Vous pouvez créer des règles de stratégie d'accès pour spécifier les critères que les utilisateurs doivent remplir pour accéder à l'espace de travail Workspace ONE Intelligent Hub et à leurs applications autorisées. Vous pouvez également créer des stratégies d'accès spécifiques à une application avec des règles pour gérer l'accès des utilisateurs à des applications Web et de bureau spécifiques.
Plage réseau
Attribuez des adresses réseau à la règle de stratégie d'accès pour gérer l'accès des utilisateurs en fonction de l'adresse IP utilisée pour se connecter aux applications et y accéder. Lorsque le service Workspace ONE Access est configuré sur site, vous pouvez configurer des plages d'adresses IP réseau pour l'accès réseau interne et l'accès réseau externe. Vous pouvez ensuite créer des règles différentes en fonction de la plage réseau définie dans la règle.
Configurez les plages réseau sur la page Ressources > Stratégies > Plages réseau de la console avant de configurer les règles de stratégie d'accès.
Chaque instance de fournisseur d'identité dans votre déploiement est configurée pour lier des plages réseau aux méthodes d'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau que vous sélectionnez est couverte par une instance de fournisseur d'identité existante.
Type de terminal utilisé pour accéder au contenu depuis
Lorsque vous configurez une règle de stratégie d'accès, sélectionnez le type de terminal qui peut être utilisé pour accéder au contenu dans l'application Workspace ONE Intelligent Hub. La sélection d'un type de terminal dans une règle permet de faire correspondre l'état du terminal de l'utilisateur ou de l'inscription du terminal à la règle de stratégie d'accès qui propose la meilleure expérience d'authentification.
- L'option Tous les types de terminaux est configurée dans une règle de stratégie utilisée dans tous les cas d'accès.
- Le type de terminal Navigateur Web est configuré dans une règle de stratégie pour accéder au contenu à partir de n'importe quel navigateur Web, indépendamment du type de matériel du terminal ou du système d'exploitation.
- Le type de terminal Applications sur Workspace ONE Intelligent Hub est configuré dans une règle de stratégie pour accéder au contenu à partir de l'application Workspace ONE Intelligent Hub après la connexion à partir d'un terminal.
- Le type de terminal iOS est configuré dans une règle de stratégie pour accéder au contenu des terminaux iPhone et iPad.
Dans les environnements de locataire de cloud Workspace ONE Access, le type de terminal iOS correspond aux terminaux iPhone et iPad, que l'option Demander des sites de bureau soit activée ou non dans les paramètres de Safari.
- Le type de terminal macOS est configuré pour accéder au contenu des terminaux configurés avec macOS.
Pour les environnements sur site, configurez également le type de terminal macOS pour qu'il corresponde aux terminaux iPad sur lesquels l'option Demander des sites de bureau est activée dans les paramètres de Safari.
- (Cloud uniquement) Le type de terminal iPad est configuré dans une règle de stratégie pour accéder au contenu des terminaux iPad configurés avec iPadOS. Cette règle permet d'identifier un iPad, que l'option Demander des sites de bureau soit activée ou non dans les paramètres de Safari.
Note : Lorsqu'une règle de stratégie d'accès est créée pour utiliser le type de terminal iPad, la règle des terminaux iPad doit être répertoriée avant celle qui utilise le type de terminal iOS. Sinon, la règle pour le type de terminal iOS est appliquée aux terminaux iPad demandant l'accès. Cela s'applique aux iPad disposant d'iPadOS ou d'une version antérieure d'iOS.
- Le type de terminal Android est configuré pour accéder au contenu des terminaux Android.
- (Cloud uniquement) Le type de terminal Chrome OS est configuré pour accéder au contenu à partir des terminaux qui utilisent le système d'exploitation Chrome OS.
- (Cloud uniquement) Le type de terminal Linux est configuré pour accéder au contenu à partir des terminaux qui utilisent le système d'exploitation Linux.
- Le type de terminal Windows 10 est configuré pour accéder au contenu des terminaux Windows 10.
- Le type de terminal Inscription de Windows 10 est configuré pour activer l'authentification lorsque les utilisateurs joignent leur terminal à Azure AD à partir de l'OOBE (Out-of-Box Experience) ou à partir des paramètres de Windows.
- Le type de terminal Inscription du terminal est configuré afin d'exiger l'inscription du terminal. Cette règle exige l'authentification des utilisateurs dans le processus d'inscription Workspace ONE UEM facilité par l'application Workspace ONE Intelligent Hub sur un périphérique iOS ou Android.
L'ordre dans lequel les règles figurent dans la liste sur la page de configuration des stratégies indique l'ordre d'application des règles. Lorsqu'un type de périphérique correspond à la méthode d'authentification, les règles suivantes sont ignorées. Si la règle de type de terminal Applications sur Workspace ONE Intelligent Hub n'est pas la première règle de la liste de stratégies, les utilisateurs ne sont pas connectés à l'application Workspace ONE Intelligent Hub pendant la période supplémentaire.
Ajouter des groupes
Vous pouvez appliquer des règles d'authentification différentes selon l'appartenance au groupe de l'utilisateur. Les groupes peuvent être des groupes qui sont synchronisés depuis l'annuaire de votre entreprise et des groupes locaux que vous avez créés dans la console Workspace ONE Access.
