Sie erstellen Zugriffsrichtlinienregeln, um die Kriterien festzulegen, die Benutzer erfüllen müssen, um auf den Workspace ONE-Arbeitsbereich und ihre berechtigten Apps zuzugreifen. Sie können auch anwendungsspezifische Zugriffsrichtlinien mit Regeln zur Verwaltung des Benutzerzugriffs auf bestimmte Web- und Desktop-Anwendungen erstellen.

Netzwerkbereich

Netzwerkadressen werden der Zugriffsrichtlinie zugewiesen, um den Benutzerzugriff zu verwalten, basierend auf der IP-Adresse, die für die Anmeldung und den Zugriff auf Anwendungen verwendet wird. Wenn der Workspace ONE Access-Dienst lokal konfiguriert wird, können Sie Netzwerk-IP-Adressbereiche für den internen Netzwerkzugriff und den externen Netzwerkzugriff konfigurieren. Sie können dann basierend auf dem in der Regel konfigurierten Netzwerkbereich unterschiedliche Regeln erstellen.

Hinweis: Geben Sie bei der Konfiguration der Netzwerkadressen für den Workspace ONE Access-Cloud-Dienst die öffentliche Adresse des Workspace ONE Access-Mandanten an, über die auf das interne Netzwerk zugegriffen wird.

Die Netzwerkbereiche werden auf der Registerkarte „Identitäts- und Zugriffsmanagement“ der Seite „Verwalten“ > „Richtlinien“ > „Netzwerkbereiche“ konfiguriert, bevor Zugriffsregeln konfiguriert werden.

Jede Identitätsanbieter-Instanz in Ihrer Bereitstellung ist so konfiguriert, dass sie Netzwerkbereiche mit Authentifizierungsmethoden verknüpft. Beim Konfigurieren einer Richtlinienregel müssen Sie sicherstellen, dass für den ausgewählten Netzwerkbereich eine vorhandene Identitätsanbieter-Instanz gültig ist.

Gerätetyp

Zugriffsrichtlinienregeln sind so konfiguriert, dass sie den Typ des Geräts verwalten, das für den Zugriff auf das Portal und die Ressourcen verwendet wird.

  • Alle Gerätetypen wird in einer Richtlinienregel konfiguriert, die bei jedem Zugriff verwendet wird.
  • Der Gerätetyp Webbrowser wird in einer Richtlinienregel so konfiguriert, dass der Zugriff auf Inhalte von jedem Webbrowser aus möglich ist, unabhängig vom Hardwaretyp des Geräts oder vom Betriebssystem.
  • Der Gerätetyp Workspace ONE-App oder Hub-App wird in einer Richtlinienregel konfiguriert, um nach der Anmeldung von einem Gerät aus auf Inhalte der Workspace ONE-App oder Workspace ONE Intelligent Hub-App zuzugreifen.
  • Der Gerätetyp iOS wird in einer Richtlinienregel konfiguriert, um auf Inhalte sowohl von iPhone- als auch von iPad-Geräten zuzugreifen.

    In Cloud-Mandantenumgebungen von Workspace ONE Access stimmt der iOS-Gerätetyp sowohl mit iPhones als auch mit iPad-Geräten überein, unabhängig davon, ob die Option Desktop-Sites anfordern in den Safari-Einstellungen aktiviert ist oder nicht.

  • Der Gerätetyp macOS ist für den Zugriff auf Inhalte von Geräten konfiguriert, die mit macOS konfiguriert sind.

    Für lokale Umgebungen konfigurieren Sie außerdem den macOS-Gerätetyp so, dass er mit iPad-Geräten übereinstimmt, bei denen die Einstellung Desktop-Sites anfordern in Safari aktiviert ist.

  • (Nur Cloud) Der Gerätetyp iPad wird in einer Richtlinienregel konfiguriert, um auf Inhalte von iPad-Geräten zuzugreifen, die mit dem iPadOS konfiguriert sind. Mit dieser Regel können Sie ein iPad identifizieren, unabhängig davon, ob die Einstellung Desktop-Sites anfordern in Safari aktiviert ist oder nicht.
    Hinweis: Wenn eine Zugriffsrichtlinienregel zur Verwendung des Gerätetyps iPad erstellt wird, muss die Regel für iPad-Geräte vor der Regel aufgeführt werden, die den Gerätetyp iOS verwendet. Andernfalls wird die Regel für den iOS-Gerätetyp auf iPad-Geräte angewendet, die Zugriff anfordern. Dies gilt für iPads mit iPadOS oder früheren iOS-Versionen.
  • Der Gerätetyp Android ist für den Zugriff auf Inhalte von Android-Geräten konfiguriert.
  • Der Gerätetyp Windows 10 ist für den Zugriff auf Inhalte von Windows 10-Geräten konfiguriert.
  • Gerätetyp Windows 10-Registrierung. ist für den Zugriff auf Inhalte von Windows 10-Geräten konfiguriert, die vom Workspace ONE UEM-Dienst verwaltet werden, um auf Webanwendungen mit eingeschränktem Zugriff zuzugreifen.
  • Der Gerätetyp Geräteregistrierung ist so konfiguriert, dass eine Geräteanmeldung erforderlich ist. Diese Regel erfordert, dass Benutzer im Workspace ONE UEM-Anmeldeprozess authentifiziert werden, der durch die Workspace ONE Intelligent Hub-App auf einem iOS- oder Android-Gerät erleichtert wird.

