Maak toegangsbeleidsregels die de criteria omschrijven waaraan moet worden voldaan om toegang te hebben tot de portal van Workspace ONE en het geheel van applicaties waarvoor rechten zijn verleend. U kunt ook een applicatiespecifiek toegangsbeleid maken, met regels om de toegang van gebruikers tot specifieke web- en desktopapplicaties te beheren.

Netwerkbereik

Netwerkadressen worden toegewezen aan de toegangsbeleidsregel om gebruikerstoegang te beheren op basis van het IP-adres dat wordt gebruikt om aan te melden en toegang te verkrijgen tot applicaties. Wanneer de Workspace ONE Access-service op locatie wordt geconfigureerd, kunt u netwerk-IP-adresbereiken voor interne en externe netwerktoegang configureren. Vervolgens kunt u verschillende regels opstellen op basis van het netwerkbereik dat is geconfigureerd in de regel.

Opmerking: Specificeer het openbare adres van de Workspace ONE Access-tenant die wordt gebruikt voor toegang tot het interne netwerk, wanneer u netwerkadressen voor de Workspace ONE Access-cloudservice configureert.

Netwerkbereiken worden geconfigureerd op het tabblad Identiteit en toegangsbeheer, Beheren > Beleid > pagina Netwerkbereiken, voordat u toegangsbeleidsregels configureert.

Elke identiteitsproviderinstantie in uw implementatie is geconfigureerd om netwerkbereiken aan verificatiemethoden te koppelen. Wanneer u een beleidsregel configureert, dient u ervoor te zorgen dat het netwerkbereik wordt gedekt door een bestaande identiteitsproviderinstantie.

Apparaattype

Toegangsbeleidsregels worden geconfigureerd om het type apparaat te beheren dat wordt gebruikt voor toegang tot de portal en bronnen. Apparaten die u kunt opgeven zijn mobiele apparaten met iOS en Android, computers met Windows 10- of macOS-besturingssystemen, Windows 10-inschrijving voor beheerde Windows-apparaten, Web Browser, Workspace ONE & Intelligent Hub-app en Alle apparaattypen.

Een beleidsregel met apparaattype Workspace ONE & Intelligent Hub-app definieert het toegangsbeleid voor het starten van applicaties vanuit de Workspace ONE- of Intelligent Hub-app nadat u zich heeft aangemeld vanaf een apparaat. Wanneer dit de eerste regel in de beleidslijst is, kunnen gebruikers op basis van de standaardinstelling na verificatie aangemeld blijven bij de app en tot 90 dagen toegang krijgen tot hun bronnen.

Een beleidsregel met het apparaattype Web Browser definieert een toegangsbeleid via alle soorten webbrowsers, ongeacht het hardwaretype van het apparaat en het beheersysteem.

Een beleidsregel met apparaattype Windows 10-inschrijving definieert een toegangsbeleid dat vereist dat de Windows 10-apparaten worden beheerd door de Workspace ONE UEM-service om toegang te krijgen tot webapps met beperkte toegang.

Een beleidsregel met apparaattype Apparaatinschrijving definieert een toegangsbeleidsregel in het standaardtoegangsbeleid waarmee gebruikers worden geverifieerd in het Workspace ONE UEM-inschrijvingsproces dat door de Intelligent Hub-app op een iOS- of Android-apparaat wordt vereenvoudigd.

Een beleidsregel met apparaattype Alle apparaattypen is van toepassing op alle soorten toegang.

Wanneer de Workspace ONE- of Intelligent Hub-app wordt gebruikt voor toegang tot applicaties, worden de apparaattypen als volgt georganiseerd in de beleidsset: apparaattype Workspace ONE-app is de eerste regel, gevolgd door de mobiele, Windows en macOS, en Web Browser-apparaattypen. Alle apparaattypen wordt als laatste weergegeven. De volgorde waarin die de regels worden weergegeven, geeft aan in welke volgorde de regels worden toegepast. Wanneer een apparaattype overeenkomt met de verificatiemethode, worden de volgende regels genegeerd. Als de regel voor de Workspace ONE-app niet de eerste is in de beleidslijst, worden gebruikers niet aangemeld bij de applicatie Workspace ONE voor de uitgebreide tijd. Zie Regels voor applicatie Workspace ONE toepassen op toegangsbeleid.

