Einstellungen für die Zugriffsrichtlinie in Workspace ONE Access

Sie erstellen Zugriffsrichtlinienregeln, um die Kriterien festzulegen, die Benutzer erfüllen müssen, um auf den Workspace ONE Intelligent Hub-Arbeitsbereich und ihre berechtigten Anwendungen zuzugreifen. Sie können auch anwendungsspezifische Zugriffsrichtlinien mit Regeln zur Verwaltung des Benutzerzugriffs auf bestimmte Web- und Desktop-Anwendungen erstellen.

Netzwerkbereich

Sie weisen der Zugriffsrichtlinie Netzwerkadressen zu, um den Benutzerzugriff zu verwalten, basierend auf der IP-Adresse, die für die Anmeldung und den Zugriff auf Anwendungen verwendet wird. Wenn der Workspace ONE Access-Dienst lokal konfiguriert wird, können Sie Netzwerk-IP-Adressbereiche für den internen Netzwerkzugriff und den externen Netzwerkzugriff konfigurieren. Sie können dann basierend auf dem in der Regel konfigurierten Netzwerkbereich unterschiedliche Regeln erstellen.

Hinweis: Geben Sie bei der Konfiguration der Netzwerkadressen für den Workspace ONE Access-Cloud-Dienst die öffentliche Adresse des Workspace ONE Access-Mandanten an, über die auf das interne Netzwerk zugegriffen wird.

Sie konfigurieren die Netzwerkbereiche über die Konsole auf der Seite „Ressourcen“ > „Richtlinien“ > „Netzwerkbereiche“, bevor Sie Zugriffsrichtlinienregeln konfigurieren.

Jede Identitätsanbieter-Instanz in Ihrer Bereitstellung ist so konfiguriert, dass sie Netzwerkbereiche mit Authentifizierungsmethoden verknüpft. Beim Konfigurieren einer Richtlinienregel müssen Sie sicherstellen, dass für den ausgewählten Netzwerkbereich eine vorhandene Identitätsanbieter-Instanz gültig ist.

Gerätetyp, von dem aus auf Inhalte zugegriffen wird

Wenn Sie eine Zugriffsrichtlinienregel einrichten, wählen Sie den Gerätetyp aus, der für den Zugriff auf Inhalte in der Workspace ONE Intelligent Hub-App verwendet werden kann. Durch die Auswahl eines Gerätetyps in einer Regel können Sie das Gerät oder den Registrierungsstatus des Benutzers der Zugriffsrichtlinienregel zuordnen, die die beste Authentifizierungsleistung bietet.

