アクセス・ポリシーの管理

オンラインで編集

アクセス・ポリシーと、アクセス・ポリシーのルールの作成、変更、または削除を実行できます。

手順

  1. [セキュリティ ] > [アクセスポリシー] を選択します
    使用可能なポリシーが、名前と説明ごとに表にリストされます。 削除アイコンは、ポリシーを編集 編集 できるか、または削除できるかを示しています。 鍵のアイコン ロック は、そのポリシーが事前設定されており、変更や削除ができないことを示しています。
  2. ポリシーを追加します。
    1. 「ポリシーの追加」 を選択します。
    2. ポリシー名と、ポリシーの説明を指定します。
    3. 「次へ」 を選択します。
    4. ポリシー・タイプを選択します。
      連携されたサインオン・ポリシー
      これらのポリシーは、ユーザー認証の実行後に評価されるルールを設定します。 連携されたサインオン・ポリシーでは、最初の連絡先ルールを使用できません。 手順 f と手順 g を飛ばしてください。
      ネイティブ Web アプリケーション・ポリシー
      ネイティブ Web アプリケーション・ポリシーには、認証のさまざまなフェーズを対象とした認証前ルールと認証後ルールがあります。

      ネイティブ Web アプリケーション・ポリシーの第 1 要素ルール (認証前ルール) には、チャレンジまたはブロックという複数の結果アクションがあります。 実際のユーザーが不明であるため、ルールの属性は限定されます (IP やロケーションなど)。 ネイティブ Web アプリケーション・ポリシーの第 2 要素ルールおよび認証後ルールは、使用可能な属性とアクションが、連携されたサインオン・ポリシー・ルールと同じです。

      ネイティブ・モバイル・アプリケーション・ポリシー
      モバイル・ネイティブ・アプリケーション・ポリシーには、認証のさまざまなフェーズを対象とした認証前ルールと認証後ルールがあります。

      ネイティブ・モバイル・アプリケーション・ポリシーの第 1 要素ルール (認証前ルール) には、チャレンジまたはブロックという複数の結果アクションがあります。 実際のユーザーが不明であるため、ルールの属性は限定されます (OIDC/OAuth コンテキストやロケーション属性など)。 ネイティブ・モバイル・アプリケーション・ポリシーの第 2 要素ルールおよび認証後ルールは、使用可能な属性とアクションが、連携されたサインオン・ポリシー・ルールと同じです。

      ネイティブ・カスタム・アプリケーション・ポリシー
      ネイティブ・カスタム・アプリケーション・ポリシーには、認証のさまざまなフェーズを対象とした認証前ルールと認証後ルールがあります。 ただし、ネイティブの Web ポリシーおよびモバイル・ポリシーとは異なり、適応型アクセス・オプションは提供されません。 ステップ h はスキップしてください。

      ネイティブ・カスタム・アプリケーション・ポリシーの第 1 要素ルール (認証前ルール) には、チャレンジまたはブロックという複数の結果アクションがあります。 実際のユーザーが不明であるため、ルールの属性は限定されます (OIDC/OAuth コンテキストやロケーション属性など)。 ネイティブ・カスタム・アプリケーション・ポリシーの第 2 要素ルールおよび認証後ルールは、使用可能な属性とアクションが、連携されたサインオン・ポリシー・ルールと同じです。

    5. 「次へ」 を選択します。
    6. 認証前の最初の連絡先ルールを作成します。
      このオプションは、ネイティブ・アプリケーション・ポリシーでのみ使用できます。 デフォルトのルールを編集することも、認証前ルールを追加作成することもできます。 ールの作成方法については、「ポリシールールの管理」を参照してください。
      注: デフォルトルールのアクションおよびMFAオプションを変更するには、[ 編集 ] を選択してください。 オーバーフローメニューのアイコン メニュー を使用すると、ルールが評価される順序を指定できます。
    7. 「次へ」 を選択します。
    8. 適応型アクセスを使用可能にするかどうかを選択します。
      注: このオプションは、ネイティブのカスタムアプリポリシーでは利用できません。
      各レベルのリスクに対して実行するアクションを選択できます。 MFA アクションについては、以下の 1 つ以上の方式を選択できます。
      • E メール OTP
      • FIDO2
      • SMS OTP
      • 時刻ベースの OTP
      • IBM Verify
      • 音声 OTP
      「適応型アクセスの管理」 を参照してください。
    9. 「次へ」 を選択します。
    10. 再認証を有効にするかどうかを選択します。
      これを有効にした場合、
      • ユーザーのデバイスごとに再認証を適用するかどうかを指定できます。
      • 認証の有効期間を選択します。 この期間を過ぎると、ユーザーは再び認証を行う必要があります。 デフォルトの設定は 8 時間です。
    11. 「次へ」 を選択します。
    12. 任意: ルールを追加する。 「ポリシールールの管理」 を参照してください。
      これらのルールはユーザー認証後に適用されます。
      注: デフォルトルールの動作を変更するには、[ 編集 ] を選択してください。 オーバーフローメニューのアイコン メニュー を使用すると、ルールが評価される順序を指定できます。
    13. 「次へ」 を選択します。
    14. 「保存」 を選択します。
      ポリシーが使用可能なポリシーのリストに追加されて、管理コンソールとホーム・ページにアクセス・ポリシーを設定するときに選択できるようになります。
  3. ポリシーを編集します。
    ルールの追加、ルールの削除、デフォルトのルール・アクションの変更、ルール評価の順序の変更を実行できます。
    1. 編集ポリシーを選択し、編集アイコンを選択します。
    2. (任意): ポリシーの名前または説明を変更します。
    3. オプション: フェデレーテッド サインオン ポリシーについては、Adaptive Access を有効または無効にすることができます。
    4. ネイティブ・アプリケーション・ポリシーでは、認証前ルールを追加または編集できます。
    5. 再認証を有効または無効にし、検証設定を変更します。
    6. (任意): ルールを追加または編集します。
      注: フェデレーテッド サインオン ポリシーについては、ユーザー認証後のみに適用されるルールを追加または編集できます。 ネイティブ・アプリケーション・ポリシーでは、ユーザー認証前およびユーザー認証後のルールを追加または編集できます。
    7. (オプション): オーバーフローメニューのアイコンメニュー を使用して、ルールの評価順序を指定します。
      評価は降順に実行されます。 デフォルトのルールは、常に順序の最後尾になります。
    8. (任意): アイコン 編集 を選択して、ルールを変更または削除します。
      「ポリシールールの管理」 を参照してください。
    9. 「保存」 を選択します。
    10. 「完了」 を選択します。
  4. ポリシーを削除します。
    注: 一度削除されたポリシーは復元できません。 ポリシーが再び必要になった場合は、手動で再作成する必要があります。
    1. 削除ポリシーを選択し、削除アイコンをクリックします。
    2. ポリシーを削除することを確認します。
      ポリシーが使用可能なポリシーのリストから削除されて、管理コンソールとホーム・ページにアクセス・ポリシーとして設定できなくなります。