必填，长度116位 emails必填，邮箱长度1256位，必须符合邮箱格式 phoneNumbers可选，电话号码必须是纯数字，长度1130位 用户名在账户下必须唯一 邮箱在系统中必须唯一 请求示例 plaintext curl header 'Authorization: Bearer ' header "ContentType: application/scim+json" X POST d '{ "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"], "userName": "user01", "name": { "formatted": "张三", "familyName": "张", "givenName": "三" }, "displayName": "张三", "emails": [ { "value": "user01@example.com", "type": "work", "primary": true } ], "phoneNumbers": [ { "value": "17777766777", "type": "work" } ], "active": true, "externalId": "external001" }' 返回示例 plaintext { "id": "024xx77e06ab4z14b8b867yy123bde8e", "externalId": "external001", "meta": { "resourceType": "User", "created": "20251020T01:26:49.754Z", "lastModified": "20251020T01:26:49.754Z", "location": "/sso/api/scim/v2/Users/024xx77e06ab4z14b8b867yy123bde8e" }, "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User" ], "userName": "user01", "name": { "formatted": "张三", "givenName": "张三" }, "displayName": "张三", "active": true, "emails": [ { "value": "user01@example.com", "type": "work", "primary": true } ], "phoneNumbers": [ { "value": "17777766777", "type": "work" } ] }

安全办公场景 场景特点： 需要对员工行为做一定约束，对敏感岗位的电脑数据安全需要做到事前防控和事后审计，需要较丰富的管理功能。 推荐方案： 开通天翼AI云电脑（政企版）+ 管控策略+翼甲卫士（需要单独开通，详见翼甲卫士帮助指导）。 方案优势： 1、按需提供基于私网、公网的接入方式。 2、通过精细到品牌、型号的外设管控策略，防止未经授权的设备接入AI云电脑。 3、通过包括翼加密、屏幕水印、登录鉴权、登录审计在内的方式，加强信息泄露的事前威慑、事中管控、事后审计。 4、通过应用黑白名单、安全组、翼甲上网行为管理等组件，强化敏感岗位的员工行为管理。 5、提供包括文件剪切板权限、桌面工具栏权限、关机还原在内的其他个性化策略，帮助企业实现更多精细化、个性化的数据安全管理。 用户场景图：

本节主要介绍License配置 首次登录使用RDA时，需参考本章节获取并配置License。 操作步骤 步骤 1 在浏览器中输入 单击左侧导航栏的“ 配置管理 ”，进入配置管理 界面。在“ License配置 ”页签，单击“ 获取ESN ”。 License配置 获取ESN后发送相关信息到对应邮箱进行人工审批，审批通过后会发送License信息到相关邮箱。 在“ License配置 ”页签下，选择已获取的License文件，单击“ 上传文件 ”。 上传License

本节主要介绍配置公网域名及解析域名的方法。 操作步骤 通过第三方域名注册商注册的域名，需要通过“创建公网域名”的操作将域名添加至云解析服务。 1. 登录管理控制台。 2. 在服务列表中，选择“网络> 云解析服务 DNS”，进入“云解析”页面。 3. 在左侧树状导航栏，选择“域名解析> 公网解析”，进入“公网域名”页面。 4. 在页面右上角，单击“创建公网域名”。 5. 在“创建公网域名”页面中，输入域名及相关参数。 6. 单击“确定”。 参数名称 说明 示例 域名 从域名注册商处获得的授权域名。支持添加主域名及主域名的子域名，即最多支持添加二级域名，例如： example.com的子域名abc.example.com example.com.cn的子域名abc.example.com.cn example.com 邮箱 可选参数。管理该公网域名的管理员邮箱。建议用户使用保留邮箱“HOSTMASTER@域名 ”作为此管理员邮箱。 HOSTMASTER@example.com 企业项目 公网域名关联的企业项目，用于将公网域名资源按照企业项目进行管理。 说明 仅当用户使用的“账号类型”为“企业账号”时，显示该参数，且参数必选。 配置原则： 如果不通过企业项目管理域名资源，则采用默认值“default”。 如果通过企业项目管理域名资源，则在下拉列表中选择已经创建的企业项目。 default 标签 可选参数。域名的标识，包括键和值，每个域名可以创建10个标签。键和值的命名规则如下 键： 不能为空。 对于同一资源键值唯一。 长度不超过36个字符。 取值为不包含“”、“”、“ ”、“”、“,”、“”和“/”的所有Unicode字符，且首尾字符不能为空格。 值： 不能为空。 长度不超过43个字符。 取值为不包含“”、“”、“ ”、“”、“,”、“”和“/”的所有Unicode字符，且首尾字符不能为空格。 examplekey1 examplevalue1 描述 可选参数。域名的描述信息。长度不超过255个字符。 This is a zone example. 单击“确定”。 创建完成后，您可以在“公网域名”页面的域名列表中查看新创建的域名信息。