Lorsque des groupes sont attribués à une règle de stratégie d'accès, les utilisateurs sont invités à entrer leur identifiant unique, puis à saisir l'authentification basée sur la règle de stratégie d'accès. Reportez-vous à la section Expérience de connexion à l'aide d'un identifiant unique dans le Guide d'administration de Workspace ONE Access. Par défaut, l'identifiant unique est userName. Accédez à la page Paramètres > Préférences de connexion pour voir la valeur configurée de l'identifiant unique ou pour modifier l'identifiant.
Actions gérées par les règles
Une règle de stratégie d'accès peut être configurée pour autoriser ou refuser l'accès à l'espace de travail et aux ressources. Lorsqu'une stratégie est configurée pour fournir l'accès à des applications spécifiques, vous pouvez également spécifier l'action pour autoriser l'accès à l'application sans aucune autre authentification requise. Pour appliquer cette action, l'utilisateur est déjà authentifié par la stratégie d'accès par défaut.
Vous pouvez appliquer de manière sélective les conditions spécifiées dans la règle qui s'appliquent à l'action, telles que les réseaux, les types de périphériques et les groupes à inclure, ainsi que le statut d'inscription et de conformité du périphérique. Lorsque l'action consiste à refuser l'accès, les utilisateurs ne peuvent pas se connecter ou lancer des applications à partir de la plage réseau et du type de périphérique configurés dans la règle.
Méthodes d'authentification
Les méthodes d'authentification qui sont configurées dans le service Workspace ONE Access sont appliquées aux règles de stratégie d'accès. Pour chaque règle, vous sélectionnez le type de méthode d'authentification à utiliser pour vérifier l'identité des utilisateurs qui se connectent à l'application Workspace ONE Intelligent Hub ou qui accèdent à une application. Vous pouvez sélectionner plusieurs méthodes d'authentification dans une règle.
Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées dans la règle. La première instance du fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau de la stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentification suivante dans la liste est sélectionnée.
Vous pouvez configurer le chaînage d'authentification dans des règles de stratégie d'accès pour exiger que les utilisateurs fournissent leurs informations d'identification via plusieurs méthodes d'authentification avant de pouvoir se connecter. Deux conditions d'authentification sont configurées dans une seule règle, et l'utilisateur doit répondre correctement aux deux requêtes d'authentification. Par exemple, si vous définissez l'authentification à l'aide du paramétrage sur Mot de passe et Duo Security, les utilisateurs doivent entrer leur mot de passe et répondre à la demande de Duo Security avant d'être authentifiés.
Une méthode d'authentification de secours peut être configurée pour permettre aux utilisateurs dont la demande d'authentification précédente a échoué de tenter de se connecter à nouveau. Si une méthode d'authentification échoue à authentifier l'utilisateur et que des méthodes de secours sont également configurées, les utilisateurs sont invités à entrer leurs informations d'identification pour les méthodes d'authentification supplémentaires configurées. Les deux scénarios suivants décrivent le fonctionnement de ces méthodes de secours.
- Dans le premier scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et Duo Security. L'authentification de secours est configurée pour exiger le mot de passe et les informations d'identification RADIUS pour l'authentification. Un utilisateur entre son mot de passe correctement, mais n'entre pas la réponse à Duo Security correctement. Comme l'utilisateur a entré le mot de passe correct, la demande d'authentification de secours ne concerne que les informations d'identification RADIUS. L'utilisateur n'a pas besoin d'entrer de nouveau le mot de passe.
- Dans le deuxième scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et la réponse à Duo Security. L'authentification de secours est configurée pour exiger RSA SecurID et RADIUS pour l'authentification. Un utilisateur entre son mot de passe correctement, mais n'entre pas la réponse à Duo Security correctement. La demande d'authentification de secours concerne les informations d'identification RSA SecurID et RADIUS pour l'authentification.
Pour configurer une règle de stratégie d'accès qui requiert l'authentification et la vérification de la conformité des périphériques pour les périphériques gérés par Workspace ONE UEM, l'option Conformité des périphériques avec Workspace ONE UEM doit être activée sur la page du fournisseur d'identité intégré. Voir Activation de la vérification de la conformité pour les terminaux gérés par Workspace ONE UEM dans Workspace ONE Access. Les méthodes d'authentification du fournisseur d'identité intégré qui peuvent s'enchaîner avec l'option Conformité des périphériques avec Workspace ONE UEM sont Mobile SSO (pour iOS), Mobile SSO (pour Android) ou par certificat (déploiement de Cloud).
Durée de la session d'authentification
Pour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. La valeur Nouvelle authentification après détermine la durée maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à leur portail ou pour ouvrir une application spécifique. Par exemple, une valeur de 8 dans une règle d'application Web signifie qu'une fois authentifié, les utilisateurs n'ont pas à s'authentifier à nouveau pendant 8 heures.
Le paramètre de règle de stratégie Nouvelle authentification après ne contrôle pas les sessions de l'application. Ce paramètre contrôle la durée après laquelle les utilisateurs doivent s'authentifier à nouveau.
Message d'erreur d'accès refusé personnalisé
Lorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification non valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Le message par défaut est Accès refusé, car aucune méthode d'authentification valide n'a été trouvée.
Vous pouvez créer un message d'erreur personnalisé qui remplace le message par défaut pour chaque règle de stratégie d'accès. Le message personnalisé peut comporter du texte et un lien pour un message d'appel à l'action. Par exemple, dans une règle de stratégie pour limiter l'accès aux périphériques qui sont enrôlés, si un utilisateur essaie de se connecter à partir d'un périphérique non enrôlé, vous pouvez créer le message d'erreur personnalisé suivant. Inscrivez votre périphérique pour accéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir de l'aide.