適応型アクセス・ポリシーの作成

オンラインで編集

IBM® Verify 管理コンソールから適応型アクセス・ポリシーを作成できます。

このタスクについて

注: FedRAMP はアダプティブ・アクセスをサポートしていません。 したがって、この機能は FedRAMP。

手順

  1. IBM Verify 管理コンソールに管理者としてログインします。
  2. ナビゲーションメニューから、 [セキュリティ ] > [アクセスポリシー] をクリックします。
    使用可能なポリシーが、名前と説明ごとに表にリストされます。 アイコンはポリシーが削除可能 削除かどうかを示します。 ロックアイコンは、ポリシーが事前設定 ロック されており、変更または削除できないことを示します。
  3. 「ポリシーの追加」をクリックします。
  4. ポリシー名と、オプションでポリシーの説明を指定します。
  5. 「次へ」をクリックします。
  6. 「適応型アクセス (Adaptive Access)」 トグル・ボタンを有効にします。
  7. オプション: 各リスクレベルに対する対応を変更する。
    表 1. リスクレベルと是正措置
    表では、リスク・レベル、リスクの説明、デフォルト・アクション、および使用可能なアクションのリストが示されています。 非常に高いリスクのデフォルト・アクションは「ブロック」です。 高リスクのデフォルト・アクションは「常に MFA」です。 中リスクのデフォルト・アクションは「セッションごとに MFA」です。 低リスクのデフォルト・アクションは「許可」です。
    注: 各リスクレベルに表示されるアクションはデフォルトのアクションであり、そのまま使用することも、必要に応じて変更することもできます。
    リスク・レベル 説明 デフォルト・アクション 使用可能な修復アクション
    非常に高い 非常に高いリスクとして評価されたユーザーは、ビジネスにとって重大なリスクと見なす必要があります。 ユーザーが疑わしい行動をしていたか、あるいは使用しているデバイスが不明であるか、信頼できないか、マルウェアが含まれています。 ブロック
    ブロック (オーバーライド)
    ブロック・アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    MFA (オーバーライド)
    MFA アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    許可 (オーバーライド)
    許可アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    ブロック
    ユーザーによるアクセスは拒否されます。
    常に MFA
    同じセッション内であっても常に MFA を必要とします。
    セッションごとに MFA
    まだ行われていない場合は、MFA を強制します。
    許可
    ユーザーによるアクセスは認可されます。
    修復アクションの詳細については、 「Adaptive Access ユーザーアクション」 を参照してください。
    MFA オプション
    多要素認証で使用できる 1 つ以上の方式を選択できます。
    • E メール OTP
    • FIDO2
    • SMS OTP
    • 時刻ベースの OTP
    • IBM Verify
    • 音声 OTP
    高リスクとして評価されたユーザーは、適応型アクセス対応アプリケーションへのアクセスを試みるたびに、自分の ID をビジネスに対して確認する必要があります。 この多要素認証により、アプリケーションにアクセスしているユーザーが実際に予期されるユーザーであることをビジネスで信頼できるようになります。 常に MFA
    中リスクとして評価されたユーザーは、セッションごとに 1 回、自分の ID を確認する必要があります。 この多要素認証により、初期アプリケーション認証時に、ユーザーが実際にログインしている本人であることが確認されます。 後続の認証要求では、第 2 レベルの認証は不要です。 セッションの有効期限が切れると、ユーザーは追加の認証を提供する必要があります。 セッションごとに MFA
    低リスクとして評価されたユーザーは、初期認証以外に、自分の ID に関する追加の洞察を提供する必要がありません。 アプリケーションに対する以降のアクセスはすべて許可されます。 現在の Verify セッションの有効期限が切れると、ユーザーは自分の ID を再確認する必要があります。 アプリケーションへのアクセスが認可されます。 許可
  8. オプション: アクセスが拒否されたり、確認を求められたりした際にユーザーに通知する通知トグルを有効にします。
    表 2. メール情報
    属性 説明 ユーザー・アクション
    場所 要求の発信元の市区町村と国の名前 (使用可能な場合)。 このロケーションが、ユーザーが過去に認証した既知のロケーションであることを確認します。
    ブラウザー 要求元のブラウザーの名前とバージョン。 このブラウザーが、ユーザーによってアプリケーションへの認証に使用された既知のブラウザーであることを確認します。
    IP アドレス 要求元の IP アドレス。 可能であれば、IP アドレスが既知のものかどうかを確認します。
  9. 「次へ」をクリックします。
  10. オプション: ルールを追加する。
    適応型アクセスポリシールールの管理を参照してください。
  11. オプション: フォルトルールのアクションを変更する。
    デフォル 編集 トルールをクリックし、メニューからアクションを選択してください。 次に、 「保存」をクリックします。
  12. 「保存」をクリックします。
    ポリシーが使用可能なポリシーのリストに追加されて、管理コンソールとホーム・ページにアクセス・ポリシーを設定するときに選択できるようになります。

次の手順

ポリシー・ルールを管理します。 適応型アクセスポリシールールの管理を参照してください。