액세스 정책 규칙을 생성하여 사용자가 Workspace ONE Intelligent Hub 작업 공간 및 사용 권한이 부여된 애플리케이션에 액세스하기 위해 충족해야 하는 조건을 지정합니다. 특정 웹 및 데스크톱 애플리케이션에 대한 사용자 액세스를 관리하기 위한 규칙이 있는 애플리케이션별 액세스 정책 규칙을 생성할 수도 있습니다.
네트워크 범위
로그인하고 애플리케이션에 액세스하는 데 사용되는 IP 주소를 기준으로 사용자 액세스를 관리하기 위해 액세스 정책 규칙에 네트워크 주소를 할당합니다. 온-프레미스에서 Workspace ONE Access 서비스가 구성된 경우 내부 네트워크 액세스 및 외부 네트워크 액세스에 대한 네트워크 IP 주소 범위를 구성할 수 있습니다. 그런 다음 규칙에 구성된 네트워크 범위에 따라 다른 규칙을 생성할 수 있습니다.
액세스 정책 규칙을 구성하기 전에 콘솔의 [리소스] > [정책] > [네트워크 범위] 페이지에서 네트워크 범위를 구성합니다.
배포 환경에 있는 각 ID 제공자 인스턴스는 네트워크 범위를 인증 방법과 연결하도록 구성됩니다. 정책 규칙을 구성하는 경우 기존 ID 제공자 인스턴스가 선택한 네트워크 범위를 포함하는지 확인합니다.
컨텐츠에 액세스하는 데 사용되는 디바이스 유형
액세스 정책 규칙을 설정할 때 Workspace ONE Intelligent Hub 애플리케이션의 컨텐츠에 액세스하는 데 사용할 수 있는 디바이스 유형을 선택합니다. 규칙에서 디바이스 유형을 선택하면 사용자의 디바이스 또는 디바이스 등록 상태를 최상의 인증 환경을 제공하는 액세스 정책 규칙과 일치시킬 수 있습니다.
- 모든 디바이스 유형은 모든 액세스에서 사용되는 정책 규칙에 구성됩니다.
- 웹 브라우저 디바이스 유형은 디바이스 하드웨어 유형 또는 운영 체제에 관계없이 모든 웹 브라우저에서 컨텐츠에 액세스하도록 정책 규칙에 구성됩니다.
- Workspace ONE Intelligent Hub의 애플리케이션 디바이스 유형은 디바이스에서 로그인한 후에 Workspace ONE Intelligent Hub 애플리케이션에서 컨텐츠에 액세스하도록 정책 규칙에 구성됩니다.
- iOS 디바이스 유형은 iPhone 및 iPad 디바이스에서 컨텐츠에 액세스하도록 정책 규칙에 구성됩니다.
Workspace ONE Access 클라우드 테넌트 환경에서는 Safari 설정의 "요청 데스크톱 사이트" 사용 여부에 관계없이 iOS 디바이스 유형이 iPhone 및 iPad 디바이스 둘 다와 일치합니다.
- macOS 디바이스 유형은 macOS로 구성된 디바이스에서 컨텐츠에 액세스하도록 구성됩니다.
또한 온-프레미스 환경의 경우 Safari 설정을 사용하도록 설정된 "요청 데스크톱 사이트" 가 있는 iPad 디바이스와 일치하도록 macOS 유형을 구성합니다.
- (클라우드만 해당) iPad 디바이스 유형은 iPadOS로 구성된 iPad 디바이스의 컨텐츠에 액세스하도록 정책 규칙에 구성됩니다. 이 규칙을 사용하면 Safari 설정에서 "요청 데스크톱 사이트" 가 사용하도록 설정되어 있는지 여부에 관계없이 iPad를 식별할 수 있습니다.
참고: iPad 디바이스 유형을 사용하도록 액세스 정책 규칙이 생성되면 iPad 디바이스에 대한 규칙이 iOS 디바이스 유형을 사용하는 규칙보다 먼저 나열되어야 합니다. 그렇지 않으면 액세스를 요청하는 iPad 디바이스에 iOS 디바이스 유형에 대한 규칙이 적용됩니다. 이러한 특성은 iPadOS 또는 이전 iOS가 있는 iPad에 적용됩니다.
- Android 디바이스 유형은 Android 디바이스의 컨텐츠에 액세스하도록 구성됩니다.
- (클라우드만 해당) Chrome OS 디바이스 유형은 Chrome OS 운영 체제를 사용하는 디바이스의 컨텐츠에 액세스하도록 구성됩니다.
