Workspace ONE Access サービスのデフォルトのアクセス ポリシーで、FIDO2 の 2 つのポリシー ルール、すなわち登録ルールと認証ルールを作成します。

前提条件

Workspace ONE Access サービスで FIDO2 認証が有効化および構成されていること。Workspace ONE Access での FIDO2 のパスワードなし認証の構成方法(クラウドのみ) を参照してください。

手順

  1. Workspace ONE Access コンソールの [リソース] > [ポリシー] ページで、[デフォルト ポリシーの編集] を選択します。
  2. [次へ] をクリックして [構成] ページを開きます。
  3. 登録ルールを作成するには、[ポリシー ルールを追加] をクリックします。
    オプション 説明
    ユーザーのネットワーク範囲が次の場合 ネットワーク範囲を選択します。
    選択したネットワーク範囲が、FIDO2 登録に使用されるすべてのエンド ユーザーの IP アドレスをカバーしていることを確認します。
    注: [すべての範囲] を選択した場合は、定義されている IP アドレスに使用可能なすべてのエンド ユーザー クライアントの IP アドレス範囲が組み込まれていることを検証します。
    ユーザーが次からコンテンツにアクセスする場合 デバイス タイプ [すべてのデバイス タイプ] を選択します。
    また、ユーザーが次のグループに属する場合 このアクセス ルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。

    グループが選択されていない場合、アクセス ポリシー ルールはすべてのユーザーに適用されます。

    およびユーザーが FIDO2 認証器を登録しています [はい] を選択して有効にします。
    このアクションを実行します [以下を認証に使用...] を選択します。
    ユーザーは次を使用して認証することができます ユーザーが自分のアカウントに認証子を登録できるようにする前に、ユーザーに表示される認証方法を構成します。
    先の方法が失敗するか適用できない場合、次を実行 (オプション)フォールバック認証方法を構成します。
    注: Workspace ONE Access コンソールから FIDO2 キーを登録する場合、登録ポリシー ルールは必要ありません。
  4. [保存] をクリックします。[構成] ページが表示されます。
  5. 認証ルールを作成するには、[ポリシー ルールを追加] をクリックします。
    オプション 説明
    ユーザーのネットワーク範囲が次の場合 ネットワーク範囲を選択します。
    ユーザーが次からコンテンツにアクセスする場合 デバイス タイプ [すべてのデバイス タイプ] を選択します。
    また、ユーザーが次のグループに属する場合 このアクセス ルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。

    グループが選択されていない場合、アクセス ポリシー ルールはすべてのユーザーに適用されます。

    およびユーザーが FIDO2 認証器を登録しています [いいえ] に切り替えます。
    このアクションを実行します [以下を認証に使用] を選択します。
    ユーザーは次を使用して認証することができます [FIDO2] を選択します。
    先の方法が失敗するか適用できない場合、次を実行 (オプション)
  6. [保存] をクリックします。
  7. [構成] ページで、FIDO 登録ポリシー ルールを FIDO2 認証ポリシー ルールの上に移動して、ユーザーの登録を許可します。
  8. [次へ] をクリックして [保存] をクリックします。
    [ログイン時のアクセス拒否問題のトラブルシューティング]

    ユーザーがログインして [アクセスは拒否されました] というメッセージを受信した場合、アクセス ポリシーが正しく構成されていない可能性があります。

    • Workspace ONE Access コンソールで、[監視] > [レポート] ページを開き、[監査イベント] レポートを選択します。
    • レポートを作成します。ユーザー名を選択し、[タイプ][LOGIN_ERROR] を選択します。
    • [詳細表示] を選択します。

      イベント ログで、ログ エントリに "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found." と表示されている場合、FIDO2 エンド ユーザー登録ポリシー ルールに必要なすべての IP アドレス範囲が組み込まれていることを確認します。[すべての範囲] の設定を確認して、[すべての範囲] が実際にすべての範囲であることを確認します。