アクセス ポリシー ルールを作成して、ユーザーが Workspace ONE Intelligent Hub ワークスペースおよび資格付与されたアプリケーションにアクセスするために満たす必要のある基準を指定します。また、特定の Web およびデスクトップ アプリケーションへのユーザーのアクセスを制御するルールを使用してアプリケーション固有のアクセス ポリシーを作成することもできます。

ネットワーク範囲

ネットワーク アドレスは、アプリケーションへのログインとアクセスに使用される IP アドレスに基づいてユーザー アクセスを管理するアクセス ポリシー ルールに割り当てます。Workspace ONE Access サービスがオンプレミスで構成されている場合、内部ネットワーク アクセスと外部ネットワーク アクセスのネットワーク IP アドレス範囲を構成できます。次に、ルール内で構成されたネットワーク範囲に基づいて、別のルールを作成できます。

注: Workspace ONE Access クラウド サービスのネットワーク アドレスを構成する場合は、内部ネットワークへのアクセスに使用される Workspace ONE Access テナントのパブリック アドレスを指定します。

ネットワーク範囲は、アクセス ポリシー ルールを構成する前に、コンソールの [リソース] > [ポリシー] > [ネットワーク範囲] ページで構成します。

環境内の各 ID プロバイダ インスタンスは、ネットワーク範囲と認証方法を関連付けるように構成されます。ポリシー ルールを構成するときには、選択するネットワーク範囲が既存の ID プロバイダ インスタンスによって関連付けられていることを確認します。

コンテンツにアクセスするために使用されるデバイス タイプ

アクセス ポリシー ルールを設定する場合は、Workspace ONE Intelligent Hub アプリケーションのコンテンツへのアクセスに使用できるデバイス タイプを選択します。ルールでデバイス タイプを選択すると、ユーザーのデバイスまたはデバイス登録状態を、最高の認証エクスペリエンスを提供するアクセス ポリシー ルールに一致させることができます。

  • [すべてのデバイス タイプ] は、アクセスのすべてのケースで使用されるポリシー ルール内で構成されています。
  • [Web ブラウザ] デバイス タイプは、デバイスのハードウェア タイプまたはオペレーティング システムに関係なく、任意の Web ブラウザからコンテンツにアクセスするようにポリシー ルール内で構成されています。
  • [VMware Workspace ONE Intelligent Hub 上のアプリケーション] デバイス タイプは、デバイスからログインした後に Workspace ONE Intelligent Hub アプリケーションからコンテンツにアクセスするようにポリシー ルール内で構成されています。
  • [iOS] デバイス タイプは、iPhone デバイスと iPad デバイスの両方からコンテンツにアクセスするようにポリシー ルール内で構成されています。

    Workspace ONE Access クラウド テナント環境では、Safari 設定の デスクトップ サイトを要求 が有効かどうかに関係なく、iOS デバイス タイプは iPhone デバイスと iPad デバイスの両方に一致します。

  • [macOS] デバイス タイプは、macOS で構成されたデバイスからコンテンツにアクセスするように構成されています。

    オンプレミス環境の場合は、Safari 設定の デスクトップ サイトを要求 が有効になっている iPad デバイスと一致するように macOS デバイス タイプも構成します。

