您可以建立存取原則規則,以指定使用者存取 Workspace ONE 工作區及其授權應用程式時所需符合的準則。您也可以建立應用程式特定的存取原則與規則,以管理使用者對於特定 Web 和桌面平台應用程式的存取。

網路範圍

您可以將網路位址指派給存取原則規則,以根據登入和存取應用程式所使用的 IP 位址來管理使用者存取。在以內部部署方式設定 Workspace ONE Access 服務時,您可以針對內部網路存取和外部網路存取設定網路 IP 位址的範圍。然後,您可以根據規則中設定的網路範圍建立不同的規則。

備註: 當設定 Workspace ONE Access 雲端服務的網路位址時,請指定用於存取內部網路的 Workspace ONE Access 承租人公用位址。

在設定存取原則規則之前,您可以從 [身分識別與存取管理] 索引標籤的 [管理] > [原則] > [網路範圍] 頁面設定網路範圍。

部署中的每個身分識別提供者執行個體已設定為連結網路範圍與驗證方法。設定原則規則時,請確定現有的身分識別提供者執行個體涵蓋了您選取的網路範圍。

裝置類型

存取原則規則會設定為管理用於存取入口網站和資源的裝置類型。

  • 所有裝置類型設定於所有存取案例所使用的原則規則中。
  • 網頁瀏覽器裝置類型設定於用來從任何網頁瀏覽器存取內容的原則規則中 (無論裝置硬體類型或作業系統為何)。
  • Workspace ONE 應用程式或 Hub 應用程式裝置類型設定於從裝置登入後,用來從 Workspace ONE 或 Workspace ONE Intelligent Hub 應用程式存取內容的原則規則中。
  • iOS 類型設定於用來從 iPhone 和 iPad 裝置存取內容的原則規則中。

    在 Workspace ONE Access 雲端承租人環境中,無論 Safari 設定中的要求桌面平台站台是否啟用,iOS 裝置類型都會符合 iPhone 和 iPad 裝置。

  • macOS 裝置類型會設定為從已設定 macOS 的裝置存取內容。

    對於內部部署環境,一併設定 macOS 裝置類型,以符合已在 Safari 設定中啟用要求桌面平台站台的 iPad 裝置。

  • (僅限雲端) iPad 裝置類型設定於用來從已設定 iPadOS 的 iPad 裝置存取內容的原則規則中。此規則可讓您識別 iPad,無論 Safari 設定中的要求桌面平台站台是否啟用。
    備註: 建立使用 iPad 裝置類型的存取原則規則時,iPad 裝置的規則必須列在使用 iOS 裝置類型的規則之前。否則,iOS 裝置類型的規則將會套用至要求存取的 iPad 裝置。這適用於使用 iPadOS 或更早版本 iOS 的 iPad。
  • Android 裝置類型會設定為從 Android 裝置存取內容。
  • Windows 10 裝置類型會設定為從 Windows 10 裝置存取內容。
  • Windows 10 註冊裝置類型。會設定為從 Workspace ONE UEM 服務所管理的 Windows 10 裝置存取內容,以存取具有受限存取權的 Web 應用程式。
  • 裝置註冊裝置類型會設定為需要裝置註冊。此規則會要求使用者在 iOS 或 Android 裝置上的 Workspace ONE Intelligent Hub 應用程式所提供的 Workspace ONE UEM 註冊程序中進行驗證。

[身分識別與存取管理] > [原則] 頁面中列出的規則順序,表示規則的套用順序。當裝置類型符合驗證方法時,系統會忽略後續的規則。如果裝置類型 Workspace ONE 應用程式規則不是原則清單中的第一個規則,則使用者無法延長登入 Workspace ONE 應用程式的時間。

新增群組

您可以根據使用者的群組成員資格套用不同的驗證規則。群組可以是從企業目錄同步的群組,以及您在 Workspace ONE Access 主控台中建立的本機群組。

當群組指派給存取原則規則時,系統會要求使用者輸入其唯一識別碼,接著要求根據存取原則規則來輸入驗證。請參閱《Workspace ONE Access 管理》指南中的〈使用唯一識別碼的登入體驗〉。依預設,唯一識別碼是使用者名稱。前往 [身分識別與存取管理] > [設定] > [喜好設定] 頁面,即可查看已設定的唯一識別碼值,或變更識別碼。

備註: 若未在規則中識別群組,則該規則將套用至所有使用者。當您設定包含群組規則和不包含群組規則的存取原則時,設定有群組之規則的順序必須高於未設定有群組的規則。

由規則管理的動作

您可以設定存取原則規則,以允許或拒絕存取工作區和資源。當原則設定為提供特定應用程式的存取權時,您也可以指定允許存取應用程式的動作,而無需進一步驗證。若要套用此動作,使用者需已準備好透過預設存取原則進行驗證。

