Você cria regras de política de acesso para especificar os critérios a que os usuários devem atender para acessar o espaço de trabalho do Workspace ONE Intelligent Hub e seus aplicativo autorizados. Você também pode criar políticas de acesso específicas ao aplicativo com regras para gerenciar o acesso do usuário a aplicativos da Web e de desktop específicos.
Intervalo de rede
Você atribui endereços de rede à regra de política de acesso para gerenciar o acesso do usuário com base em qual endereço IP é usado para fazer login e acessar aplicativos. Quando o serviço do Workspace ONE Access é configurado no local, você pode configurar intervalos de endereço IP de rede para acesso à rede interna e o acesso à rede externa. Em seguida, você poderá criar diferentes regras com base no intervalo de rede configurado na regra.
Você configura os intervalos de rede na página Recursos > Políticas > Intervalos de Rede do console antes de configurar as regras de política de acesso.
Cada instância de provedor de identidade na implantação é configurada para vincular intervalos de rede a métodos de autenticação. Ao configurar uma regra de política, garanta que o intervalo de rede selecionado seja coberto por uma instância de provedor de identidade existente.
Tipo de dispositivo usado para acessar o conteúdo do
Ao configurar uma regra de política de acesso, você seleciona o tipo de dispositivo que pode ser usado para acessar o conteúdo no aplicativo Workspace ONE Intelligent Hub. Selecionar um tipo de dispositivo em uma regra permite que você faça a correspondência entre o estado de inscrição do dispositivo ou dispositivo do usuário e a regra de política de acesso que fornece a melhor experiência de autenticação.
- Todos os Tipos de Dispositivos está configurado em uma regra de política que é usada em todos os casos de acesso.
- O tipo de dispositivo Navegador da Web está configurado em uma regra de política para acessar o conteúdo de qualquer navegador da Web, independentemente do tipo de hardware ou sistema operacional do dispositivo.
- O tipo de dispositivo Aplicativos no Workspace ONE Intelligent Hub é configurado em uma regra de política para acessar o conteúdo do aplicativo Workspace ONE Intelligent Hub após o login em um dispositivo.
- O tipo de dispositivo iOS está configurado em uma regra de política para acessar o conteúdo dos dispositivos iPhone e iPad.
Em ambientes de tenant na nuvem do Workspace ONE Access, o tipo de dispositivo iOS corresponde aos dispositivos iPhone e iPad, independentemente da opção Request Desktop Sites (Solicitar sites de desktop) nas configurações do Safari estar ativada.
- O tipo de dispositivo macOS está configurado para acessar o conteúdo de dispositivos configurados com macOS.
Para ambientes no local, configure também o tipo de dispositivo macOS para corresponder a dispositivos iPad que tenham a opção Request Desktop Sites nas configurações do Safari ativada.
- (Apenas na nuvem) O tipo de dispositivo iPad está configurado em uma regra de política para acessar o conteúdo de dispositivos iPad configurados com o iPadOS. Essa regra permite identificar um iPad, independentemente da opção Request Desktop Sites nas configurações do Safari estar ativada.
Observação: Quando uma regra de política de acesso é criada para usar o tipo de dispositivo iPad, a regra para dispositivos iPad deve ser listada antes da regra que usa o tipo de dispositivo iOS. Caso contrário, a regra para o tipo de dispositivo iOS será aplicada a dispositivos iPad que solicitam acesso. Isso se aplica a iPads com iPadOS ou iOS anteriores.
- O tipo de dispositivo Android está configurado para acessar conteúdo de dispositivos Android.
- (Apenas na nuvem) O tipo de dispositivo Chrome OS está configurado para acessar conteúdo de dispositivos que usam o sistema operacional Chrome OS.
- (Apenas na nuvem) O tipo de dispositivo Linux está configurado para acessar conteúdo de dispositivos que usam o sistema operacional Linux.