操作场景 用户在VPC内使用内网DNS服务进行内网域名托管，需在管理控制台上配置DNS服务。 当您在云上部署了弹性云主机以及其他云服务，想在关联VPC内通过内网域名实现互访，可以为弹性云主机配置内网域名解析。 内网域名可以随意创建，无需注册，只需要保证VPC内唯一。 本操作以为弹性云主机创建内网域名并添加A类型解析记录为例介绍配置内网域名解析的操作指导。 前提条件 已经购买弹性云主机，并获取弹性云主机对应的VPC名称。 内网域名配置流程 配置内网域名解析的流程如下图所示。 图内网域名配置流程 “（可选）更改VPC子网的DNS服务器地址”需要在管理控制台VPC服务页面完成相关配置。 操作步骤 创建内网域名 1. 登录管理控制台，选择目标区域，选择“网络 > 内网DNS”进入内网DNS服务页面。 2. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 3. 单击“创建内网域名”，开始创建内网域名。 4. 根据界面提示配置参数，参数说明如下表所示。 表创建内网域名参数 参数 参数说明 取值样例 域名 域名。 可以自定义，支持创建顶级域，但需符合域名命名规范。 example.com VPC 内网域名要关联的VPC。 邮箱 可选参数。 管理该内网域名的管理员邮箱。建议用户使用保留邮箱“HOSTMASTER@域名”作为此管理员邮箱。 HOSTMASTER@example.com 标签 可选参数。 域名的标识，包括键和值，每个域名可以创建10个标签。 examplekey1 examplevalue1 描述 可选参数。 域名的描述信息。 长度不超过255个字符。 内网域名。 5. 单击“确定”。 创建完成后，您可以在“内网域名”页面查看新创建的域名信息。 说明 单击“名称”列的域名名称，可以看到系统已经为您创建了SOA类型和NS类型的记录集。其中， SOA类型的记录集标识了对此域名具有最终解释权的主权威服务器。 NS类型的记录集标识了此域名的权威服务器。

本页介绍天翼云TeleDB数据库用户管理相关操作。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 用户管理 ，进入用户管理页面。 3. 创建角色 1. 在用户管理 页面，单击 创建用户 ，出现创建用户对话框。 2. 在创建用户 对话框，输入 用户账号 、 用户名称 、 用户角色 、 用户密码 、确认密码 和 邮箱 ，单击 确定 ，完成创建用户。 4. 批量导入用户 1. 单击 批量导入 ，出现批量导入对话框。 2. 进入批量导入对话框，单击上传文件，文件上传完成后，单击导入即可批量导入用户。 说明 上传的文件格式需符合下载模板，若不符合，可先下载模板，填写完成后重新上传，每次只能上传一个文件，且不超过2MB。 5. 编辑用户 单击目标用户所在的编辑按钮，修改用户。 6. 删除用户 单击目标用户所在行的删除按钮，即可删除对应的用户。 7. 查看用户详情 单击目标用户所对应的 详情 ，即可查看该用户的具体信息。 8. 查看用户列表 您可根据角色和用户名称进行搜索。

请参见天翼云企业主机安全服务等级协议。

本章节为您介绍云堡垒机(原生版)改密策略。 改密策略是一种自动化工具，旨在增强主机资源账户的安全性。它允许用户通过预设的策略，对一个或多个主机资源账户的密码进行手动、定时或周期性的修改。 以下是改密策略的主要功能： 支持通过策略手动、定时、周期修改资源账户密码。 支持生成不同密码、相同密码，以及生成指定相同密码。 新建改密策略 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“资产管理 > 账户改密”，进入“改密策略”页面。 3. 单击“新增”，在弹出的窗口中填写改密策略相关参数。 参数 参数说明 取值样例 名称 自定义改密策略名称。 定期改密 描述 自定义改密策略描述。 XX主机定期改密策略 改密账号 添加改密账号。 目前仅支持添加SSH、Telnet协议的主机账号。 选择后改密账号格式为：协议[资产账号名@]资产名称。 SSH[admin@]Test01 执行策略 按需选择您的执行策略： 立即执行：保存后立即执行。 定时执行：在选择时间后，仅在选择的时间执行一次。 按周期执行：选择执行起始时间和执行周期。 立即执行 改密方式 按需选择您的改密方式： 内置类型：选择服务器操作系统类型，堡垒机将自动匹配对应的改密模板。 自定义：填写改密模板的提示符、命令。 资产账号名、旧密码和新密码分别用${username}、${oldpassword}和${newpassword}占位符代替，请勿直接输入具体资产账号名。 改密方式：自定义。 自定义交互： 提示符：$ 命令：passwd 提示符：Current password: 命令：${oldpassword} 提示符：New password: 命令：${newpassword} 提示符：Retype new password: 命令：${newpassword} 密码生成方式 按需选择您的密码生成方式： 随机生成不同/相同密码 不包含字符集：密码中不允许出现的字符。 手动生成指定密码 填写指定密码。 不包含字符集：0O1iI 改密完成通知 通过开关按钮选择是否进行通知。 收件人邮箱 开启“改密完成通知”，还需要填写接收改密内容的邮箱，仅支持填写一个邮箱。 改密结果会以加密附件的方式发送。 admin@chinatelecom.com 改密附件密码 开启“改密完成通知”，还需要填写改密附件的密码。 4. 填写完成后，单击“提交”即可完成新建改密策略。

