Workspace ONE ポータルおよび使用資格を付与されたアプリケーション全体にアクセスするために満たさなければならない基準を指定するアクセス ポリシー ルールを作成します。また、特定の Web およびデスクトップ アプリケーションへのユーザーのアクセスを制御するルールを使用してアプリケーション固有のアクセス ポリシーを作成することもできます。

ネットワーク範囲

ネットワーク アドレスは、アプリケーションへのログインとアクセスに使用される IP アドレスに基づいてユーザー アクセスを管理するアクセス ポリシー ルールに割り当てられます。Workspace ONE Access サービスがオンプレミスで構成されている場合、内部ネットワーク アクセスと外部ネットワーク アクセスのネットワーク IP アドレス範囲を構成できます。次に、ルール内で構成されたネットワーク範囲に基づいて、別のルールを作成できます。

注: Workspace ONE Access クラウド サービスのネットワーク アドレスを構成する場合は、内部ネットワークへのアクセスに使用される Workspace ONE Access テナントのパブリック アドレスを指定します。

ネットワーク範囲は、アクセス ポリシー ルールを構成する前に、[ID とアクセス管理] タブの [管理] > [ポリシー] > [ネットワーク範囲] ページで構成します。

環境内の各 ID プロバイダ インスタンスは、ネットワーク範囲と認証方法を関連付けるように構成されます。ポリシー ルールを構成するときには、選択するネットワーク範囲が既存の ID プロバイダ インスタンスによって関連付けられていることを確認します。

デバイス タイプ

アクセス ポリシー ルールは、ポータルおよびリソースにアクセスするために使用されるデバイス タイプを管理するように構成されます。指定できるデバイスには、iOS および Android モバイル デバイス、Windows 10 または macOS オペレーティング システムを実行するコンピュータ、[Web ブラウザ]、[Workspace ONE & Intelligent Hub アプリ]、および [すべてのデバイス タイプ] が含まれます。

デバイス タイプが [Workspace ONE & Intelligent Hub アプリ] のポリシー ルールは、デバイスからログインした後に Workspace ONE または Intelligent Hub アプリケーションからアプリケーションを起動するためのアクセス ポリシーを定義します。このルールがポリシー リストの最初のルールである場合、ユーザーが認証されると、デフォルト設定に従って最大で 90 日間アプリケーションにログインしたままリソースにアクセスできます。

デバイス タイプが [Web ブラウザ] のポリシー ルールは、デバイスのハードウェアのタイプおよびオペレーティング システムに関係なく、任意の種類の Web ブラウザを使用してアクセス ポリシーを定義します。

デバイス タイプが [すべてのデバイス タイプ] のポリシー ルールは、すべてのアクセスのケースに一致します。

Workspace ONE または Intelligent Hub アプリケーションを使用してアプリケーションにアクセスする場合、デバイス タイプは [Workspace ONE アプリ] デバイス タイプを最初のルールとしてポリシー セット内で編成され、その後に [モバイル]、[Windows] および [macOS]、[Web ブラウザ] デバイス タイプが続きます。最後に [すべてのデバイス タイプ] がリストされます。ルールがリストされる順序は、ルールが適用される順序を示します。デバイス タイプが認証方法と一致すると、それ以降のルールは無視されます。デバイス タイプ [Workspace ONE アプリ] ルールがポリシー リストの最初のルールでない場合、ユーザーは延長時間の間 Workspace ONE アプリケーションにログインしません。アクセス ポリシーへの Workspace ONE アプリケーション ルールの適用を参照してください。

グループを追加

ユーザーのグループ メンバーシップに基づいて異なる認証ルールを適用することができます。エンタープライズ ディレクトリから同期されるグループと Workspace ONE Access コンソールで作成したローカル グループを使用できます。

グループがアクセス ポリシー ルールに割り当てられると、ユーザーは一意の識別子を入力するよう求められ、続いてアクセス ポリシー ルールに基づいて認証を入力するよう求められます。一意の ID を使用する場合のログイン操作を参照してください。デフォルトでは、一意の識別子は [userName] です。[ID とアクセス管理] > [セットアップ] > [基本設定] ページに移動して、構成された一意の識別子の値を確認するか、識別子を変更します。

注: ルール内でグループが識別されていない場合、ルールはすべてのユーザーに適用されます。構成するアクセス ポリシーにグループを含むルールとグループを含まないルールがある場合、グループとともに構成されたルールを、グループなしで構成されたルールの前にリストする必要があります。

ルールによって管理されるアクション

アクセス ポリシー ルールは、ワークスペースおよびリソースへのアクセスを許可または拒否するように構成できます。ポリシーが特定のアプリケーションへのアクセスを提供するように構成されている場合、追加の認証なしでアプリケーションへのアクセスを許可するアクションを指定することもできます。このアクションを適用するため、ユーザーはデフォルトのアクセス ポリシーによってすでに認証されています。

