访问策略示例
以下是基于组或 IP 地址的访问策略示例。
简单组策略
如果用户同时是managers 和 hr-managers 组的成员,那么此策略核准访问应用程序。 所有其他用户必须执行 MFA。| 类型 | 操作 | 条件 | 操作 |
|---|---|---|---|
| 组成员资格 | Group(s) must exist in subject attributes. |
managers, hr-managers |
允许 |
| 缺省值 | 始终使用 MFA |
简单 IP 策略
如果用户的 IP 地址在公司网络内,那么此策略核准访问应用程序。 如果用户不是来自阻止列表列出的可疑 IP 地址范围,那么他们需要执行 MFA。 所有其他用户(即来自可疑 IP 地址)都将被阻止。| 类型 | 操作 | 条件 | 操作 |
|---|---|---|---|
| 网络位置 (IP) | one of |
1.0.0.0/8 | 允许 |
| 网络位置 (IP) | none of |
1.2.3.4 - 1.2.3.255 | 始终使用 MFA |
| 缺省值 | 阻止 |
高级地理定位和组策略
此策略会在用户首次访问或更改用户位置时提示所有用户使用 MFA。
在用户验证位置后,如果用户同时是
managers 和 hr-managers 组的成员,那么第二条规则会核准访问应用程序。注意: 如果管理员更换了所在位置,则必须重新进行多因素身份验证。
所有其他用户都将被拒绝访问应用程序。
| 类型 | 操作 | 条件 | 操作 |
|---|---|---|---|
| 地理位置 | not verified |
始终使用 MFA | |
| 组成员资格 | Group(s) must exist in subject attributes. |
managers, hr-managers |
允许 |
| 缺省值 | 阻止 |