アクセス・ポリシーの例
グループと IP アドレスに基づくアクセス・ポリシーの例を次に示します。
単純なグループ・ポリシー
このポリシーでは、ユーザーが グループとhr-managers グループ managers の両方のメンバーである場合に、アプリケーションへのアクセスを許可します。 その他すべてのユーザーは MFA を実行する必要があります。| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| グループ・メンバーシップ | Group(s) must exist in subject attributes. |
managers, hr-managers |
許可 |
| デフォルト | 常に MFA |
単純な IP ポリシー
このポリシーでは、ユーザーの IP アドレスが企業ネットワーク内にある場合に、アプリケーションへのアクセスが承認されます。 ユーザーの送信元が、ブロックリストに登録されている疑わしい IP アドレス範囲ではない場合、MFA を実行する必要があります。 その他すべてのユーザー (つまり、送信元が疑わしい IP アドレスである場合) はブロックされます。| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| ネットワークの場所 (IP) | one of |
1.0.0.0/8 | 許可 |
| ネットワークの場所 (IP) | none of |
1.2.3.4 - 1.2.3.255 | 常に MFA |
| デフォルト | ブロック |
地理位置情報とグループの拡張ポリシー
このポリシーでは、初回アクセス時、またはユーザーの場所が変更されたときにすべてのユーザーに MFA を求めるプロンプトを表示します。
ユーザーが場所を確認した後、2つ目のルールにより、ユーザーがグループと
hr-managers グループの両 managers 方のメンバーである場合に、アプリケーションへのアクセスが許可されます。注: 管理者が場所を変更した場合は、再度MFAを行う必要があります。
その他すべてのユーザーはアプリへのアクセスを拒否されます。
| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| 地理位置情報 | not verified |
常に MFA | |
| グループ・メンバーシップ | Group(s) must exist in subject attributes. |
managers, hr-managers |
許可 |
| デフォルト | ブロック |