ルールには、たとえばどのネットワーク、デバイス タイプ、およびグループを含めるか、およびデバイスの登録とコンプライアンス ステータスなど、アクションに適用する条件を選択的に適用できます。アクションがアクセスを拒否する場合、ユーザーはログインしたり、ルール内で構成されているデバイス タイプとネットワーク範囲からアプリケーションを起動したりすることはできません。

認証方法

Workspace ONE Access サービス内で構成される認証方法は、アクセス ポリシー ルールに適用されます。各ルールについて、Workspace ONE にログインまたはアプリケーションにアクセスするユーザーの ID を検証するために使用する認証方法のタイプを選択します。ルールでは、複数の認証方法を選択できます。

認証方法は、ルールに表示されている順序で適用されます。ルール内の認証方法とネットワーク範囲構成に一致する最上位の ID プロバイダ インスタンスが選択されます。ユーザー認証要求がその ID プロバイダ インスタンスに転送され、認証が行われます。認証に失敗すると、リストの上位から二番目の認証方法が選択されます。

アクセス ポリシー ルールで認証チェーンを構成し、認証情報を複数の認証方法に使用してログインするようにユーザーに要求することができます。1 つのルール内に 2 つの認証条件が構成され、ユーザーは両方の認証要求に正しく応答する必要があります。たとえば、パスワードと Workspace ONE Verify の設定を使用して認証を設定する場合、ユーザーは認証のためにパスワードと Workspace ONE Verify パスコードの両方を入力する必要があります。

前の認証要求に失敗したユーザーにもう一度ログインの機会を与えるために、フォールバック認証を設定することができます。認証方法がユーザーの認証に失敗し、フォールバック方法も構成されている場合、ユーザーは構成されている追加の認証方法の認証情報を入力するように求められます。次の 2 つのシナリオは、このフォールバックがどのように機能するかを説明しています。

  • 最初のシナリオでは、パスワードと Workspace ONE Verify パスコードを使用してユーザーを認証することを求めるアクセス ポリシー ルールが構成されています。認証にパスワードと RADIUS の認証情報を求めるフォールバック認証がセットアップされています。ユーザーはパスワードを正しく入力しましたが、正しい Workspace ONE Verify パスコードを入力していません。ユーザーは正しいパスワードを入力したため、フォールバック認証で、RADIUS の認証情報だけが要求されます。ユーザーはパスワードを再入力する必要はありません。
  • 2 番目のシナリオでは、パスワードと Workspace ONE Verify パスコードを使用してユーザーを認証することを求めるアクセス ポリシー ルールが構成されています。認証に RSA SecurID と RADIUS を求めるフォールバック認証がセットアップされています。ユーザーはパスワードを正しく入力しましたが、正しい Workspace ONE Verify パスコードを入力していません。フォールバック認証では、認証に RSA SecurID の認証情報と RADIUS の認証情報の両方が要求されます。

アクセス ポリシー ルールで Workspace ONE UEM により管理されたデバイスの認証とデバイス コンプライアンスの検証を求めるように構成するには、組み込み ID プロバイダのページで、[AirWatch とのデバイス コンプライアンス] を有効にする必要があります。Workspace ONE UEM で管理されているデバイスのコンプライアンス チェックの有効化を参照してください。AirWatch でデバイス コンプライアンスとチェーンを構成できる組み込み ID プロバイダの認証方法は、モバイル SSO(iOS 版)、モバイル SSO(Android 版)、または証明書(クラウド デプロイ)です。

Workspace ONE Verify が二要素認証に使用される場合、Workspace ONE Verify は認証チェーン内の 2 番目の認証方法になります。組み込み ID プロバイダのページで Workspace ONE Verify を有効にする必要があります。二要素認証のための VMware Workspace ONE Verify の構成を参照してください。

認証セッションの有効期間

各ルールで、認証の有効期間を設定します。[再認証までの待機時間] 値は、ユーザーがポータルにアクセスするか、または特定のアプリケーションを開いた前回の認証イベント以来の最長時間を決定します。たとえば、Web アプリケーション ルールの値が 8 の場合、一度認証されると、ユーザーは 8 時間の間再認証する必要がありません。

[再認証までの待機時間] のポリシー ルール設定はアプリケーション セッションを制御しません。この設定は、ユーザーの再認証が必要になるまでの時間を制御します。

カスタムのアクセス拒否エラー メッセージ

無効な認証情報、不適切な構成、またはシステム エラーによってユーザーのログイン試行が失敗すると、アクセス拒否のメッセージが表示されます。デフォルトのメッセージは、次のとおりです。有効な認証方法が見つからなかったため、アクセスは拒否されました。

アクセス ポリシー ルールごとに、デフォルトのメッセージをオーバーライドするカスタム エラー メッセージを作成できます。このカスタム メッセージには、アクション メッセージを呼び出すテキストおよびリンクを含めることができます。たとえば、登録されたデバイスへのアクセスを制限するポリシー ルールで、ユーザーが未登録のデバイスからログインしようとした場合のために、次のようなカスタム エラー メッセージを作成できます。社内リソースにアクセスするには、このメッセージの最後にあるリンクをクリックしてデバイスを登録してください。デバイスが既に登録されている場合は、サポートにお問い合わせください。