用于 Workspace ONE 的访问策略规则条件示例

为获得最佳用户体验，需在默认访问策略中将设备类型 Workspace ONE Intelligent Hub 上的应用程序列为第一个规则。当该规则为第一个规则时，用户将会登录到该应用程序，并且在会话过期之前可以启动资源而无需重新进行身份验证。

1. 为可用于访问 Workspace ONE Intelligent Hub 应用程序的每种设备创建规则。此示例显示的是允许从设备类型“iOS”进行访问的规则。

• 网络范围为所有范围。
• 用户可以从 iOS 访问内容。
• 没有将任何组添加到策略规则。支持所有用户。
• 配置所有受支持的身份验证方法。
  • 使用移动 SSO (适用于 iOS) 和设备合规性 (使用 Workspace ONE UEM) 进行身份验证。
  • 回退方法 1：密码 (云部署)。
• 会话在 8 小时后重新进行身份验证。

2. 为设备类型“Workspace ONE Intelligent Hub 上的应用程序”创建规则，并配置要使用的身份验证，首先为移动 SSO（适用于 iOS）。回退身份验证为移动 SSO（适用于 Android）。在使用 Android 设备的用户无法通过移动 SSO（适用于 iOS）进行身份验证时，他们可以使用回退方法（移动 SSO（适用于 Android）和设备合规性）进行身份验证。

• 网络范围为所有范围。
• 用户可以从 Workspace ONE Intelligent Hub 上的应用程序访问内容。
• 没有将任何组添加到策略规则。支持所有用户。
• 配置所有受支持的身份验证方法。
  • 使用移动 SSO (适用于 iOS) 和设备合规性 (使用 Workspace ONE UEM) 进行身份验证。
  • 回退方法 1：移动 SSO (适用于 Android) 和设备合规性 (使用 Workspace ONE UEM)。
  • 回退方法 2：密码 (云部署)。
• 会话在 2160 小时后重新进行身份验证。

2160 个小时等于 90 天。

3. 为设备类型“Web 浏览器”创建规则，以从任何 Web 浏览器中访问 Hub 门户。此示例中包含“密码 (本地目录)”身份验证方法作为回退方法。要对登录的系统管理员进行身份验证，必须至少将一个规则配置为使用“密码 (本地目录)”进行身份验证。会话在 24 小时后超时。

• 网络范围为所有范围。
• 用户可以从 Web 浏览器访问内容。
• 没有将任何组添加到策略规则。支持所有用户。
• 配置所有受支持的身份验证方法。
  • 使用密码 (云部署) 进行身份验证。
  • 回退方法 2：密码。
  • 回退方法 3：密码 (本地目录)。
• 会话在 8 小时后重新进行身份验证。

4. 为所有设备类型创建规则以访问未管理的资源。

• 网络范围为所有范围。
• 用户可以从所有设备中访问内容。
• 没有将任何组添加到策略规则。支持所有用户。
• 配置所有受支持的身份验证方法。
  • 使用密码 (云部署) 进行身份验证。
• 会话在 8 小时后重新进行身份验证。

为每种类型（Workspace ONE Intelligent Hub 上的应用程序和 Web 浏览器）的设备创建规则时，默认策略集与以下屏幕截图类似。

配置了此默认访问策略的工作流。

1. UserA 从 iOS 设备登录到 Workspace ONE Intelligent Hub 应用程序，并要求该用户使用移动 SSO（适用于 iOS）进行身份验证。第三个规则是移动 SSO（适用于 iOS），并且身份验证成功。
2. UserA 启动 Workspace ONE Intelligent Hub 应用程序中列出的某个资源，由于设备类型为“Workspace ONE Intelligent Hub 上的应用程序”的规则中包含移动 SSO（适用于 iOS）身份验证方法作为回退身份验证方法，因此启动了该资源，而未再次请求进行身份验证。用户在 2160 小时内都可以启动资源，而无需重新登录。

另请参阅“配置访问策略规则以进行合规性检查”。