Embed Size (px)
Citation preview
Guide de démarragerapide de VMwareWorkspace ONESeptembre 2017VMware Identity Manager 3.0VMware AirWatch 9.2
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 2
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
https://docs.vmware.com/fr/
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
Copyright © 2018 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware, Inc.100-101 Quartier Boieldieu92042 Paris La DéfenseFrancewww.vmware.com/fr
Table des matières
À propos du démarrage de Workspace ONE 4
1 Utilisation de l'assistant Démarrage de Workspace ONE 5
Configurer Enterprise System Connector 6
Configuration de l'authentification unique mobile 9
Configurer le catalogue de Workspace ONE 14
2 Gestion des stratégies d'accès à appliquer aux utilisateurs 16
VMware, Inc. 3
À propos du démarrage de WorkspaceONE
Le Guide de démarrage rapide de VMware Workspace ONE vous explique comment utiliser lesassistants de démarrage de VMware Workspace ONE™ dans la console d'administration d'AirWatch.
Ce guide explique comment déployer des fonctionnalités clés de Workspace ONE, notamment laconfiguration de l'authentification unique (SSO), de l'accès conditionnel et des stratégies.
Public concernéCes informations s'adressent aux administrateurs qui déploient Workspace ONE pour l'authentificationunique mobile et la gestion des périphériques. Les informations sont destinées aux administrateursWindows ou Linux expérimentés qui connaissent bien le fonctionnement des centres de données et de latechnologie des machines virtuelles.
VMware, Inc. 4
Utilisation de l'assistantDémarrage de Workspace ONE 1Les pages Démarrage de Workspace ONE comportent les assistants de configuration des composantsrequis pour configurer Workspace ONE, configurer l'authentification unique mobile, configurer lecatalogue de Workspace ONE et ajouter des applications pour une gestion adaptative.
Exécutez les assistants dans l'ordre suivant pour configurer Workspace ONE.
n Enterprise Connector & Directory. Le service VMware Enterprise Systems Connector est installé etActive Directory est configuré pour importer des utilisateurs et des groupes depuis l'annuaire de votreentreprise vers Workspace ONE.
n Authentification unique mobile. L'authentification unique mobile est configurée pour autoriser lesutilisateurs à se connecter automatiquement à Workspace ONE et à sélectionner des applicationsmobiles activées pour eux.
n Catalogue Workspace ONE. Le catalogue d'applications est activé dans AirWatch et vous pouvezpersonnaliser les couleurs et ajouter votre logo aux pages de Workspace ONE qui s'affichent.
Figure 1‑1. Assistants Démarrage de Workspace ONE
VMware, Inc. 5
Le service Apple Push Notification service (APNs) est le protocole de messagerie créé par Apple pourgérer les périphériques mobiles. Il nécessite que le fournisseur MDM dispose d'un certificat APNs valideconfiguré. La configuration d'APN est une condition préalable à la gestion des périphériques iOS. Pourconfigurer une connexion push sécurisée depuis Apple, consultez le guide Génération et renouvellementd'un certificat APNS sur resources.air-watch.com.
Pour configurer la découverte automatique, suivez les instructions sur la page de configurationDécouverte automatique. Il n'est pas nécessaire de configurer la découverte automatique pour configureret utiliser Workspace ONE.
L'assistant Démarrage peut vous alerter si des configurations existantes potentiellement en conflit sontdéjà activées dans AirWatch ou dans le service VMware Identity Manager. Si cela se produit, ou sil'assistant Démarrage n'exécute que partiellement les étapes, les fonctionnalités peuvent être configuréesmanuellement. L'assistant Démarrage ne remplace pas la possibilité de configurer ou de modifiern'importe quel paramètre individuel, mais automatise considérablement la configuration initiale pour laplupart des clients.
Ce chapitre aborde les rubriques suivantes :
n Configurer Enterprise System Connector
n Configuration de l'authentification unique mobile
n Configurer le catalogue de Workspace ONE
Configurer Enterprise System ConnectorL'assistant de configuration Enterprise Connector & Directory vous guide à travers les étapes deconfiguration de VMware Enterprise Systems Connector afin de permettre aux composants deWorkspace ONE, AirWatch et VMware Identity Manager de communiquer avec votre annuaire ActiveDirectory.
La configuration recommandée consiste à installer complètement VMware Enterprise SystemsConnector, y compris le composant Identity Manager. Le service VMware Identity Manager utilise le canalde synchronisation d'annuaire de gestion des identités dans le connecteur, plutôt que le canal ACCd'AirWatch. Cette option offre la meilleure compatibilité avec les environnements Active Directoryavancés.
