Creare regole dei criteri di accesso per specificare i criteri che gli utenti devono soddisfare per poter accedere all'area di lavoro di Workspace ONE e alle app autorizzate. È inoltre possibile creare criteri di accesso specifici delle applicazioni con regole per gestire l'accesso degli utenti a determinate applicazioni Web e desktop.

Intervallo di rete

Alla regola di un criterio di accesso vengono assegnati indirizzi di rete per gestire l'accesso degli utenti in base all'indirizzo IP utilizzato per accedere alle app. Quando il servizio Workspace ONE Access è configurato in locale, è possibile configurare intervalli di indirizzi IP di rete per l'accesso alla rete interna e alla rete esterna. È quindi possibile creare regole diverse in base all'intervallo di rete configurato nella regola.

Nota: Quando si configurano indirizzi di rete per il servizio Workspace ONE Access Cloud, specificare l'indirizzo pubblico del tenant di Workspace ONE Access utilizzato per accedere alla rete interna.

Gli intervalli di rete vengono configurati dalla pagina Gestione > Criteri > Intervalli di rete della scheda Gestione identità e accessi prima di configurare le regole dei criteri di accesso.

Ogni istanza del fornitore di identità nella distribuzione viene configurata per collegare gli intervalli di rete ai metodi di autenticazione. Quando si configura una regola dei criteri, verificare che l'intervallo di rete selezionato sia coperto da un'istanza del fornitore di identità esistente.

Tipo di dispositivo

Le regole dei criteri di accesso vengono configurate per gestire il tipo di dispositivo utilizzato per accedere al portale e alle risorse.

  • L'opzione Tutti i tipi di dispositivi viene configurata in una regola del criterio che viene utilizzata in tutti i casi di accesso.
  • Il tipo di dispositivo Browser Web viene configurato in una regola del criterio per accedere ai contenuti da qualsiasi browser Web, indipendentemente dal tipo di hardware o dal sistema operativo del dispositivo.
  • Il tipo di dispositivo App Workspace ONE o app Hub viene configurato in una regola del criterio per accedere ai contenuti dalle app Workspace ONE o Workspace ONE Intelligent Hub dopo aver eseguito l'accesso da un dispositivo.
  • Il tipo di dispositivo iOS viene configurato in una regola del criterio per accedere ai contenuti dai dispositivi iPhone e iPad.

    Negli ambienti tenant del cloud di Workspace ONE Access, il tipo di dispositivo iOS corrisponde ai dispositivi iPhone e iPad, indipendentemente dal fatto che nelle impostazioni di Safari sia abilitata o meno l'opzione Richiedi sito desktop.

  • Il tipo di dispositivo macOS viene configurato per accedere ai contenuti dai dispositivi configurati con macOS.

    Per gli ambienti locali, configurare anche il tipo di dispositivo macOS in modo che corrisponda ai dispositivi iPad in cui è abilitata l'opzione Richiedi sito desktop nelle impostazioni di Safari.

  • (Solo cloud) Il tipo di dispositivo iPad viene configurato in una regola del criterio per accedere ai contenuti dai dispositivi iPad configurati con iPadOS. Questa regola consente di identificare un iPad indipendentemente dal fatto che nelle impostazioni di Safari sia abilitata o meno l'opzione Richiedi sito desktop.
    Nota: Quando viene creata una regola del criterio di accesso per utilizzare il tipo di dispositivo iPad, la regola per i dispositivi iPad deve precedere la regola che utilizza il tipo di dispositivo iOS. In caso contrario, la regola per il tipo di dispositivo iOS verrà applicata ai dispositivi iPad che richiedono l'accesso. Ciò si verifica negli iPad con iPadOS o una versione precedente di iOS.
  • Il tipo di dispositivo Android viene configurato per accedere ai contenuti dai dispositivi Android.
  • Il tipo di dispositivo Windows 10 viene configurato per accedere ai contenuti dai dispositivi Windows 10.
  • Il tipo di dispositivo Registrazione di Windows 10. viene configurato per accedere ai contenuti dai dispositivi Windows 10 gestiti dal servizio Workspace ONE UEM per accedere alle app Web il cui accesso è limitato.
  • Il tipo di dispositivo Registrazione dispositivo viene configurato per richiedere la registrazione del dispositivo. Questa regola richiede che gli utenti vengano autenticati nel processo di registrazione di Workspace ONE UEM semplificato dall'app Workspace ONE Intelligent Hub su un dispositivo iOS o Android.