Alle Gerätetypen wird in einer Richtlinienregel konfiguriert, die bei jedem Zugriff verwendet wird.
Der Gerätetyp Webbrowser wird in einer Richtlinienregel so konfiguriert, dass der Zugriff auf Inhalte von jedem Webbrowser aus möglich ist, unabhängig vom Hardwaretyp des Geräts oder vom Betriebssystem.
Der Gerätetyp Apps auf Workspace ONE Intelligent Hub wird in einer Richtlinienregel konfiguriert, um nach der Anmeldung von einem Gerät aus auf Inhalte der Workspace ONE Intelligent Hub-App zuzugreifen.
Der Gerätetyp iOS wird in einer Richtlinienregel konfiguriert, um auf Inhalte sowohl von iPhone- als auch von iPad-Geräten zuzugreifen.
In Cloud-Mandantenumgebungen von Workspace ONE Access stimmt der iOS-Gerätetyp sowohl mit iPhone- als auch mit iPad-Geräten überein, unabhängig davon, ob die Option Desktop-Sites anfordern in den Safari-Einstellungen aktiviert ist oder nicht.
Der Gerätetyp macOS ist für den Zugriff auf Inhalte von Geräten konfiguriert, die mit macOS konfiguriert sind.
Für lokale Umgebungen konfigurieren Sie außerdem den macOS-Gerätetyp so, dass er mit iPad-Geräten übereinstimmt, bei denen die Einstellung Desktop-Sites anfordern in Safari aktiviert ist.
(Nur Cloud) Der Gerätetyp iPad wird in einer Richtlinienregel konfiguriert, um auf Inhalte von iPad-Geräten zuzugreifen, die mit dem iPadOS konfiguriert sind. Mit dieser Regel können Sie ein iPad identifizieren, unabhängig davon, ob die Einstellung Desktop-Sites anfordern in Safari aktiviert ist oder nicht.
Hinweis: Wenn eine Zugriffsrichtlinienregel zur Verwendung des Gerätetyps iPad erstellt wird, muss die Regel für iPad-Geräte vor der Regel aufgeführt werden, die den Gerätetyp iOS verwendet. Andernfalls wird die Regel für den iOS-Gerätetyp auf iPad-Geräte angewendet, die Zugriff anfordern. Dies gilt für iPads mit iPadOS oder früheren iOS-Versionen.
Der Gerätetyp Android ist für den Zugriff auf Inhalte von Android-Geräten konfiguriert.
(Nur Cloud) Der Gerätetyp Chrome OS ist für den Zugriff auf Inhalte von Geräten konfiguriert, die das Chrome OS-Betriebssystem verwenden.
(Nur Cloud) Der Gerätetyp Linux ist für den Zugriff auf Inhalte von Geräten konfiguriert, die das Linux-Betriebssystem verwenden.
(Nur Cloud ) Der Gerätetyp Windows 10+ ist für den Zugriff auf Inhalte von Windows 10- und Windows 11-Geräten konfiguriert. Diese Funktionalität wird auf allen Windows 11-Geräten einschließlich Desktops und Mobilgeräten unterstützt.
Der Gerätetyp Windows 10-Registrierung ist so konfiguriert, dass die Authentifizierung aktiviert wird, wenn Benutzer ihr Gerät mit Azure AD verbinden, entweder über die Out-of-Box Experience oder über die Windows-Einstellungen.
Der Gerätetyp Geräteregistrierung ist so konfiguriert, dass eine Geräteregistrierung erforderlich ist. Diese Regel erfordert, dass Benutzer im Workspace ONE UEM-Registrierungsprozess authentifiziert werden, der durch die Workspace ONE Intelligent Hub-App auf einem iOS- oder Android-Gerät unterstützt wird.

Die Reihenfolge, in der die Regeln auf der Seite für die Richtlinienkonfiguration aufgeführt sind, gibt die Reihenfolge an, in der die Regeln angewendet werden. Wenn ein Gerätetyp der Authentifizierungsmethode entspricht, werden nachfolgende Regeln ignoriert. Wenn die Regel für den Gerätetyp Apps auf Workspace ONE Intelligent Hub nicht als erste Regel in der Richtlinienliste aufgeführt ist, werden Benutzer für längere Zeit nicht bei der Workspace ONE Intelligent Hub-App angemeldet.

Gruppen hinzufügen

Sie können verschiedene Authentifizierungsregeln basierend auf der Gruppenzugehörigkeit des Benutzers anwenden. Dies können Gruppen sein, die aus Ihrem Unternehmensverzeichnis synchronisiert werden, und lokale Gruppen, die Sie in der Workspace ONE Access-Konsole erstellt haben.

Wenn Gruppen einer Zugriffsrichtlinie zugewiesen werden, werden Benutzer aufgefordert, ihre eindeutige Kennung einzugeben und dann die Authentifizierung auf der Grundlage der Zugriffsrichtlinie einzugeben. Weitere Informationen finden Sie unter „Anmeldung mit eindeutiger ID“ im Administratorhandbuch für Workspace ONE Access. Standardmäßig ist userName der eindeutige Bezeichner. Navigieren Sie zur Seite „Einstellungen“ > „Anmeldeeinstellungen“, um den Wert des konfigurierten eindeutigen Bezeichners anzuzeigen oder den Bezeichner zu ändern.

Hinweis: Wenn eine Gruppe in einer Regel nicht identifiziert wird, gilt die Regel für alle Benutzer. Wenn Sie eine Zugriffsrichtlinie konfigurieren, die eine Regel mit einer Gruppe und eine Regel ohne Gruppe enthält, müssen Regeln, die mit einer Gruppe konfiguriert sind, vor Regeln aufgeführt werden, die nicht mit Gruppen konfiguriert sind.

