アクセス・ポリシーの例
グループと IP アドレスに基づくアクセス・ポリシーの例を次に示します。
単純なグループ・ポリシー
このポリシーは、ユーザーがmanagers と hr-managers の両方のグループのメンバーである場合に、アプリケーションへのアクセスを承認します。 その他すべてのユーザーは MFA を実行する必要があります。| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| グループ・メンバーシップ | is one of |
managers, hr-managers |
許可 |
| デフォルト | 常に MFA |
単純な IP ポリシー
このポリシーでは、ユーザーの IP アドレスが企業ネットワーク内にある場合に、アプリケーションへのアクセスが承認されます。 ユーザーの送信元が、ブロックリストに登録されている疑わしい IP アドレス範囲ではない場合、MFA を実行する必要があります。 その他すべてのユーザー (つまり、送信元が疑わしい IP アドレスである場合) はブロックされます。| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| ネットワークの場所 (IP) | is one of |
1.0.0.0/8 | 許可 |
| ネットワークの場所 (IP) | is none of |
1.2.3.4 - 1.2.3.255 | 常に MFA |
| デフォルト | ブロック |
地理位置情報とグループの拡張ポリシー
このポリシーでは、初回アクセス時、またはユーザーの場所が変更されたときにすべてのユーザーに MFA を求めるプロンプトを表示します。
ユーザーが場所を検証した後、ユーザーが
managers と hr-managers の両方のグループのメンバーである場合に、第 2 のルールがアプリケーションへのアクセスを承認します。注: 管理者が場所を変更した場合は、再度MFAを行う必要があります。
その他すべてのユーザーはアプリへのアクセスを拒否されます。
| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| 地理位置情報 | not verified |
常に MFA | |
| グループ・メンバーシップ | contains each of |
managers, hr-managers |
許可 |
| デフォルト | ブロック |