- (클라우드만 해당) Linux 디바이스 유형은 Linux 운영 체제를 사용하는 디바이스의 컨텐츠에 액세스하도록 구성됩니다.
- (클라우드만 해당) Windows 10 이상 디바이스 유형은 Windows 10 및 Windows 11 디바이스의 컨텐츠에 액세스하도록 구성됩니다. 이 기능은 데스크톱 및 모바일 디바이스를 포함한 모든 Windows 11 디바이스에서 지원됩니다.
- Windows 10 등록 디바이스 유형은 사용자가 즉시 사용 가능한 경험 또는 Windows 설정에서 디바이스를 Azure AD에 가입할 때 인증을 사용 설정하도록 구성됩니다.
- 디바이스 등록 디바이스 유형은 디바이스 등록을 요구하도록 구성됩니다. 이 규칙을 사용하려면 사용자가 iOS 또는 Android 디바이스의 Workspace ONE Intelligent Hub 애플리케이션에서 지원하는 Workspace ONE UEM 등록 프로세스를 통해 인증되어야 합니다.
정책 구성 페이지에서 규칙이 나열되는 순서는 규칙이 적용되는 순서를 나타냅니다. 디바이스 유형이 인증 방법과 일치하는 경우 후속 규칙은 무시됩니다. 디바이스 유형 Workspace ONE Intelligent Hub의 애플리케이션 규칙이 정책 목록의 첫 번째 규칙이 아니면 사용자는 연장된 기간 동안 Workspace ONE Intelligent Hub 애플리케이션에 로그인되지 않습니다.
그룹 추가
사용자 그룹 멤버 자격을 기준으로 여러 다른 인증 규칙을 적용할 수 있습니다. 그룹은 엔터프라이즈 디렉토리에서 동기화된 그룹 및 Workspace ONE Access 콘솔에서 생성한 로컬 그룹일 수 있습니다.
그룹이 액세스 정책 규칙에 할당되면 자신의 고유 식별자를 입력하라는 메시지가 표시된 후 액세스 정책 규칙에 따라 인증을 입력하라는 메시지가 표시됩니다. Workspace ONE Access 관리 가이드에서 고유 식별자를 사용하는 로그인 환경을 참조하십시오. 기본적으로 고유 식별자는 userName입니다. [설정] > [로그인 환경설정] 페이지로 이동하여 구성된 고유 식별자 값을 보거나 식별자를 변경합니다.
규칙으로 관리되는 작업
작업 공간 및 리소스에 대한 액세스를 허용하거나 거부하도록 액세스 정책 규칙을 구성할 수 있습니다. 특정 애플리케이션에 대한 액세스를 제공하도록 정책을 구성하는 경우 추가 인증을 요구하지 않고 애플리케이션에 대한 액세스를 허용하도록 작업을 지정할 수도 있습니다. 이 작업을 적용하려면 사용자가 기본 액세스 정책으로 이미 인증되어 있어야 합니다.
작업에 적용되는 규칙에 조건(예: 포함할 네트워크, 디바이스 유형 및 그룹, 디바이스 등록 및 규정 준수 상태)을 선택적으로 적용할 수 있습니다. 작업이 액세스를 거부하는 것이면 사용자는 규칙에 구성된 디바이스 유형 및 네트워크 범위에서 애플리케이션을 실행할 수 없습니다.
인증 방법
Workspace ONE Access 서비스에 구성된 인증 방법이 액세스 정책 규칙에 적용됩니다. 각 규칙에 대해 Workspace ONE Intelligent Hub에 로그인하거나 애플리케이션에 액세스하는 사용자의 ID를 확인하는 데 사용할 인증 방법의 유형을 선택합니다. 규칙에서 둘 이상의 인증 방법을 선택할 수 있습니다.
인증 방법이 규칙에 나열된 순서대로 적용됩니다. 규칙의 인증 방법 및 네트워크 범위 구성을 충족하는 첫 번째 ID 제공자 인스턴스가 선택됩니다. 사용자 인증 요청이 인증을 위해 ID 제공자 인스턴스로 전달됩니다. 인증이 실패하면 목록의 다음 인증 방법이 선택됩니다.
자격 증명이 둘 이상의 인증 방법을 통과해야만 사용자가 로그인할 수 있도록 액세스 정책 규칙의 인증 체인을 구성할 수 있습니다. 하나의 규칙에서 두 개의 인증 조건이 구성되고, 사용자는 두 인증 요청에 올바르게 응답해야 합니다. 예를 들어, 암호 및 Duo Security를 사용하는 인증을 설정하면 사용자는 인증을 받기 전에 해당 암호를 입력하고 Duo Security 요청에 응답해야 합니다.