  • (クラウドのみ)[iPad] デバイス タイプは、iPadOS で構成された iPad デバイスからコンテンツにアクセスするようにポリシー ルール内で構成されています。このルールを使用すると、Safari 設定で デスクトップ サイトを要求 が有効になっているかどうかに関係なく iPad を識別できます。
    注: iPad デバイス タイプを使用するためのアクセス ポリシー ルールを作成する場合、iOS デバイス タイプを使用するルールの前に iPad デバイスのルールをリストする必要があります。そうでないと、iOS デバイス タイプのルールはアクセスを要求する iPad デバイスに適用されます。これは、iPadOS またはそれ以前の iOS を搭載した iPad に適用されます。
  • [Android] デバイス タイプは、Android デバイスからコンテンツにアクセスするように構成されています。
  • (クラウドのみ)[Chrome OS] デバイス タイプは、Chrome OS オペレーティング システムを使用するデバイスからコンテンツにアクセスするように構成されています。
  • (クラウドのみ)[Linux] デバイス タイプは、Linux オペレーティング システムを使用するデバイスからコンテンツにアクセスするように構成されています。
  • (クラウドのみ)[Windows 10+] デバイス タイプは、Windows 10 および Windows 11 デバイスからコンテンツにアクセスするように構成されています。この機能は、デスクトップやモバイル デバイスを含むすべての Windows 11 デバイスでサポートされます。
  • [Windows 10 の登録] デバイス タイプは、ユーザーが Out-of-Box Experience または Windows の設定でデバイスを Azure Active Directory に参加させるときに認証を有効にするように構成されています。
  • [デバイス登録] デバイス タイプは、デバイス登録を要求するように構成されています。このルールでは、ユーザーは iOS または Android デバイス上の Workspace ONE Intelligent Hub アプリケーションによって促進される Workspace ONE UEM 登録プロセスに対して認証される必要があります。

ルールが [ポリシー構成] ページにリストされる順序は、ルールが適用される順序を示します。デバイス タイプが認証方法と一致すると、それ以降のルールは無視されます。[VMware Workspace ONE Intelligent Hub 上のアプリケーション] デバイス タイプのルールがポリシー リストの最初のルールでない場合、ユーザーは延長時間の間は Workspace ONE Intelligent Hub アプリケーションにログインしません。

グループを追加

ユーザーのグループ メンバーシップに基づいて異なる認証ルールを適用することができます。エンタープライズ ディレクトリから同期されるグループと Workspace ONE Access コンソールで作成したローカル グループを使用できます。

グループがアクセス ポリシー ルールに割り当てられると、ユーザーは一意の識別子を入力するよう求められ、続いてアクセス ポリシー ルールに基づいて認証を入力するよう求められます。『Workspace ONE Access 管理ガイド』の「一意の識別子を使用したログイン エクスペリエンス」を参照してください。デフォルトでは、一意の識別子は [userName] です。[設定] > [ログイン設定] ページに移動して、構成された一意の識別子の値を確認するか、識別子を変更します。

注: ルール内でグループが識別されていない場合、ルールはすべてのユーザーに適用されます。構成するアクセス ポリシーにグループを含むルールとグループを含まないルールがある場合、グループとともに構成されたルールを、グループなしで構成されたルールの前にリストする必要があります。

ルールによって管理されるアクション

アクセス ポリシー ルールは、ワークスペースおよびリソースへのアクセスを許可または拒否するように構成できます。ポリシーが特定のアプリケーションへのアクセスを提供するように構成されている場合、追加の認証なしでアプリケーションへのアクセスを許可するアクションを指定することもできます。このアクションを適用するため、ユーザーはデフォルトのアクセス ポリシーによってすでに認証されています。

ルールには、たとえばどのネットワーク、デバイス タイプ、およびグループを含めるか、およびデバイスの登録とコンプライアンスの状態など、アクションに適用する条件を選択的に適用できます。アクションがアクセスを拒否する場合、ユーザーはログインしたり、ルール内で構成されているデバイス タイプとネットワーク範囲からアプリケーションを起動したりすることはできません。

認証方法

Workspace ONE Access サービス内で構成される認証方法は、アクセス ポリシー ルールに適用されます。各ルールについて、Workspace ONE Intelligent Hub アプリケーションにログインまたはアプリケーションにアクセスするユーザーの ID を検証するために使用する認証方法のタイプを選択します。ルールでは、複数の認証方法を選択できます。

認証方法は、ルールに表示されている順序で適用されます。ルール内の認証方法とネットワーク範囲構成に一致する最上位の ID プロバイダ インスタンスが選択されます。ユーザー認証要求がその ID プロバイダ インスタンスに転送され、認証が行われます。認証に失敗すると、リストの上位から二番目の認証方法が選択されます。

