Instellingen voor toegangsbeleid in Workspace ONE Access

U maakt toegangsbeleidsregels om de criteria op te geven waaraan gebruikers moeten voldoen om toegang te krijgen tot de Workspace ONE Intelligent Hub-werkplek en hun applicaties waarvoor ze rechten hebben. U kunt ook een applicatiespecifiek toegangsbeleid maken, met regels om de toegang van gebruikers tot specifieke web- en desktopapplicaties te beheren.

Netwerkbereik

U wijst netwerkadressen toe aan de toegangsbeleidsregel om gebruikerstoegang te beheren op basis van het IP-adres dat wordt gebruikt voor aanmelding en toegang tot applicaties. Wanneer de Workspace ONE Access-service op locatie wordt geconfigureerd, kunt u netwerk-IP-adresbereiken voor interne en externe netwerktoegang configureren. Vervolgens kunt u verschillende regels opstellen op basis van het netwerkbereik dat is geconfigureerd in de regel.

Opmerking: Specificeer het openbare adres van de Workspace ONE Access-tenant die wordt gebruikt voor toegang tot het interne netwerk, wanneer u netwerkadressen voor de Workspace ONE Access-cloudservice configureert.

U configureert netwerkbereiken op de pagina Resources > Beleidsregels > Netwerkbereiken in de console voordat u toegangsbeleidsregels configureert.

Elke identiteitsproviderinstantie in uw implementatie is geconfigureerd om netwerkbereiken aan verificatiemethoden te koppelen. Wanneer u een beleidsregel configureert, dient u ervoor te zorgen dat het netwerkbereik wordt gedekt door een bestaande identiteitsproviderinstantie.

Apparaattype waarmee toegang wordt verkregen tot inhoud

Wanneer u een toegangsbeleidsregel instelt, selecteert u het apparaattype dat kan worden gebruikt voor toegang tot inhoud in de Workspace ONE Intelligent Hub-app. Als u een apparaattype in een regel wilt selecteren, kunt u de apparaat- of apparaatinschrijvingsstatus van de gebruiker afstemmen op de toegangsbeleidsregel die de beste verificatie-ervaring biedt.

Alle apparaattypen is geconfigureerd in een beleidsregel die in alle soorten toegang wordt gebruikt.
Apparaattype Webbrowser is geconfigureerd in een beleidsregel voor toegang tot inhoud vanaf elke webbrowser, ongeacht het type apparaathardware of het besturingssysteem.
Het apparaattype Apps op VMware Workspace ONE Intelligent Hub wordt geconfigureerd in een beleidsregel om toegang te krijgen tot inhoud vanuit de Workspace ONE Intelligent Hub-app nadat u bent aangemeld vanaf een apparaat.
Apparaattype iOS is geconfigureerd in een beleidsregel om toegang te krijgen tot inhoud op zowel iPhone- als iPad-toestellen.
In Workspace ONE Access-cloudtenantomgevingen komt het apparaattype iOS overeen met zowel iPhone- als iPad-apparaten, ongeacht of Vraag om desktopsite in de Safari-instellingen is ingeschakeld of niet.
Apparaattype macOS is geconfigureerd om toegang te krijgen tot inhoud vanaf apparaten die zijn geconfigureerd met macOS.
Voor omgevingen op locatie configureert u ook het apparaattype macOS zodat het overeenkomt met iPad-apparaten waarvoor Vraag om desktopsite in de Safari-instellingen is ingeschakeld.
(Alleen cloud) Apparaattype iPad is geconfigureerd in een beleidsregel voor toegang tot inhoud vanaf iPad-apparaten die zijn geconfigureerd met iPadOS. Deze regel geeft u de mogelijkheid een iPad te identificeren ongeacht of Vraag om desktopsite in de Safari-instellingen is ingeschakeld of niet.
Opmerking: Wanneer een toegangsbeleidsregel wordt gemaakt om het apparaattype iPad te gebruiken, moet de regel voor iPad-apparaten worden vermeld vóór de regel die het apparaattype iOS gebruikt. Anders wordt de regel voor het apparaattype iOS toegepast op iPad-apparaten die toegang aanvragen. Dit is van toepassing op iPad's met iPadOS of een oudere iOS-versie.
Apparaattype Android is geconfigureerd om toegang te krijgen tot inhoud vanaf Android-apparaten.
(Alleen cloud) Apparaattype Chrome OS is geconfigureerd om toegang te krijgen tot inhoud vanaf apparaten die gebruikmaken van het Chrome OS-besturingssysteem.
(Alleen cloud) Apparaattype Linux is geconfigureerd om toegang te krijgen tot inhoud vanaf apparaten die gebruikmaken van het Linux-besturingssysteem.
Apparaattype Windows 10 is geconfigureerd om toegang te krijgen tot inhoud vanaf Windows 10-apparaten.
Het apparaattype Windows 10-inschrijving is geconfigureerd om verificatie in te schakelen wanneer gebruikers hun apparaat toevoegen aan Azure AD met de out-of-the-box-ervaring of via de Windows-instellingen.
Apparaattype voor Apparaatinschrijving wordt geconfigureerd om apparaatinschrijving te vereisen. Deze regel vereist dat gebruikers worden geverifieerd bij het Workspace ONE UEM-inschrijvingsproces dat mogelijk wordt gemaakt door de Workspace ONE Intelligent Hub-app op een iOS- of Android-apparaat.

