Een clienttoegangsbeleid maakt gebruik van inloggegevens van de Office 365-client voor verificatie om toegang te krijgen tot Office 365-applicaties in uw Workspace ONE-implementatie. Een Office 365-client, zoals VMware Boxer, Microsoft Outlook en de systeemeigen e-mailprogramma's van iOS en Android, verzamelt inloggegevens in hun UI voor verificatie. Met een clienttoegangsbeleid kan Workspace ONE Access de verzamelde inloggegevens beheren voor verificatie. Met clienttoegangsbeleidsregels kunt u ook andere toegangsparameters instellen voor Office 365-applicaties. De netwerkregels in een enkele Office 365-applicatie zijn van toepassing op alle Office 365-applicaties. Alle bewerkingen aan clienttoegangsbeleidsregels zijn van invloed op de mogelijkheid voor gebruikers om toegang tot deze applicaties te krijgen.

Volgorde van clienttoegangsbeleidsregels

Rangschik de clienttoegangsbeleidsregels op volgorde, omdat het systeem beleidsregels van boven naar beneden afwerkt. Het systeem gebruikt het eerste beleid om een client te verifiëren of om toegang voor de client te weigeren.

Als u bijvoorbeeld een beleid maakt dat de toegang tot alle typen toestellen weigert en het boven een beleid sleept dat toegang geeft tot Android-toestellen, weigert het systeem de toegang tot alle toestellen die proberen in te loggen met de gebruikersnaam en het wachtwoord. Het systeem dwingt niet het beleid af dat toegang geeft tot Android-toestellen. Het eerste beleid dat de toegang ontkent, heeft voorrang.

Office 365-applicaties met een clienttoegangsbeleid toevoegen

U kunt Office 365-applicaties toevoegen aan de Workspace ONE UEM console, zodat u de toegang met clienttoegangsbeleidsregels kunt beheren.

  1. Navigeer naar Resources > Apps > SaaS en selecteer Nieuw.

  2. Vul de opties op het tabblad Definitie in.

    Instelling Beschrijving
    Zoeken Voer Office 365 in om een lijst met beschikbare applicaties te bekijken.
    Naam Voer een naam voor de SaaS-applicatie in.
    Beschrijving (Optioneel) Geef een beschrijving voor de applicatie op. Vaak is dit tekstvak vooraf ingevuld.
    Pictogram (Optioneel) als een pictogram niet vooraf wordt ingevuld, selecteert u een pictogram.
    Categorie (Optioneel.) Wijs categorieën toe zodat gebruikers in de Workspace ONE-catalogus applicaties kunnen zoeken en filteren. Configureer categorieën in Workspace ONE Access, zodat die in de lijst met categorieën worden weergegeven.
  3. Vul de opties op het tabblad Configuratie in.

    1. Office 365-applicaties gebruiken WSFed 1.2 als Verificatietype om single sign-on te bieden.

      Instelling Beschrijving
      Bestemmings-URL Voer de URL in om gebruikers naar de SaaS-applicatie op het internet te leiden.
      URL voor eenmalige aanmelding (SSO) Voer de URL van de Assertion Consumer Service (ACS) in.
      Workspace ONE stuurt deze URL naar uw serviceaanbieder voor Single Sign-On (SSO).
      Applicatie-ID Voer het id waaraan Workspace ONE uw serviceaanbieder-tenant kan herkennen. Workspace ONE stuurt de SAML-assertie naar de ID.
      Sommige serviceproviders gebruiken de URL voor Single Sign-On.
      Gebruikersnaam - formaat Selecteer de indeling voor het SAML-onderwerp zoals vereist door de serviceaanbieder.
      Gebruikersnaam - waarde Voer de waarde van het naam-ID in die Workspace ONE in het onderwerp van de SAML-assertie verzendt.
      Dit is een standaardwaarde van het profieltekstvak voor een gebruikersnaam bij de applicatieserviceaanbieder.
    2. Voeg waarden voor Applicatieparameters toe om de applicatie te laten starten.

    3. Als u meer controle wilt hebben over de berichten die tijdens de single sign-on met Workspace ONE worden uitgewisseld, kunt u hier Geavanceerde eigenschappen voor WSFed 1.2 toevoegen.

