域审计
域审计可识别组织中未捕获的用户。未捕获的用户是指使用与您已验证的域之一关联的电子邮件地址登录 Docker 的 Docker 用户,但他们不是 Docker 中您组织的成员。您可以在属于 Docker Business 订阅一部分的组织上审核域。要将您的现有帐户升级到 Docker Business 订阅,请参阅 升级您的订阅。
访问您环境中 Docker Desktop 的未捕获用户可能会构成安全风险,因为您的组织安全设置(如镜像访问管理和注册表访问管理)不会应用于用户的会话。此外,您将无法查看未捕获用户的活动。您可以将未捕获的用户添加到您的组织,以了解他们的活动并应用您的组织安全设置。
域审计无法识别您环境中的以下 Docker 用户
- 未经身份验证即可访问 Docker Desktop 的用户
- 使用其帐户没有与您已验证的域之一关联的电子邮件地址进行身份验证的用户
尽管域审计无法识别您环境中的所有 Docker 用户,但您可以强制登录以防止无法识别的用户访问您环境中的 Docker Desktop。有关强制登录的更多详细信息,请参阅 配置 registry.json 以强制登录。
提示
您可以使用端点管理 (MDM) 软件来识别环境中 Docker Desktop 实例的数量及其版本。这可以提供准确的许可证报告,帮助确保您的机器使用最新版本的 Docker Desktop,并使您可以 强制登录。
先决条件
在审核您的域之前,请查看以下必需的先决条件
重要
公司或组织内部的域名审核不受支持。
审核您的域以查找未捕获的用户
审核您的域名
登录Docker Hub。
选择组织、您的组织、设置,然后选择安全。
在域名审核中,选择导出用户以导出包含以下列的未捕获用户的 CSV 文件
- 姓名:用户的姓名。
- 用户名:用户的 Docker ID。
- 电子邮件:用户的电子邮件地址。
您可以使用导出的 CSV 文件将所有未捕获的用户邀请到您的组织。更多详情,请参阅邀请成员。或者,强制执行单点登录或启用 SCIM 以自动将用户添加到您的组织。更多详情,请参阅SSO或SCIM。
注意
域名审核可能会识别出不再属于您组织的用户帐户。如果您不想将用户添加到您的组织,并且不想让用户在未来的域名审核中出现,则必须停用该帐户或更新关联的电子邮件地址。
只有拥有 Docker 帐户访问权限的人员才能停用帐户或更新关联的电子邮件地址。更多详情,请参阅停用帐户。
审核您的域名
登录管理控制台。
在左侧导航下拉菜单中选择您的组织,然后选择域名管理。
在域名审核中,选择导出用户以导出包含以下列的未捕获用户的 CSV 文件
- 姓名:用户的姓名。
- 用户名:用户的 Docker ID。
- 电子邮件:用户的电子邮件地址。
您可以使用导出的 CSV 文件将所有未捕获的用户邀请到您的组织。更多详情,请参阅邀请成员。或者,强制执行单点登录或启用 SCIM 以自动将用户添加到您的组织。更多详情,请参阅SSO或SCIM。
注意
域名审核可能会识别出不再属于您组织的用户帐户。如果您不想将用户添加到您的组织,并且不想让用户在未来的域名审核中出现,则必须停用该帐户或更新关联的电子邮件地址。
只有拥有 Docker 帐户访问权限的人员才能停用帐户或更新关联的电子邮件地址。更多详情,请参阅停用帐户。