客户端访问策略使用 Office 365 客户端身份验证凭证访问 Workspace ONE 部署中的 Office 365 应用程序。Office 365 客户端(如 VMware Boxer、Microsoft Outlook 以及 iOS 和 Android 本机电子邮件客户端)会在其 UI 中收集凭证以进行身份验证。客户端访问策略可让 Workspace ONE Access 管理收集用于身份验证的凭据。客户端访问策略还使您可以设置 Office 365 应用程序的其他访问参数。在单个 Office 365 应用程序中设置的策略适用于所有 Office 365 应用程序。对客户端访问策略进行的任何编辑都会影响用户访问这些应用程序的能力。

客户端访问策略的顺序

按顺序排列客户端访问策略,因为系统会从上到下强制执行策略。系统使用第一个策略对客户端进行身份验证,或拒绝其访问。

例如,如果您创建拒绝访问所有设备类型的策略,并将其拖动到高于允许对 Android 设备访问的策略的位置,则系统将拒绝尝试通过用户名和密码进行的所有设备访问。系统不会强制执行允许访问 Android 设备的策略。拒绝访问的第一个策略优先。

通过客户端访问策略添加 Office 365 应用程序

您可以将 Office 365 应用程序添加到 Workspace ONE UEM Console,以便可以通过客户端访问策略控制访问。

  1. 导航到资源 > 应用 > SaaS,然后选择新建

  2. 完成定义标签页上的选项。

    设置 说明
    搜索 输入 Office 365 以查看可用应用程序的列表。
    名称 输入或查看 SaaS 应用程序的名称。
    说明 (可选)提供应用程序的说明。通常,此文本框会预先填充。
    图标 (可选)如果未预填充图标,则选择一个图标。
    类别 (可选)分配类别以帮助用户对 Workspace ONE 目录中的应用程序进行排序和筛选。在 Workspace ONE Access 中配置类别,以便其显示在类别列表中。
  3. 完成配置标签页上的选项。

    1. Office 365 应用程序使用 WSFed 1.2 身份验证类型提供单点登录。

      设置 说明
      目标 URL 输入 URL,将用户定向到 Internet 中的 SaaS 应用。
      单点登录 URL 输入断言使用者服务 (ACS) URL。
      Workspace ONE 会将该 URL 发送给您的服务提供程序用于单点登录。
      应用程序 ID 将确定服务提供程序租户身份的 ID 输入 Workspace ONE。Workspace ONE 会将 SAML 断言发送给该 ID。
      有些服务提供程序使用单点登录 URL。
      用户名格式 选择适用于 SAML 主题格式的服务提供程序所要求的格式。
      用户名值 输入 Workspace ONE 在 SAML 断言的主题声明中发送的名称 ID 值。
      该值是应用程序服务提供程序中用户名的默认配置文件文本框值。
    2. 添加应用程序参数的值以允许应用程序启动。

    3. 如果您希望使用 Workspace ONE 在单点登录进程中更好地控制消息传递,请为 WSFed 1.2 添加高级属性

      设置 说明
      凭证验证 选择凭证验证的方法。
      签名算法 选择与摘要算法匹配的签名算法。
      如果您的服务提供程序支持 SHA256,请选择此算法。
      摘要算法 选择与签名算法匹配的摘要算法。
      如果您的服务提供程序支持 SHA256,请选择此算法。
      断言时间 输入 Workspace ONE 发送到服务提供程序以进行身份验证的断言的有效时间(以秒为单位)。
      自定义属性映射 如果您的服务提供程序允许自定义属性而不是适用于单点登录的属性,请添加。
    4. 分配策略以使用访问策略安全登录到应用程序资源。

      设置 说明
      访问策略 为 Workspace ONE 选择一个策略以用于控制用户身份验证和访问。如果您不具有自定义访问策略,则默认访问策略可用。
      您可以在 UEM Console 中配置这些策略。
      在 VMware Browser 中打开 要求 Workspace ONE 在 VMware Browser 中打开应用程序。如果您使用的是 Vmware Browser,在其中打开 SaaS 应用程序可增加安全性。该操作可让访问保持在内部资源中。
      需要许可证审批 在应用程序安装并激活许可证之前,需要审批。

      许可证定价 - 选择定价模型以购买 SaaS 应用程序的许可证。

      许可证类型 - 选择许可证的用户模型:指定用户或并发用户。

      每个许可证的成本 - 输入每个许可证的价格。

      许可证数量 - 输入为 SaaS 应用程序购买的许可证数量。

      在 SaaS 应用程序的“设置”部分中配置相应的审批。
  4. 为 Office 365 客户端添加客户端访问策略。客户端访问策略可让 Workspace ONE Access 管理收集用于身份验证的 Office 365 客户端 UI 凭据。客户端示例包括 VMware Boxer 和 Microsoft Outlook。选择添加策略规则,然后完成相应设置。