      Instelling Beschrijving
      Verificatie van inloggegevens Selecteer de methode voor verificatie van inloggegevens.
      Algoritme voor handtekening Selecteer het algoritme voor handtekening dat overeenkomt met het algoritme voor digest.
      Selecteer dit algoritme als uw serviceprovider SHA256 ondersteunt.
      Algoritme voor digest Selecteer het algoritme voor digest dat overeenkomt met het algoritme voor handtekening.
      Selecteer dit algoritme als uw serviceprovider SHA256 ondersteunt.
      Assertietijd Voer in hoelang de assertie die Workspace ONE naar de serviceprovider voor verificatie stuurt geldig is (in seconden).
      Toewijzing van aangepaste eigenschappen Als uw serviceprovider naast de eigenschappen voor eenmalige aanmelding nog andere custom eigenschappen toestaat, voeg die dan hier toe.
    4. Wijs met Toegangsbeleid beleidsregels toe om het inloggen bij applicatieresources te beveiligen.

      Instelling Beschrijving
      Toegangsbeleid Selecteer het beleid dat Workspace ONE voor gebruikerverificatie en toegang gebruikt. Het standaardtoegangsbeleid is beschikbaar als u geen custom toegangsbeleid heeft.
      U kunt dit beleid in de UEM console configureren.
      In VMware Browser openen Selecteer deze optie als Workspace ONE de applicatie in de VMware Browser moet openen. Het openen van SaaS-applicaties in de VMware Browser zorgt voor extra beveiliging. Zo blijft de veiligheid van interne resources gewaarborgd.
      Licentiegoedkeuring vereist Stelt goedkeuringen verplicht voordat de applicatie een licentie installeert en activeert.

      Licentieprijzen - Selecteer het prijsmodel om licenties voor de SaaS-applicatie te kopen.

      Licentietype - Selecteer het gebruikersmodel voor de licenties, op naam of gelijktijdige gebruikers.

      Kosten per licentie - Voer de prijs per licentie in.

      Aantal licenties - Voer het aantal licenties in dat voor de SaaS-applicatie is gekocht.

      Configureer de bijbehorende goedkeuringen in de sectie Instellingen van SaaS-applicaties.
  4. Clienttoegangsbeleid toevoegen voor Office 365-clients. Met een clienttoegangsbeleid kan Workspace ONE Access de UI-inloggegevens van de Office 365-client beheren die zijn verzameld voor verificatie. Enkele clientvoorbeelden zijn VMware Boxer en Microsoft Outlook. Selecteer Beleidsregel toevoegen en vul de instellingen in.

    Instellingen Beschrijving
    Afhankelijk van de client van de gebruiker: Selecteer een beschikbare Office 365-client.
    Afhankelijk van het netwerkbereik van een gebruiker: Selecteer een netwerkbereik dat u eerder hebt geconfigureerd.
    Afhankelijk van het type toestel van de gebruiker: Selecteer het toegestane toestelplatform voor toegang.
    en de gebruiker zich bevindt in de groep(en) Selecteer de gebruikersgroepen die toegang hebben tot de content, gebaseerd op de criteria in dit beleid.
    Als u geen groepen selecteert, is het beleid van toepassing op alle gebruikers.
    Afhankelijk van het e-mailprotocol van de client: Selecteer het toegestane protocol voor de Office 365-client.
    Voer vervolgens deze actie uit Toegang tot Office 365-applicaties toestaan of weigeren.
  5. Bekijk de Samenvatting voor de SaaS-applicatie en ga verder naar het toewijzen.

De provisioningadapter configureren voor Office 365-applicaties

Provisioning biedt automatisch gebruikersbeheer voor applicaties vanaf één enkele locatie. Met provisioningsadapters kunnen webapplicaties zo nodig specifieke informatie van de Workspace ONE UEM-service ophalen. Als provisioning is ingeschakeld voor een webapplicatie, wanneer u rechten verleent aan een gebruiker voor de applicatie in de Workspace ONE UEM-service, dan wordt de gebruiker ingericht in de webapplicatie. De Workspace ONE UEM-service bevat momenteel provisioningadapters voor Microsoft Office 365. Voer de volgende stappen uit voor het configureren van de provisioningadapter voor Office 365.

  1. Navigeer naar Resources > Apps > SaaS en selecteer Nieuw.

  2. Blader naar Office 365 in het tabblad Definitie. Vul het tabblad Definitie in en selecteer Volgende.

  3. Vul de tekstvakken op het tabblad Configuratie in.

  4. Schakel Configuratie van provisioning in. Standaard is de configuratie van provisioning uitgeschakeld. Zodra u Configuratie van provisioning selecteert, worden de tabbladen Provisioning, Gebruikersprovisioning, Groepsprovisioning aan het linkernavigatiedeelvenster toegevoegd.