L'ordine in cui le regole sono elencate nella pagina Gestione identità e accessi > Criteri indica l'ordine in cui vengono applicate. Quando un tipo di dispositivo soddisfa il metodo di autenticazione, le regole successive vengono ignorate. Se la regola con tipo di dispositivo App Workspace ONE non è la prima nell'elenco dei criteri, gli utenti non vengono connessi all'app Workspace ONE per il periodo di tempo esteso.

Aggiungere gruppi

È possibile applicare regole di autenticazione diverse in base all'appartenenza degli utenti ai gruppi. I gruppi possono essere gruppi sincronizzati dalla directory aziendale e gruppi locali creati nella console di Workspace ONE Access.

Quando si assegnano gruppi a una regola del criterio di accesso, agli utenti viene richiesto di immettere il proprio identificatore univoco e quindi di accedere alla procedura di autenticazione in base alla regola del criterio di accesso. Vedere l'argomento relativo all'esperienza di accesso mediante identificatore univoco nella guida all'amministrazione di Workspace ONE Access. Per impostazione predefinita, l'identificatore univoco è userName. Passare alla pagina Gestione identità e accessi > Configurazione > Preferenze per visualizzare il valore dell'identificatore univoco configurato o per modificare l'identificatore.

Nota: Quando un gruppo non viene identificato in una regola, la regola viene applicata a tutti gli utenti. Quando si configura un criterio di accesso che include una regola con un gruppo e una regola senza gruppo, le regole configurate con un gruppo devono essere elencate prima delle regole configurate senza gruppo.

Azioni gestite da regole

È possibile configurare una regola del criterio di accesso per consentire o negare l'accesso all'area di lavoro e alle risorse. Quando un criterio è configurato per fornire l'accesso a determinate applicazioni, è inoltre possibile specificare l'azione per consentire l'accesso all'app senza che venga richiesta alcuna ulteriore autenticazione. Affinché questa azione venga applicata, l'autenticazione dell'utente deve essere già stata eseguita dal criterio di accesso predefinito.

Nella regola è possibile applicare in modo selettivo condizioni che si applicano all'azione per definire ad esempio quali reti, tipi di dispositivi e gruppi includere, nonché lo stato di registrazione e conformità del dispositivo. Quando l'azione nega l'accesso, gli utenti non possono accedere o avviare app dal tipo di dispositivo e dall'intervallo di rete configurati nella regola.

Metodi di autenticazione

I metodi di autenticazione configurati nel servizio Workspace ONE Access vengono applicati alle regole dei criteri di accesso. Per ogni regola, selezionare il tipo di metodo di autenticazione da utilizzare per verificare l'identità degli utenti che accedono a Workspace ONE oppure a un'app. È possibile selezionare più metodi di autenticazione in una regola.

I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati nella regola. Viene selezionata la prima istanza del fornitore di identità che soddisfa il metodo di autenticazione e l'intervallo di rete configurati nella regola. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione non riesce, viene selezionato il metodo di autenticazione successivo nell'elenco.

Nelle regole dei criteri di accesso è possibile configurare il concatenamento dell'autenticazione per richiedere agli utenti di immettere le credenziali attraverso più metodi di autenticazione prima di poter accedere. Vengono configurate due condizioni di autenticazione in una regola e l'utente deve rispondere correttamente a entrambe le richieste di autenticazione. Ad esempio, se si imposta l'autenticazione mediante password e VMware Verify, gli utenti devono immettere la password e il passcode di VMware Verify per consentire l'autenticazione.

