Можно создать правила политики доступа, чтобы определить критерии, которые пользователи должны выполнить для доступа к рабочей области Workspace ONE и приложениям, на которые им предоставлены права. Для управления доступом пользователей к определенным классическим или веб-приложениям можно также создать политики доступа для таких приложений.

Сетевой диапазон

Правилу политики доступа назначаются сетевые адреса, чтобы управлять доступом пользователей на основе IP-адреса, который используется для входа и доступа к приложениям. Если служба Workspace ONE Access настроена локально, можно настроить диапазоны сетевых IP-адресов для внутреннего и внешнего доступа к сети. Затем можно создать разные правила на основе сетевого диапазона, настроенного в правиле.

Примечание: При настройке сетевых адресов для облачной службы Workspace ONE Access укажите общедоступный адрес арендатора Workspace ONE Access, используемый для доступа к внутренней сети.

Сетевые диапазоны настраиваются на вкладке «Управление учетными данными и доступом» на странице «Управление» > «Политики» > «Сетевые диапазоны» перед настройкой правил политики доступа.

Каждый экземпляр поставщика удостоверений в развертывании настроен на связывание сетевых диапазонов с методами проверки подлинности. При настройке правила политики убедитесь, что выбранный сетевой диапазон охвачен имеющимся экземпляром поставщика удостоверений.

Тип устройства

Правила политики доступа настраиваются для управления типом устройства, используемым для доступа к порталу и ресурсам.

  • Значение Все типы устройств настраивается в правиле политики, которое используется во всех случаях доступа.
  • Тип устройства Веб-браузер настраивается в правиле политики для доступа к содержимому из любого веб-браузера, независимо от типа оборудования устройства или операционной системы.
  • Тип устройства Приложение Workspace ONE или приложение Hub настраивается в правиле политики для доступа к содержимому из приложений Workspace ONE или Workspace ONE Intelligent Hub при входе с устройства.
  • Тип устройства iOS настраивается в правиле политики для доступа к содержимому с устройств iPhone и iPad.

    В среде арендатора облачной версии Workspace ONE Access тип устройства iOS совпадает с устройствами iPhone и iPad независимо от того, включен ли параметр Запрос настольного веб‑сайта в настройках Safari.

  • Тип устройства macOS настраивается для доступа к содержимому с устройств, настроенных с помощью macOS.

    Для локальной среды также настройте тип устройства macOS таким образом, чтобы он совпадал с устройствами iPad, на которых включен параметр Запрос настольного веб‑сайта в настройках Safari.

  • (Только для облачной среды) Тип устройства iPad настраивается в правиле политики для доступа к содержимому с устройств iPad, настроенных с помощью iPadOS. Это правило позволяет определить iPad, независимо от того, включен ли параметр Запрос настольного веб‑сайта в настройках Safari.
    Примечание: Если правило политики доступа создается для использования типа устройства iPad, это правило для устройств iPad должно быть указано перед правилом, которое использует тип устройства iOS. В противном случае правило для типа устройства iOS применяется к устройствам iPad, запрашивающим доступ. Это применяется к устройствам iPad с iPadOS или более ранней версией iOS.
  • Тип устройства Android настраивается для доступа к содержимому с устройств Android.
  • Тип устройства Windows 10 настраивается для доступа к содержимому с устройств Windows 10.
  • Тип устройства Регистрация Windows 10. настраивается для доступа к содержимому с устройств Windows 10, управляемых службой Workspace ONE UEM, для доступа к веб-приложениям с ограниченным доступом.
  • Тип устройства Регистрация устройства настраивается для требования регистрации устройств. Для этого правила требуется, чтобы пользователи проходили проверку подлинности в процессе регистрации в Workspace ONE UEM через приложение Workspace ONE Intelligent Hub на устройстве iOS или Android.

Порядок, в котором правила перечислены на странице «Управление учетными данными и доступом» > «Политики», указывает на порядок применения правил. Если тип устройства соответствует методу проверки подлинности, последующие правила игнорируются. Если правило с типом устройства «Приложение Workspace ONE» не является первым в списке политик, пользователи не смогут входить в приложение Workspace ONE на длительный период времени.

Добавить группы

Различные правила проверки подлинности можно применять в зависимости от группы, к которой относится пользователь. Существует два вида групп: группы, которые получены в результате синхронизации с корпоративным каталогом, и локальные группы, создаваемые в консоли Workspace ONE Access.

Когда группам назначается правило политики доступа, пользователям предлагается ввести уникальный идентификатор, а затем пройти проверку подлинности на основе правила политики доступа. См. раздел «Вход с использованием уникального идентификатора» в Руководстве администратора Workspace ONE Access. По умолчанию уникальный идентификатор представляет собой имя userName. Перейдите на страницу «Управление учетными данными и доступом» > «Настройка» > «Параметры», чтобы увидеть настроенное значение уникального идентификатора или изменить идентификатор.

Примечание: Если группа не определена в правиле, это правило применяется ко всем пользователям. При настройке политики доступа, включающей правило с группой и правило без нее, правило с группой должно быть указано перед правилом без группы.

Действия, управляемые правилами

Можно настроить правило политики доступа, разрешающее или запрещающее доступ к рабочей области и ресурсам. Если политика настроена на предоставление доступа к определенным приложениям, также можно указать действие, чтобы разрешить доступ к приложению без дополнительной проверки подлинности. Для применения этого действия пользователь уже должен пройти проверку подлинности с помощью политики доступа по умолчанию.

