用戶端存取原則使用 Office 365 用戶端驗證認證來存取 Workspace ONE 部署中的 Office 365 應用程式。Office 365 用戶端 (例如 VMware Boxer、Microsoft Outlook、iOS 和 Android 原生電子郵件用戶端) 會在其使用者介面中收集認證以進行驗證。用戶端存取原則可讓 Workspace ONE Access 管理基於驗證用途所收集的認證。您也可使用用戶端存取原則來設定 Office 365 應用程式的其他存取參數。單一 Office 365 應用程式中設定的原則會套用至所有 Office 365 應用程式。對用戶端存取原則所做的任何編輯都會影響使用者存取這些應用程式的權限。

用戶端存取原則的順序

系統會由上而下依序實施原則,因此需排列用戶端存取原則的順序。系統會使用第一個原則來驗證用戶端或拒絕其用戶端存取。

例如,若您建立了一個拒絕所有裝置類型存取的原則,並將它拖曳到允許 Android 裝置存取的原則之上,系統就會拒絕嘗試以使用者名稱和密碼登入的所有裝置存取。系統不會實施允許 Android 裝置存取的原則,而是以拒絕存取的第一個原則為優先。

透過用戶端存取原則新增 Office 365 應用程式

您可以將 Office 365 應用程式新增到 Workspace ONE UEM console,以便透過用戶端存取原則來控制存取權限。
  1. 導覽至資源 > 應用程式 > SaaS,然後選取新增
  2. 定義標籤上完成選項。
    表 1.
    設定 描述
    搜尋 輸入 Office 365,查看可用應用程式清單。
    名稱 輸入或檢視 SaaS 應用程式的名稱。
    描述 (選擇性) 提供應用程式的描述。通常這個文字方塊會預先填入。
    圖示 (選擇性) 如果圖示沒有自動填入,請選擇一個圖示。
    類別 (選擇性) 指派類別以協助使用者排序和篩選 Workspace ONE 目錄中的應用程式。

    在 Workspace ONE Access 中設定類別,使其顯示在類別清單中。

  3. 配置標籤上完成選項。
    1. Office 365 應用程式會使用驗證類型WSFed 1.2來提供單一登入功能。
      設定 描述
      目標的URL 輸入 URL,將使用者導向至網際網路上的 SaaS 應用程式。
      單一登入 URL 輸入判斷消費者服務 (ACS) URL。

      Workspace ONE 會將此 URL 傳送至您的服務提供者,以進行單一登入。

      應用程式 ID 輸入可識別您的 Workspace ONE 之服務提供者租戶的 ID。Workspace ONE 會將 SAML 判斷傳送至 ID。

      一些服務提供者使用單一登入 URL

      使用者名稱格式 選取服務提供者需要的格式,以作為 SAML 主題格式。
      使用者名稱 Value 輸入 Workspace ONE 傳送到 SAML 判斷之主體運算式的「名稱 ID 值」。

      此數值是應用程式服務提供者為使用者名稱提供的預設設定檔文字方塊值。

    2. 新增應用程式參數的值以允許應用程式啟動。
    3. 如果要使用 Workspace ONE 在單一登入程序中更有效地控制傳訊,請新增 WSFed 1.2進階屬性
      設定 描述
      認證驗證 選取認證驗證的方式。
      簽名算法 選取符合摘要演算法的簽名算法。

      如果您的服務提供者支援 SHA256,請選取此演算法。

      摘要演算法 選取符合簽名算法的摘要演算法。

      如果您的服務提供者支援 SHA256,請選取此演算法。

      判斷時間 輸入 Workspace ONE 傳送給服務提供者判斷驗證有效的秒數。
      自訂屬性對應 如果您的服務提供者允許單一登入以外的自訂屬性,則新增這些屬性。
    4. 指派原則以使用存取原則,來保護登入應用程式資源。
      設定 描述
      存取原則 選取 Workspace ONE 會用於控制使用者驗證及存取的原則。

      如果您沒有自訂存取原則,可使用預設存取原則。

      您可以在 UEM 主控台中配置這些原則。

      在 VMware Browser 中開啟 要求 Workspace ONE 在 VMware 瀏覽器中開啟應用程式。

      如果您使用的是 VMware 瀏覽器,在瀏覽器內開啟 SaaS 應用程式可增添安全性。此動作可持續存取內部資源。

      需要授權核准 安裝應用程式和啟用授權前需取得核准。
      • 授權價格 - 選擇購買 SaaS 應用程式授權的計價模式。
      • 授權類型 - 選擇授權的使用者模式 (具名或同時使用者)。
      • 每份授權費用 - 輸入每份授權的價格。
      • 授權數量 - 輸入為 SaaS 應用程式購買的授權數量。