本文为您介绍敏感操作保护的内容 操作场景 当主用户及子用户在控制台进行敏感操作时（如删除弹性云主机）, 操作保护将通过虚拟MFA、手机短信或邮箱等方式二次确认当前操作，避免误操作导致的损失。 操作步骤 开启操作保护 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“概览 ”，进入“敏感操作”。 3. 点击“立即修改”，选择“开启”操作保护，当前支持主用户认证、操作用户认证以及指定人员认证。 其中，主用户认证代表所有操作保护认证由主用户验证。操作用户不限制主、子用户，触发敏感操作的用户自行验证。指定人员需验证需指定手机号。 注意 建议您开启敏感操作保护，优先选择“操作用户验证”，避免高危误操作带来的损失，同时支持验证的灵活性。 4. 在控制台执行相关敏感操作时，后台根据操作保护的配置以及采集的多因素验证信息（手机验证码、邮箱验证码、虚拟MFA等），通过弹窗的方式对用户的身份进行二次校验。如果验证通过，系统才会放行对应的操作行为，否则会阻止敏感操作。 以删除 IAM 用户，选择“操作用户验证”为例。当前支持操作用户手机验证、邮箱验证两种方式。

本文档为AOne平台企业微信同步身份源的详细操作指南。 功能介绍 企业微信是腾讯微信团队为企业打造的专业级协同办公平台，内置完善的组织架构、用户管理功能。 在AOne平台配置企业微信同步任务，可实现将企业微信中的核心数据无缝同步至AOne平台的用户与组织模块，其中企业微信与AOne的数据对应关系如下表所示： 企业微信 AOne平台 说明 成员 用户 企业微信中的成员信息（姓名、手机号、邮箱等），同步至AOne平台后对应单个用户账号，包含用户基础信息 部门 组织 企业微信中的部门层级结构，同步至AOne平台后对应组织架构，用于划分用户层级 注意 由于企微安全管控加强，企业微信同步身份源的配置需要您和AOne运营人员配合一起完成配置。 操作步骤 前置条件 1、内网连接器准备 在使用企业微信作为身份源，AOne平台需调用企业微信相关接口获取用户与组织信息。 企业微信为保障接口调用安全，实行企业可信IP白名单机制，且IP地址一旦配置过，会被企微系统自动标记为“服务商IP”，无法再被其他企业使用。而AOne平台的出口IP属于公共服务IP，已被企微系统标记为“服务商IP”，无法给您的企业使用。 因此AOne平台支持通过内网连接器转发请求企微接口，转发后，企微应用的可信IP可设置为您自身企业连接器的出口IP。该IP为您企业专属，可彻底规避IP被标记为服务商IP的风险，确保企微接口调用顺利。 因此请提前完成内网连接器的部署与配置，并记录连接器的出口IP。

本文将介绍如何在远程零信任办公场景中配置用户组。 用户组可用于便捷授权。您可以基于角色，岗位，员工办公地理位置，项目类型等进行用户组创建，通过将多个用户关联到组中，以组为单位进行权限管理。 前提条件 已经完成身份源配置，将用户信息导入到用户与组织列表进行管理。 操作步骤 创建用户组 1. 登录边缘安全加速控制台。 2. 支持在AOne零信任、AOne终端管理，AOne终端管理三个工作台进行操作。 3. 在左侧导航栏，选择身份用户组管理。 4. 在用户组管理页面，单击创建用户组。 5. 按照以下字段说明，填写对应的用户组信息。 字段 字段说明 组名称 必填项，用户组名称，建议使用便于记忆的描述，例如项目组，岗位组，角色组 ，地理划分组等 用户组ID 系统自动生成 描述 用户组描述，便于对不同用户组进行备注 添加用户到用户组 1. 在用户组管理页面，选择对应要添加用户的用户组名称，单击添加用户按钮。 2. 在弹出的界面框，进行用户勾选，支持通过姓名、账号、手机号、邮箱等信息进行用户搜索，将需要添加的用户点击勾选。 3. 若需要按照组织架构进行用户组添加，请在弹框界面的左侧组织架构栏目，选择要筛选的组织范围，在右侧进行对应要添加的用户勾选。 4. 完成用户筛选后，点击确定，完成该部分用户添加到对应的用户组内。 后续步骤 完成用户组创建和用户组内用户添加后，您可以针对用户组配置差异化的应用权限，以及基于用户组下发不同的零信任策略。