Von Regeln verwaltete Aktionen

Eine Zugriffsregel kann so konfiguriert werden, dass sie den Zugriff auf den Arbeitsbereich und die Ressourcen erlaubt oder verweigert. Wenn eine Richtlinie für den Zugriff auf bestimmte Anwendungen konfiguriert ist, können Sie auch die Aktion angeben, die den Zugriff auf die Anwendung ohne weitere Authentifizierung erlaubt. Damit diese Aktion angewendet werden kann, ist der Benutzer bereits durch die Standardzugriffsrichtlinie authentifiziert.

Sie können selektiv Bedingungen in der Regel anwenden, die für die Aktion gelten, z. B. welche Netzwerke, Gerätetypen und Gruppen einbezogen werden sollen, sowie den Status der Geräteregistrierung und Konformitätsstatus. Wenn der Zugriff verweigert werden soll, können sich Benutzer nicht über den in der Regel konfigurierten Gerätetyp und Netzwerkbereich anmelden oder Anwendungen starten.

Authentifizierungsmethoden

Die im Workspace ONE Access-Dienst konfigurierten Authentifizierungsmethoden werden auf Zugriffsregeln angewendet. Für jede Regel wählen Sie die Art der Authentifizierungsmethoden aus, mit denen die Identität der Benutzer überprüft wird, die sich bei der Workspace ONE Intelligent Hub-App anmelden oder auf eine App zugreifen. Sie können mehr als eine Authentifizierungsmethode in einer Regel auswählen.

Die Authentifizierungsmethoden werden in der Reihenfolge angewendet, in der sie in der Regel aufgeführt sind. Die erste Identitätsanbieterinstanz, die die Authentifizierungsmethode und Netzwerkbereichskonfiguration in der Regel erfüllt, wird ausgewählt. Die Authentifizierungsanforderung des Benutzers wird zur Authentifizierung an den Identitätsanbieter weitergeleitet. Wenn die Authentifizierung scheitert, wird die nächste Authentifizierungsmethode in der Liste ausgewählt.

Sie können die Authentifizierungsverkettung in einer Zugriffsrichtlinie so konfigurieren, dass Benutzer Anmeldeinformationen über mehr als eine Authentifizierungsmethode übergeben müssen, bevor sie sich anmelden können. Es werden zwei Authentifizierungsbedingungen in einer Regel konfiguriert, und der Benutzer muss auf beide Authentifizierungsanforderungen korrekt reagieren. Wenn Sie zum Beispiel die Authentifizierung mit Kennwort und DUO-Sicherheit einstellen, müssen die Benutzer sowohl ihr Kennwort eingeben als auch auf die Anfrage von DUO-Sicherheit antworten, bevor sie authentifiziert werden.

Wenn Sie mehr als eine Authentifizierungsbedingung benötigen, können Sie die Regel so konfigurieren, dass alternative Authentifizierungsmethoden enthalten sind, aus denen Benutzer eine Auswahl treffen können. Wenn Sie z. B. „Kennwort“ als primäre Authentifizierungsmethode auswählen und „FIDO-Token“ oder „Verify (Intelligent Hub)“ als optionale Methode für die Zwei-Faktor-Authentifizierung angeben, müssen Benutzer ihr Kennwort eingeben und dann ihre bevorzugte Authentifizierungsmethode aus den Optionen der Anmeldeseite auswählen.

Die Fallback-Authentifizierung kann so eingerichtet werden, dass Benutzer, die die vorherige Authentifizierungsanforderung nicht bestehen, sich erneut anmelden können. Wenn eine Authentifizierungsmethode den Benutzer nicht authentifiziert und auch Fallback-Methoden konfiguriert sind, werden Benutzer aufgefordert, ihre Anmeldeinformationen für die zusätzlich konfigurierten Authentifizierungsmethoden einzugeben. Die folgenden zwei Szenarien beschreiben, wie dieser Fallback funktionieren kann.

