原則包含一或多個存取規則。每個規則皆包含一些設定,可供您設定用來管理整個 Workspace ONE 入口網站或特定 Web 和桌面平台應用程式的使用者存取權。
您可以將原則規則設定為根據不同的條件 (例如網路、裝置類型、AirWatch 裝置註冊和符合性狀態,或是正在存取的應用程式) 來執行封鎖、允許或升級驗證使用者等動作。您可以將群組新增至原則以管理特定群組的驗證。
網路範圍
對於每個規則,您均可透過指定網路範圍決定使用者基礎。網路範圍由一或多個 IP 範圍組成。您可以在設定存取原則集前,從 [身分識別與存取管理] 索引標籤的 [設定] > [網路範圍] 頁面建立網路範圍。
部署中的每個身分識別提供者執行個體連結網路範圍與驗證方法。設定原則規則時,請確定現有的身分識別提供者執行個體涵蓋了網路範圍。
您可以設定特定的網路範圍,藉以限制使用者可登入及存取應用程式。
裝置類型
選取規則管理的裝置類型。用戶端類型為 Web 瀏覽器、Workspace ONE 應用程式、iOS、Android、Windows 10、OS X 和所有裝置類型。
您可以透過設定規則來指定可存取內容的裝置類型,而來自該裝置類型的所有驗證要求都會使用原則規則。
新增群組
您可以根據使用者的群組成員資格套用不同的驗證原則。若要指派要透過特定驗證流程登入的使用者群組,您可以將群組新增至存取原則規則。群組可以是從企業目錄同步的群組,以及您在管理主控台中建立的本機群組。群組名稱在網域內必須是唯一的。
若要在存取原則規則中使用群組,請在 [身分識別與存取管理] > [喜好設定] 頁面中選取唯一識別碼。唯一識別碼屬性必須對應於 [使用者屬性] 頁面,且選取的屬性會同步至目錄。唯一識別碼可以是使用者名稱、電子郵件地址、UPN 或員工識別碼。請參閱使用唯一識別碼的登入體驗。
在存取原則規則中使用群組時,使用者的登入體驗將會變更。系統不會要求使用者選取其網域並輸入認證,而是會顯示一個頁面以提示使用者輸入其唯一識別碼。VMware Identity Manager會根據唯一識別碼在內部資料庫中尋找使用者,並顯示在該規則中設定的驗證頁面。
未選取群組時,存取原則規則會套用至所有使用者。如果您所設定的存取原則規則同時包含以群組為基礎的規則和適用於所有使用者的規則,請確定為所有使用者指定的規則為原則之 [原則規則] 區段中最後列出的規則。
驗證方法
在原則規則中,您可以設定驗證方法的套用順序。驗證方法會按照其列出的順序進行套用。系統會選取原則中第一個符合驗證方法和網路範圍組態的身分識別提供者執行個體。使用者驗證要求會轉送至身分識別提供者執行個體以進行驗證。如果驗證失敗,則會選取清單中的下一個驗證方法。
驗證工作階段長度
對於每個規則,您可以設定此驗證有效的小時數。在以下時間之後重新驗證值會決定使用者從上次驗證事件到存取其入口網站,或啟動特定應用程式之間所擁有的時間上限。例如,若 Web 應用程式規則中的值為 4,則會給予使用者四小時啟動 Web 應用程式,除非他們起始了延長時間的其他驗證事件。
自訂存取遭拒錯誤訊息
當使用嘗試登入,但因為認證無效、組態錯誤或系統錯誤導致登入失敗時,會顯示存取遭拒訊息。預設訊息為由於找不到有效的驗證方法,因此存取遭拒。
您可以為每項存取原則規則建立自訂錯誤訊息,這些訊息能覆寫預設訊息。自訂訊息可包含文字和叫用動作訊息的連結。例如,在您要管理之行動裝置的原則規則中,如果使用者嘗試從未註冊的裝置登入,您可以建立下列自訂錯誤訊息。按一下此訊息結尾處的連結可註冊您的裝置以存取公司資源。如果您已註冊裝置,請聯絡支援服務以尋求協助。