提升员工安全意识 禁止随便点击邮件中的不明附件或快捷方式，网站链接等。 禁止从来历不明的网站下载的一些文档。 重要文件或信息（如密码口令等）需要加密，防止泄露。 重要文件定期备份 用户自行对重要文档数据与数据库文件做备份。 使用备份产品对主机、硬盘、文件目录或数据库进行备份。 定期系统安全巡检 对可疑文件/进程或应用进行清理，如后缀名异常文件、来源不明的应用等。 系统/软件即时更新补丁 及时修复系统漏洞，定期更新。 上线前进行主机安全加固 关闭不必要的端口，减少暴露面。 关闭不必要的网络访问，减少暴露面。 系统安全配置检查：核查系统配置，如设置密码策略、设置用户锁定策略、禁用Guest账户、限制匿名用户连接等。 不设置弱密码 设置复杂口令： 长度为8～26个字符；包含大小写字母、数字及符号3种。 不能包含与账号名相关的信息。 不能使用连续3个及以上键位排序字符，如123，Qwe。 不能使用常用的具有特殊含义的字符串等。

配置项 说明 任务名称 设置任务名称。必须为中文字符、字母、数字、下划线“”、点“.”或短横线“”，长度不超过64字符。 收件人邮箱 报表发送的接收人邮箱，可以设置多个。 报表类型 指定要发送报表类型，可选择内置报表和自定义报表。 报表格式 指定报表发送格式，支持HTML、PDF、PNG和WORD四种格式，默认为“PDF”。 资产 指定要发送报表的资产，默认全部资产。 任务周期 选择任务周期（日报，周报，月报，年报），默认为“每天(日报)”。 发送时间 指定报表发送的时间，可选1~23整点。 时间范围 指定报表统计的时间范围，支持选择外送某一时间段的报表数据。（仅在任务周期选择“每天（日报）”时显示，只能选择连续的时间）。

API安全网关 API全生命周期管理：多协助开发者轻松完成API的创建、维护、发布、监控、参数校验等整个生命周期的管理。 API攻击防护：内置丰富的攻击检测规则，对OWASP top 10等常见的web和API风险漏洞提供有效的攻击防护。 API限流限速：支持基于API、服务、API调用者三个维度的限流限速功能，以保护你的后端服务。 灵活的API访问控制：支持高度可配置的访问控制策略，涵盖但不限于IP白名单/黑名单、请求URL匹配、HTTP方法限制、请求体校验、Host头验证及Referer检查等。 API动态脱敏与水印溯源：自动识别和梳理API中传输的敏感数据，针对不同的API调用者配置动态脱敏功能和水印算法。 API监控审计：提供API访问行为的全量审计功能和访问行为分析功能，方便事后追踪溯源。 API风险监测 自动化盘点应用API，掌握数据资产全貌：采集API日志支持加密流量解析；维持最新的API清单让API清晰可见，多种API打标维度让API可管 。 API分类分级管控：快速定义数据的敏感等级，包括金融、运营商、政务在内的14个分类分级模版，同时识别API上面传输的敏感数据，监测数据流动，例如：手机号、姓名等。 数据安全风险分析：提供API 脆弱性风险、用户行为风险、用户行为画像等多重种数据安全风险统计分析能力。 API行为风险监测：内置行为风险自动监测引擎，对用户异常调用API获取数据行为等进行实时监控预警，发现逾需拉取、数据爬取等行为风险。 留存全量日志，实现全面溯源可查：统一操作日志格式，为常用的审计景添加检索引，检索相应速度更快，运营操作更友好；内置API数据安全运营报表、资产治理专项报表以及特殊场景安全评估报表，如：疑似下线资产审计等，可通过邮箱订阅报表

本文介绍配置文件系统容量使用率告警规则的操作步骤。 目录 注意事项 操作步骤 步骤一：添加告警联系人 步骤二：创建告警联系组 步骤三：创建告警规则 注意事项 注意 请确保创建告警规则中使用的告警联系人的手机号和邮箱均为激活状态，否则通知无法触达。 容量使用率为文件系统已使用容量占总容量的百分比，为文件系统作为存储产品的重要监控指标。建议您为文件系统配置容量使用率告警，防止因容量不足问题影响业务。 操作步骤 步骤一：添加告警联系人 告警联系人用于接收告警通知，方便您快速处理告警问题。 1. 登录天翼云官网“控制中心”，在“管理与部署”模块点击“云监控服务”。 2. 在云监控控制台左侧列表依次点击“告警服务>告警联系人/组>告警联系人”。 3. 点击“添加联系人”，在弹窗中输入联系人的姓名、电话、邮箱等信息。 4. 添加成功后，激活联系人的电话和邮箱。 5. 步骤二：创建告警联系组 1. 在“告警联系组”页签点击“添加联系组”。 2. 在弹窗中填写告警联系组名称、描述，并选择添加已有联系人。 3. 点击“确定”，完成添加告警联系组。

