Eine Richtlinie enthält eine oder mehrere Zugriffsregeln. Jede Regel besteht aus Einstellungen, die Sie zur Verwaltung des Benutzerzugriffs auf deren Workspace ONE-Portal als Ganzes oder auf bestimmte Web- und Desktop-Anwendungen konfigurieren können.
Eine Richtlinienregel kann für die Durchführung von Aktionen konfiguriert werden, z. B. um das Blockieren, Zulassen oder erweiterte Authentifizieren von Benutzern an Bedingungen wie das verwendete Netzwerk, den Gerätetyp oder die AirWatch-Geräteregistrierung und den Compliance-Status oder den Zugriff auf Anwendungen zu knüpfen. Sie können einer Richtlinie Gruppen hinzufügen, um die Authentifizierung für bestimmte Gruppen zu verwalten.
Netzwerkbereich
Für jede Regel legen Sie die Benutzerbasis fest, indem Sie einen Netzwerkbereich angeben. Ein Netzwerkbereich besteht aus mindestens einem IP-Adressenbereich. Erstellen Sie vor der Konfiguration der Richtliniensätze für den Zugriff auf der Seite „Einrichten“ > „Netzwerkbereiche“ der Registerkarte „Identitäts- und Zugriffsmanagement“ die Netzwerkbereiche.
Jede Identitätsanbieter-Instanz in Ihrer Bereitstellung verknüpft Netzwerkbereiche mit Authentifizierungsmethoden. Beim Konfigurieren einer Richtlinienregel müssen Sie sicherstellen, dass für den Netzwerkbereich eine vorhandene Identitätsanbieter-Instanz gültig ist.
Sie können durch Konfiguration bestimmter Netzwerkbereiche die Bereiche beschränken, von denen aus sich Benutzer anmelden und auf ihre Anwendungen zugreifen können.
Gerätetyp
Wählen Sie den Gerätetyp aus, den die Regel verwalten soll. Zu den Clienttypen gehören Webbrowser, Workspace ONE-App, iOS, Android, Windows 10, Mac OS X und „Alle Gerätetypen“.
Durch Konfiguration von Regeln haben Sie die Möglichkeit, festzulegen, welcher Gerätetyp auf Inhalte zugreifen darf. Alle Authentifizierungsanforderungen von diesem Gerätetyp verwenden dann die entsprechende Richtlinienregel.
Gruppen hinzufügen
Sie können unterschiedliche Richtlinien für die Authentifizierung anhand der Gruppenmitgliedschaft des Benutzers anwenden. Für das Zuweisen von Benutzergruppen zur Anmeldung über einen bestimmten Authentifizierungsablauf haben Sie die Möglichkeit, der Regel der Zugriffsrichtlinie Gruppen hinzuzufügen. Dies können Gruppen sein, die aus Ihrem Unternehmensverzeichnis synchronisiert werden, und lokale Gruppen, die Sie in der Verwaltungskonsole erstellt haben. Gruppennamen müssen innerhalb einer Domäne einmalig sein.
Um Gruppen in Regeln der Zugriffsrichtlinie zu verwenden, wählen Sie einen eindeutigen Bezeichner auf der Seite „Identitäts- und Zugriffsmanagement“ > „Voreinstellungen“ aus. Das eindeutige Bezeichnerattribut muss auf der Seite „Benutzerattribute“ zugeordnet, und das ausgewählte Attribut muss mit dem Verzeichnis synchronisiert werden. Der eindeutige Bezeichner kann der Benutzername, die E-Mail-Adresse, der UPN oder die Mitarbeiter-ID sein. Siehe Anmelden mit eindeutigem Bezeichner.
Wenn in einer Regel der Zugriffsrichtlinie Gruppen verwendet werden, ändert sich für den Benutzer die Vorgehensweise bei der Anmeldung. Benutzer werden dann nicht mehr zur Auswahl ihrer Domäne und zur Eingabe ihrer Anmeldedaten aufgefordert. Es wird stattdessen eine Seite eingeblendet, die von den Benutzern die Eingabe ihres eindeutigen Bezeichners verlangt. VMware Identity Manager sucht den Benutzer basierend auf diesem eindeutigen Bezeichner in der internen Datenbank und zeigt die in dieser Regel konfigurierte Seite „Authentifizierung“ an.
Wenn keine Gruppe ausgewählt wurde, gilt die Regel der Zugriffsrichtlinie für alle Benutzer. Wenn Ihre Regeln der Zugriffsrichtlinie auf Gruppen basierende Regeln und eine Regel für alle Benutzer enthalten, müssen Sie sicherstellen, dass die für alle Benutzer vorgesehene Regel als letzte Regel im Abschnitt „Richtlinienregeln“ der Richtlinie aufgeführt ist.
Authentifizierungsmethoden
In der Richtlinienregel legen Sie die Reihenfolge fest, in der die Authentifizierungsmethoden angewendet werden sollen. Die Authentifizierungsmethoden werden in der Reihenfolge angewendet, in der sie aufgeführt sind. Es wird die erste Identitätsanbieterinstanz ausgewählt, die der Richtlinienkonfiguration für die Authentifizierungsmethode und dem Netzwerkbereich entspricht. Die Authentifizierungsanforderung des Benutzers wird zur Authentifizierung an den Identitätsanbieter weitergeleitet. Wenn die Authentifizierung scheitert, wird die nächste Authentifizierungsmethode in der Liste ausgewählt.
Dauer der Authentifizierungssitzung
Für jede Regel legen Sie die Anzahl der Stunden fest, in der diese Authentifizierung gültig sein soll. Der Wert für Erneute Authentifizierung nach bestimmt, wie viel Zeit den Benutzern seit ihrem letzten Authentifizierungsereignis maximal für den Zugriff auf ihr Portal oder zum Starten einer bestimmten Anwendung zur Verfügung steht. Mit einem Wert von 4 in einer Web-Anwendungsregel werden beispielsweise für die Benutzer vier Stunden zum Starten der Web-Anwendung bereitgestellt, sofern sie kein weiteres Authentifizierungsereignis initiieren, das den Zeitwert erhöht.
Benutzerdefinierte Meldung zu einer Zugriffsverweigerung
Wenn Benutzer versuchen, sich anzumelden, und dies aufgrund ungültiger Anmeldedaten, fehlerhafter Konfiguration oder von Systemfehlern nicht möglich ist, wird eine Meldung über eine Zugriffsverweigerung angezeigt. Die Standardmeldung lautet Der Zugriff wurde verweigert, da keine gültigen Authentifizierungsmethoden gefunden wurden.
Sie haben die Möglichkeit, für jede Regel der Zugriffsrichtlinie eine benutzerdefinierte Meldung festzulegen, die Vorrang vor der Standardmeldung hat. Die benutzerdefinierte Meldung kann einen Text und einen Link für den Aufruf einer Aktionsmeldung enthalten. Beispielsweise können Sie in einer Richtlinienregel für von Ihnen verwaltete mobile Geräte im Falle der Anmeldung eines Benutzers von einem nicht angemeldeten Gerät die folgende benutzerdefinierte Fehlermeldung erstellen: Bitte melden Sie Ihr Gerät durch Anklicken des Links am Ende dieser Meldung für den Zugriff auf die Unternehmensressourcen an. Sollte Ihr Gerät bereits angemeldet sein, kontaktieren Sie den Support.