Vous pouvez créer des règles de stratégie d'accès pour spécifier les critères que les utilisateurs doivent remplir pour accéder à l'espace de travail Workspace ONE et à leurs applications autorisées. Vous pouvez également créer des stratégies d'accès spécifiques à une application avec des règles pour gérer l'accès des utilisateurs à des applications Web et de bureau spécifiques.

Plage réseau

Des adresses réseau sont attribuées à la règle de stratégie d'accès pour gérer l'accès des utilisateurs en fonction de l'adresse IP utilisée pour se connecter et accéder aux applications. Lorsque le service Workspace ONE Access est configuré sur site, vous pouvez configurer des plages d'adresses IP réseau pour l'accès réseau interne et l'accès réseau externe. Vous pouvez ensuite créer des règles différentes en fonction de la plage réseau définie dans la règle.

Note : Lors de la configuration des adresses réseau pour le service Cloud Workspace ONE Access, spécifiez l'adresse publique du locataire de Workspace ONE Access utilisée pour accéder au réseau interne.

Les plages réseau sont configurées à partir de l'onglet Gestion des identités et des accès, page Gérer > Stratégies > Plages réseau avant de configurer des règles de stratégie d'accès.

Chaque instance de fournisseur d'identité dans votre déploiement est configurée pour lier des plages réseau aux méthodes d'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau que vous sélectionnez est couverte par une instance de fournisseur d'identité existante.

Type de terminal

Les règles de stratégie d'accès sont configurées pour gérer le type de terminal utilisé pour accéder au portail et aux ressources.

  • L'option Tous les types de terminaux est configurée dans une règle de stratégie utilisée dans tous les cas d'accès.
  • Le type de terminal Navigateur Web est configuré dans une règle de stratégie pour accéder au contenu à partir de n'importe quel navigateur Web, indépendamment du type de matériel du terminal ou du système d'exploitation.
  • Le type de terminal Application Workspace ONE ou Hub est configuré dans une règle de stratégie pour accéder au contenu à partir des applications Workspace ONE ou Workspace ONE Intelligent Hub après la connexion à partir d'un terminal.
  • Le type de terminal iOS est configuré dans une règle de stratégie pour accéder au contenu des terminaux iPhone et iPad.

    Dans les environnements de locataire de cloud Workspace ONE Access, le type de terminal iOS correspond aux iPhone et aux terminaux iPad, que l'option Demander des sites de bureau soit activée ou non dans les paramètres de Safari.

  • Le type de terminal macOS est configuré pour accéder au contenu des terminaux configurés avec macOS.

    Pour les environnements sur site, configurez également le type de terminal macOS pour qu'il corresponde aux terminaux iPad sur lesquels l'option Demander des sites de bureau est activée dans les paramètres de Safari.

  • (Cloud uniquement) Le type de terminal iPad est configuré dans une règle de stratégie pour accéder au contenu des terminaux iPad configurés avec iPadOS. Cette règle permet d'identifier un iPad, que l'option Demander des sites de bureau soit activée ou non dans les paramètres de Safari.
    Note : Lorsqu'une règle de stratégie d'accès est créée pour utiliser le type de terminal iPad, la règle des terminaux iPad doit être répertoriée avant celle qui utilise le type de terminal iOS. Sinon, la règle pour le type de terminal iOS est appliquée aux terminaux iPad demandant l'accès. Cela s'applique aux iPad disposant d'iPadOS ou d'une version antérieure d'iOS.
  • Le type de terminal Android est configuré pour accéder au contenu des terminaux Android.
  • Le type de terminal Windows 10 est configuré pour accéder au contenu des terminaux Windows 10.
  • Le type de terminal Inscription de Windows 10. est configuré pour accéder au contenu des terminaux Windows 10 gérés par le service Workspace ONE UEM pour accéder aux applications Web avec un accès restreint.
  • Le type de terminal Inscription du terminal est configuré afin d'exiger l'inscription du terminal. Cette règle exige l'authentification des utilisateurs dans le processus d'inscription Workspace ONE UEM facilité par l'application Workspace ONE Intelligent Hub sur un terminal iOS ou Android.

L'ordre dans lequel les règles sont répertoriées (page Gestion des identités et des accès > Stratégies) indique leur ordre d'application. Lorsqu'un type de périphérique correspond à la méthode d'authentification, les règles suivantes sont ignorées. Si la règle de type de terminal dans l'application Workspace ONE n'est pas la première règle de la liste de stratégies, les utilisateurs ne sont pas connectés à l'application Workspace ONE pendant la période supplémentaire.

Ajouter des groupes

Vous pouvez appliquer des règles d'authentification différentes selon l'appartenance au groupe de l'utilisateur. Les groupes peuvent être des groupes qui sont synchronisés depuis l'annuaire de votre entreprise et des groupes locaux que vous avez créés dans la console Workspace ONE Access.

Lorsque des groupes sont attribués à une règle de stratégie d'accès, les utilisateurs sont invités à entrer leur identifiant unique, puis à saisir l'authentification basée sur la règle de stratégie d'accès. Reportez-vous à la section Expérience de connexion à l'aide d'un identifiant unique dans le Guide d'administration de Workspace ONE Access. Par défaut, l'identifiant unique est userName. Accédez à la page Gestion des identités et des accès > Configuration > Préférences pour voir la valeur configurée de l'identifiant unique ou pour modifier l'identifiant.

Note : Lorsqu'un groupe n'est pas identifié dans une règle, celle-ci s'applique à tous les utilisateurs. Lorsque vous configurez une stratégie d'accès qui inclut une règle avec un groupe et une règle sans groupe, les règles configurées avec un groupe doivent être répertoriées avant les règles qui ne sont pas configurées avec des groupes.

