网络范围

对于每个规则，您通过指定网络范围来确定用户群。网络范围由一个或多个 IP 范围组成。在配置访问策略集之前，您可以从“身份和访问管理”选项卡的“设置”>“网络范围”页面创建网络范围。

部署中的每个身份提供程序实例都将网络范围与身份验证方法相关联。当您配置策略规则时，请确保网络范围涵盖在现有的身份提供程序实例中。

您可以配置特定的网络范围，以限制用户可从何处登录和访问其应用程序。

设备类型

选择规则管理的设备类型。客户端类型包括“Web 浏览器”、“Workspace ONE 应用程序”、“iOS”、“Android”、“Windows 10”、“OS X”和“所有设备类型”。

您可以配置规则以指定哪种类型的设备可访问内容，并且来自该类型设备的所有身份验证请求均可使用策略规则。

添加组

您可以根据用户的组成员身份应用不同的身份验证策略。要分配用户组以通过特定的身份验证流程登录，您可以将组添加到访问策略规则中。组可以是从企业目录中同步的组，以及在管理控制台中创建的本地组。同一个域中的组名称必须唯一。

要在访问策略规则中使用组，请从“身份和访问管理”>“首选项”页面中选择一个唯一标识符。必须在“用户属性”页面中映射唯一标识符属性，并将选定的属性同步到目录。唯一标识符可以是用户名、电子邮件地址、UPN 或员工 ID。请参阅使用唯一标识符的登录体验。

如果在访问策略规则中使用组，用户的登录体验将发生变化。将显示一个页面以提示用户输入其唯一标识符，而不是要求用户选择域并输入其凭据。VMware Identity Manager 根据唯一标识符在内部数据库中查找用户，并显示在该规则中配置的身份验证页面。

如果未选择组，访问策略规则适用于所有用户。如果配置的访问策略规则包含基于组的规则以及用于所有用户的规则，请确保为所有用户指定的规则是在策略的“策略规则”部分中列出的最后一个规则。

身份验证方法

在策略规则中，可以设置应用身份验证方法的顺序。身份验证方法将按照它们列出的先后顺序加以应用。满足策略中的身份验证方法和网络范围配置的第一个身份提供程序实例将被选中。用户身份验证请求会被转发到该身份提供程序实例以进行身份验证。如果身份验证失败，则选择列表中的下一个身份验证方法。

身份验证会话时长

在每个规则中，您都可以设置此身份验证的有效小时数。在以下时间后重新进行身份验证的值决定了用户自其上次身份验证事件后，可访问其门户或启动特定应用程序的最长时间。例如，如果 Web 应用程序规则中的值为 4，则表示用户将有四个小时可以启动 Web 应用程序，除非他们启动的另一个身份验证事件延长了该时间。

自定义的访问被拒绝错误消息

如果用户尝试登录时由于凭据无效、配置不当或系统错误而失败，系统会显示一条访问被拒绝消息。默认消息是由于未找到有效的身份验证方法，访问遭到拒绝 (Access denied as no valid authentication methods were found)。

您可以为每个访问策略规则创建一条自定义错误消息，以替代默认消息。该自定义消息可以包含文本和一个用于调用操作消息的链接。例如，在针对要管理的移动设备的策略规则中，如果用户尝试从未注册的设备登录，则可以创建以下自定义错误消息：请单击此消息末尾的链接注册您的设备，以便访问公司资源。如果您的设备已经注册，请联系支持部门以获取帮助 (Enroll your device to access corporate resources by clicking the link at the end of this message. If your device is already enrolled, contact support for help)。