アクセス ポリシー ルールで認証チェーンを構成し、認証情報を複数の認証方法に使用してログインするようにユーザーに要求することができます。1 つのルール内に 2 つの認証条件が構成され、ユーザーは両方の認証要求に正しく応答する必要があります。たとえば、設定を使用して認証をパスワードと DUO セキュリティに設定する場合、ユーザーは認証のためにパスワードと DUO セキュリティ要求への応答の両方を入力する必要があります。

複数の認証条件が必要な場合は、ユーザーが選択できる代替認証方法を含むようにルールを構成できます。たとえば、メインの認証方法として [パスワード] を選択し、オプションの第 2 要素認証方法として [FIDO トークン] または [Verify (Intelligent Hub)] を指定した場合、ユーザーはパスワードを入力し、ログイン ページのオプションから優先認証方法を選択する必要があります。

前の認証要求に失敗したユーザーにもう一度ログインの機会を与えるために、フォールバック認証を設定することができます。認証方法がユーザーの認証に失敗し、フォールバック方法も構成されている場合、ユーザーは構成されている追加の認証方法の認証情報を入力するように求められます。次の 2 つのシナリオは、このフォールバックがどのように機能するかを説明しています。

  • 最初のシナリオでは、パスワードと DUO セキュリティを使用してユーザーを認証することを求めるアクセス ポリシー ルールが構成されています。認証にパスワードと RADIUS の認証情報を求めるフォールバック認証がセットアップされています。ユーザーはパスワードを正しく入力しましたが、正しい DUO セキュリティ応答を入力していません。ユーザーは正しいパスワードを入力したため、フォールバック認証で、RADIUS の認証情報だけが要求されます。ユーザーはパスワードをもう一度入力する必要はありません。
  • 2 番目のシナリオでは、パスワードと DUO セキュリティ応答を使用してユーザーを認証することを求めるアクセス ポリシー ルールが構成されています。認証に RSA SecurID と RADIUS を求めるフォールバック認証がセットアップされています。ユーザーはパスワードを正しく入力しましたが、正しい DUO セキュリティ応答を入力していません。フォールバック認証では、認証に RSA SecurID の認証情報と RADIUS の認証情報の両方が要求されます。

アクセス ポリシー ルールで Workspace ONE UEM により管理されたデバイスの認証とデバイス コンプライアンスの検証を求めるように構成するには、組み込み ID プロバイダのページで、[Workspace ONE UEM とのデバイス コンプライアンス] を有効にする必要があります。Workspace ONE Access での Workspace ONE UEM で管理されているデバイスのコンプライアンス チェックの有効化を参照してください。Workspace ONE UEM でデバイス コンプライアンスとチェーンを構成できる組み込み ID プロバイダの認証方法は、モバイル SSO(iOS 版)、モバイル SSO(Android 版)、または証明書(クラウド デプロイ)です。

認証セッションの有効期間

各ルールで、認証の有効期間を設定します。[再認証までの待機時間] 値は、ユーザーがポータルにアクセスするか、または特定のアプリケーションを開いた前回の認証イベント以来の最長時間を決定します。たとえば、Web アプリケーション ルールの値が 8 の場合、一度認証されると、ユーザーは 8 時間の間再認証する必要がありません。

[再認証までの待機時間] のポリシー ルール設定はアプリケーション セッションを制御しません。この設定は、ユーザーの再認証が必要になるまでの時間を制御します。

カスタムのアクセス拒否エラー メッセージ

無効な認証情報、不適切な構成、またはシステム エラーによってユーザーのログイン試行が失敗すると、アクセス拒否のメッセージが表示されます。デフォルトのメッセージは、次のとおりです。有効な認証方法が見つからなかったため、アクセスは拒否されました。

アクセス ポリシー ルールごとに、デフォルトのメッセージをオーバーライドするカスタム エラー メッセージを作成できます。このカスタム メッセージには、アクション メッセージを呼び出すテキストおよびリンクを含めることができます。たとえば、登録されたデバイスへのアクセスを制限するポリシー ルールで、ユーザーが未登録のデバイスからログインしようとした場合のために、次のようなカスタム エラー メッセージを作成できます。社内リソースにアクセスするには、このメッセージの最後にあるリンクをクリックしてデバイスを登録してください。デバイスが既に登録されている場合は、サポートにお問い合わせください。