Groepen toevoegen

U kunt verschillende beleidsregels voor verificatie toepassen op basis van het groepslidmaatschap van een gebruiker. Groepen kunnen groepen zijn die worden gesynchroniseerd vanuit uw bedrijfsdirectory en lokale groepen die u heeft gemaakt in de Workspace ONE Access-console.

Wanneer groepen worden toegewezen aan een toegangsbeleidsregel, worden gebruikers gevraagd hun unieke id in te voeren, en vervolgens om de verificatie op basis van de toegangsbeleidsregel uit te voeren. Zie Aanmeldervaring met unieke ID in de handleiding Beheer voor Workspace ONE Access. Standaard is de unieke id gebruikersnaam. Ga naar de pagina Identiteits- en toegangsbeheer > Instellen > Voorkeuren om de geconfigureerde unieke id-waarde te raadplegen of te wijzigen.

Opmerking: Wanneer er geen groep in een regel wordt geïdentificeerd, is de regel van toepassing op alle gebruikers. Wanneer u een toegangsbeleid configureert waarin een regel met groep en een regel zonder groep voorkomt, moeten regels geconfigureerd met groep worden weergegeven voor regels geconfigureerd zonder groep.

Acties beheerd door regels

Een toegangsbeleidsregel kan worden geconfigureerd om toegang tot de workspace en bronnen toe te staan of te weigeren. Wanneer een beleid is geconfigureerd voor toegang tot specifieke applicaties, kunt u ook de actie specificeren die nodig is om toegang te verlenen tot de applicatie zonder dat verdere verificatie is vereist. Deze actie wordt toegepast als de gebruiker reeds werd geverifieerd door het standaardtoegangsbeleid.

U kunt selectief voorwaarden stellen in de regel met betrekking tot de actie, zoals welke netwerken, apparaattypen en groepen worden opgenomen, en de status van het apparaat wat betreft inschrijvingen en conformiteit. Wanneer de actie is om toegang te weigeren, kunnen gebruikers zich niet aanmelden en geen applicaties starten vanaf het apparaattype en het netwerkbereik die zijn geconfigureerd in de regel.

Verificatiemethoden

De verificatiemethoden die zijn geconfigureerd in de Workspace ONE Access-service worden toegepast op toegangsbeleidsregels. Voor elke regel selecteert u het type verificatiemethode waarmee de identiteit van gebruikers die zich aanmelden bij Workspace ONE of een applicatie openen, dient te worden gecontroleerd. U kunt in een regel meer dan één verificatiemethode selecteren.

De verificatiemethoden worden toegepast in de volgorde waarin ze in de regel worden weergegeven. De eerste identiteitsproviderinstantie die voldoet aan de configuratie in de regel van de verificatiemethode en het netwerkbereik, wordt geselecteerd. De aanvraag voor gebruikersverificatie wordt voor verificatie doorgestuurd naar de identiteitsproviderinstantie. Als de verificatie mislukt, wordt de volgende verificatiemethode in de lijst geselecteerd.

In toegangsbeleidsregels kunt u verificatiemethoden koppelen zodat gebruikers hun gegevens door meerdere verificatiemethoden dienen te laten controleren voordat ze zich kunnen aanmelden. Twee voorwaarden voor verificatie zijn in één regel geconfigureerd en de gebruiker moet correct reageren op beide verificatie-aanvragen. Bijvoorbeeld: als u instelt dat verificatie gebeurt door middel van het wachtwoord en VMware Verify, moeten gebruikers zowel hun wachtwoord als de VMware Verify-wachtwoordcode invoeren voordat zij worden geverifieerd.

Alternatieve verificatie kan worden ingesteld zodat gebruikers waarvoor de eerste verificatie mislukt, nog een tweede kans hebben om zich aan te melden. Als een verificatiemethode mislukt en er ook alternatieve methoden zijn geconfigureerd, dan worden de gebruikers gevraagd om hun verificatiegegevens in te voeren voor de alternatieve verificatiemethoden die zijn geconfigureerd. De volgende twee scenario's beschrijven hoe deze alternatieven kunnen werken.