      在 SaaS 應用程式的設定區段中配置相應的核准

  4. 新增 Office 365 用戶端的用戶端存取原則。用戶端存取原則允許 Workspace ONE Access 管理基於驗證用途而收集的 Office 365 用戶端使用者介面認證。VMware Boxer 和 Microsoft Outlook 提供一些用戶端範例。選擇新增原則規則並完成設定。
    設定 描述
    如果使用者的用戶端是 選擇可用的 Office 365 用戶端。
    使用者的網路範圍是 選取之前在網路範圍程序中設定的網路範圍。
    使用者的裝置類型是 選擇允許存取的裝置平台。
    以及使用者屬於群組 依據此原則的準則,選取允許存取內容的使用者群組。

    如果您沒有選取任何群組,原則便適用於所有使用者。

    用戶端的電子郵件通訊協定是 選擇 Office 365 用戶端允許的通訊協定。
    然後執行此動作 允許或拒絕存取 Office 365 應用程式。
  5. 檢視 SaaS 應用程式的摘要並移至指派程序。

設定 Office 365 應用程式的佈建介面卡

佈建可從單一位置進行自動應用程式使用者管理。佈建介面卡可讓 Web 應用程式從 Workspace ONE UEM 服務擷取所需的特定資訊。如果為 Web 應用程式啟用了佈建功能,在 Workspace ONE UEM 服務中,將應用程式的使用權益授權給使用者時,會將該使用者佈建到 Web 應用程式中。 Workspace ONE UEM 服務目前包含適用於 Microsoft Office 365 的佈建介面卡。 Workspace ONE UEM 服務目前包含適用於 Microsoft Office 365 的佈建介面卡。完成下列步驟以配置 Office 365 的佈建介面卡。
  1. 導覽至資源 > 應用程式 > SaaS,然後選取新增
  2. 定義標籤中瀏覽找到 Office 365。完成設定定義標籤並選擇下一步
  3. 完成配置標籤中的文字方塊。
  4. 啟用設定佈建。佈建設定預設為停用。選擇設定佈建後,佈建使用者佈建群組佈建索引標籤就會新增到左側導覽窗格中。
  5. 新增 Office 365 用戶端的用戶端存取原則
  6. 佈建標籤中,選擇啟用佈建並輸入下列資訊。
    設定 描述
    Office 365 網域 輸入 Office 365 網域名稱。例如 example.com。系統會將使用者佈建在此網域之下。
    應用程式用戶端 ID 輸入建立服務主要使用者時取得的 AppPrincipalId。
    應用程式用戶端密碼 輸入為服務主要使用者建立的密碼。
  7. 使用授權進行佈建預設為停用。選擇使用授權進行佈建時,可輸入下列資訊。
    設定 描述
    SKU ID 輸入 SKU 資訊。
    解除佈建時移除授權 若想在解除佈建 Office 365 應用程式時移除授權,請選擇此選項。
  8. 若要確認可連線到 Office 365 租用戶,請選擇測試連線
  9. 點選下一步
  10. 使用者佈建索引標籤中,選取用於在 Office 365 中佈建使用者的屬性。確認下列必要 Active Directory 屬性已配置為使用者屬性頁面中的其中一個必要屬性名稱。
    • [郵件暱稱] 屬性必須是目錄中的獨特值,且不能包含任何特殊字元。將 [郵件暱稱] 屬性對應至使用者名稱。對應後即不得變更郵件暱稱。
    • objectGUID 屬性是自訂屬性,必須先新增到 [使用者屬性] 清單中。ObjectGUID 會對應至 GUID 屬性。
    • 若要新增屬性名稱,請選擇新增對應值
    備註:
    UserPrincipalName (UPN) 由系統自動建立。您不會看到對應值。佈建介面卡會將 Office 365 網域附加到 mailNickname 屬性值 (user.userName) 後面以建立 UPN。附加方式如下:使用者名稱 +@+ O365_domainname。例如 jdow@office365example.com
  11. 點選下一步
  12. 群組佈建畫面中,可完成群組佈建工作。將群組佈建到 Office 365 中時,該群組會佈建為安全性群組。群組的成員若不存在於 Office 365 租用戶中,便會佈建為使用者。佈建時群組不具有資源的使用權益。如果要授權群組使用資源,需先建立群組,再將資源的使用權益授權給該群組。選擇新增群組,然後完成下列步驟。
    1. 選擇群組文字方塊中,搜尋要在 Office 365 中佈建的群組。
    2. 郵件暱稱文字方塊中,輸入此群組的名稱。暱稱會作為別名使用。暱稱中不得包含特殊字元。
    3. 選取儲存
    您可解除佈建 Office 365 應用程式中的群組。安全性群組會從 Office 365 租用戶中移除。群組中的使用者會遭刪除。若要解除佈建群組,請選擇使用者群組,再選擇解除佈建
  13. 選擇下一步以檢視摘要標籤。
  14. 選擇 [儲存] 以儲存配置,或選擇儲存和指派,將 Office 365 部署到從 Active Directory 系統配置的使用者和群組。