Remarque La configuration de VMware Enterprise System Connector est toujours requise pour lesclients SaaS. Les clients sur site peuvent nécessiter ce connecteur en fonction de leur architectureréseau. Consultez le guide Architecture de référence de VMware AirWatch pour voir desrecommandations et davantage d'informations.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 6
Prérequis
Pour installer Enterprise System Connector, les éléments suivants sont requis. Consultez le guideInstallation et configuration de VMware Enterprise Systems Connector pour connaître les conditionspréalables et autres informations détaillées.
n Certificat de canal sécurisé installé pour établir la sécurité entre AWCM et la console AirWatch, lesservices de périphérique, l'API et le portail en libre-service
n Connectez-vous à la console d'administration de VMware Identity Manager en tant qu'administrateurlocal et générez un code d'activation.
a Accédez à l'onglet Identité et gestion de l'accès > Configuration.
b Sur la page Connecteurs, cliquez sur Ajouter un connecteur. Entrez le nom du connecteur.
c Cliquez sur Générer un code d'activation.
d Copiez le code d'activation et enregistrez-le pour l'utiliser lorsque vous configurerez leconnecteur.
Procédure
1 Connectez-vous à la console AirWatch avec le mot de passe d'administration. Si nécessaire, créezun mot de passe.
2 Acceptez les conditions d'utilisation et configurez les questions de récupération de mot de passe et lecode PIN de sécurité.
3 Pour les déploiements sur site, créez ou sélectionnez le groupe organisationnel de niveau client pourexécuter l'assistant.
Le groupe organisationnel de niveau client est le seul niveau où l'assistant Démarrage est disponible.
4 Sélectionnez Démarrage > Workspace ONE.
5 Dans la section Enterprise Connector & Directory, cliquez sur Configurer.
6 Pour télécharger VMware Enterprise Systems Connector, créez un mot de passe et cliquez surTélécharger le programme d'installation de VMware Enterprise Systems Connector.
Pour installer le canal ACC d'AirWatch, cliquez sur Ignorer et terminez la configuration d'annuaireACC. Voir Création d'un annuaire Active Directory ACC.
7 Exécutez le programme d’installation de VMware Enterprise Systems Connector. Passez en revueles étapes de l'assistant d'installation.
8 Lorsque l'installation du connecteur est terminée, cliquez sur Tester la connexion.
9 Cliquez sur Continuer.
La page Paramètres > Intégration d'entreprise > Services d'annuaire s'affiche.
10 Au besoin, sélectionnez Ajouter un annuaire Active Directory sur LDAP/IWA.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 7
11 Entrez les détails du serveur Active Directory.
Option Description
Nom du répertoire Ajoutez un nom pour identifier ce répertoire.
Type de dossier Sélectionnez Active Directory via LDAP.
Synchronisation et authentification durépertoire
Sélectionnez le connecteur que vous avez installé. Ce connecteur se synchroniseavec Active Directory.
L'authentification est définie sur Oui.En général, l'attribut de recherche d'annuaire est défini sur sAMAccountName.
Emplacement su serveur Cochez cette case pour utiliser les enregistrements d'emplacement du serviceDNS afin de localiser les domaines Active Directory. Si vous n'utilisez pas larecherche d'emplacement du service DNS, décochez la case et entrez le nomd'hôte et le port du serveur Active Directory. Le numéro de port par défautest 389.
Certificats Si Active Directory nécessite un chiffrement STARTTLS, cochez la case ci-dessous et fournissez le certificat d'autorité de certification racine.
Remarque Si l'annuaire Active Directory requiert STARTTLS et que vous nefournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous voulez lancerles recherches de compte. Par exemple : OU=myUnit,DC=myCorp,DC=com.
Nom unique de liaison : entrez le compte pouvant rechercher des utilisateurs.Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Mot de passe du nom unique de liaison : entrez le mot de passe de compte deliaison. Il est recommandé d'utiliser un compte d'utilisateur de nom unique deliaison avec un mot de passe sans date d'expiration.