Die Reihenfolge, in der die Regeln auf der Seite „Identitäts- und Zugriffsmanagement“ > „Richtlinien“ aufgelistet werden, gibt die Reihenfolge an, in der die Regeln angewendet werden. Wenn ein Gerätetyp der Authentifizierungsmethode entspricht, werden nachfolgende Regeln ignoriert. Wenn die Workspace ONE-App-Regel des Gerätetyps nicht die erste Regel in der Richtlinienliste ist, werden Benutzer für längere Zeit nicht an der Workspace ONE-App angemeldet.

Gruppen hinzufügen

Sie können verschiedene Authentifizierungsregeln basierend auf der Gruppenzugehörigkeit des Benutzers anwenden. Dies können Gruppen sein, die aus Ihrem Unternehmensverzeichnis synchronisiert werden, und lokale Gruppen, die Sie in der Workspace ONE Access-Konsole erstellt haben.

Wenn Gruppen einer Zugriffsrichtlinie zugewiesen werden, werden Benutzer aufgefordert, ihre eindeutige Kennung einzugeben und dann die Authentifizierung auf der Grundlage der Zugriffsrichtlinie einzugeben. Weitere Informationen finden Sie unter „Anmeldung mit eindeutiger ID“ im Administratorhandbuch für Workspace ONE Access. Standardmäßig ist userName der eindeutige Bezeichner. Navigieren Sie zur Seite „Identitäts- und Zugriffsmanagement > Setup > Einstellungen“, um den konfigurierten eindeutigen Identifikatorwert zu sehen oder den Identifikator zu ändern.

Hinweis: Wenn eine Gruppe in einer Regel nicht identifiziert wird, gilt die Regel für alle Benutzer. Wenn Sie eine Zugriffsrichtlinie konfigurieren, die eine Regel mit einer Gruppe und eine Regel ohne Gruppe enthält, müssen Regeln, die mit einer Gruppe konfiguriert sind, vor Regeln aufgeführt werden, die nicht mit Gruppen konfiguriert sind.

Von Regeln verwaltete Aktionen

Eine Zugriffsregel kann so konfiguriert werden, dass sie den Zugriff auf den Arbeitsbereich und die Ressourcen erlaubt oder verweigert. Wenn eine Richtlinie für den Zugriff auf bestimmte Anwendungen konfiguriert ist, können Sie auch die Aktion angeben, die den Zugriff auf die Anwendung ohne weitere Authentifizierung erlaubt. Damit diese Aktion angewendet werden kann, ist der Benutzer bereits durch die Standardzugriffsrichtlinie authentifiziert.

Sie können selektiv Bedingungen in der Regel anwenden, die für die Aktion gelten, z. B. welche Netzwerke, Gerätetypen und Gruppen einbezogen werden sollen, sowie den Status der Geräteregistrierung und Konformitätsstatus. Wenn der Zugriff verweigert werden soll, können sich Benutzer nicht über den in der Regel konfigurierten Gerätetyp und Netzwerkbereich anmelden oder Anwendungen starten.

Authentifizierungsmethoden

Die im Workspace ONE Access-Dienst konfigurierten Authentifizierungsmethoden werden auf Zugriffsregeln angewendet. Für jede Regel wählen Sie die Art der Authentifizierungsmethoden aus, mit denen die Identität der Benutzer überprüft wird, die sich bei Workspace ONE anmelden oder auf eine App zugreifen. Sie können mehr als eine Authentifizierungsmethode in einer Regel auswählen.

Die Authentifizierungsmethoden werden in der Reihenfolge angewendet, in der sie in der Regel aufgeführt sind. Die erste Identitätsanbieterinstanz, die die Authentifizierungsmethode und Netzwerkbereichskonfiguration in der Regel erfüllt, wird ausgewählt. Die Authentifizierungsanforderung des Benutzers wird zur Authentifizierung an den Identitätsanbieter weitergeleitet. Wenn die Authentifizierung scheitert, wird die nächste Authentifizierungsmethode in der Liste ausgewählt.

Sie können die Authentifizierungsverkettung in einer Zugriffsrichtlinie so konfigurieren, dass Benutzer Anmeldeinformationen über mehr als eine Authentifizierungsmethode übergeben müssen, bevor sie sich anmelden können. Es werden zwei Authentifizierungsbedingungen in einer Regel konfiguriert, und der Benutzer muss auf beide Authentifizierungsanforderungen korrekt reagieren. Wenn Sie z. B. die Authentifizierung mit der Einstellung „Kennwort“ und VMware Verify festlegen, müssen Benutzer sowohl ihr Kennwort als auch die VMware Verify-Kennung eingeben, bevor sie authentifiziert werden.