В правиле можно выборочно применять условия, которые применяются к действию, например учитываемые сети, типы устройств и группы, а также состояние регистрации устройства и состояние соответствия требованиям. Если действие используется для запрета доступа, пользователи не могут войти в приложения или запустить их с типа устройства и сетевого диапазона, настроенных в правиле.

Способы проверки подлинности

Методы проверки подлинности, настроенные в службе Workspace ONE Access, применяются к правилам политики доступа. Для каждого правила нужно выбрать тип методов проверки подлинности, используемый для идентификации пользователей, которые входят в приложение или получают к нему доступ. В правиле можно выбрать несколько методов проверки подлинности.

Способы проверки подлинности применяются в порядке их перечисления в правиле. Используется первый экземпляр поставщика удостоверений, который соответствует требованиям к методу проверки подлинности и конфигурации сетевого диапазона в правиле. При проверке подлинности запрос на проверку подлинности пользователя перенаправляется в экземпляр поставщика удостоверений. Если проверка подлинности завершается ошибкой, выбирается следующий способ проверки подлинности по списку.

В правилах политики доступа можно настроить цепочку проверки подлинности, чтобы пользователи вводили учетные данные в нескольких методах проверки подлинности и только после этого могли входить в систему. В одном правиле настроены два условия проверки подлинности, и пользователь должен правильно ответить на оба запроса проверки подлинности. Например, если для проверки подлинности настроены параметры «Пароль» и VMware Verify, пользователи должны будут ввести пароль и секретный код VMware Verify, чтобы пройти проверку подлинности.

Чтобы предоставить пользователям, которым не удалось пройти предыдущий запрос на проверку подлинности, еще одну возможность войти в систему, можно настроить резервную проверку подлинности. Если выполнение проверки подлинности пользователя завершается сбоем и настроены резервные способы, пользователям будет предложено ввести свои учетные данные для дополнительных настроенных методов проверки подлинности. В следующих двух сценариях описывается возможная реализация резервных способов.

  • В первом сценарии правило политики доступа настроено так, что пользователи должны пройти проверку подлинности с использованием пароля и секретного кода VMware Verify. Резервная проверка подлинности настроена на запрос пароля и учетных данных RADIUS для проверки подлинности. Пользователь вводит правильный пароль, но неправильный секретный код VMware Verify. Так как пользователь ввел правильный пароль, резервная проверка подлинности запрашивает только учетные данные RADIUS. Пользователю не нужно повторно вводить пароль.
  • Во втором сценарии правило политики доступа настроено так, что пользователи должны пройти проверку подлинности с использованием пароля и секретного кода VMware Verify. Резервная проверка подлинности настроена на требование RSA SecurID и RADIUS для проверки подлинности. Пользователь вводит правильный пароль, но неправильный секретный код VMware Verify. Резервная проверка подлинности настроена на запрос как учетных данных RSA SecurID, так и учетных данных RADIUS для проверки подлинности.

Чтобы настроить правило политики доступа, требующее проверки подлинности и проверки соответствия нормативным требованиям для управляемых устройств Workspace ONE UEM, на странице встроенного поставщика удостоверений должно быть настроено соответствие устройства нормативным требованиям AirWatch. См. раздел Включение проверки соответствия для управляемых устройств Workspace ONE UEM в Workspace ONE Access. Ко встроенным методам проверки подлинности поставщика удостоверений, которые могут связать проверку соответствия устройства требованиям AirWatch, относятся единый вход для мобильных устройств iOS, Android или использование сертификата (облачное развертывание).

При использовании VMware Verify для двухфакторной проверки подлинности VMware Verify выступает вторым методом в цепочке проверки подлинности. Компонент VMware Verify должен быть включен на странице «Встроенный поставщик удостоверений». См. раздел Настройка VMware Verify для двухфакторной проверки подлинности в Workspace ONE Access.

Длительность сеанса проверки подлинности

Для каждого правила устанавливается количество часов, в течение которых проверка подлинности является действительной. Значение параметра Выполнить повторную проверку подлинности через определяет максимальное количество времени, которое есть у пользователей с момента последнего события проверки подлинности для доступа на портал или запуска определенного приложения. Например, значение 8 в правиле веб-приложения означает, что после прохождения проверки подлинности пользователям не требуется повторная проверка подлинности в течение 8 часов.

Параметр правила политики Выполнить повторную проверку подлинности через не управляет сеансами приложения. Он определяет время, по истечении которого пользователи должны повторно пройти проверку подлинности.

Пользовательское сообщение об ошибке «Доступ запрещен»

Когда пользователи пытаются войти в систему, но им это не удается из-за неверных учетных данных, неправильных настроек или системной ошибки, выводится сообщение об отказе в доступе. По умолчанию отображается следующее сообщение: Доступ запрещен, так как не обнаружено допустимых методов проверки подлинности.

Можно создать настраиваемое сообщение об ошибке, которое переопределяет сообщение по умолчанию для каждого правила политики доступа. Настраиваемое сообщение может содержать текст и ссылку на сообщение с призывом к действию. Например, в правиле политики для предоставления доступа только зарегистрированным устройствам можно указать, что при попытке пользователя войти в систему с незарегистрированного устройства должно отображаться сообщение об ошибке следующего содержания. Зарегистрируйте свое устройство, чтобы получить доступ к корпоративным ресурсам. Для этого перейдите по ссылке в конце этого сообщения. Если устройство уже зарегистрировано, обратитесь за помощью в службу поддержки.