Verwalten von auf Benutzer anzuwendenden Zugriffsrichtlinien

Für den sicheren Zugriff auf das Workspace ONE-App-Portal von Benutzern und den Start von Web- und Desktop-Anwendungen können Sie Zugriffsrichtlinien konfigurieren. Zugriffsrichtlinien enthalten Regeln mit Kriterien, die für die Anmeldung beim App-Portal und die Verwendung von Ressourcen erfüllt sein müssen.

Zugriffsrichtlinien ermöglichen Administratoren die Konfiguration von Funktionen wie mobiles Single Sign-On, bedingter Zugriff auf Anwendungen auf Grundlage von Registrierung und Konformitätsstatus und erweiterte und Multi-Faktor-Authentifizierung.

Richtlinienregeln ordnen die anfordernde IP-Adresse den Netzwerkbereichen zu und weisen den Gerätetyp zu, mit dem sich die Benutzer anmelden können. Ferner definieren die Regeln die Authentifizierungsmethoden und die Anzahl der Stunden, in denen die Authentifizierung gültig ist. Sie können eine oder mehrere Gruppen für die Verknüpfung mit der Zugriffsregel auswählen.

Ein breites Spektrum von Konfigurationsoptionen ist verfügbar, dieses Schnellstarthandbuch beschreibt jedoch den Anwendungszugriff für verwaltete und nicht verwaltete Unternehmensmobilität.

Die standardmäßige Zugriffsrichtlinie wird konfiguriert, wenn Sie den Assistenten „Mobile Single Sign-On konfigurieren“ ausführen, um Zugriff auf alle Gerätetypen zu ermöglichen, die konfiguriert wurden. Diese Richtlinie gilt als Ebene 1-Zugriff für Anwendungen, auf die durch nicht verwaltete Geräte zugegriffen werden kann.

Sie können Richtlinien für Anwendungen erstellen, die eingeschränkten Zugriff von verwalteten konformen Geräten erfordern. VMware Identity Manager bietet verschiedene integrierte Authentifizierungsadapter, um dies zu erreichen. Wenn die mobile Single Sign-On-Anmeldung konfiguriert ist, sind diese Authentifizierungsmethoden aktiviert.

Mobile SSO-Anmeldung (für iOS). Kerberos-basierter Adapter für iOS-Geräte
Mobile SSO-Anmeldung (für Android). Speziell angepasste Implementierung der Zertifikatauthentifizierung für Android
Zertifikat (Cloud-Bereitstellung). Zertifikatauthentifizierungsdienst für Webbrowser und Desktop-Geräte
Kennwort. Erlaubt die Authentifizierung von Verzeichniskennwörtern mit einem einzigen Konnektor, wenn VMware Identity Manager und AirWatch zusammen mit beiden Komponenten von VMware Enterprise Systems Connector bereitgestellt werden.
Kennwort (AirWatch Connector). Erlaubt die Authentifizierung von Verzeichniskennwörtern mit einem einzigen Konnektor, wenn VMware Identity Manager und AirWatch zusammen nur mit ACC bereitgestellt werden.
Geräteübereinstimmung (mit AirWatch). Misst die Integrität der verwalteten Geräte basierend auf in AirWatch definierten Kriterien (Ergebnis entweder „erfolgreich“ oder „fehlgeschlagen“). Die Compliance kann bei jedem integrierten Adapter außer Kennwort verkettet werden.

Standardzugriffsrichtlinie auf Ebene 1 für nicht verwaltete Geräte

Verwenden Sie die standardmäßige Zugriffsrichtlinie als Baseline-Richtlinie L1, um auf alle Anwendungen zuzugreifen. Wenn die mobile SSO-Anmeldung konfiguriert ist, werden Zugriffsregeln für iOS-, Android- und Windows 10-Geräte erstellt. Jedes Gerät ist für Single Sign-On mithilfe der speziellen Authentifizierungsmethode für dieses Gerät aktiviert. Für jede Regel lautet die Fallback-Methode Kennwort. Diese Installationsart bietet die beste Erfahrung beim Verwalten von Geräten und bietet gleichzeitig eine manuelle Anmeldungsoption für nicht verwaltete Geräte.

Die Standardrichtlinie ist für den Zugriff auf alle Netzwerkbereiche konfiguriert. Die Zeitüberschreitung für eine Sitzung beträgt acht Stunden.

Sie können den Zugriff für nicht verwaltete Geräte mit VMware Verify oder einer anderen Multi-Faktor-Authentifizierung weiter sichern.

Abbildung 1. Beispiel für die Standardrichtlinie für nicht verwaltete Geräte

Wenn der Assistent für die mobile SSO-Anmeldung zum Konfigurieren der mobilen SSO-Anmeldung verwendet wird, spiegeln die Regeln der Standardzugriffsrichtlinie diesen Grad der Zugriffssteuerung wider.

Konfigurieren von Level-2-Richtlinien für verwaltete Geräte

Wenn Ihre Organisation Anwendungen bereitstellt, die vertrauliche Daten enthalten, können Sie den Zugriff auf diese Anwendungen auf mit MDM verwaltete Geräte beschränken. Verwaltete Geräte können nachverfolgt und falls erforderlich gelöscht werden, und Unternehmensdaten werden entfernt, wenn die Registrierung des Geräts aufgehoben wird.

Um diese Verwaltungsanforderung für eine Auswahl von Anwendungen zu erzwingen, erstellen Sie anwendungsspezifische Richtlinien für diese Anwendungen. Wenn Sie die Richtlinie erstellen, wählen Sie im Abschnitt Gültig für die Anwendungen aus, für die diese Richtlinie gelten soll.

Erstellen Sie eine Richtlinienregel für jede Geräteplattform in Ihrer Bereitstellung. Definieren Sie die richtige SSO-Authentifizierungsmethode. Da nicht verwaltete Geräte jedoch nicht auf diese Anwendungen zugreifen sollten, definieren Sie keine Fallback-Authentifizierungsmethode. Wenn zum Beispiel ein nicht verwaltetes iOS-Gerät versucht, eine Verbindung mit einer Anwendung herzustellen, die nur für verwaltete Geräte konfiguriert ist, reagiert das Gerät nicht mit dem entsprechenden Kerberos-Zertifikat. Der Authentifizierungsversuch schlägt fehl, und der Benutzer kann nicht auf den Inhalt zugreifen.

Abbildung 2. Beispiel für Level-2-Richtlinien für verwaltete Geräte