適応型アクセス・ポリシーの作成

オンラインで編集

管理コンソール IBM® Verify からアダプティブアクセスポリシーを作成できます。

このタスクについて

注:FedRAMP はアダプティブ・アクセスをサポートしていません。 したがって、この機能は FedRAMP をご利用のお客様にはご利用いただけません。

手順

  1. IBM Verify 管理者として管理コンソールにログインしてください。
  2. ナビゲーションメニューから、 「セキュリティ 」>「 アクセスポリシー」 をクリックします。
    使用可能なポリシーが、名前と説明ごとに表にリストされます。 削除これらのアイコンは、ポリシーを削除できるかどうかを示しています。 鍵のアイコン ロック は、そのポリシーが事前設定されており、変更や削除ができないことを示しています。
  3. 「ポリシーを追加」 をクリックします。
  4. ポリシー名と、オプションでポリシーの説明を指定します。
  5. 「次へ」をクリックします。
  6. アダプティブ・アクセス 」の切り替えボタンをオンにします。
  7. (任意): リスクレベルごとにアクションを変更します。
    表 1. リスクレベルと是正措置
    表では、リスク・レベル、リスクの説明、デフォルト・アクション、および使用可能なアクションのリストが示されています。 非常に高いリスクのデフォルト・アクションは「ブロック」です。 高リスクのデフォルト・アクションは「常に MFA」です。 中リスクのデフォルト・アクションは「セッションごとに MFA」です。 低リスクのデフォルト・アクションは「許可」です。
    注: 各リスクレベルに対して表示されるアクションはデフォルトの設定であり、そのまま使用することも、必要に応じて変更することも可能です。
    リスク・レベル 説明 デフォルト・アクション 使用可能な修復アクション
    非常に高い 非常に高いリスクとして評価されたユーザーは、ビジネスにとって重大なリスクと見なす必要があります。 ユーザーが疑わしい行動をしていたか、あるいは使用しているデバイスが不明であるか、信頼できないか、マルウェアが含まれています。 ブロック
    ブロック (オーバーライド)
    ブロック・アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    MFA (オーバーライド)
    MFA アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    許可 (オーバーライド)
    許可アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    ブロック
    ユーザーによるアクセスは拒否されます。
    常に MFA
    同じセッション内であっても常に MFA を必要とします。
    セッションごとに MFA
    まだ行われていない場合は、MFA を強制します。
    許可
    ユーザーによるアクセスは認可されます。
    是正措置の詳細については、 「Adaptive Access のユーザーアクション」 を参照してください。
    MFA オプション
    多要素認証で使用できる 1 つ以上の方式を選択できます。
    • E メール OTP
    • FIDO2
    • SMS OTP
    • 時刻ベースの OTP
    • IBM Verify
    • 音声 OTP
    高リスクとして評価されたユーザーは、適応型アクセス対応アプリケーションへのアクセスを試みるたびに、自分の ID をビジネスに対して確認する必要があります。 この多要素認証により、アプリケーションにアクセスしているユーザーが実際に予期されるユーザーであることをビジネスで信頼できるようになります。 常に MFA
    中リスクとして評価されたユーザーは、セッションごとに 1 回、自分の ID を確認する必要があります。 この多要素認証により、初期アプリケーション認証時に、ユーザーが実際にログインしている本人であることが確認されます。 後続の認証要求では、第 2 レベルの認証は不要です。 セッションの有効期限が切れると、ユーザーは追加の認証を提供する必要があります。 セッションごとに MFA
    低リスクとして評価されたユーザーは、初期認証以外に、自分の ID に関する追加の洞察を提供する必要がありません。 アプリケーションに対する以降のアクセスはすべて許可されます。 現在の Verify セッションが期限切れになると、ユーザーは本人確認を再度行う必要があります。 アプリケーションへのアクセスが認可されます。 許可
  8. オプション: アクセスが制限されたり拒否されたりした際にユーザーに通知するように、ユーザー通知のトグルを有効にします。
    表 2. メール情報
    属性 説明 ユーザー・アクション
    ロケーション 要求の発信元の市区町村と国の名前 (使用可能な場合)。 このロケーションが、ユーザーが過去に認証した既知のロケーションであることを確認します。
    ブラウザー 要求元のブラウザーの名前とバージョン。 このブラウザーが、ユーザーによってアプリケーションへの認証に使用された既知のブラウザーであることを確認します。
    IP アドレス 要求元の IP アドレス。 可能であれば、IP アドレスが既知のものかどうかを確認します。
  9. 「次へ」をクリックします。
  10. (任意): ルールを追加します。
    「適応型アクセスポリシーのルール管理」 を参照してください。
  11. (任意): デフォルトルールのアクションを変更します。
    デフォルトのルールにある 編集 をクリックし、メニューからアクションを選択してください。 次に、 「保存」 をクリックします。
  12. 「保存」 をクリックします。
    ポリシーが使用可能なポリシーのリストに追加されて、管理コンソールとホーム・ページにアクセス・ポリシーを設定するときに選択できるようになります。

次の手順

ポリシー・ルールを管理します。 「適応型アクセスポリシーのルール管理」 を参照してください。