- (Apenas na nuvem) O tipo de dispositivo Windows 10+ está configurado para acessar o conteúdo de dispositivos Windows 10 e Windows 11. Essa funcionalidade é compatível em todos os dispositivos Windows 11, incluindo áreas de trabalho e dispositivos móveis.
- O tipo de dispositivo de inscrição do Windows 10 é configurado para habilitar a autenticação quando os usuários ingressam em seus dispositivos no Azure AD com a experiência pronta para uso ou nas configurações do Windows.
- O tipo de dispositivo Inscrição do Dispositivo está configurado para exigir a inscrição do dispositivo. Essa regra exige que os usuários sejam autenticados no processo de inscrição do Workspace ONE UEM facilitado pelo aplicativo Workspace ONE Intelligent Hub em um dispositivo iOS ou Android.
A ordem em que as regras são listadas na página de configuração da política indica a ordem em que as regras são aplicadas. Quando o tipo de dispositivo corresponde ao método de autenticação, as regras subsequentes são ignoradas. Se a regra do tipo de dispositivo Aplicativos no Workspace ONE Intelligent Hub não for a primeira regra na lista de políticas, os usuários não entrarão no aplicativo Workspace ONE Intelligent Hub por um período prolongado.
Adicionar Grupos
Você pode aplicar regras de autenticação diferentes com base na associação ao grupo do usuário. Os grupos podem ser grupos sincronizados a partir do seu diretório corporativo e grupos locais que você criou no console do Workspace ONE Access.
Quando os grupos são atribuídos a uma regra de política de acesso, os usuários são solicitados a inserir seu identificador exclusivo e, em seguida, são solicitados a inserir a autenticação com base na regra de política de acesso. Consulte Experiência de login usando o identificador exclusivo no guia de Administração do Workspace ONE Access. Por padrão, o identificador exclusivo é nome de usuário. Acesse a página Configurações > Preferências de Login para ver o valor do identificador exclusivo configurado ou para alterar o identificador.
Ações gerenciadas por regras
Uma regra de política de acesso pode ser configurada para permitir ou negar acesso ao espaço de trabalho e aos recursos. Quando uma política é configurada para fornecer acesso a aplicativos específicos, você também pode especificar a ação para permitir o acesso ao aplicativo sem autenticação adicional. Para que essa ação seja aplicada, o usuário já é autenticado pela política de acesso padrão.
Você pode seletivamente aplicar condições na regra que se aplicam à ação, como quais redes, tipos de dispositivos e grupos incluir e o status de conformidade e inscrição do dispositivo. Quando a ação for negar acesso, os usuários não poderão fazer logon nem iniciar aplicativos a partir do intervalo de rede e do tipo de dispositivo configurado na regra.
Métodos de autenticação
Os métodos de autenticação configurados no serviço do Workspace ONE Access são aplicados às regras de política de acesso. Para cada regra, selecione o tipo dos métodos de autenticação a serem usados para verificar a identidade de usuários que entram no aplicativo Workspace ONE Intelligent Hub ou acessam um aplicativo. Você pode selecionar mais de um método de autenticação em uma regra.
Os métodos de autenticação são aplicados na ordem em que estão listados na regra. A primeira instância do provedor de identidade que atende ao método de autenticação e à configuração de intervalo de rede na regra é selecionada. A solicitação de autenticação do usuário é encaminhada para a instância do provedor de identidade para autenticação. Se a autenticação falhar, é selecionado o próximo método de autenticação na lista.
Você pode configurar o encadeamento de autenticação em uma regra de política de acesso para exigir que os usuários passem as credenciais por mais de um método de autenticação antes que possam fazer logon. Duas condições de autenticação em uma regra são configuradas e o usuário deve responder corretamente a ambas as solicitações de autenticação. Por exemplo, se você definir a autenticação usando a configuração de Senha e Segurança Duo, os usuários deverão digitar sua senha e responder à solicitação de Segurança Duo antes de serem autenticados.