Die Fallback-Authentifizierung kann so eingerichtet werden, dass Benutzer, die die vorherige Authentifizierungsanforderung nicht bestehen, sich erneut anmelden können. Wenn eine Authentifizierungsmethode den Benutzer nicht authentifiziert und auch Fallback-Methoden konfiguriert sind, werden Benutzer aufgefordert, ihre Anmeldeinformationen für die zusätzlich konfigurierten Authentifizierungsmethoden einzugeben. Die folgenden zwei Szenarien beschreiben, wie dieser Fallback funktionieren kann.

  • Im ersten Szenario ist die Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und der VMware Verify-Kennung authentifizieren müssen. Für die Fallback-Authentifizierung sollen das Kennwort und die RADIUS-Anmeldedaten erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, gibt aber nicht die richtige VMware Verify-Kennung ein. Da der Benutzer das korrekte Kennwort eingegeben hat, fordert die Fallback-Authentifizierung nur die RADIUS-Anmeldedaten an. Der Benutzer muss also das Kennwort nicht erneut eingeben.
  • Im zweiten Szenario ist die Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und der VMware Verify-Kennung authentifizieren müssen. Für die Fallback-Authentifizierung sollen allerdings die RSA SecurID und ein RADIUS erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, gibt aber nicht die richtige VMware Verify-Kennung ein. Die Fallback-Authentifizierung fordert sowohl die Anmeldedaten für RSA SecurID als auch für RADIUS zur Authentifizierung an.

Zur Konfiguration einer Regel für eine Zugriffsrichtlinie, die eine Authentifizierung und eine Überprüfung der verwalteten Workspace ONE UEM-Geräte erfordert, muss „Geräteübereinstimmung (mit AirWatch)“ auf der Seite des integrierten Identitätsanbieters aktiviert sein. Siehe Aktivieren der Compliance-Überprüfung für von Workspace ONE UEM verwaltete Geräte in Workspace ONE Access. Die integrierten Authentifizierungsmethoden für Identitätsanbieter, die mit der Geräteübereinstimmung mit AirWatch verknüpft werden können, sind Mobile SSO (für iOS), Mobile SSO (für Android) oder Zertifikat (Cloud-Bereitstellung).

Wenn VMware Verify für die Zwei-Faktor-Authentifizierung verwendet wird, ist VMware Verify die zweite Authentifizierungsmethode in der Authentifizierungskette. VMware Verify muss auf der Seite „Integrierter Identitätsanbieter“ aktiviert sein. Siehe Konfigurieren von VMware Verify für die Zwei-Faktor-Authentifizierung in Workspace ONE Access.

Dauer der Authentifizierungssitzung

Für jede Regel legen Sie die Anzahl der Stunden fest, in der diese Authentifizierung gültig sein soll. Der Wert für Erneute Authentifizierung nach bestimmt, wie viel Zeit den Benutzern seit ihrem letzten Authentifizierungsereignis maximal für den Zugriff auf ihr Portal oder zum Öffnen einer bestimmten Anwendung zur Verfügung steht. Beispielsweise bedeutet der Wert 8 in einer Webanwendungsregel, dass Benutzer sich nach der Authentifizierung 8 Stunden lang nicht erneut authentifizieren müssen.

Die Einstellung der Richtlinienregel Erneute Authentifizierung nach steuert die Anwendungssitzungen nicht. Die Einstellung steuert die Zeit, nach der Benutzer neu authentifiziert werden müssen.

Benutzerdefinierte Meldung zu einer Zugriffsverweigerung

Wenn Benutzer versuchen, sich anzumelden, und dies aufgrund ungültiger Anmeldedaten, fehlerhafter Konfiguration oder von Systemfehlern nicht möglich ist, wird eine Meldung über eine Zugriffsverweigerung angezeigt. Die Standardmeldung lautet Der Zugriff wurde verweigert, da keine gültigen Authentifizierungsmethoden gefunden wurden.

Sie können eine benutzerdefinierte Fehlermeldung erstellen, die die Standardmeldung für jede Zugriffsrichtlinie überschreibt. Die benutzerdefinierte Meldung kann einen Text und einen Link für den Aufruf einer Aktionsmeldung enthalten. In einer Richtlinienregel zur Beschränkung des Zugriffs auf Geräte, die angemeldet sind, können Sie beispielsweise die folgende benutzerdefinierte Fehlermeldung erstellen, wenn ein Benutzer versucht, sich von einem nicht angemeldeten Gerät aus anzumelden. Bitte melden Sie Ihr Gerät durch Anklicken des Links am Ende dieser Meldung für den Zugriff auf die Unternehmensressourcen an. Sollte Ihr Gerät bereits angemeldet sein, kontaktieren Sie den Support.