    设置 说明
    如果用户的客户端是 选择一个可用的 Office 365 客户端。
    用户的网络范围是 选择以前在定义网络范围过程中配置的网络范围。
    用户的设备类型是 选择允许访问的设备平台。
    用户所属的组 根据此策略中的条件,选择允许访问内容的用户组。
    如果未选择任何组,则策略将应用于所有用户。
    客户端的电子邮件协议是 为 Office 365 客户端选择允许的协议。
    然后执行此操作 允许或拒绝访问 Office 365 应用程序。
  5. 查看 SaaS 应用程序的摘要并进入分配流程。

为 Office 365 应用程序配置置备适配器

通过调配可实现从一个位置自动进行应用程序用户管理。调配适配器允许 Web 应用程序根据需要通过 Workspace ONE UEM 服务检索特定信息。如果为 Web 应用程序启用了置备,则在 Workspace ONE UEM 服务中为用户授予应用程序权限时,将在 Web 应用程序中置备该用户。Workspace ONE UEM 服务当前包含适用于 Microsoft Office 365 的置备适配器。Workspace ONE UEM 服务当前包含适用于 Microsoft Office 365 的置备适配器。完成以下步骤以配置 Office 365 的调配适配器。

  1. 导航到资源 > 应用 > SaaS,然后选择新建

  2. 定义选项卡中浏览找到 Office 365。完成定义选项卡,然后选择下一步

  3. 完成配置选项卡中的文本框。

  4. 启用设置调配。默认情况下,调配设置处于禁用状态。选择设置置备后,置备用户置备组置备选项卡会添加到左侧的导航区域。

  5. 为 Office 365 客户端添加客户端访问策略

  6. 置备标签页中,选择启用预置,然后输入以下信息。

    设置 说明
    Office 365 域 输入 Office 365 域名。例如,example.com。在此域下调配用户。
    应用程序客户端 ID 输入创建服务主体用户时获得的 AppPrincipalId。
    应用程序客户端密码 输入为服务主体用户创建的密码。
  7. 默认情况下,具有许可证的调配处于禁用状态。在选择具有许可证的预置时,可以输入以下信息。

    设置 说明
    SKU ID 输入 SKU 信息。
    取消调配时移除许可证 如果要在取消调配 Office 365 应用程序时移除许可证,请选择该选项。
  8. 要确认可以访问 Office 365 租户,选择测试连接

  9. 选择下一步

  10. 用户置备标签页中,选择用来在 Office 365 中置备用户的属性。确保将以下所需的 Active Directory 属性配置为用户属性页面中所需的属性名称之一。

    • “邮件昵称”属性在目录中必须唯一,不能包含任何特殊字符。将“邮件昵称”属性映射到用户名称。映射后,请勿更改“邮件昵称”。
    • ObjectGUID 属性是必须首先添加到“用户属性”列表的自定义属性。ObjectGUID 已映射到 GUID 属性。
    • 如果要添加属性名称,请选择添加映射值注:

    系统会自动构造 UserPrincipalName (UPN)。您看不到映射的值。调配适配器将 Office 365 域附加到 mailNickname 属性值 (user.userName) 以创建 UPN。这将附加为:用户名 + @ + O365 域名。例如,jdow@office365example.com

  11. 选择下一步

  12. 组调配屏幕中,可以完成组调配任务。在 Office 365 中调配组后,组会调配为安全组。如果 Office 365 租户中不存在用户,则组的成员会调配为用户。在调配时,该组没有资源访问权限。如果您要为组授予访问资源,则创建组,然后向该组授予访问资源的权限。选择添加组并完成以下步骤。

    1. 选择组文本框中,搜索要在 Office 365 中调配的组。
    2. 邮件昵称文本框中,输入此组的名称。该昵称用作别名。昵称中不允许使用特殊字符。
    3. 选择保存。您可以在 Office 365 应用程序中取消调配组。安全组将从 Office 365 租户中移除。组中的用户不会被删除。要取消调配组,请选择用户组,然后选择取消调配
  13. 选择下一步以查看摘要标签页。

  14. 选择“保存”以保存配置,或选择保存并分配将 Office 365 部署给从 Active Directory 系统配置的用户和组。

check-circle-line exclamation-circle-line close-line
Scroll to top icon