ポリシー・ルールの管理

ポリシーを作成するとき、またはポリシーを編集するときにポリシー・ルールを追加できます。

このタスクについて

における Verify ポリシーのルール評価は、評価順序に基づいて行われます。評価に成功した最初のルールが、要求に適用されるルールになります。ルールがリストされている順序は、ポリシーの結果にとって重要です。特定のビジネス・ユース・ケースに合わせてポリシーおよびそのルールを評価できるようにルールを順序付けることができます。 2.e を参照してください。

手順

ルールを追加します。

「ポリシーの追加」から、または既存のポリシーを編集して、「ルールの追加」ボタンに移動します。
「ルールを追加」をクリックします。
ルール名を入力します。
（任意）： ルールの説明を追加します。
「次へ」をクリックします。

条件タイプ、属性、演算子、値を選択します。

条件タイプを選択すると、メニュー内の演算子が、選択した条件タイプに従ってフィルタリングされます。

注：ネイティブアプリのポリシーの「最初にコンタクトするルール」では、以下の条件タイプが利用可能です。

ロケーション属性
- ネットワークの場所 (IP)
- 国
- 市区町村
OIDC/OAUTH コンテキスト
- client_type

表 1. 政策の選択肢
この表は、「条件のタイプ」属性をリストしています。条件は、適応型アクセス、OIDC/OAuth コンテキスト、カスタム属性、デバイス属性、ロケーション属性、およびユーザー属性によってソートされます。
条件のタイプ	操作	条件値
適応型アクセスこれらの属性は、ポリシーで適応型アクセスが選択されている場合に使用可能です。注：FedRAMP はアダプティブ・アクセスをサポートしていません。したがって、 FedRAMP をご利用のお客様は、これらおよびTrusteerの機能をご利用いただけません。
新規デバイス	次と一致次と等しくない	検出。
新しい地理位置情報	次と一致次と等しくない	検出。
デバイスの状況	次のいずれか次のいずれでもない	条件値を選択してください。
リスク・レベル	次のいずれか次のいずれでもない	条件値を選択してください。
デバイスでの最後の MFA	Less than Greater than	デバイスで MFA が実行されてからの日数。値は 1 日から 740 日までの範囲で指定できます。デフォルト設定は 90 日です。
高リスクのデバイス	次と一致次と等しくない	検出。
高リスクの接続	次と一致次と等しくない	検出。
国	次のいずれか次のいずれでもない	条件値を指定します。
市区町村	次のいずれか次のいずれでもない	条件値を指定します。
インターネット・サービス・プロバイダー	次のそれぞれを含む次のいずれか次のいずれでもない	条件値を指定します。
ネットワークの場所 (IP)	次のいずれか次のいずれでもない	条件値を指定します。
動作の異常	次と一致次と等しくない	検出。
OIDC/OAUTH コンテキスト
acr_values	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
claims	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
client_type	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
code_challenge_exist	次と一致次と等しくない	検出。
redirect_uri_scheme	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
request_type	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
response_method	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
response_mode	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
response_type	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
scope	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
カスタム属性
`追加した任意の属性`	次のそれぞれを含む次のいずれでもない次のいずれか属性の先頭属性の末尾属性が存在する (値なし)	条件値を指定します。
デバイス属性
新規デバイス	次と一致	検出。注：デバイスが新規であり、そのセッションでMFAが完了していない場合、ルールアクションは常にMFAが優先されます。
デバイスのプラットフォーム	次のいずれか次のいずれでもない	1 つ以上のプラットフォームを選択します。
デバイス・コンプライアンス	次のいずれか次のいずれでもない	1 つ以上のコンプライアンス状態を選択します。
ロケーション属性これらの属性は、ポリシーで適応型アクセスが選択されている場合は使用不可です。
ネットワークの場所 (IP)	次のいずれか次のいずれでもない	IP アドレスまたは IP アドレスのコンマ区切りリスト、IP 範囲、あるいはサブネット付きの IP アドレスを指定します。
位置履歴	次と一致次と等しくない	検証済み。
国	次のいずれか次のいずれでもない	以下の ISO 規格に基づいて、1 つの国、または 3 文字の国別コードのコンマ区切りリストを指定します。 https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3 を参照してください。
市区町村	次のいずれか次のいずれでもない	条件値を指定します。
ユーザー属性
グループ・メンバーシップ	次のそれぞれを含む次のいずれでもない次のいずれか	グループ、またはグループのコンマ区切りリストを指定します。注：カンマ区切りの Active Directory グループ名は、必ず二重引用符で囲む必要があります。例えば、以下のとおりです。`“cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.`
realmName	次のそれぞれを含む次のいずれでもない次のいずれか	レルムの名前を指定します。

（オプション） [条件を追加 ] を選択して、ポリシールールに条件の種類、属性、演算、および値をさらに追加します。
「次へ」を選択します。
ポリシーのアクションをメニューから選択します。
- 追加コンテンツを表示するには、こちらへ移動してください
- ブロック (オーバーライド)
- MFA (オーバーライド)
- 許可 (オーバーライド)
- ブロック
- 常に MFA
- セッションごとに MFA
- 許可
MFA アクションを選択する場合、MFA 方式も指定しなければなりません。使用可能な方法を選択するか、1つ以上の特定方法を選択してください。使用可能な選択肢は、テナントの構成内容によって異なります。例えば、以下のとおりです。
- E メール OTP
- FIDO2
- SMS OTP
- 時刻ベースの OTP
- IBM Verify アプリ
- 音声 OTP
「ルールを追加」を選択します。
ルール・タイプが、ポリシー・ルールのリストに追加されます。

ルールを編集または削除します。
1. ルールを変更したいポリシーを選択してください。
2. 「下書きを編集」を選択します。
3. [ポリシールール] セクションで、編集したいルールの [ ] をクリックします。
  ルール名を変更できます。条件を追加したり、既存の条件演算子や値を変更したり、ルールのアクションを変更したりできます。
4. 「次へ」を選択します。
5. オプション： 「ポリシールール」セクションでは、およびアイコンを使用して、ルールが評価される順序を指定できます。
  評価は降順に実行されます。デフォルトのルールは、常に順序の最後尾になります。
6. （任意） ：[ポリシールール] セクションで、[削除] アイコンをクリックしてルールを削除できます。
7. 「下書きとして保存」を選択してください。