Le service Workspace ONE Access inclut un ensemble de stratégies d'accès par défaut qui contrôle l'accès des utilisateurs à leurs portails Workspace ONE et leurs applications Web.

La stratégie d'accès par défaut est configurée pour autoriser l'accès à toutes les plages réseau à partir de tous les types de périphériques. Le délai d'expiration de session est de huit heures. Il est possible de modifier l'ensemble de stratégies pour changer leurs règles si nécessaire.

Lorsque vous activez les méthodes d'authentification autre que l'authentification par mot de passe dans le service Workspace ONE Access, vous devez modifier la stratégie par défaut pour ajouter ces méthodes d'authentification aux règles de stratégie.

Les règles d'accès peuvent être créées dans la stratégie d'accès par défaut pour gérer Mobile Single Sign-On depuis les périphériques iOS, Android, macOS et Windows 10.

Lorsque des utilisateurs tentent de se connecter, le service Workspace ONE Access évalue les règles de stratégie par défaut pour déterminer la règle de la stratégie à appliquer. Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées dans la règle. La première instance de fournisseur d'identité qui répond aux exigences relatives à la méthode d'authentification et à la plage réseau de la règle est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance de fournisseur d'identité à des fins d'authentification. Si l'authentification échoue, la méthode d'authentification suivante configurée dans la règle est appliquée.

Le nombre de tentatives effectuées par le service pour connecter un utilisateur à l'aide d'une méthode d'authentification donnée varie. Le service n'effectue qu'une seule tentative d'authentification pour Kerberos ou l'authentification par certificat. Si la tentative de connexion d'un utilisateur échoue, une tentative est effectuée sur la méthode d'authentification suivante de la règle. Le nombre maximal d'échecs de la tentative de connexion pour l'authentification par mot de passe Active Directory et RSA SecurID est de cinq par défaut. Lorsqu'un utilisateur enregistre cinq tentatives de connexion infructueuses, le service tente de connecter l'utilisateur en utilisant la méthode d'authentification suivante dans la liste. Lorsque toutes les méthodes d'authentification ont été utilisées sans succès, le service affiche un message d'erreur.