名称 概念说明 公共空间 用于存储企业共享文件，可配置企业内用户可见，只占用企业公共空间大小。 个人空间 用于存储个人办公文件，文件内容仅本人可见，只占用个人空间大小。 协作空间 用于展示办公协作类文件，文件内容仅对文件创建人及文件协作人可见，只占用文件创建人个人空间大小。 消息空间 用于存储花卷慧办消息应用内转存的文件，转存内容仅本人可见，只占用个人空间大小。 邮箱空间 用于存储花卷慧办邮箱应用内转存的邮件及附件，转存内容仅本人可见，只占用个人空间大小。 AI空间 用于存储花卷慧办AI应用内上传及生成的文件，存储内容仅本人可见，只占用个人空间大小。

Date: show only year Date: show only year会对日期字段进行脱敏，只保留年份信息，月份和日期默认显示为 0101。 Hive测试结果 Spark测试结果 Custom Custom：支持通过自定义表达式实现个性化脱敏逻辑，也可以结合UDF完成更复杂的处理。 本示例中，使用以下表达式对邮箱后缀进行隐藏。 plaintext concat(substr(email, 1, instr(email, '@')), 'UNKNOWN') 该表达式会保留邮箱用户名和@符号，并将域名部分统一替换为UNKNOWN。 Hive测试 Spark测试

分类 功能模块 描述 零信任免费版 零信任VPN版 零信任基础版 零信任企业版 终端管理基础版 远程办公接入 零信任VPN 提供虚拟专有网络，通过加密协议对数据进行加密传输，建立安全可靠的VPN网络。 √ √ √ √ 不涉及 远程办公接入 内网应用接入 可实现域名、IP等精细化内网应用接入。 √ √ √ √ 不涉及 远程办公接入 精细化权限管控 支持应用按身份，角色，用户组，组织架构等进行授权和管控。 √ √ √ √ 不涉及 远程办公接入 信创连接器 连接器版本支持常用国产化系统，包括麒麟、统信、天翼云CTyunOS。 × √ √ √ 不涉及 远程办公接入 连接器管理 提供灵活连接器部署安装方式，用于打通企业内网。 √（仅支持部分安装命令，可支持至多5个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多20个连接器集群或实例） 不涉及 远程办公接入 域名解析 域名解析管理功能针对无公网解析的域名，实现无需绑定HOST即可进行内网访问。 √ √ √ √ 不涉及 远程办公接入 源地址网络地址转换 实现一对一内网访问溯源，针对用户+设备粒度、用户粒度进行分配唯一IP回源访问。 × √ √ √ 不涉及 远程办公接入 内网限速 可以基于总带宽、单客户端进行内网限速。 √ √ √ √ 不涉及 远程办公接入 网络健康探测 提供网络接入情况连通性探测，实时监控发现异常网络接入情况，确保内网访问高可用、稳定性。 × √ √ √ 不涉及 身份安全认证 身份源同步 支持第三方身份源集成（自建/企微/AD等)。 √（限时免费） √ √ √ 不涉及 身份安全认证 认证源集成 支持账密、短信、邮箱进行认证，以及第三方认证源集成（如企微/AD等）。 √（限时免费） √ √ √ 不涉及 身份安全认证 单点登录SSO 支持标准协议单点登录SSO对接 × × √ √ 不涉及 身份安全认证 双因素认证 支持短信、邮箱进行双因素认证。 √ √ √ √ 不涉及 设备管理 桌面终端 提供PC端的客户端程序，支持Windows，MacOS系统。 √ √ √ √ √ 设备管理 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 × × √ √ 暂未发布 设备管理 移动端SDK 提供移动端SDK的标准接入能力，支持对接IOS、安卓系统手机。 × √ √ √ 暂未发布 设备管理 Linux终端 提供Linux相关操作系统类型的客户端程序。 × × √（支持ubuntu18.04、ubuntu20.04桌面版） √（支持ubuntu18.04、ubuntu20.04桌面版） 暂未发布 设备管理 信创终端 提供信创系统的客户端程序，信创系统（麒麟、统信）。 × × √ √ 暂未发布 设备管理 终端资产 终端资产进行盘点、展示，用于分析。 √ √ √ √ √ 设备管理 设备策略 支持设备共享、用户激活认证、授信等策略处理。 × √ √ √ √ 安全策略 访问控制 提供接入VPN访问控制，粒度包括按用户、IP、终端设备、接入时间、地区等。 √（仅支持部分规则粒度） √（仅支持部分规则粒度） √ √ 不涉及 安全策略 应用隐身 支持连接器部署和反向连接到天翼云边缘节点，实现企业内网应用隐身，并且基于SDP架构，对数据面和控制面进行分离，无需暴露企业应用于公网之中。 √ √ √ √ 不涉及 安全策略 准入管控 支持对接入零信任客户端的终端设备的多维度准入策略配置，实现对异常行为、设备、身份等不允许接入企业VPN网络。 × × √ √ 不涉及 安全策略 横向渗透防护 支持进行钓鱼防护，能够对企业内网发生恶意扫描行为，例如触发异常访问频率和维度的行为实时阻断等。有效抑制住钓鱼等C2攻击。 × × × √ 不涉及 安全策略 动态授权 支持对访问主体在远程访问的过程中的行为、身份、设备、终端环境等信息进行多维度策略评估，并实时对异常进行阻断等。 × × √ √ 不涉及 安全策略 RBI云端浏览器隔离 通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地。 额外付费购买 额外付费购买 额外付费购买 额外付费购买 不涉及 安全策略 内外网隔离 支持对终端访问的流量进行黑白名单管控，能够实现企业内网访问和互联网访问的安全隔离。 × × × √ 不涉及 终端安全管理 上网行为管控 员工互联网访问行为可视可审可追溯，一键拦截违规违法网站，轻松实现合规合法、网络稳定的上网环境，提高企业办公效率。 × × × √ √ 终端安全管理 软件管理 从软件的来源、安装、运行情况进行全方位展示，协助企业梳理员工安装、运行软件情况；通过配置软件管控策略，阻止软件运行。 × × √ √ √ 终端安全管理 病毒查杀 支持定期对终端进行病毒扫描，提供最新的病毒引擎版本，扫描完成后自动隔离和上报。 × × × √ √ 终端安全管理 实时防护 包含文件实时防护、U盘防护，对即将进入设备的病毒进行实时监控。 × × × √ √ 终端安全管理 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，对局域网共享路径进行操作时需要实时监控。比如文件上传、执行等。 × × × ×（限时免费） ×（限时免费） 终端安全管理 防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具和邮件附件下载的文件是否带毒、是否为伪装文件。 × × × ×（限时免费） ×（限时免费） 终端安全管理 漏洞修复 对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性。 × × × √ √ 终端安全管理 外设管控 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄。 × × × √ √ 终端安全管理 办公净化 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为用户提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求。 × × × √（限时免费） √（限时免费） 终端安全管理 AI安全检测 支持盘点设备上运行的大模型组件，高效构建AI应用资产全景；支持超过 30+种 AI 应用组件漏洞检测，实现漏洞高效管理。 × × × ×（限时免费） ×（限时免费） 终端安全管理 合规检测 支持设置终端基线标准，能够对接入零信任的终端进行基线采集并检测是否符合企业安全规范基准。 × × √ √ √ 终端安全管理 自保护 当员工退出账号、退出客户端、退出企业、卸载客户端时，需要进行防护码校验，实现客户端自保护。 × × √ √ √ 产品服务 态势大屏 提供零信任办公态势大屏，能够展示企业办公内网访问情况、终端安全分析、设备分布、用户分布等态势感知能力。 × × × √ × 产品服务 告警自助 提供零信任远程办公告警自助能力，企业可配置连接器异常告警、业务异常告警等，实现精准感知异常，减少业务影响。 × √ （SaaS版本支持 √ （SaaS版本支持） √ （SaaS版本支持） × 产品服务 客户端定制化 支持客户端定制化LOGO，强化企业感知力。 × × √ √ × 产品服务 日志投递 将零信任日志投递到客户指定目标服务器，实现AOne日志的全生命周期管理。可对接企业统一态势平台，赋能企业安全运维监控场景。 × × √ （SaaS版本支持） √ （SaaS版本支持） 不涉及 产品服务 日志审计 提供日志审计功能，针对行为进行审计。 × √ √ √ √