De volgorde waarin de regels worden weergegeven op de pagina van de beleidsconfiguratie geeft de volgorde aan waarin de regels worden toegepast. Wanneer een apparaattype overeenkomt met de verificatiemethode, worden de volgende regels genegeerd. Als de regel voor het apparaattype Apps op VMware Workspace ONE Intelligent Hub niet de eerste regel in de beleidslijst is, worden gebruikers niet aangemeld bij de Workspace ONE Intelligent Hub-app voor de verlengde tijd.

Groepen toevoegen

U kunt verschillende beleidsregels voor verificatie toepassen op basis van het groepslidmaatschap van een gebruiker. Groepen kunnen groepen zijn die worden gesynchroniseerd vanuit uw bedrijfsdirectory en lokale groepen die u heeft gemaakt in de Workspace ONE Access-console.

Wanneer groepen worden toegewezen aan een toegangsbeleidsregel, worden gebruikers gevraagd hun unieke id in te voeren, en vervolgens om de verificatie op basis van de toegangsbeleidsregel uit te voeren. Zie Aanmeldervaring met unieke ID in de handleiding Beheer voor Workspace ONE Access. Standaard is de unieke id gebruikersnaam. Ga naar de pagina Instellingen > Inlogvoorkeuren om de geconfigureerde unieke ID-waarde te bekijken of de ID te wijzigen.

Opmerking: Wanneer er geen groep in een regel wordt geïdentificeerd, is de regel van toepassing op alle gebruikers. Wanneer u een toegangsbeleid configureert waarin een regel met groep en een regel zonder groep voorkomt, moeten regels geconfigureerd met groep worden weergegeven voor regels geconfigureerd zonder groep.

Acties beheerd door regels

Een toegangsbeleidsregel kan worden geconfigureerd om toegang tot de workspace en bronnen toe te staan of te weigeren. Wanneer een beleid is geconfigureerd voor toegang tot specifieke applicaties, kunt u ook de actie specificeren die nodig is om toegang te verlenen tot de applicatie zonder dat verdere verificatie is vereist. Deze actie wordt toegepast als de gebruiker reeds werd geverifieerd door het standaardtoegangsbeleid.

U kunt selectief voorwaarden stellen in de regel met betrekking tot de actie, zoals welke netwerken, apparaattypen en groepen worden opgenomen, en de status van het apparaat wat betreft inschrijvingen en conformiteit. Wanneer de actie is om toegang te weigeren, kunnen gebruikers zich niet aanmelden en geen applicaties starten vanaf het apparaattype en het netwerkbereik die zijn geconfigureerd in de regel.

Verificatiemethoden

De verificatiemethoden die zijn geconfigureerd in de Workspace ONE Access-service worden toegepast op toegangsbeleidsregels. Voor elke regel selecteert u het type verificatiemethode waarmee u de identiteit wilt verifiëren voor gebruikers die zich aanmelden bij de Workspace ONE Intelligent Hub-app of toegang willen tot een app. U kunt in een regel meer dan één verificatiemethode selecteren.

De verificatiemethoden worden toegepast in de volgorde waarin ze in de regel worden weergegeven. De eerste identiteitsproviderinstantie die voldoet aan de configuratie in de regel van de verificatiemethode en het netwerkbereik, wordt geselecteerd. De aanvraag voor gebruikersverificatie wordt voor verificatie doorgestuurd naar de identiteitsproviderinstantie. Als de verificatie mislukt, wordt de volgende verificatiemethode in de lijst geselecteerd.

