Pour fournir un accès sécurisé au portail d'applications Workspace ONE des utilisateurs et lancer des applications Web et de poste de travail, vous configurez des stratégies d'accès. Les stratégies d'accès incluent des règles qui spécifient les critères devant être satisfaits afin de pouvoir vous connecter au portail d’applications et utiliser des ressources.

Les stratégies d'accès permettent aux administrateurs de configurer des fonctionnalités telles que l'authentification unique mobile, l'accès conditionnel à des applications basées sur l'inscription, le statut de conformité, le passage à une édition supérieure et l'authentification multi-facteur.

Les règles de stratégie mappent l'adresse IP demandeuse à des plages réseau et désignent le type de périphériques que les utilisateurs peuvent utiliser pour se connecter. La règle définit les méthodes d'authentification et le nombre d'heures pendant lesquelles l'authentification est valide. Vous pouvez sélectionner un ou plusieurs groupes à associer à la règle d’accès.

Une large variété d'options de configuration sont disponibles, mais ce guide de démarrage rapide décrit les couches gérées et non gérées d'accès aux applications pour la mobilité d'entreprise.

La stratégie d'accès par défaut est configurée lorsque vous exécutez l'assistant Configurer l'authentification unique mobile pour autoriser l'accès à tous les types de périphériques qui ont été configurés. Cette stratégie est considérée comme un accès de niveau 1 pour les applications auxquelles peuvent accéder des périphériques non gérés.

Vous pouvez créer des stratégies pour les applications qui exigent un accès restreint à partir de périphériques conformes gérés. VMware Identity Manager fournit plusieurs adaptateurs d'authentification intégrés pour cela. Lorsque l'authentification unique mobile est configurée, ces méthodes d'authentification sont activées.

  • Mobile SSO (pour iOS). Adaptateur basé sur Kerberos pour périphériques iOS

  • Mobile SSO (pour Android). Mise en œuvre spécialement adaptée de l'authentification par certificat pour Android

  • Certificat (déploiement de Cloud). Service d'authentification par certificat destiné aux navigateurs Web et aux périphériques de poste de travail

  • Mot de passe. Permet l'authentification des mots de passe d'annuaire avec un connecteur unique lorsque VMware Identity Manager et AirWatch sont déployés en même temps avec les deux composants de VMware Enterprise Systems Connector

  • Mot de passe (AirWatch Connector). Permet l'authentification des mots de passe d'annuaire avec un connecteur unique lorsque VMware Identity Manager et AirWatch sont déployés en même temps uniquement à l'aide d'ACC

  • Conformité des périphériques (avec AirWatch). Mesure la santé des périphériques gérés, ce qui entraîne une réussite ou un échec en fonction de critères définis par AirWatch. La conformité peut être enchaînée avec n'importe quel autre adaptateur intégré, à l'exception de mot de passe

Stratégie d'accès par défaut de niveau 1 pour périphériques non gérés

Utilisez la stratégie d'accès par défaut comme stratégie L1 de ligne de base pour accéder à toutes les applications. Lorsque l'authentification unique mobile est configurée, des règles d'accès sont créées pour les périphériques iOS, Android et Windows 10. Chaque périphérique est activé pour l'authentification unique à l'aide de la méthode d'authentification spécifique à ce périphérique. Dans chaque règle, la méthode de recours est mot de passe. Cette configuration offre la meilleure expérience pour gérer les périphériques, tout en offrant une option de connexion manuelle pour les périphériques non gérés.

La stratégie par défaut est configurée pour autoriser l'accès à toutes les plages réseau. Le délai d'expiration de session est de huit heures.

Vous voulez peut-être un accès plus sécurisé à des périphériques non gérés avec VMware Verify ou autre authentification multifacteur.

Figure 1. Exemple de stratégie par défaut pour périphériques non gérés

Lorsque l'assistant d'authentification unique mobile est utilisé pour configurer l'authentification unique mobile, les règles de stratégie d'accès par défaut reflètent ce niveau de contrôle d'accès.

Configuration de stratégies de niveau 2 pour périphériques gérés

Si votre organisation déploie des applications qui contiennent des données sensibles, vous pouvez limiter l'accès à ces applications aux périphériques gérés par MDM. Les périphériques gérés peuvent être suivis et effacés, si nécessaire, et les données d'entreprise sont supprimées lorsque l'inscription du périphérique est annulée.

Pour appliquer cette exigence gérée sur une sélection d'applications, vous créez des stratégies spécifiques à une application pour ces applications. Lorsque vous créez la stratégie, dans la section Appliquer à, vous sélectionnez les applications qui s'appliquent à cette stratégie.

Créez une règle de stratégie pour chaque plate-forme de périphérique dans votre déploiement. Définissez la méthode d'authentification SSO correcte. Toutefois, comme les périphériques non gérés ne doivent pas accéder à ces applications, ne définissez pas une méthode d'authentification de secours. Par exemple, si un périphérique iOS non géré tente de se connecter à une application configurée uniquement pour l'accès des périphériques gérés, le périphérique ne répond pas avec le certificat encapsulé Kerberos approprié. La tentative d'authentification échoue et l'utilisateur n'est pas en mesure d'accéder au contenu.

Figure 2. Exemple de stratégie d'accès de niveau 2 pour périphériques gérés