Actions gérées par les règles

Une règle de stratégie d'accès peut être configurée pour autoriser ou refuser l'accès à l'espace de travail et aux ressources. Lorsqu'une stratégie est configurée pour fournir l'accès à des applications spécifiques, vous pouvez également spécifier l'action pour autoriser l'accès à l'application sans aucune autre authentification requise. Pour appliquer cette action, l'utilisateur est déjà authentifié par la stratégie d'accès par défaut.

Vous pouvez appliquer de manière sélective les conditions spécifiées dans la règle qui s'appliquent à l'action, telles que les réseaux, les types de périphériques et les groupes à inclure, ainsi que le statut d'inscription et de conformité du périphérique. Lorsque l'action consiste à refuser l'accès, les utilisateurs ne peuvent pas se connecter ou lancer des applications à partir de la plage réseau et du type de périphérique configurés dans la règle.

Méthodes d'authentification

Les méthodes d'authentification qui sont configurées dans le service Workspace ONE Access sont appliquées aux règles de stratégie d'accès. Pour chaque règle, vous sélectionnez le type de méthode d'authentification à utiliser pour vérifier l'identité des utilisateurs qui se connectent à Workspace ONE ou qui accèdent à une application. Vous pouvez sélectionner plusieurs méthodes d'authentification dans une règle.

Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées dans la règle. La première instance du fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau de la stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentification suivante dans la liste est sélectionnée.

Vous pouvez configurer le chaînage d'authentification dans des règles de stratégie d'accès pour exiger que les utilisateurs fournissent leurs informations d'identification via plusieurs méthodes d'authentification avant de pouvoir se connecter. Deux conditions d'authentification sont configurées dans une seule règle, et l'utilisateur doit répondre correctement aux deux requêtes d'authentification. Par exemple, si vous définissez l'authentification via le paramétrage sur Mot de passe et VMware Verify, les utilisateurs doivent entrer leur mot de passe et le code secret VMware Verify avant d'être authentifiés.

Une méthode d'authentification de secours peut être configurée pour permettre aux utilisateurs dont la demande d'authentification précédente a échoué de tenter de se connecter à nouveau. Si une méthode d'authentification échoue à authentifier l'utilisateur et que des méthodes de secours sont également configurées, les utilisateurs sont invités à entrer leurs informations d'identification pour les méthodes d'authentification supplémentaires configurées. Les deux scénarios suivants décrivent le fonctionnement de ces méthodes de secours.

  • Dans le premier scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et le code secret VMware Verify. L'authentification de secours est configurée pour exiger le mot de passe et les informations d'identification RADIUS pour l'authentification. Un utilisateur entre son mot de passe correctement, mais n'entre pas le bon code secret VMware Verify. Comme l'utilisateur a entré le mot de passe correct, la demande d'authentification de secours ne concerne que les informations d'identification RADIUS. L'utilisateur n'a pas besoin d'entrer de nouveau le mot de passe.
  • Dans le second scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et le code secret VMware Verify. L'authentification de secours est configurée pour exiger RSA SecurID et RADIUS pour l'authentification. Un utilisateur entre son mot de passe correctement, mais n'entre pas le bon code secret VMware Verify. La demande d'authentification de secours concerne les informations d'identification RSA SecurID et RADIUS pour l'authentification.

Pour configurer une règle de stratégie d'accès qui requiert l'authentification et la vérification de la conformité des périphériques pour les périphériques gérés par Workspace ONE UEM, l'option Conformité des périphériques avec AirWatch doit être activée sur la page du fournisseur d'identité intégré. Voir Activation de la vérification de la conformité pour les terminaux gérés par Workspace ONE UEM dans Workspace ONE Access. Les méthodes d'authentification du fournisseur d'identité intégré qui peuvent s'enchaîner avec l'option Conformité des périphériques avec AirWatch sont Mobile SSO (pour iOS), Mobile SSO (pour Android) ou par certificat (déploiement de Cloud).

Lorsque VMware Verify est utilisé pour l'authentification à deux facteurs, VMware Verify est la seconde méthode d'authentification dans la chaîne d'authentification. VMware Verify doit être activé dans la page du fournisseur d'identité intégré. Voir Configuration de VMware Verify pour l'authentification à deux facteurs dans Workspace ONE Access.

Durée de la session d'authentification

Pour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. La valeur Nouvelle authentification après détermine la durée maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à leur portail ou pour ouvrir une application spécifique. Par exemple, une valeur de 8 dans une règle d'application Web signifie qu'une fois authentifié, les utilisateurs n'ont pas à s'authentifier à nouveau pendant 8 heures.

Le paramètre de règle de stratégie Nouvelle authentification après ne contrôle pas les sessions d'application. Ce paramètre contrôle la durée après laquelle les utilisateurs doivent s'authentifier à nouveau.

Message d'erreur d'accès refusé personnalisé

Lorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification non valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Le message par défaut est Accès refusé, car aucune méthode d'authentification valide n'a été trouvée.

Vous pouvez créer un message d'erreur personnalisé qui remplace le message par défaut pour chaque règle de stratégie d'accès. Le message personnalisé peut comporter du texte et un lien pour un message d'appel à l'action. Par exemple, dans une règle de stratégie pour limiter l'accès aux périphériques qui sont enrôlés, si un utilisateur essaie de se connecter à partir d'un périphérique non enrôlé, vous pouvez créer le message d'erreur personnalisé suivant. Inscrivez votre périphérique pour accéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir de l'aide.