Per fornire un'altra possibilità di accedere agli utenti che non riescono ad eseguire l'autenticazione mediante un determinato metodo, è possibile configurare l'autenticazione di fallback. Se un metodo di autenticazione non consente di eseguire l'autenticazione dell'utente e sono configurati anche i metodi di fallback, all'utente viene richiesto di immettere le credenziali per i metodi di autenticazione aggiuntivi configurati. I due scenari seguenti descrivono come funziona il fallback.

  • Nel primo scenario, la regola del criterio di accesso viene configurata in modo da richiedere agli utenti di eseguire l'autenticazione con la password e il passcode di VMware Verify. L'autenticazione di fallback viene impostata per richiedere la password e le credenziali RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere il passcode di VMware Verify corretto. Poiché l'utente ha immesso la password corretta, la richiesta di autenticazione di fallback si riferisce solo alle credenziali RADIUS. L'utente non deve immettere di nuovo la password.
  • Nel secondo scenario, la regola del criterio di accesso viene configurata in modo da richiedere agli utenti di eseguire l'autenticazione con la password e il passcode di VMware Verify. L'autenticazione di fallback è configurata in modo da richiedere le credenziali RSA SecurID e RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere il passcode di VMware Verify corretto. La richiesta di autenticazione di fallback si riferisce sia alle credenziali RSA SecurID sia alle credenziali RADIUS per l'autenticazione.

Per configurare una regola dei criteri di accesso che richieda l'autenticazione e la verifica della conformità del dispositivo per i dispositivi gestiti da Workspace ONE UEM, è necessario abilitare l'opzione Conformità dispositivo (con AirWatch) nella pagina del fornitore di identità integrato. Vedere Abilitazione del controllo di conformità per i dispositivi gestiti di Workspace ONE UEM in Workspace ONE Access. I metodi di autenticazione del fornitore di identità integrato che possono essere concatenati con l'opzione Conformità dispositivo (con AirWatch) sono SSO mobile (per iOS), SSO mobile (per Android) e Certificato (distribuzione cloud).

Quando VMware Verify viene utilizzato per l'autenticazione a due fattori, VMware Verify è il secondo metodo di autenticazione nella catena di autenticazioni. VMware Verify deve essere abilitato nella pagina del provider di identità integrato. Vedere Configurazione di VMware Verify per l'autenticazione a due fattori in Workspace ONE Access.

Durata della sessione di autenticazione

Per ogni regola è possibile impostare periodo di validità dell'autenticazione espresso in numero di ore. Il valore di Nuova autenticazione dopo determina la quantità di tempo massima di cui gli utenti dispongono dopo l'ultimo evento di autenticazione per accedere al portale o aprire un'applicazione specifica. Ad esempio, il valore 8 nella regola di un'applicazione Web indica che dopo aver eseguito l'autenticazione, gli utenti non devono eseguirla nuovamente per 8 ore.

L'impostazione della regola del criterio Nuova autenticazione dopo non controlla le sessioni dell'applicazione. L'impostazione controlla il tempo trascorso il quale gli utenti devono eseguire nuovamente l'autenticazione.

Messaggio di errore di accesso negato personalizzato

Quando gli utenti tentano di accedere e non riescono a causa di credenziali non valide, configurazione non corretta o errore di sistema, viene visualizzato un messaggio di accesso negato. Il messaggio predefinito è Accesso negato in quanto non sono stati trovati metodi di autenticazione validi.

È possibile creare un messaggio di errore personalizzato che andrà a sostituire il messaggio predefinito per ogni regola dei criteri di accesso. Il messaggio personalizzato può includere testo e un collegamento per eseguire un'azione stabilita. Nella regola di un criterio per limitare l'accesso ai dispositivi registrati, è ad esempio possibile creare il seguente messaggio di errore personalizzato da visualizzare quando un utente tenta di accedere da un dispositivo non registrato. Registrare il dispositivo per accedere alle risorse dell'azienda facendo clic sul collegamento alla fine di questo messaggio. Se il dispositivo è già registrato, contattare il supporto tecnico per ricevere assistenza.