Quando você precisa de mais de uma condição de autenticação, pode configurar a regra para incluir métodos de autenticação alternativos dos quais os usuários podem escolher. Por exemplo, se você escolher Senha como o método de autenticação principal e fornecer Token FIDO ou Verify (Intelligent Hub) como métodos opcionais de autenticação de segundo fator, os usuários deverão digitar a senha e, em seguida, selecionar o método de autenticação preferido nas opções da página de login.
É possível configurar a autenticação de fallback para fornecer aos usuários que não passaram na solicitação de autenticação anterior outra chance de fazer logon. Se um método de autenticação não conseguir autenticar o usuário e os métodos de fallback também estiverem configurados, será solicitado que os usuários insiram suas credenciais para os métodos de autenticação adicionais configurados. Os dois cenários a seguir descrevem como esse fallback pode funcionar.
- No primeiro cenário, a regra de política de acesso está configurada para exigir que os usuários se autentiquem com sua senha e a Segurança Duo. A autenticação de fallback é configurada para exigir a senha e a credencial do RADIUS para autenticação. Um usuário insere a senha corretamente, mas não consegue inserir a resposta correta de Segurança Duo. Como o usuário digitou a senha correta, a solicitação de autenticação de fallback destina-se apenas para a credencial do RADIUS. O usuário não precisa inserir a senha novamente.
- No segundo cenário, a regra de política de acesso está configurada para exigir que os usuários se autentiquem com sua senha e a resposta de Segurança Duo. A autenticação de fallback é configurada para exigir o RSA SecurID e o RADIUS para autenticação. Um usuário insere a senha corretamente, mas não consegue inserir a resposta correta de Segurança Duo. A solicitação de autenticação de fallback destina-se tanto para a credencial RSA SecurID e a credencial RADIUS para autenticação.
Para configurar uma regra de política de acesso que exija autenticação e verificação de conformidade do dispositivo para dispositivos gerenciados pelo Workspace ONE UEM, Conformidade do dispositivo com o Workspace ONE UEM deve ser habilitada na página do provedor de identidade integrado. Consulte Ativação da verificação de conformidade para dispositivos gerenciados do Workspace ONE UEM no Workspace ONE Access. Os métodos de autenticação do provedor de identidade integrado que podem encadear com a Conformidade do Dispositivo com o Workspace ONE UEM são SSO móvel (para iOS), SSO móvel (para Android) ou Certificado (implantação em nuvem).
Duração da sessão de autenticação
Para cada regra, você define o número de horas de validade dessa autenticação. O valor reautenticar após determina o tempo máximo que os usuários têm desde o último evento de autenticação para acessar o portal ou abrir um aplicativo específico. Por exemplo, o valor 8 em uma regra de aplicativo Web significa que, após a autenticação, os usuários não precisarão se autenticar novamente por 8 horas.
A configuração de regra de política reautenticação após não controla as sessões de aplicativo. A configuração controla o tempo após o qual os usuários precisam ser autenticados novamente.
Mensagem de Erro de Acesso Negado Personalizada
Quando os usuários tentam fazer logon e não conseguem devido a credenciais inválidas, erros de configuração ou do sistema, aparece uma mensagem de acesso negado. A mensagem padrão é Acesso negado porque não foram encontrados métodos de autenticação válidos.
Você pode criar uma mensagem de erro personalizada que substitui a mensagem padrão para cada regra de política de acesso. A mensagem personalizada pode incluir texto e um link para uma mensagem de chamada para ação. Por exemplo, em uma regra de política para restringir o acesso a dispositivos inscritos, se um usuário tentar fazer logon de um dispositivo não inscrito, você poderá criar a seguinte mensagem de erro personalizada. Inscreva o seu dispositivo para acessar recursos corporativos, clicando no link no final desta mensagem. Se o seu dispositivo já estiver inscrito, entre em contato com o suporte para obter ajuda.