您可以在套用至動作的規則中選擇性套用條件,例如要包含的網路、裝置類型和群組,以及裝置註冊和符合性狀態。採取拒絕存取動作時,使用者將無法從規則中設定的裝置類型和網路範圍來登入或啟動應用程式。

驗證方法

Workspace ONE Access 服務中設定的驗證方法會套用至存取原則規則。對於每個規則,您可以選取要使用的驗證方法,以驗證登入 Workspace ONE 或存取應用程式的使用者身分。您可以在規則中選取多個驗證方法。

驗證方法將按照在規則中列出的順序進行套用。系統會選取規則中第一個符合驗證方法和網路範圍組態的身分識別提供者執行個體。使用者驗證要求會轉送至身分識別提供者執行個體以進行驗證。如果驗證失敗,則會選取清單中的下一個驗證方法。

您可以在存取原則規則中設定驗證鏈結,以要求使用者必須透過多個驗證方法完成認證才能進行登入。系統會在單一規則中設定兩個驗證條件,而使用者必須正確回應這兩個驗證要求。例如,如果您將驗證設定為使用「密碼」和「VMware Verify」,則使用者必須輸入其密碼和 VMware Verify 密碼才能進行驗證。

您可以設定後援驗證,讓先前於驗證要求時失敗的使用者有機會重新登入。如果使用者無法使用驗證方法進行驗證,且已設定後援方法,則系統會提示使用者輸入其認證,以使用已設定的其他驗證方法。下列兩個案例說明此後援的運作方式。

  • 在第一個案例中,存取原則規則設定為需要使用者使用其密碼及 VMware Verify 密碼進行驗證。後援驗證設定為需要密碼和 RADIUS 認證,以進行驗證。使用者輸入正確的密碼,但輸入不正確的 VMware Verify 密碼。由於使用者輸入了正確的密碼,因此後援驗證要求僅針對 RADIUS 認證。使用者無需重新輸入密碼。
  • 在第二個案例中,存取原則規則設定為需要使用者使用其密碼及 VMware Verify 密碼進行驗證。後援驗證設定為需要 RSA SecurID 和 RADIUS 才能進行驗證。使用者輸入正確的密碼,但輸入不正確的 VMware Verify 密碼。後援驗證要求同時包含對 RSA SecurID 認證和 RADIUS 認證的要求才能以進行驗證。

若要設定需要對 Workspace ONE UEM 管理裝置進行驗證和裝置符合性驗證的存取原則規則,則必須在內建身分識別提供者頁面中啟用 [裝置符合性與 (AirWatch)]。請參閱 在 Workspace ONE Access 中為 Workspace ONE UEM 管理的裝置啟用符合性檢查。可和使用裝置符合性 (與 AirWatch) 之鏈結的內建身分識別提供者驗證方法為行動 SSO (適用於 iOS)、行動 SSO (適用於 Android) 或憑證 (雲端部署)。

VMware Verify 用於雙因素驗證時,VMware Verify 為驗證鏈結中的第二個驗證方法。必須在內建身分識別提供者頁面中啟用 VMware Verify。請參閱在 Workspace ONE Access 中設定適用於雙因素驗證的 VMware Verify

驗證工作階段長度

對於每個規則,您可以設定此驗證有效的小時數。在以下時間之後重新驗證值會決定使用者從上次驗證事件到存取其入口網站,或開啟特定應用程式之間所擁有的時間上限。例如,Web 應用程式規則中的值「8」表示完成驗證後,使用者在 8 小時內不需再次重新進行驗證。

原則規則設定在以下時間之後重新驗證不會控制應用程式工作階段。此設定可控制時間,之後使用者必須重新驗證。

自訂存取遭拒錯誤訊息

當使用者嘗試登入,但因為認證無效、組態錯誤或系統錯誤導致登入失敗時,會顯示存取遭拒訊息。預設訊息為由於找不到有效的驗證方法,因此存取遭拒

您可以建立自訂錯誤訊息,以覆寫每個存取原則規則的預設訊息。自訂訊息可包含文字和呼叫動作訊息的連結。例如,在限制存取已註冊裝置的原則規則中,如果使用者嘗試從未註冊的裝置登入,則您可以建立下列自訂錯誤訊息。按一下此訊息結尾處的連結可註冊您的裝置以存取公司資源。如果您已註冊裝置,請聯絡支援服務以尋求協助。