网络范围

可向访问策略规则分配网络地址，以根据用于登录和访问应用程序的 IP 地址来管理用户访问。在以内部部署方式配置 Workspace ONE Access 服务时，您可以为内部网络访问和外部网络访问配置网络 IP 地址范围。然后，您可以根据在规则中配置的网络范围创建不同的规则。

在配置访问策略规则之前，请先从“身份和访问管理”选项卡的“管理”>“策略”>“网络范围”页面创建网络范围。

将部署中的每个身份提供程序实例都配置为将网络范围与身份验证方法相关联。当您配置策略规则时，请确保您选择的网络范围涵盖在现有的身份提供程序实例中。

设备类型

将访问策略规则配置为管理用于访问门户和资源的设备类型。您可以指定的设备包括 iOS 和 Android 移动设备、运行 Windows 10 或 macOS 操作系统的计算机、Web 浏览器、Workspace ONE & Intelligent Hub 应用程序，以及所有设备类型。

设备类型为 Workspace ONE & Intelligent Hub 应用程序的策略规则定义用于从设备登录后在 Workspace ONE 或 Intelligent Hub 应用程序中启动应用程序的访问策略。如果此规则是策略列表中的第一个规则，则根据默认设置，用户最多可在通过身份验证后的 90 天内，一直保持登录应用程序的状态，并且可以一直访问他们的资源。

设备类型为 Web 浏览器的策略规则使用任何类型的 Web 浏览器来定义访问策略，而不考虑设备硬件类型和操作系统。

设备类型为所有设备类型的策略规则适用于所有情况下的访问。

使用 Workspace ONE 或 Intelligent Hub 应用程序访问应用程序时，策略集中设备类型的组织顺序为：Workspace ONE 应用程序设备类型是第一个规则，后面依次是移动设备、Windows 和 macOS 计算机、Web 浏览器设备类型。所有设备类型排在最后。规则的列出顺序即表示这些规则的应用顺序。当设备类型与身份验证方法相匹配时，将忽略随后的规则。如果设备类型为 Workspace ONE 应用程序的规则不是策略列表中的第一条规则，则用户不会长时间一直保持登录 Workspace ONE 应用程序。请参阅将 Workspace ONE 应用程序规则应用于访问策略。

添加组

您可以根据用户的组成员资格应用不同的身份验证规则。组可以是从企业目录中同步的组，以及在 Workspace ONE Access 控制台中创建的本地组。

在将组分配给访问策略规则时，将要求用户输入其唯一标识符，然后要求用户根据访问策略规则输入相应的身份验证。请参阅《Workspace ONE Access 管理指南》中的“使用唯一标识符的登录体验”。默认情况下，此唯一标识符为用户名。可以转到“身份和访问管理”>“设置”>“首选项”页面查看所配置的唯一标识符值，或对标识符进行更改。

规则管理的操作

可以将访问策略规则配置为允许或拒绝访问工作区和资源。在将策略配置为提供对特定应用程序的访问权限时，还可以指定在无需进一步身份验证的情况下，允许访问此应用程序的操作。要应用此操作，用户需要已经通过默认访问策略的身份验证。

您可以在规则中选择应用适用于此操作的条件，例如要包括哪些网络、设备类型和组，以及设备注册和合规状态。操作是拒绝访问时，用户无法从规则中配置的设备类型和网络范围登录或启动应用程序。

身份验证方法

Workspace ONE Access 服务中配置的身份验证方法将应用到访问策略规则。对于每个规则，您需要选择用于确认登录 Workspace ONE 或访问应用程序的用户身份的身份验证方法类型。您可以在规则中选择多种身份验证方法。

身份验证方法将按照它们在规则中列出的先后顺序加以应用。满足规则中身份验证方法和网络范围配置的第一个身份提供程序实例将被选中。用户身份验证请求会被转发到该身份提供程序实例以进行身份验证。如果身份验证失败，则选择列表中的下一个身份验证方法。

您可以在访问策略规则中配置身份验证链，以要求用户通过多种身份验证方法传递凭据后才能登录。如果在一个规则中配置了两个身份验证条件，用户必须正确响应每个身份验证请求。例如，如果您设置使用密码和 VMware Verify 进行身份验证，用户必须输入其密码和 VMware Verify 通行码才能通过身份验证。

回退身份验证可以设置为向未通过前一身份验证请求的用户提供另一次登录的机会。如果身份验证方法未能对用户进行身份验证，并且还配置了回退方法，系统会提示用户针对所配置的其他身份验证方法输入其凭据。以下两种场景介绍了此回退的工作方式。

• 在第一种场景下，访问策略规则被配置为要求用户使用其密码和 VMware Verify 通行码进行身份验证。回退身份验证被设置为要求使用密码和 RADIUS 凭据进行身份验证。用户正确输入了密码，但未能输入正确的 VMware Verify 通行码。由于用户输入了正确的密码，因此回退身份验证请求仅要求输入 RADIUS 凭据。用户不需要重新输入密码。
• 在第二种场景下，访问策略规则被配置为要求用户使用其密码和 VMware Verify 通行码进行身份验证。回退身份验证被设置为要求使用 RSA SecurID 和 RADIUS 进行身份验证。用户正确输入了密码，但未能输入正确的 VMware Verify 通行码。回退身份验证请求将要求同时输入 RSA SecurID 凭据和 RADIUS 凭据以进行身份验证。

要为 Workspace ONE UEM 管理的设备配置需要进行身份验证和设备合规性验证的访问策略规则，必须在内置身份提供程序页面中启用设备与 AirWatch 的合规性。请参阅为 Workspace ONE UEM 管理的设备启用合规性检查。可以和设备与 AirWatch 合规性相关联的内置身份提供程序身份验证方法包括移动 SSO（适用于 iOS）、移动 SSO（适用于 Android）或证书（云部署）。

在使用 VMware Verify 进行双因素身份验证时，VMware Verify 是身份验证链中的第二个身份验证方法。必须在内置身份提供程序页面中启用 VMware Verify。请参阅配置 VMware Verify 以进行双因素身份验证。

身份验证会话时长

在每个规则中，您都可以设置此身份验证的有效小时数。在以下时间后重新进行身份验证的值决定了用户自其上次身份验证事件后，可访问其门户或打开特定应用程序的最长时间。例如，如果在 Web 应用程序规则中将此值设置为 8，则用户在通过身份验证后的 8 小时内，不需要重新进行身份验证。

策略规则设置在以下时间后重新进行身份验证不会控制应用程序会话。此设置控制在多长时间之后用户必须重新进行身份验证。

自定义的访问被拒绝错误消息

如果用户尝试登录时由于凭据无效、配置不当或系统错误而失败，系统会显示一条访问被拒绝消息。默认消息是由于未找到有效的身份验证方法，访问遭到拒绝 (Access denied as no valid authentication methods were found)。

您可以为每个访问策略规则创建一个自定义错误消息来替代默认消息。该自定义消息可以包含文本和一个用于调用操作消息的链接。例如，在用于将访问限制到已注册设备的策略规则中，如果用户尝试从未注册的设备登录，则可以创建以下自定义错误消息。请单击此消息末尾的链接注册您的设备，以便访问公司资源。如果您的设备已经注册，请联系支持部门以获取帮助 (Enroll your device to access corporate resources by clicking the link at the end of this message. If your device is already enrolled, contact support for help)。