둘 이상의 인증 조건이 필요한 경우 사용자가 선택할 수 있는 대체 인증 방법을 포함하도록 규칙을 구성할 수 있습니다. 예를 들어 기본 인증 방법으로 암호를 선택하고 FIDO 토큰 또는 Verify(Intelligent Hub)를 선택적 2단계 인증 방법으로 제공하는 경우 사용자는 암호를 입력한 다음 로그인 페이지 옵션에서 기본 인증 방법을 선택해야 합니다.
이전 인증 요청을 통과하지 못한 사용자에게 로그인할 수 있는 또 다른 기회를 제공하도록 폴백 인증을 설정할 수 있습니다. 인증 방법으로 사용자를 인증하지 못하고 폴백 방법도 구성되어 있는 경우, 구성된 추가 인증 방법에 대해 자격 증명을 입력하라는 메시지가 사용자에게 표시됩니다. 다음 두 시나리오에서는 이 폴백의 작동 방법을 설명합니다.
- 첫 번째 시나리오에서는 사용자가 해당 암호 및 Duo Security를 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 암호 및 RADIUS 자격 증명을 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력하지만, 올바른 Duo Security 응답을 입력하지 못합니다. 사용자가 올바른 암호를 입력했기 때문에 폴백 인증 요청은 RADIUS 자격 증명에만 해당합니다. 사용자는 암호를 다시 입력할 필요가 없습니다.
- 두 번째 시나리오에서는 사용자가 해당 암호 및 Duo Security 응답으로 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 RSA SecurID 및 RADIUS를 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력하지만, 올바른 Duo Security 응답을 입력하지 못합니다. 폴백 인증 요청은 인증을 위해 RSA SecurID 자격 증명 및 RADIUS 자격 증명 모두에 해당합니다.
Workspace ONE UEM 관리 디바이스에 대한 인증 및 디바이스 규정 준수 확인을 요구하도록 액세스 정책 규칙을 구성하려면 내장 ID 제공자 페이지에서 [Workspace ONE UEM를 통한 디바이스 규정 준수]를 사용하도록 설정해야 합니다. Workspace ONE Access에서 Workspace ONE UEM 관리형 디바이스에 대한 규정 준수 검사 사용의 내용을 참조하십시오. Workspace ONE UEM를 통한 디바이스 규정 준수와 연결될 수 있는 내장 ID 제공자 인증 방법은 모바일 SSO(iOS용), 모바일 SSO(Android용) 또는 인증서(클라우드 배포)입니다.
인증 세션 길이
각 규칙에 대해 이 인증이 유효한 시간을 설정합니다. 다음 시간 후에 재인증 값은 마지막 인증 이벤트 후 사용자가 포털에 액세스하거나 특정 애플리케이션을 열 수 있는 최대 시간을 결정합니다. 예를 들어, 웹 애플리케이션 규칙의 값 8은 사용자가 일단 인증될 경우 8시간 동안 재인증할 필요가 없음을 의미합니다.
그 후 재인증을 설정하는 정책 규칙은 애플리케이션 세션을 제어하지 않습니다. 이 설정은 몇 시간 후에 사용자가 재인증해야 하는지를 제어합니다.
사용자 지정 액세스 거부 오류 메시지
사용자가 잘못된 자격 증명, 잘못된 구성 또는 시스템 오류 때문에 로그인에 실패하면 액세스 거부 메시지가 표시됩니다. 기본 메시지는 유효한 인증 방법을 찾지 못했기 때문에 액세스가 거부되었습니다.입니다.
각 액세스 정책 규칙에 대한 기본 메시지를 재정의하는 사용자 지정 오류 메시지를 생성할 수 있습니다. 사용자 지정 메시지에는 작업 메시지에 대한 텍스트 및 링크가 포함될 수 있습니다. 예를 들어 등록된 디바이스로 액세스를 제한하는 정책 규칙에서 사용자가 등록되지 않은 디바이스에서 로그인하려고 하면 다음의 사용자 지정 오류 메시지를 생성할 수 있습니다. 이 메시지 끝에 나오는 링크를 클릭하여 회사 리소스에 액세스할 수 있게 디바이스를 등록합니다. 디바이스가 이미 등록된 경우 지원을 요청하십시오.