アクセス・ポリシーの例
グループと IP アドレスに基づくアクセス・ポリシーの例を次に示します。
単純なグループ・ポリシー
このポリシーは、ユーザーがmanagers グループと hr-managers グループの 両方 のメンバーである場合に、アプリケーションへのアクセスを承認します。 その他すべてのユーザーは MFA を実行する必要があります。| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| グループ・メンバーシップ | Group(s) must exist in subject attributes. |
managers, hr-managers |
許可 |
| デフォルト | 常に MFA |
単純な IP ポリシー
このポリシーでは、ユーザーの IP アドレスが企業ネットワーク内にある場合に、アプリケーションへのアクセスが承認されます。 ユーザーの送信元が、ブロックリストに登録されている疑わしい IP アドレス範囲ではない場合、MFA を実行する必要があります。 その他すべてのユーザー (つまり、送信元が疑わしい IP アドレスである場合) はブロックされます。| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| ネットワークの場所 (IP) | one of |
1.0.0.0/8 | 許可 |
| ネットワークの場所 (IP) | none of |
1.2.3.4 - 1.2.3.255 | 常に MFA |
| デフォルト | ブロック |
地理位置情報とグループの拡張ポリシー
このポリシーでは、初回アクセス時、またはユーザーの場所が変更されたときにすべてのユーザーに MFA を求めるプロンプトを表示します。
ユーザーがロケーションを確認した後、そのユーザーが
managers グループと hr-managers グループの両方のメンバーである場合は、2 番目のルールによってアプリケーションへのアクセスが承認されます。注: マネージャーがロケーションを変更した場合は、別の MFA を実行する必要があります。
その他すべてのユーザーはアプリへのアクセスを拒否されます。
| タイプ | 操作 | 条件 | アクション |
|---|---|---|---|
| 地理位置情報 | not verified |
常に MFA | |
| グループ・メンバーシップ | Group(s) must exist in subject attributes. |
managers, hr-managers |
許可 |
| デフォルト | ブロック |