  • In het eerste scenario is de toegangsbeleidsregel zo geconfigureerd dat gebruikers verificatie moeten uitvoeren met hun wachtwoord en hun VMware Verify-wachtwoordcode. Alternatieve verificatie is ingesteld om verificatie uit te voeren met het wachtwoord en de RADIUS-verificatiegegevens. Een gebruiker voert het correcte wachtwoord in, maar niet de juiste VMware Verify-wachtwoordcode. Omdat de gebruiker het juiste wachtwoord heeft ingevoerd, geldt de alternatieve verificatieaanvraag alleen voor de RADIUS-verificatiegegevens. De gebruiker hoeft het wachtwoord niet opnieuw in te voeren.
  • In het tweede scenario is de toegangsbeleidsregel zo geconfigureerd dat gebruikers verificatie moeten uitvoeren met hun wachtwoord en hun VMware Verify-wachtwoordcode. Alternatieve verificatie is ingesteld om verificatie uit te voeren met RSA SecurID en RADIUS. Een gebruiker voert het correcte wachtwoord in, maar niet de juiste VMware Verify-wachtwoordcode. De alternatieve verificatieaanvraag geldt zowel voor de RSA SecurID-verificatiegegevens als voor de RADIUS-verificatiegegevens.

Om een toegangsbeleidrsegel te configureren waarvoor verificatie en controle van de compliance van het Workspace ONE UEM-apparaat zijn vereist, moet Compliance van apparaat met AirWatch zijn ingeschakeld op de ingebouwde pagina van de identiteitsprovider. Zie Compliancecontrole voor met Workspace ONE UEM beheerde apparaten inschakelen. De ingebouwde verificatiemethoden van de identiteitsprovider die via AirWatch met Compliance van apparaat kunnen worden gekoppeld zijn Mobiele SSO (voor iOS), Mobiele SSO (voor Android) of Certificaat (Cloudimplementatie).

Wanneer VMware Verify voor tweeledige verificatie wordt gebruikt, is VMware Verify de tweede verificatiemethode in de verificatieketen. VMware Verify moet zijn ingeschakeld op de ingebouwde pagina van de identiteitsprovider. Zie VMware Verify configureren voor tweestapsverificatie.

Lengte van verificatiesessie

Voor elke regel stelt u het aantal uur in waarin deze verificatie geldig is. De waarde Opnieuw verifiëren na bepaalt de maximale tijd waarover gebruikers sinds hun laatste verificatiegebeurtenis beschikken om toegang te krijgen tot hun portal, of om een specifieke applicatie te starten. Bijvoorbeeld: een waarde van acht in een regel van een webapplicatieregel betekent dat eenmaal geverifieerd, gebruikers gedurende acht uur niet opnieuw hoeven te verifiëren.

De beleidsregelinstelling Opnieuw verifiëren na heeft geen controle over de applicatie-sessies. De instelling regelt de tijd waarna gebruikers opnieuw moeten verifiëren.

Aangepast foutbericht voor toegang geweigerd

Wanneer een gebruiker probeert om zich aan te melden en dit mislukt door onjuiste verificatiegegevens, een onjuiste configuratie of een systeemfout, wordt het bericht Toegang geweigerd weergegeven. Het standaardbericht is Toegang geweigerd aangezien geen geldige verificatiemethodes zijn gevonden.

U kunt voor elke toegangsbeleidsregel een aangepast foutbericht maken dat het standaardbericht vervangt. Het aangepaste bericht kan tekst bevatten en een koppeling naar een bericht met een oproep tot actie. Bijvoorbeeld: u zou in een beleidsregel waarin de toegang tot ingeschreven apparaten wordt beperkt, het volgende aangepaste foutbericht kunnen maken. Dit verschijnt wanneer een gebruiker zich probeert aan te melden via een apparaat dat niet is ingeschreven. Klik op de koppeling aan het einde van dit bericht om uw apparaat te registreren om toegang tot bedrijfsbronnen te krijgen. Als uw apparaat al is geregistreerd, neem dan contact op met Support voor assistentie.