ユーザーが Workspace ONE Intelligent Hub アプリケーションからリソースにアクセスする際にシングル サインオンで行えるようにするため、デフォルトのアクセス ポリシーは、ご使用の環境で使用されている各タイプのデバイス(Android、iOS、MacOS、または Windows 10)のルールで Workspace ONE Access に構成されます。

この例にあるデフォルトのアクセス ポリシー構成では、すべてのネットワーク範囲からログインするユーザーをカバーするルールでデフォルトのアクセス ポリシーが作成されます。管理対象アクセスの場合、Workspace ONE UEM のデバイス コンプライアンスは、デバイスと Workspace ONE Intelligent Hub アプリケーション ルールに対して構成されます。次のルールが作成されます。

  • Workspace ONE Intelligent Hub アプリケーションにアクセスするために使用する各デバイス タイプのルール。
  • Workspace ONE Intelligent Hub アプリケーションの [VMware Workspace ONE Intelligent Hub 上のアプリケーション] デバイス タイプからのユーザー アクセスのルール。このルールでは、サポートされているすべてのデバイスのすべての認証方法が構成されます。デバイス コンプライアンス認証方法は、管理対象デバイスからのアクセスをサポートするために適用されます。
  • 任意の Web ブラウザから Hub ポータルにアクセスする Web ブラウザ デバイス タイプからのユーザー アクセスのルール。
  • 管理対象外デバイスのユーザーがリソースにアクセスするためのルール。

ユーザーが Workspace ONE Intelligent Hub アプリケーションにサインインするデバイスのいずれかを使用すると、そのデバイス タイプ用に構成されている認証方法に基づいて認証されます。ユーザーが正常に認証されたら、Workspace ONE Intelligent Hub アプリケーションから他のリソースを起動するときにもその認証方法を認識し、ユーザーに認証を求めるメッセージが再度表示されることはありません。

ユーザーが Workspace ONE Intelligent Hub アプリケーションからリソースを起動したときに認証に使用される認証方法が認識されない場合、ユーザーは [VMware Workspace ONE Intelligent Hub 上のアプリケーション] デバイス タイプからコンテンツにアクセスすることを許可するルールに従って認証を求められます。

Workspace ONE に使用するアクセス ポリシー ルールの条件の例

ユーザー エクスペリエンスを最適なものにするため、デフォルトのアクセス ポリシーの 1 番目のルールとして [VMware Workspace ONE Intelligent Hub 上のアプリケーション] デバイス タイプをリストします。ルールは、最初は、ユーザーはアプリケーションにログインしており、セッションの有効期限が切れるまでは再認証なしでリソースを起動できます。

1. Workspace ONE Intelligent Hub アプリケーションにアクセスするために使用する各デバイスのルールを作成します。この例は、デバイス タイプの iOS からのアクセスを許可するルールの場合です。

  • ネットワーク範囲は、[ALL RANGES] です。
  • ユーザーは [iOS] からコンテンツにアクセスできます。
  • ポリシー ルールには、グループは追加されません。[すべてのユーザー] がサポートされます。
  • サポートされているすべての認証方法を構成します。
    • [モバイル SSO(iOS 版)][デバイス コンプライアンス (Workspace ONE UEM)] を使用して認証します。
    • フォールバック方法 1:[パスワード(クラウド デプロイ)]
  • セッションの再認証は [8 時間] 後です。

2. Workspace ONE Intelligent Hub で「アプリケーション」デバイス タイプのルールを作成し、モバイル SSO(iOS 版)から始めて、使用する認証を構成します。フォールバック認証はモバイル SSO(Android 版)です。Android デバイスを使用しているユーザーがモバイル SSO(iOS 版)としての認証に失敗した場合、フォールバック方法であるモバイル SSO(Android 版)およびデバイス コンプライアンスを使用して認証できます。

  • ネットワーク範囲は、[ALL RANGES] です。
  • ユーザーは、[VMware Workspace ONE Intelligent Hub 上のアプリケーション] からコンテンツにアクセスできます。
  • ポリシー ルールには、グループは追加されません。[すべてのユーザー] がサポートされます。
  • サポートされているすべての認証方法を構成します。
    • [モバイル SSO(iOS 版)][デバイス コンプライアンス (Workspace ONE UEM)] を使用して認証します。
    • フォールバック方法 1:[モバイル SSO (Android 版)][デバイス コンプライアンス (Workspace ONE UEM)]
    • フォールバック方法 2:[パスワード(クラウド デプロイ)]
  • セッションの再認証は [2,160 時間] 後です。

2,160 時間は 90 日に相当します。

3. 任意の Web ブラウザから Hub ポータルにアクセスする [Web ブラウザ] デバイス タイプのルールを作成します。この例には、認証方法パスワード(ローカル ディレクトリ)がフォールバックとして含まれます。ログインする認証システム管理者に対しては、パスワード(ローカル ディレクトリ)を使用する認証に少なくとも 1 つのルールが構成されている必要があります。セッションは 24 時間後にタイムアウトします。

  • ネットワーク範囲は、[ALL RANGES] です。
  • ユーザーは、[Web ブラウザ] からコンテンツにアクセスできます。
  • ポリシー ルールには、グループは追加されません。[すべてのユーザー] がサポートされます。
  • サポートされているすべての認証方法を構成します。
    • [パスワード(クラウド デプロイ)] を使用して認証します。
    • フォールバック方法 2:[パスワード]
    • フォールバック方法 3:[パスワード(ローカル ディレクトリ)]
  • セッションの再認証は [8 時間] 後です。

4. 管理対象外のリソースにアクセスするためのすべてのデバイス タイプのルールを作成します。

  • ネットワーク範囲は、[ALL RANGES] です。
  • ユーザーは、[すべてのデバイス] からコンテンツにアクセスできます。
  • ポリシー ルールには、グループは追加されません。[すべてのユーザー] がサポートされます。
  • サポートされているすべての認証方法を構成します。
    • [パスワード(クラウド デプロイ)] を使用して認証します。
  • セッションの再認証は [8 時間] 後です。

[VMware Workspace ONE Intelligent Hub 上のアプリケーション] および [Web ブラウザ] の各デバイス タイプのルールを作成する際、デフォルトのポリシー セットは次のスクリーンショットのようになります。

図 1. [VMware Workspace ONE Intelligent Hub 上のアプリケーション] デバイス タイプが最初に表示されているデフォルトのポリシー セット
デフォルトのアクセス ポリシーで、[VMware Workspace ONE Intelligent Hub 上のアプリケーション] デバイス タイプが最初にあるルールの順序の例

このデフォルトのアクセス ポリシーでフローが構成されます。

  1. ユーザー A が iOS デバイスから Workspace ONE Intelligent Hub アプリケーションにログインすると、モバイル SSO(iOS 版)の認証を求められます。3 番目のルールはモバイル SSO(iOS 版)で、認証は成功しています。
  2. ユーザー A が Workspace ONE Intelligent Hub アプリケーションにリストされているリソースを起動すると、認証を再度要求されることなくリソースが起動します。[VMware Workspace ONE Intelligent Hub 上のアプリケーション] デバイス タイプのルールにはモバイル SSO(iOS 版)認証方法がフォールバック認証方法として含まれているためです。ユーザーは再度ログインしなくてもリソースを 2160 時間起動できます。

「コンプライアンス チェックのためのアクセス ポリシー ルールの構成」も参照してください。