若要能夠安全地存取使用者的 Workspace ONE 應用程式入口網站並啟動 Web 和桌面平台應用程式,您需要設定存取原則。存取原則所包含的規則可用來指定要登入應用程式入口網站並使用資源所需符合的條件。

存取原則可讓管理員設定如下的功能:行動單一登入,根據註冊、符合性狀態、升級和多重要素驗證的應用程式條件式存取。

原則規則會將提出要求的 IP 位址對應至網路範圍並指定使用者可用來登入的裝置類型。規則可定義驗證方法以及驗證的有效時數。您可以選取一或多個要與存取規則建立關聯的群組。

可供使用的組態選項範圍相當廣泛,但此快速入門指南將說明企業行動力所管理和未管理的應用程式存取層。

當您執行「設定行動單一登入」精靈時,系統會設定預設存取原則,以允許存取所有已設定的裝置類型。此原則會視為未受管理的裝置所能存取之應用程式的層級 1 存取。

您可以為應用程式建立原則,以限制僅有受管理的合規裝置才能存取。為了達成此體驗,VMware Identity Manager 提供了各種內建驗證配接器。設定行動單一登入時,即會啟用這些驗證方法。

  • 行動 SSO (適用於 iOS)。iOS 裝置的 Kerberos 型配接器

  • 行動 SSO (適用於 Android)。特別針對 Android 的憑證驗證而量身打造的實作方式

  • 憑證 (雲端部署)。以網頁瀏覽器和桌面平台裝置為目標的憑證驗證服務

  • 密碼。使用 VMware Enterprise Systems Connector 的兩個元件一併部署 VMware Identity Manager 和 AirWatch 時,允許對單一連接器進行目錄密碼驗證

  • 密碼 (AirWatch Connector)。僅使用 ACC 一併部署 VMware Identity Manager 和 AirWatch 時,允許對單一連接器進行目錄密碼驗證

  • 裝置符合性 (針對 AirWatch)。評估受管理裝置的健全狀況,這會導致通過或未通過 AirWatch 所定義的準則。符合性可以與密碼以外的任何其他內建配接器鏈結

未受管理裝置的層級 1 預設存取原則

使用預設存取原則作為存取所有應用程式的基準 L1 原則。設定行動單一登入後,即會建立 iOS、Android 和 Windows 10 裝置的存取規則。每個裝置會啟用使用各自專屬驗證方法的單一登入。在每項規則中,遞補方法皆為密碼。此設定不僅提供管理裝置的最佳體驗,也可提供未受管理裝置的手動登入選項。

預設原則已設定為允許存取所有網路範圍。工作階段逾時為八小時。

您可能會想要透過 VMware Verify 或其他多重要素驗證,進一步確保未受管理裝置的存取安全性。

圖表 1. 未受管理裝置的預設原則範例

使用行動單一登入精靈設定行動 SSO 時,預設存取原則規則會反映此存取控制的層級。

為受管理的裝置設定層級 2 原則

如果您的組織部署了包含機密資料的應用程式,則可以限制僅 MDM 管理的裝置可以存取這些應用程式。受管理的裝置可在必要時進行追蹤和抹除,且企業資料會在裝置取消註冊時移除。

若要對選取的應用程式強制執行此管理的需求,則可以為這些應用程式建立應用程式特定原則。建立原則時,您可以在套用到區段中選取要套用此原則的應用程式。

請為部署中的每個裝置平台分別建立一個原則規則。定義正確的 SSO 驗證方法。不過,由於未受管理的裝置不應存取這些應用程式,因此請勿定義遞補驗證方法。例如,如果未受管理的 iOS 裝置嘗試連線至設定為僅供受管理裝置存取的應用程式,該裝置將不會以適當的 Kerberos 包裝憑證回應。驗證嘗試會失敗,且使用者無法存取內容。

圖表 2. 受管理裝置的層級 2 存取原則範例