您可以建立存取原則規則,以指定使用者存取 Workspace ONE Intelligent Hub 工作區及其授權應用程式時所需符合的準則。您也可以建立應用程式特定的存取原則與規則,以管理使用者對於特定 Web 和桌面平台應用程式的存取。
網路範圍
您可以將網路位址指派給存取原則規則,以根據登入和存取應用程式所使用的 IP 位址來管理使用者存取。在以內部部署方式設定 Workspace ONE Access 服務時,您可以針對內部網路存取和外部網路存取設定網路 IP 位址的範圍。然後,您可以根據規則中設定的網路範圍建立不同的規則。
在設定存取原則規則之前,您可以先從主控台的 [資源] > [原則] > [網路範圍] 頁面,來設定網路範圍。
部署中的每個身分識別提供者執行個體已設定為連結網路範圍與驗證方法。設定原則規則時,請確定現有的身分識別提供者執行個體涵蓋了您選取的網路範圍。
用來存取以下來源內容的裝置類型
設定存取原則規則時,您可以選取可用來存取 Workspace ONE Intelligent Hub 應用程式中內容的裝置類型。若在規則中選取裝置類型,您可以將使用者的裝置或裝置註冊狀態與提供最佳驗證體驗的存取原則規則進行比對。
- 所有裝置類型設定於所有存取案例所使用的原則規則中。
- Web 瀏覽器裝置類型設定於用來從任何 Web 瀏覽器存取內容的原則規則中 (無論裝置硬體類型或作業系統為何)。
- Workspace ONE Intelligent Hub 上的應用程式裝置類型設定於從裝置登入後,用來從 Workspace ONE Intelligent Hub 應用程式存取內容的原則規則中。
- iOS 裝置類型設定於用來從 iPhone 和 iPad 裝置存取內容的原則規則中。
在 Workspace ONE Access 雲端承租人環境中,無論 Safari 設定中的要求桌面平台站台是否啟用,iOS 裝置類型都會符合 iPhone 和 iPad 裝置。
- macOS 裝置類型會設定為從已設定 macOS 的裝置存取內容。
對於內部部署環境,一併設定 macOS 裝置類型,以符合已在 Safari 設定中啟用要求桌面平台站台的 iPad 裝置。
- (僅限雲端) iPad 裝置類型設定於用來從已設定 iPadOS 的 iPad 裝置存取內容的原則規則中。此規則可讓您識別 iPad,無論 Safari 設定中的要求桌面平台站台是否啟用。
備註: 建立使用 iPad 裝置類型的存取原則規則時,iPad 裝置的規則必須列在使用 iOS 裝置類型的規則之前。否則,iOS 裝置類型的規則將會套用至要求存取的 iPad 裝置。這適用於使用 iPadOS 或更早版本 iOS 的 iPad。
- Android 裝置類型會設定為從 Android 裝置存取內容。
- (僅限雲端) 將 Chrome OS 裝置類型設定為從使用 Chrome OS 作業系統的裝置存取內容。
- (僅限雲端) 將 Linux 裝置類型設定為從使用 Linux 作業系統的裝置存取內容。
- (僅限雲端) Windows 10+ 裝置類型會設定為從 Windows 10 和 Windows 11 裝置存取內容。所有 Windows 11 裝置 (包括桌面平台和行動裝置) 均支援此功能。
- Windows 10 註冊裝置類型會設定為當使用者使用全新體驗或透過 Windows 設定,將其裝置加入至 Azure AD 時啟用驗證。
- 裝置註冊裝置類型會設定為需要裝置註冊。此規則會要求使用者在 iOS 或 Android 裝置上的 Workspace ONE Intelligent Hub 應用程式所提供的 Workspace ONE UEM 註冊程序中進行驗證。
原則組態頁面中列出的規則順序表示規則的套用順序。當裝置類型符合驗證方法時,系統會忽略後續的規則。如果 Workspace ONE Intelligent Hub 上的應用程式裝置類型規則不是原則清單中的第一個規則,則使用者無法延長登入 Workspace ONE Intelligent Hub 應用程式的時間。
新增群組
您可以根據使用者的群組成員資格套用不同的驗證規則。群組可以是從企業目錄同步的群組,以及您在 Workspace ONE Access 主控台中建立的本機群組。
當群組指派給存取原則規則時,系統會要求使用者輸入其唯一識別碼,接著要求根據存取原則規則來輸入驗證。請參閱《Workspace ONE Access 管理》指南中的〈使用唯一識別碼的登入體驗〉。依預設,唯一識別碼是使用者名稱。前往 [設定] > [登入喜好設定] 頁面,即可查看已設定的唯一識別碼值,或變更識別碼。