本小节介绍DDoS基础防护最佳实践。 DDoS基础防护产品最佳实践 为保障公网业务持续稳定运行，避免因 DDoS 攻击导致 IP 封堵、业务中断，建议您按照以下最佳实践流程，使用天翼云 DDoS 基础防护并做好安全防护规划。 1.业务平稳运行阶段 在业务上线初期，若未遭受 DDoS 攻击，或攻击流量规模低于 DDoS 基础防护阈值，IP 不会触发封堵机制，业务网络可正常对外提供服务。 2.攻击触发封堵场景 随着业务规模扩大、行业竞争加剧，若业务遭遇针对性 DDoS 攻击，且攻击流量峰值超出基础防护阈值、挤占资源池带宽并影响网络稳定时，系统将自动对该 IP 执行 DDoS 封堵，暂时阻断公网流量以保障平台整体稳定。 3.接收封堵通知 IP 被封堵后，您将通过账号联系人及安全消息配置联系人的短信、邮箱、站内信同步收到封堵通知，通知中包含受影响 IP、攻击流量峰值、封堵时长等关键信息，便于您快速掌握异常情况。 4.方案查阅 参考官方产品文档与常见问题说明，了解封堵原因及对应的防护解决方案。针对开放DDoS基础防护控制台的资源池EIP，您可登录天翼云控制台，进入 DDoS 基础防护页面，复核流量封堵情况。 5.部署高防防护与 IP 优化 根据官方防护建议，选购并配置天翼云 DDoS 高防 IP、DDoS 高防（边缘云版）或第三方合规 DDoS 高防产品；同时同步更换业务 IP，并限制仅高防 IP 可访问业务 IP，实现业务 IP 隐藏与专业 DDoS 清洗防护，从根源避免再次触发DDoS封堵，保障业务长期稳定运行。

