您可以创建访问策略规则,以便指定用户访问 Workspace ONE Intelligent Hub 工作区及其授权应用程序所必须满足的条件。您还可以创建特定于应用程序的访问策略规则,以管理用户对特定 Web 应用程序和桌面应用程序的访问。

网络范围

您可以向访问策略规则分配网络地址,以根据用于登录和访问应用程序的 IP 地址来管理用户访问。在以内部部署方式配置 Workspace ONE Access 服务时,您可以为内部网络访问和外部网络访问配置网络 IP 地址范围。然后,您可以根据在规则中配置的网络范围创建不同的规则。

注: 在为 Workspace ONE Access 云服务配置网络地址时,请指定用于访问内部网络的 Workspace ONE Access 租户公共地址。

在配置访问策略规则之前,请先从控制台的“资源”>“策略”>“网络范围”页面配置网络范围。

将部署中的每个身份提供程序实例都配置为将网络范围与身份验证方法相关联。当您配置策略规则时,请确保您选择的网络范围涵盖在现有的身份提供程序实例中。

用于从中访问内容的设备类型

设置访问策略规则时,您可以选择可用于访问 Workspace ONE Intelligent Hub 应用程序中的内容的设备类型。通过在规则中选择设备类型,您可以将用户的设备或设备注册状态与提供最佳身份验证体验的访问策略规则相匹配。

  • 所有设备类型是在策略规则中配置的,可用于所有访问情况。
  • Web 浏览器设备类型是在策略规则中配置的,无论是何种设备硬件类型或操作系统,都可以从任意 Web 浏览器访问内容。
  • Workspace ONE Intelligent Hub 上的应用程序设备类型是在策略规则中配置的,可以在从设备登录后从 Workspace ONE Intelligent Hub 应用程序中访问内容。
  • iOS 设备类型是在策略规则中配置的,可以从 iPhone 和 iPad 设备访问内容。

    在 Workspace ONE Access 云租户环境中,无论在 Safari 设置中是否启用请求桌面站点,iOS 设备类型都会与 iPhone 和 iPad 设备匹配。

  • macOS 设备类型配置为从配置了 macOS 的设备访问内容。

    对于内部部署环境,还需要配置 macOS 设备类型,以匹配在 Safari 设置中启用请求桌面站点的 iPad 设备。

  • (仅限云部署版本)iPad 设备类型是在策略规则中配置的,可以从配置了 iPadOS 的 iPad 设备访问内容。无论在 Safari 设置中是否启用了请求桌面站点,此规则都允许您标识 iPad。
    注: 创建访问策略规则以使用 iPad 设备类型时,必须在使用 iOS 设备类型的规则之前列出 iPad 设备的规则。否则,iOS 设备类型的规则将应用于请求访问的 iPad 设备。这适用于使用 iPadOS 或更低版本 iOS 的 iPad。
  • Android 设备类型配置为从 Android 设备访问内容。
  • (仅限云部署版本)将 Chrome OS 设备类型配置为从使用 Chrome OS 操作系统的设备访问内容。
  • (仅限云部署版本)将 Linux 设备类型配置为从使用 Linux 操作系统的设备访问内容。
  • (仅限云部署版本)Windows 10 及以上版本设备类型配置为从 Windows 10 和 Windows 11 设备访问内容。所有 Windows 11 设备(包括桌面和移动设备)均支持此功能。
  • Windows 10 注册设备类型配置为在用户使用即时可用体验或通过 Windows 设置将其设备加入 Azure AD 时启用身份验证。
  • 设备注册设备类型配置为要求设备注册。此规则要求,用户需要通过由 iOS 或 Android 设备上的 Workspace ONE Intelligent Hub 应用程序执行的 Workspace ONE UEM 注册过程进行身份验证。

在“策略配置”页面上列出的规则顺序表示这些规则的应用顺序。当设备类型与身份验证方法相匹配时,将忽略随后的规则。如果设备类型为 Workspace ONE Intelligent Hub 上的应用程序的规则不是策略列表中的第一条规则,则用户不会长时间一直保持登录 Workspace ONE Intelligent Hub 应用程序。

添加组

您可以根据用户的组成员资格应用不同的身份验证规则。组可以是从企业目录中同步的组,以及在 Workspace ONE Access 控制台中创建的本地组。

在将组分配给访问策略规则时,将要求用户输入其唯一标识符,然后要求用户根据访问策略规则输入相应的身份验证。请参阅《Workspace ONE Access 管理指南》中的“使用唯一标识符的登录体验”。默认情况下,此唯一标识符为用户名。可以转到“设置”>“登录首选项”页面查看所配置的唯一标识符值,或对标识符进行更改。

