Workspace ONE Access での FIDO2 認証ポリシーの作成（クラウドのみ）

Workspace ONE Access サービスのデフォルトのアクセスポリシーで、FIDO2 の 2 つのポリシールール、すなわち登録ルールと認証ルールを作成します。

前提条件

Workspace ONE Access サービスで FIDO2 認証が有効化および構成されていること。Workspace ONE Access での FIDO2 のパスワードなし認証の構成方法（クラウドのみ）を参照してください。

手順

Workspace ONE Access コンソールの [リソース] > [ポリシー] ページで、[デフォルトポリシーの編集] を選択します。
[次へ] をクリックして [構成] ページを開きます。

登録ルールを作成するには、[ポリシールールを追加] をクリックします。

オプション	説明
ユーザーのネットワーク範囲が次の場合	ネットワーク範囲を選択します。選択したネットワーク範囲が、FIDO2 登録に使用されるすべてのエンドユーザーの IP アドレスをカバーしていることを確認します。注： [すべての範囲] を選択した場合は、定義されている IP アドレスに使用可能なすべてのエンドユーザークライアントの IP アドレス範囲が組み込まれていることを検証します。
ユーザーが次からコンテンツにアクセスする場合	デバイスタイプ [すべてのデバイスタイプ] を選択します。
また、ユーザーが次のグループに属する場合	このアクセスルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。グループが選択されていない場合、アクセスポリシールールはすべてのユーザーに適用されます。
およびユーザーが FIDO2 認証器を登録しています	[はい] を選択して有効にします。
このアクションを実行します	[以下を認証に使用...] を選択します。
ユーザーは次を使用して認証することができます	ユーザーが自分のアカウントに認証子を登録できるようにする前に、ユーザーに表示される認証方法を構成します。
先の方法が失敗するか適用できない場合、次を実行	（オプション）フォールバック認証方法を構成します。

注： Workspace ONE Access コンソールから FIDO2 キーを登録する場合、登録ポリシールールは必要ありません。

[保存] をクリックします。[構成] ページが表示されます。

認証ルールを作成するには、[ポリシールールを追加] をクリックします。

オプション	説明
ユーザーのネットワーク範囲が次の場合	ネットワーク範囲を選択します。
ユーザーが次からコンテンツにアクセスする場合	デバイスタイプ [すべてのデバイスタイプ] を選択します。
また、ユーザーが次のグループに属する場合	このアクセスルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。グループが選択されていない場合、アクセスポリシールールはすべてのユーザーに適用されます。
およびユーザーが FIDO2 認証器を登録しています	[いいえ] に切り替えます。
このアクションを実行します	[以下を認証に使用] を選択します。
ユーザーは次を使用して認証することができます	[FIDO2] を選択します。
先の方法が失敗するか適用できない場合、次を実行	（オプション）

[保存] をクリックします。
[構成] ページで、FIDO 登録ポリシールールを FIDO2 認証ポリシールールの上に移動して、ユーザーの登録を許可します。
[次へ] をクリックして [保存] をクリックします。
[ログイン時のアクセス拒否問題のトラブルシューティング]
ユーザーがログインして [アクセスは拒否されました] というメッセージを受信した場合、アクセスポリシーが正しく構成されていない可能性があります。
- Workspace ONE Access コンソールで、[監視] > [レポート] ページを開き、[監査イベント] レポートを選択します。
- レポートを作成します。ユーザー名を選択し、[タイプ] に [LOGIN_ERROR] を選択します。
- [詳細表示] を選択します。
  イベントログで、ログエントリに "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found." と表示されている場合、FIDO2 エンドユーザー登録ポリシールールに必要なすべての IP アドレス範囲が組み込まれていることを確認します。[すべての範囲] の設定を確認して、[すべての範囲] が実際にすべての範囲であることを確認します。