In toegangsbeleidsregels kunt u verificatiemethoden koppelen zodat gebruikers hun gegevens door meerdere verificatiemethoden dienen te laten controleren voordat ze zich kunnen aanmelden. Twee voorwaarden voor verificatie zijn in één regel geconfigureerd en de gebruiker moet correct reageren op beide verificatie-aanvragen. Bijvoorbeeld: als u instelt dat verificatie gebeurt door middel van het wachtwoord en Duo Security, moeten gebruikers zowel hun wachtwoord als het antwoord op de Duo Security-aanvraag invoeren voordat ze worden geverifieerd.

Alternatieve verificatie kan worden ingesteld zodat gebruikers waarvoor de eerste verificatie mislukt, nog een tweede kans hebben om zich aan te melden. Als een verificatiemethode mislukt en er ook alternatieve methoden zijn geconfigureerd, dan worden de gebruikers gevraagd om hun verificatiegegevens in te voeren voor de alternatieve verificatiemethoden die zijn geconfigureerd. De volgende twee scenario's beschrijven hoe deze alternatieven kunnen werken.

In het eerste scenario is de toegangsbeleidsregel zo geconfigureerd dat gebruikers verificatie moeten uitvoeren met hun wachtwoord en Duo Security. Alternatieve verificatie is ingesteld om verificatie uit te voeren met het wachtwoord en de RADIUS-verificatiegegevens. Een gebruiker voert het correcte wachtwoord in, maar niet het juiste Duo Security-antwoord. Omdat de gebruiker het juiste wachtwoord heeft ingevoerd, geldt de alternatieve verificatieaanvraag alleen voor de RADIUS-verificatiegegevens. De gebruiker hoeft het wachtwoord niet opnieuw in te voeren.
In het tweede scenario is de toegangsbeleidsregel zo geconfigureerd dat gebruikers verificatie moeten uitvoeren met hun wachtwoord en het Duo Security-antwoord. Alternatieve verificatie is ingesteld om verificatie uit te voeren met RSA SecurID en RADIUS. Een gebruiker voert het correcte wachtwoord in, maar niet het juiste Duo Security-antwoord. De alternatieve verificatieaanvraag geldt zowel voor de RSA SecurID-verificatiegegevens als voor de RADIUS-verificatiegegevens.

Om een toegangsbeleidrsegel te configureren waarvoor verificatie en controle van de compliance van het Workspace ONE UEM-apparaat zijn vereist, moet Compliance van apparaat met Workspace ONE UEM zijn ingeschakeld op de ingebouwde pagina van de identiteitsprovider. Zie Compliancecontrole voor met Workspace ONE UEM beheerde apparaten inschakelen in Workspace ONE Access. De ingebouwde verificatiemethoden van de identiteitsprovider die via Workspace ONE UEM met Compliance van apparaat kunnen worden gekoppeld zijn Mobiele SSO (voor iOS), Mobiele SSO (voor Android) of Certificaat (Cloudimplementatie).

Lengte van verificatiesessie

Voor elke regel stelt u het aantal uur in waarin deze verificatie geldig is. De waarde Opnieuw verifiëren na bepaalt de maximale tijd waarover gebruikers sinds hun laatste verificatiegebeurtenis beschikken om toegang te krijgen tot hun portal, of om een specifieke applicatie te starten. Bijvoorbeeld: een waarde van acht in een regel van een webapplicatieregel betekent dat eenmaal geverifieerd, gebruikers gedurende acht uur niet opnieuw hoeven te verifiëren.

De beleidsregelinstelling Opnieuw verifiëren na heeft geen controle over de applicatiesessies. De instelling regelt de tijd waarna gebruikers opnieuw moeten verifiëren.

Aangepast foutbericht voor toegang geweigerd

Wanneer een gebruiker probeert om zich aan te melden en dit mislukt door onjuiste verificatiegegevens, een onjuiste configuratie of een systeemfout, wordt het bericht Toegang geweigerd weergegeven. Het standaardbericht is Toegang geweigerd aangezien geen geldige verificatiemethodes zijn gevonden.

U kunt voor elke toegangsbeleidsregel een aangepast foutbericht maken dat het standaardbericht vervangt. Het aangepaste bericht kan tekst bevatten en een koppeling naar een bericht met een oproep tot actie. Bijvoorbeeld: u zou in een beleidsregel waarin de toegang tot ingeschreven apparaten wordt beperkt, het volgende aangepaste foutbericht kunnen maken. Dit verschijnt wanneer een gebruiker zich probeert aan te melden via een apparaat dat niet is ingeschreven. Klik op de koppeling aan het einde van dit bericht om uw apparaat te registreren om toegang tot bedrijfsbronnen te krijgen. Als uw apparaat al is geregistreerd, neem dan contact op met Support voor assistentie.