能力总览 终端管理能力总览如下： 一级能力 二级能力 功能介绍 病毒查杀 周期查杀 企业管理员可以周期性对员工设备进行病毒检测并自动查杀，有效发现和清除终端已存在的病毒 下发查杀 企业管理员可以立即对员工设备进行病毒检测并自动查杀，立即对员工设备进行风险摸底 右键查杀 企业员工快捷对文件、文件夹进行查杀 自定义扫描 企业员工自定义选择本机文件夹、局域网文件夹进行查杀 隔离区 把检测出的病毒文件备份至隔离区 信任区 为了防止误杀，把一些确认安全的文件、文件夹加进信任区，病毒查杀将跳过这些文件 黑白名单 企业管理员可以把误报的文件快速全租户加白；把漏报的文件快速全租户加黑 实时防护 文件实时防护 查杀任务只能指定时间触发，做不到实时防护，因此需要对即将进入设备的病毒进行实时监控。比如文件下载、复制、落地、文件读写等所有文件操作 U盘防护 U盘是携带病毒的常见外设，因此插入U盘时，需要进行病毒防护 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，因此本机电脑对局域网共享路径进行操作时需要实时监控，比如文件上传、执行等 漏洞补丁 漏洞修复 企业员工对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性 补丁管理 企业员工对已安装补丁进行查看和卸载 周期扫描 企业管理员可以周期性对员工设备进行漏洞扫描并自动修复，有效发现和修复终端存在的系统漏洞 下发扫描 企业管理员可以立即对员工设备进行漏洞扫描并自动修复，立即对员工设备进行漏洞风险摸底 处置能力 对于企业员工自行扫描但暂未处理的漏洞，企业管理员支持在控制台一键修复 外设管控 U盘 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄 便携设备 企业管理员对员工的便携设备进行禁用、审计管控，有效阻止风险入侵，有效防止文件外泄 外设白名单 对于企业的特殊外设，比如老板的U盘往往不需要管控，可以提前置为白名单，白名单设备不受策略管控 弹窗拦截 广告弹窗拦截 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为⽤⼾提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求 问题软件防护 对于正在安装的软件，支持阻止捆绑、静默、强制的安装行为 接入DeepSeek 接入DeepSeek 凭借DeepSeek先进的自然语言处理与推理能力，帮助企业精准分析终端安全威胁并提供优化策略，无需登录也可以轻松使用 防钓鱼 IM防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具下载的文件是否带毒、是否为伪装文件，工具包括（钉钉、企业微信、飞书、QQ、微信、TIM（腾讯）） 邮件防钓鱼 面向办公网钓鱼防护场景，支持检测邮件附件是否带毒、是否为伪装文件，邮箱客户端包括（AOnemail、Outlook（微软）、Thunderbird（Mozilla）、FoxMail（腾讯）、网易邮箱大师（网易）、Windows Mail（微软）） AI安全检测 应用发现 支持盘点Windows、MAC设备上运行的大模型组件，包括应用名称、版本、应用描述、所属设备和用户等，高效构建AI应用资产全景 应用漏洞 支持超过 30+种 AI 应用组件漏洞检测，通过多视图查看及标记能力实现漏洞高效管理 适配信创 病毒查杀 与Windows系统类似，麒麟/统信终端支持全盘扫描、快速扫描、自定义扫描、周期扫描、下发扫描、隔离区、信任区、黑白名单 软件管理 软件分析 通过周期性采集上报软件资产，统计最新的终端设备软件安装总数量，范围包括系统安装软件，运行软件 软件管控 企业管理员支持对员工电脑里的软件下发黑名单管控策略，即选中的软件禁止运行 风险软件 企业管理员支持一键禁止员工使用黑客工具、远程控制工具（这两类软件，通常容易被攻击者利用） 上网行为管控 上网分析 上网行为分析将采集员工互联网上网行为 上网管控 通过配置管控策略限制员工的上网行为 合规检测 合规检测 针对企业员工终端合规基线情况进行检测，不符合终端合规检测要求则进行相关处置

数据安全中心服务可识别的敏感数据包括敏感图片信息、个人敏感信息、企业敏感信息等七类，具体可识别的敏感数据类型如下表所示。 敏感数据分类 数据类型 敏感图片信息 身份证图片 护照图片 个人敏感信息 身份证 银行卡 姓名 手机号 邮箱 护照号 港澳通行证 车牌号 电话号码 军官司证 性别 车辆识别代码 企业敏感信息 营业执照号码 税务登记证号码 组织机构代码 统一社会信用代码 密钥敏感信息 PEM证书 KEY私钥 AccessKeyId AccessKeySecret 哈希密码 设备敏感信息 IP地址 MAC地址 JDBC连接串 IPv6地址 IMEI MEID 位置敏感信息 省份 城市 GPS位置 地址 通用敏感信息 日期

