要提供对用户的 Workspace ONE 应用程序门户的安全访问并启动 Web 和桌面应用程序,需配置访问策略。访问策略包含一些规则,这些规则指定在登录到应用程序门户和使用资源时必须满足的条件。

利用访问策略,管理员可以配置移动单点登录、基于注册和合规性状态的应用程序条件访问、递增和多因素身份验证等功能。

策略规则将请求的 IP 地址映射到网络范围,指定用户可以用于登录的设备类型。规则定义身份验证方法和身份验证有效的小时数。您可以选择一个或多个组以便与访问规则相关联。

配置选项有很多种,但是本快速入门指南介绍的是企业移动化受管和未受管层级的应用程序访问。

在运行“配置移动单点登录”向导时,会配置默认访问策略,以允许访问已配置的所有设备类型。对于可通过未受管设备访问的应用程序,此策略被视为 1 级访问。

您可以为需要从受管合规设备进行受限访问的应用程序创建策略。VMware Identity Manager 提供了多种内置身份验证适配器来实现这一体验。配置移动单点登录后,便会启用这些身份验证方法。

  • 移动 SSO(适用于 iOS)。适用于 iOS 设备的基于 Kerberos 的适配器

  • 移动 SSO(适用于 Android)。专门为 Android 量身定制的证书身份验证实施

  • 证书(云部署)。针对 Web 浏览器和桌面设备的证书身份验证服务

  • 密码。当使用 VMware Enterprise Systems Connector 的两个组件同时部署了 VMware Identity Manager 和 AirWatch 时,允许通过单个连接器进行目录密码身份验证

  • 密码 (AirWatch Connector)。当仅使用 ACC 同时部署了 VMware Identity Manager 和 AirWatch 时,允许通过单个连接器进行目录密码身份验证

  • 设备合规性(与 AirWatch)。根据 AirWatch 定义的条件,衡量导致身份验证通过或失败的受管设备运行状况。合规性可以与任何其他内置适配器相关联,但密码除外。

未受管设备的 1 级默认访问策略

可使用默认访问策略作为访问所有应用程序的基准 L1 策略。配置移动单点登录后,会为 iOS、Android 和 Windows 10 设备创建访问规则。每种设备均会使用特定于该设备的身份验证方法启用单点登录。在每个规则中,回退方法均为密码。此设置可提供最佳设备管理体验,同时仍为未受管设备提供手动登录选项。

默认策略配置为允许访问所有网络范围。会话超时为八小时。

您可能需要使用 VMware Verify 或其他多因素身份验证进一步确保未受管设备的访问安全。

图 1. 未受管设备的默认策略示例

如果使用移动单点登录向导来配置移动 SSO,则默认访问策略规则会反映此级别的访问控制。

为受管设备配置 2 级策略

如果您的组织部署的应用程序包含敏感数据,您可以限制只有 MDM 管理的设备才能访问这些应用程序。必要时,可以跟踪和擦除受管设备;如果取消注册设备,将会移除企业数据。

要在一些选定的应用程序上强制执行此受管要求,您可以为这些应用程序创建特定于应用程序的策略。创建策略时,您需要在应用于部分选择要对其应用此策略的应用程序。

请在您的部署中为每种设备平台创建一个策略规则。同时,定义正确的 SSO 身份验证方法。但是,由于未受管设备不应访问这些应用程序,因此请勿定义回退身份验证方法。例如,如果未受管的 iOS 设备尝试连接到配置为仅供受管设备访问的应用程序,该设备不会使用相应的 Kerberos 封装证书进行响应。身份验证尝试将会失败,并且用户无法访问内容。

图 2. 受管设备的 2 级访问策略示例