注: 如果规则中未标识组,该规则适用于所有用户。如果配置的访问策略中包含一个配置了组的规则和一个未配置组的规则,配置了组的规则必须列在未配置组的规则前面。

规则管理的操作

可以将访问策略规则配置为允许或拒绝访问工作区和资源。在将策略配置为提供对特定应用程序的访问权限时,还可以指定在无需进一步身份验证的情况下,允许访问此应用程序的操作。要应用此操作,用户需要已经通过默认访问策略的身份验证。

您可以在规则中选择应用适用于此操作的条件,例如要包括哪些网络、设备类型和组,以及设备注册和合规状态。操作是拒绝访问时,用户无法从规则中配置的设备类型和网络范围登录或启动应用程序。

身份验证方法

Workspace ONE Access 服务中配置的身份验证方法将应用到访问策略规则。对于每个规则,您需要选择用于确认登录 Workspace ONE Intelligent Hub 应用程序或访问应用程序的用户身份的身份验证方法类型。您可以在规则中选择多种身份验证方法。

身份验证方法将按照它们在规则中列出的先后顺序加以应用。满足规则中身份验证方法和网络范围配置的第一个身份提供程序实例将被选中。用户身份验证请求会被转发到该身份提供程序实例以进行身份验证。如果身份验证失败,则选择列表中的下一个身份验证方法。

您可以在访问策略规则中配置身份验证链,以要求用户通过多种身份验证方法传递凭据后才能登录。如果在一个规则中配置了两个身份验证条件,用户必须正确响应每个身份验证请求。例如,如果您设置使用密码和“Duo 安全”进行身份验证,用户必须输入其密码并响应“Duo 安全”请求才能通过身份验证。

如果需要多个身份验证条件,可以将规则配置为包含备用身份验证方法,以便用户可以从中进行选择。例如,如果您选择“密码”作为主要身份验证方法,并提供“FIDO 令牌”或“Verify (Intelligent Hub)”作为可选的第二因素身份验证方法,则用户需要输入密码,然后从登录页面选项中选择他们的首选身份验证方法。

回退身份验证可以设置为向未通过前一身份验证请求的用户提供另一次登录的机会。如果身份验证方法未能对用户进行身份验证,并且还配置了回退方法,系统会提示用户针对所配置的其他身份验证方法输入其凭据。以下两种场景介绍了此回退的工作方式。

  • 在第一种场景下,访问策略规则被配置为要求用户使用其密码和“Duo 安全”进行身份验证。回退身份验证被设置为要求使用密码和 RADIUS 凭据进行身份验证。用户正确输入了密码,但未能输入正确的“Duo 安全”响应。由于用户输入了正确的密码,因此回退身份验证请求仅要求输入 RADIUS 凭据。用户不需要再次输入密码。
  • 在第二种场景下,访问策略规则被配置为要求用户使用其密码和“Due 安全”响应进行身份验证。回退身份验证被设置为要求使用 RSA SecurID 和 RADIUS 进行身份验证。用户正确输入了密码,但未能输入正确的“Duo 安全”响应。回退身份验证请求将要求同时输入 RSA SecurID 凭据和 RADIUS 凭据以进行身份验证。

要为 Workspace ONE UEM 管理的设备配置需要进行身份验证和设备合规性验证的访问策略规则,必须在内置身份提供程序页面中启用设备与 Workspace ONE UEM 的合规性。请参阅在 Workspace ONE Access 中为 Workspace ONE UEM 管理的设备启用合规性检查。可以和设备与 Workspace ONE UEM 合规性相关联的内置身份提供程序身份验证方法包括移动 SSO(适用于 iOS)、移动 SSO(适用于 Android)或证书(云部署)。

身份验证会话时长

在每个规则中,您都可以设置此身份验证的有效小时数。在以下时间后重新进行身份验证的值决定了用户自其上次身份验证事件后,可访问其门户或打开特定应用程序的最长时间。例如,如果在 Web 应用程序规则中将此值设置为 8,则用户在通过身份验证后的 8 小时内,不需要重新进行身份验证。

策略规则设置在以下时间后重新进行身份验证不会控制应用程序会话。此设置控制在多长时间之后用户必须重新进行身份验证。

自定义的访问被拒绝错误消息

如果用户尝试登录时由于凭据无效、配置不当或系统错误而失败,系统会显示一条访问被拒绝消息。默认消息是由于未找到有效的身份验证方法,访问遭到拒绝 (Access denied as no valid authentication methods were found)。

您可以为每个访问策略规则创建一个自定义错误消息来替代默认消息。该自定义消息可以包含文本和一个用于调用操作消息的链接。例如,在用于将访问限制到已注册设备的策略规则中,如果用户尝试从未注册的设备登录,则可以创建以下自定义错误消息。请单击此消息末尾的链接注册您的设备,以便访问公司资源。如果您的设备已经注册,请联系支持部门以获取帮助 (Enroll your device to access corporate resources by clicking the link at the end of this message. If your device is already enrolled, contact support for help)。