由規則管理的動作
您可以設定存取原則規則,以允許或拒絕存取工作區和資源。當原則設定為提供特定應用程式的存取權時,您也可以指定允許存取應用程式的動作,而無需進一步驗證。若要套用此動作,使用者需已準備好透過預設存取原則進行驗證。
您可以在套用至動作的規則中選擇性套用條件,例如要包含的網路、裝置類型和群組,以及裝置註冊和符合性狀態。採取拒絕存取動作時,使用者將無法從規則中設定的裝置類型和網路範圍來登入或啟動應用程式。
驗證方法
Workspace ONE Access 服務中設定的驗證方法會套用至存取原則規則。對於每個規則,您可以選取要使用的驗證方法,以驗證登入 Workspace ONE Intelligent Hub 應用程式或存取應用程式的使用者身分。您可以在規則中選取多個驗證方法。
驗證方法將按照在規則中列出的順序進行套用。系統會選取規則中第一個符合驗證方法和網路範圍組態的身分識別提供者執行個體。使用者驗證要求會轉送至身分識別提供者執行個體以進行驗證。如果驗證失敗,則會選取清單中的下一個驗證方法。
您可以在存取原則規則中設定驗證鏈結,以要求使用者必須透過多個驗證方法完成認證才能進行登入。系統會在單一規則中設定兩個驗證條件,而使用者必須正確回應這兩個驗證要求。例如,如果您將驗證設定為使用「密碼」和「Duo 安全性」,則使用者必須輸入其密碼並回應「Duo 安全性」要求才能進行驗證。
如果需要多個驗證條件,可以將規則設定為包含替代驗證方法,以便使用者可以從中進行選擇。例如,如果您選擇 [密碼] 作為主要驗證方法,並提供 [FIDO 權杖] 或 [Verify (Intelligent Hub)] 作為可選用的第二個因素驗證方法,則使用者需要輸入密碼,然後從登入頁面選項中選取他們偏好的驗證方法。
您可以設定後援驗證,讓先前於驗證要求時失敗的使用者有機會重新登入。如果使用者無法使用驗證方法進行驗證,且已設定後援方法,則系統會提示使用者輸入其認證,以使用已設定的其他驗證方法。下列兩個案例說明此後援的運作方式。
- 在第一個案例中,存取原則規則設定為需要使用者使用其密碼及「Duo 安全性」進行驗證。後援驗證設定為需要密碼和 RADIUS 認證,以進行驗證。使用者可輸入正確的密碼,但無法輸入正確的 Duo 安全性回應。由於使用者輸入了正確的密碼,因此後援驗證要求僅針對 RADIUS 認證。使用者無需再次輸入密碼。
- 在第二個案例中,存取原則規則設定為需要使用者使用其密碼及 Duo 安全性回應進行驗證。後援驗證設定為需要 RSA SecurID 和 RADIUS 才能進行驗證。使用者可輸入正確的密碼,但無法輸入正確的 Duo 安全性回應。後援驗證要求同時包含對 RSA SecurID 認證和 RADIUS 認證的要求才能以進行驗證。
若要設定需要對 Workspace ONE UEM 管理裝置進行驗證和裝置符合性驗證的存取原則規則,則必須在內建身分識別提供者頁面中啟用 [裝置符合性與 (Workspace ONE UEM)]。請參閱在 Workspace ONE Access 中為 Workspace ONE UEM 管理的裝置啟用符合性檢查。可和使用裝置符合性 (與 Workspace ONE UEM) 之鏈結的內建身分識別提供者驗證方法為行動 SSO (適用於 iOS)、行動 SSO (適用於 Android) 或憑證 (雲端部署)。
驗證工作階段長度
對於每個規則,您可以設定此驗證有效的小時數。在以下時間之後重新驗證值會決定使用者從上次驗證事件到存取其入口網站,或開啟特定應用程式之間所擁有的時間上限。例如,Web 應用程式規則中的值「8」表示完成驗證後,使用者在 8 小時內不需再次重新進行驗證。
原則規則設定在以下時間之後重新驗證不會控制應用程式工作階段。此設定可控制時間,之後使用者必須重新驗證。
自訂存取遭拒錯誤訊息
當使用者嘗試登入,但因為認證無效、組態錯誤或系統錯誤導致登入失敗時,會顯示存取遭拒訊息。預設訊息為由於找不到有效的驗證方法,因此存取遭拒。
您可以建立自訂錯誤訊息,以覆寫每個存取原則規則的預設訊息。自訂訊息可包含文字和呼叫動作訊息的連結。例如,在限制存取已註冊裝置的原則規則中,如果使用者嘗試從未註冊的裝置登入,則您可以建立下列自訂錯誤訊息。按一下此訊息結尾處的連結可註冊您的裝置以存取公司資源。如果您已註冊裝置,請聯絡支援服務以尋求協助。