  5. Clienttoegangsbeleid toevoegen voor Office 365-clients.

  6. Ga naar het tabblad Provisioning, selecteer Provisioning inschakelen en voer de volgende informatie in.

    Instelling Beschrijving
    Office 365-domein Voer de domeinnaam in voor Office 365. Bijvoorbeeld, example.com. Gebruikers worden onder dit domein ingericht.
    Client-ID applicatie Voer de AppPrincipalId die is verkregen bij het maken van de serviceprincipalgebruiker.
    Clientgeheim applicatie Voer het wachtwoord in dat is gecreëerd voor de serviceprincipalgebruiker.
  7. Standaard is Provisioning uitvoeren met licentie uitgeschakeld. U kunt bij het selecteren van Provisioning uitvoeren met licentie de volgende informatie invoeren.

    Instelling Beschrijving
    SKU-ID Voer de SKU-informatie in.
    Licentie verwijderen bij het ongedaan maken van provisioning Selecteer de optie als u de licentie wilt verwijderen wanneer u provisioning van de Office 365-applicatie ongedaan wilt maken.
  8. Klik op Verbinding testen om te controleren of de Office 365-tenant kan worden bereikt.

  9. Klik op Volgende.

  10. Selecteer op het tabblad Gebruikersprovisioning de kenmerken waarmee u gebruikers wilt inrichten in Office 365. Zorg ervoor dat de volgende vereiste Active Directory-kenmerken zijn ingesteld op een van de vereiste kenmerknamen op de pagina Gebruikerskenmerken .

    • Het kenmerk van de e-mailbijnaam moet uniek zijn binnen de directory en mag geen speciale tekens bevatten. Wijs het kenmerk van de e-mailbijnaam toe aan gebruikersnaam. Zodra u dit heeft gedaan, mag u de e-mailbijnaam niet wijzigen.
    • Het objectGUID-kenmerk is een aangepast kenmerk dat eerst moet worden toegevoegd aan de lijst Gebruikerskenmerk. De objectGUID is toegewezen aan het GUID-kenmerk.
    • Selecteer Toegewezen waarde toevoegen, als u een Kenmerknaam en Waarde wilt toevoegen. N.B:

    De UserPrincipalName (UPN) wordt automatisch samengesteld. U ziet de toegewezen waarde niet. De provisioningadapter voegt het Office 365-domein toe aan de kenmerkwaarde mailNickname (user.userName) om de UPN te maken. Dit is toegevoegd als gebruikersnaam +@+ O365_domeinnaam. Bijvoorbeeld jdow@office365example.com

  11. Klik op Volgende.

  12. In het scherm Groepsprovisioning kunt u de taak Groepsprovisioning voltooien. Wanneer een groep in Office 365 wordt ingericht, wordt de groep ingericht als een beveiligingsgroep. De leden van de groep worden ingericht als gebruikers als ze niet bestaan in de Office 365-tenant. De groep is niet gemachtigd voor resources wanneer deze is ingericht. Als u de groep wilt machtigen voor resources, creëert u de groep en verleent u vervolgens rechten aan die groep voor resources. Klik op Groep toevoegen en voltooi vervolgens de onderstaande stappen.

    1. Zoek in het tekstvak Groep selecteren voor de groep die moet worden ingericht in Office 365.
    2. Voer een naam in voor deze groep in het tekstvak E-mailbijnaam. De bijnaam wordt gebruikt als een alias. Speciale tekens zijn niet toegestaan in de bijnaam.
    3. Selecteer Opslaan. U kunt het inrichten van een groep in de Office 365-applicatie ongedaan maken. De beveiligingsgroep is verwijderd uit de Office 365-tenant. Gebruikers in de groep worden niet verwijderd. Als u het inrichten van een groep ongedaan wilt maken, selecteert u de gebruikersgroep en kiest u Provisioning ongedaan maken .
  13. Selecteer Volgende om het tabblad Samenvatting te bekijken.

  14. Klik op Opslaan om de configuraties op te slaan of op Opslaan en toewijzen om Office 365 te implementeren voor gebruikers en groepen die zijn geconfigureerd vanuit uw Active Directory-systeem.

check-circle-line exclamation-circle-line close-line
Scroll to top icon