Een beleid bevat een of meer toegangsregels. Elke regel bestaat uit instellingen die u kunt configureren om de toegang van gebruikers tot hun Workspace ONE-portal als geheel of tot specifieke web- en desktopapplicaties te beheren.

Beleidsregels kunnen worden geconfigureerd om acties uit te voeren (zoals het blokkeren, toestaan of opgewaardeerd verifiëren van gebruikers) op basis van voorwaarden (zoals netwerk, apparaattype, AirWatch-apparaatinschrijving en compliancestatus) of de applicatie waartoe toegang wordt gekregen. U kunt groepen aan een beleid toevoegen om verificatie voor specifieke groepen te beheren.

Netwerkbereik

U bepaalt de gebruikersbasis voor elke regel door een netwerkbereik op te geven. Een netwerkbereik bestaat uit een of meer IP-bereiken. U maakt netwerkbereiken via het tabblad Identiteits- en toegangsbeheer, Instellen > pagina Netwerkbereiken voordat u toegangsbeleidssets configureert.

Elke identiteitsproviderinstantie in uw implementatie koppelt netwerkbereiken aan verificatiemethoden. Wanneer u een beleidsregel configureert, zorgt u ervoor dat het netwerkbereik wordt gedekt door een bestaande identiteitsproviderinstantie.

U kunt specifieke netwerkbereiken configureren om te beperken waar gebruikers zich kunnen aanmelden en toegang hebben tot hun applicaties.

Apparaattype

Selecteer het type apparaat dat de regel beheert. De clienttypen zijn Webbrowser, Workspace ONE-app, iOS, Android, Windows 10, OS X en Alle apparaattypen.

U kunt regels configureren om op te geven welk apparaattype toegang heeft tot de inhoud en dat alle verificatieverzoeken afkomstig van dat apparaattype de beleidsregel gebruiken.

Groepen toevoegen

U kunt verschillende beleidsregels voor verificatie toepassen op basis van het groepslidmaatschap van een gebruiker. Als u groepen gebruikers wilt toewijzen voor aanmelding via een specifiek verificatieproces, kunt u groepen toevoegen aan de toegangsbeleidsregel. Groepen kunnen groepen zijn die worden gesynchroniseerd vanuit uw bedrijfsdirectory of lokale groepen die u maakt in de beheerconsole. Groepsnamen binnen een domein moeten uniek zijn.

Als u groepen wilt gebruiken in toegangsbeleidsregels, selecteert u een unieke ID op de pagina Identiteits- en toegangsbeheer > Voorkeuren. Het kenmerk voor de unieke ID moet worden toegewezen op de pagina Gebruikerskenmerken en het geselecteerde kenmerk moet worden gesynchroniseerd met de directory. De unieke ID kan de gebruikersnaam, het e-mailadres, de UPN of de werknemer-ID zijn. Zie Aanmeldervaring met unieke ID.

Wanneer groepen worden gebruikt in een toegangsbeleidsregel, verandert de aanmeldervaring voor de gebruiker. Gebruikers worden niet langer gevraagd om hun domein te selecteren en hun aanmeldgegevens in te voeren, maar er wordt een pagina geopend waar ze hun unieke ID moeten invoeren. VMware Identity Manager vindt de gebruiker in de interne database op basis van de unieke ID en geeft de verificatiepagina weer die is geconfigureerd in die regel.

Wanneer geen groep is geselecteerd, is de toegangsbeleidsregel van toepassing op alle gebruikers. Wanneer u toegangsbeleidsregels configureert, waaronder zowel regels op basis van groepen als een regel voor alle gebruikers, moet u ervoor zorgen dat de regel die is bedoeld voor alle gebruikers als laatste wordt vermeld in het gedeelte Beleidsregels van het beleid.

Verificatiemethoden

In de beleidsregel stelt u de volgorde in waarin de verificatiemethoden worden toegepast. De verificatiemethoden worden toegepast in de volgorde waarin ze worden weergegeven. De eerste identiteitsproviderinstantie die voldoet aan de configuratie van de verificatiemethode en het netwerkbereik, wordt geselecteerd. De aanvraag voor gebruikersverificatie wordt voor verificatie doorgestuurd naar de identiteitsproviderinstantie. Als de verificatie mislukt, wordt de volgende verificatiemethode in de lijst geselecteerd.

Lengte van verificatiesessie

Voor elke regel stelt u het aantal uur in waarin deze verificatie geldig is. De waarde Herverifiëren na bepaalt de maximale tijd waarover gebruikers sinds hun laatste verificatiegebeurtenis beschikken om toegang te krijgen tot hun portal, of om een specifieke applicatie te starten. Bijvoorbeeld: een waarde van 4 in een webapplicatiesregel geeft gebruikers vier uur tijd om de webapplicatie te starten tenzij ze een andere verificatiegebeurtenis starten die de tijd verlengt.

Aangepast foutbericht voor toegang geweigerd

Wanneer een gebruiker probeert om zich aan te melden en dit mislukt door onjuiste verificatiegegevens, een onjuiste configuratie of een systeemfout, wordt het bericht Toegang geweigerd weergegeven. Het standaardbericht is Toegang geweigerd aangezien geen geldige verificatiemethodes zijn gevonden.

U kunt een aangepast foutbericht voor elke toegangsbeleidsregel aanmaken dat het standaardbericht overschrijft. Het aangepaste bericht kan tekst en een koppeling bevatten voor een oproep tot actie-bericht. Bijvoorbeeld: u zou in een beleidsregel voor mobiele apparaten die u wilt beheren, het volgende aangepaste foutbericht kunnen maken dat verschijnt wanneer een gebruiker zich probeert aan te melden via een verwijderd apparaat. Klik op de koppeling aan het einde van dit bericht om uw apparaat te registreren om toegang tot bedrijfsbronnen te krijgen. Als uw apparaat al is geregistreerd, neem dan contact op met Support voor assistentie.