Im ersten Szenario ist die Zugriffsregel so konfiguriert, dass die Benutzer sich mit ihrem Kennwort und mit der DUO-Sicherheit authentifizieren müssen. Für die Fallback-Authentifizierung sollen das Kennwort und die RADIUS-Anmeldedaten erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, gibt aber nicht die richtige DUO-Sicherheitsantwort ein. Da der Benutzer das korrekte Kennwort eingegeben hat, fordert die Fallback-Authentifizierung nur die RADIUS-Anmeldedaten an. Der Benutzer muss also das Kennwort nicht erneut eingeben.
Im zweiten Szenario ist die Zugriffsregel so konfiguriert, dass die Benutzer sich mit ihrem Kennwort und der DUO-Sicherheitsantwort authentifizieren müssen. Für die Fallback-Authentifizierung sollen allerdings die RSA SecurID und ein RADIUS erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, gibt aber nicht die richtige DUO-Sicherheitsantwort ein. Die Fallback-Authentifizierung fordert sowohl die Anmeldedaten für RSA SecurID als auch für RADIUS zur Authentifizierung an.

Zur Konfiguration einer Regel für eine Zugriffsrichtlinie, die eine Authentifizierung und eine Überprüfung der verwalteten Workspace ONE UEM-Geräte erfordert, muss „Geräteübereinstimmung (mit Workspace ONE UEM)“ auf der Seite des integrierten Identitätsanbieters aktiviert sein. Siehe Aktivieren der Compliance-Überprüfung für von Workspace ONE UEM verwaltete Geräte in Workspace ONE Access. Die integrierten Authentifizierungsmethoden für Identitätsanbieter, die mit der Geräteübereinstimmung mit Workspace ONE UEM verknüpft werden können, sind Mobile SSO (für iOS), Mobile SSO (für Android) oder Zertifikat (Cloud-Bereitstellung).

Dauer der Authentifizierungssitzung

Für jede Regel legen Sie die Anzahl der Stunden fest, in der diese Authentifizierung gültig sein soll. Der Wert für Erneute Authentifizierung nach bestimmt, wie viel Zeit den Benutzern seit ihrem letzten Authentifizierungsereignis maximal für den Zugriff auf ihr Portal oder zum Öffnen einer bestimmten Anwendung zur Verfügung steht. Beispielsweise bedeutet der Wert 8 in einer Webanwendungsregel, dass Benutzer sich nach der Authentifizierung 8 Stunden lang nicht erneut authentifizieren müssen.

Die Einstellung der Richtlinienregel Erneute Authentifizierung nach steuert die Anwendungssitzungen nicht. Die Einstellung steuert die Zeit, nach der Benutzer neu authentifiziert werden müssen.

Benutzerdefinierte Meldung zu einer Zugriffsverweigerung

Wenn Benutzer versuchen, sich anzumelden, und dies aufgrund ungültiger Anmeldedaten, fehlerhafter Konfiguration oder von Systemfehlern nicht möglich ist, wird eine Meldung über eine Zugriffsverweigerung angezeigt. Die Standardmeldung lautet Der Zugriff wurde verweigert, da keine gültigen Authentifizierungsmethoden gefunden wurden.

Sie können eine benutzerdefinierte Fehlermeldung erstellen, die die Standardmeldung für jede Zugriffsrichtlinie überschreibt. Die benutzerdefinierte Meldung kann einen Text und einen Link für den Aufruf einer Aktionsmeldung enthalten. In einer Richtlinienregel zur Beschränkung des Zugriffs auf Geräte, die angemeldet sind, können Sie beispielsweise die folgende benutzerdefinierte Fehlermeldung erstellen, wenn ein Benutzer versucht, sich von einem nicht angemeldeten Gerät aus anzumelden. Bitte melden Sie Ihr Gerät durch Anklicken des Links am Ende dieser Meldung für den Zugriff auf die Unternehmensressourcen an. Sollte Ihr Gerät bereits angemeldet sein, kontaktieren Sie den Support.