本节介绍创建的云手机操作说明。 操作步骤 1.登录并打开“天翼云手机”产品详情页； 2.选择“云手机政企版”产品版本； 3.点击“进入控制台”前往云手机控制台； 4.点击“云手机管理”，点击“创建云手机”； 5.选择订购的架构类型； 6.根据需求选择相应的“规格类型”； 7.根据实际情况选择“镜像类型”，即开通云手机实例的操作系统； 8.根据实际情况选择云手机的“VPC”和“子网“，如需对VPC和子网进行配置，可参考云手机网络管理； 9.分配云手机需要填写或导入云手机使用者的”邮箱“和“账号“，可批量输入；请输入云手机用户的真实有效邮箱，以确保可接收到云手机用户激活邮件； 10.选择云手机的“购买时长”； 11.确认相关的配置信息，单击“立即购买”，支付成功后，即完成云手机的开通。

告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人,我们可以在通知组中设置接收人信息。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「告警管理 」「通知组」。 功能说明 联系人（短信/邮箱） 如需要通过短信/邮箱进行告警，可在此处维护联系人信息。支持对联系人信息进行增删改查，需要录入基础信息 同时也支持对联系人进行分组，对联系人组进行增删改查。 翼连 支持增删改查翼连群信息，将某个翼连群作为一个“联系人组”。 WebHook集成 支持以WebHook的方式对第三方通知对象（钉钉、企业微信、飞书等）发送告警信息。支持增删改查WebHook信息。 告警渠道使用限制 告警渠道 限额 说明 邮件 每个天翼云账号每天20封邮件通知，超出限额后停止发送 如有需求，请提交工单反馈 短信 每个天翼云账号每天20封短信通知，超出限额后停止发送 如有需求，请提交工单反馈

编辑指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，单击目标情报所在行“操作”列的“编辑”，右侧弹出编辑情报页面。 6. 在弹出的编辑情报指标页面中，编辑指标参数。 参数 名称 指标名称 自定义威胁情报指标名称，命名规则如下：可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（ ()）。 类型 选择指标类型。 威胁度 选择威胁度等级。 黑：表示危险 灰：表示一般 白：表示安全 数据源产品名称 选择数据源产品的名称，不支持修改。 数据源类型 选择数据源所属类型，不支持修改。 状态 选择指标状态，可选择以下状态：打开、关闭、作废。 置信度 填选指标的可信度，范围为80~100。 责任人 选择该条指标的主要责任人。 标签 自定义指标的标签。 首次发生时间 选择该条指标首次发生时间。 最近发现时间 选择该条指标最近一次发生的具体时间。 失效时间 选择该指标的失效时间。 是否失效 选择是否失效该条指标。默认为“否”。 粒度 选择该指标的粒度，可选择以下粒度：首次发现、自产数据、需购买、外网直接查询。 其他参数 根据选择的不同类型，还需要配置对应的参数信息，请根据界面显示进行填写。例如，当“类型”选择“ipv6”时，还需要配置IP地址、邮箱账户、地区等信息。 7. 单击“确认”。

Date: show only year Date: show only year会对日期字段进行脱敏，只保留年份信息，月份和日期默认显示为 0101。 Hive测试结果 Spark测试结果 Custom Custom：支持通过自定义表达式实现个性化脱敏逻辑，也可以结合UDF完成更复杂的处理。 本示例中，使用以下表达式对邮箱后缀进行隐藏。 plaintext concat(substr(email, 1, instr(email, '@')), 'UNKNOWN') 该表达式会保留邮箱用户名和@符号，并将域名部分统一替换为UNKNOWN。 Hive测试 Spark测试

客户价值 配置消息通知后，可以实时给用户发送翼MR集群健康状态，用户可以通过手机短信或邮箱实时接收到翼MR集群变更及组件告警信息。翼MR可以帮助用户轻松运维，实时监控，实时发送告警，操作灵活，大数据业务部署更加省心省力。 特性描述 翼MR联合消息通知服务(SMN)，采用主题订阅模型，提供一对多的消息订阅以及通知功能，能够实现一站式集成多种推送通知方式。 首先，作为主题拥有者，我们可以先创建一个主题，并对主题设置访问控制权限来决定哪些发布者和订阅者可以通过该主题进行交流。翼MR将集群消息发送至您有权限发布消息的主题，然后所有订阅了该主题的订阅者（可以是手机短信、邮箱等）都将收到集群变更以及组件告警的消息。

已登录通过天翼云APP解绑 1、登录天翼云官网，在首页点击“我的个人中心”进入账号中心的“安全设置”页面，在“登录保护虚拟MFA”右侧点击“前往解绑“。 2、身份验证。可通过手机、邮箱、活体人脸识别（仅限通过人脸识别进行实名认证的账号）验证进行身份验证。 3、验证MFA 打开手机上安装的天翼云APP，进入“我的”页面，点击右上角“MFA”进入虚拟MFA列表页面，将帐号对应的MFA动态码输入到“验证MFA”页面方框中（PC端）并点击确认。 ! 4、解绑虚拟MFA成功。 ! 未登录通过人脸识别解绑解绑 （仅限通过人脸识别进行实名认证的账号） 1.在登录输入MFA页面，点击“解绑MFA绑定” 2.扫码完成人脸识别，解绑成功。