ポリシーには 1 つ以上のアクセス ルールが含まれます。各ルールには、Workspace ONE ポータル全体または指定された Web およびデスクトップ アプリケーションへのユーザー アクセスを管理するための設定値が含まれます。

ポリシー ルールを設定することで、ネットワーク、デバイス タイプ、AirWatch デバイスの登録およびコンプライアンス ステータス、またはアクセスされているアプリケーションなどの条件に基づきユーザーのブロック、許可、またはステップアップ認証などのアクションを実行することができます。ポリシーにグループを追加して、特定のグループの認証を管理できます。

ネットワーク範囲

各ルールにネットワーク範囲を指定して、ユーザー ベースを指定します。ネットワーク範囲は、1 つ以上の IP 範囲から構成されます。アクセス ポリシー セットを構成する前に、[セットアップ] > [ネットワーク範囲] ページの [ID とアクセス管理] タブでネットワーク範囲を作成します。

環境内の各 ID プロバイダ インスタンスは、ネットワーク範囲と認証方法を関連付けます。ポリシー ルールを構成するときには、既存の ID プロバイダ インスタンスによってネットワーク範囲が関連付けられていることを確認します。

特定のネットワーク範囲を構成して、ユーザーがアプリケーションにログインおよびアクセスできる場所を制限できます。

デバイス タイプ

このルールで管理するデバイス タイプを選択します。クライアント タイプには、[Web ブラウザ]、[Workspace ONE アプリ]、[iOS]、[Android]、[Windows 10]、[OS X] および [すべてのデバイス タイプ] があります。

ルールを構成して、コンテンツにアクセスできるデバイス タイプ、およびそのタイプのデバイスによるすべての認証要求でポリシー ルールを使用するように指定します。

グループを追加

ユーザーのグループ メンバーシップに基づいて認証に異なるポリシーを適用することができます。特定の認証フローを使用してログインするユーザーのグループを割り当てる場合、グループをアクセス ポリシー ルールに追加することができます。エンタープライズ ディレクトリから同期されるグループと管理コンソールで作成したローカル グループを使用できます。グループ名は、1 つのドメイン内で一意である必要があります。

アクセス ポリシー ルールでグループを使用するには、[ID とアクセス管理] > [設定] ページで一意の ID を選択します。一意の ID 属性を [ユーザー属性] ページでマッピングし、選択した属性をディレクトリに同期させる必要があります。一意の ID には、ユーザー名、メール アドレス、UPN、または従業員 ID を使用できます。一意の ID を使用する場合のログイン操作を参照してください。

アクセス ポリシー ルールでグループを使用する場合、ユーザーのログイン エクスペリエンスは通常と異なります。ドメインの選択と認証情報の入力が求められる代わりに、一意の ID の入力を求めるページが表示されます。VMware Identity Managerで一意の ID に基づいて内部データベースからユーザーが見つけられ、該当のルールで設定された認証ページが表示されます。

グループが選択されていない場合は、アクセス ポリシー ルールがすべてのユーザーに適用されます。グループに基づくルールとすべてのユーザーに対するルールが含まれるアクセス ポリシー ルールを設定する場合は、すべてのユーザーに対して指定されたルールがポリシーの [ポリシー ルール] セクションの最後にリストされるようにしてください。

認証方法

ポリシー ルールで、認証方法が適用される順序を設定します。認証方法は、リストの順序で上位から適用されます。ポリシー内の認証方法とネットワーク範囲構成に一致する最上位の ID プロバイダ インスタンスが選択されます。ユーザー認証要求がその ID プロバイダ インスタンスに転送され、認証が行われます。認証に失敗すると、リストの上位から二番目の認証方法が選択されます。

認証セッションの有効期間

各ルールで、認証の有効期間を設定します。再認証までの待機時間 値は、ユーザーがポータルにアクセスするか、または特定のアプリケーションを起動した前回の認証イベント以来の最長時間を決定します。たとえば、Web アプリケーション ルールに値 4 を指定すると、ユーザーが別の認証イベントを開始して時間が延長される場合を除いて、Web アプリケーションを 4 時間起動できます。

カスタムのアクセス拒否エラー メッセージ

無効な認証情報、不適切な構成、またはシステム エラーによってユーザーのログイン試行が失敗すると、アクセス拒否のメッセージが表示されます。デフォルトのメッセージは、次のとおりです。有効な認証方法が見つからなかったため、アクセスは拒否されました。

各アクセス ポリシー ルールに、デフォルトのメッセージをオーバーライドするカスタム エラー メッセージを作成できます。このカスタム メッセージには、アクション メッセージを呼び出すテキストおよびリンクを含めることができます。たとえば、管理するモバイル デバイス用のポリシー ルールで、ユーザーが未登録のデバイスからログインしようとした場合のために、次のようなカスタム エラー メッセージを作成できます。社内リソースにアクセスするには、このメッセージの最後にあるリンクをクリックしてデバイスを登録してください。デバイスが既に登録されている場合は、サポートにお問い合わせください。