12 Cliquez sur Tester la connexion pour vérifier la connectivité.
13 Cliquez sur Enregistrer.
Suivant
Pour le service d'annuaire avec VMware Identity Manager, consultez les attributs utilisateur qui sesynchronisent à partir d'Active Directory et sélectionnez des groupes et des utilisateurs à synchroniser.
n Accédez à la console d'administration de VMware Identity Manager, page Identité et gestion del'accès, Configuration > Attributs utilisateur pour vérifier les attributs des utilisateurs et des groupes.
n Pour gérer les paramètres de synchronisation, notamment l'ajout d'utilisateurs et de groupes,accédez à la page Gérer > Annuaires et sélectionnez la vue Paramètres de synchronisation del'annuaire.
Exécutez l'assistant Authentification unique mobile pour configurer l'authentification unique mobile pourles périphériques iOS, Android et Windows 10.
Création d'un annuaire Active Directory ACCLa configuration d'ACC est simple, mais avec des fonctionnalités limitées. Vous configurez une connexionà l'annuaire Active Directory pour synchroniser des utilisateurs et des groupes avec l'annuaire AirWatch.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 8
Procédure
1 Sélectionnez l'assistant Enterprise Connector & Directory et, pour installer le canal AirWatch ACC,cliquez sur Ignorer et terminez la configuration de l'annuaire ACC.
2 Sur la page Configuration de l'annuaire, entrez les détails du serveur Active Directory pour ACC.
Option Description
Type de dossier Active Directory est sélectionné.
Serveur Entrez le nom d'hôte ou l'adresse IP de votre serveur d'annuaire. Par exemple,tapez le nom d'hôte au format myco.example.com.
Type de chiffrement Sélectionnez le chiffrement utilisé pour la communication des servicesd'annuaire : aucun, SSL ou Démarrer TLS.
Port Entrez le port TCP utilisé pour communiquer avec le contrôleur de domaine. Lenuméro de port par défaut est 389.
Version du protocole Entrez la version du protocole LDAP qui est utilisé. La version est 2 ou 3. Si vousn'êtes pas sûr de la version de protocole à utiliser, laissez la valeur sur 3.
Type d'authentification de liaison Sélectionnez le type d'authentification de liaison qui est utilisé pour permettre auserveur AirWatch de communiquer avec le contrôleur de domaine.
La valeur couramment utilisée est GSS-NEGOTIATE.
Nom d'utilisateur de liaison Entrez le nom d'utilisateur de compte de liaison pour s'authentifier avec le serveurd'annuaire.
Mot de passe Bind Entrez le mot de passe de compte de liaison.
Contrôleur Entrez le nom de domaine et le nom de serveur par défaut pour le compted'utilisateur basé sur l'annuaire.
3 Cliquez sur Enregistrer.
4 Cliquez sur Tester la connexion pour vérifier la connectivité.
Suivant
Pour le service d'annuaire avec ACC, accédez aux pages Système > Intégration d'entreprise > Servicesd'annuaire pour configurer des utilisateurs et des groupes, s'ils n'ont pas déjà été configurés.
Exécutez l'assistant Authentification unique mobile pour configurer l'authentification unique mobile pourles périphériques iOS, Android et Windows 10.
Configuration de l'authentification unique mobileLes périphériques qui sont configurés pour l'authentification unique mobile sont la version d'iOS, Androidet Windows 10.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 9
Configuration des composants d'authentification unique pour iOSL'authentification unique mobile pour iOS utilise le protocole Kerberos PKINIT pour le transport decertificat, mais ne nécessite pas une infrastructure sur site. Un adaptateur Kerberos intégré est disponibledans le service Identity Manager, qui gère l'authentification iOS sans nécessiter la communication despériphériques avec votre contrôleur de domaine interne. De plus, AirWatch peut distribuer des certificatsd'identité aux périphériques, ce qui évite d'avoir à maintenir une autorité de certification sur site.
Périphériques pris en charge
n iOS 9 et versions ultérieures
Configuration des composants d'authentification unique AndroidWorkspace ONE offre l'authentification unique mobile Android universelle. L'authentification uniquemobile permet aux utilisateurs de se connecter à des applications d'entreprise en toute sécurité, sansnécessiter de mot de passe. L'application mobile VMware Tunnel est installée sur les périphériquesAndroid pour ajouter des certificats et les informations d'ID de périphérique dans les fluxd'authentification. Cette solution prend en charge la gestion classique d'Android et Android for Work.
Périphériques pris en charge
n Android 4.4 et versions ultérieures
n Les applications doivent prendre en charge SAML ou une autre norme de fédération prise en charge.
L'authentification unique mobile pour périphériques Android peut être configurée pour contourner leserveur Tunnel lorsque l'accès VPN n'est pas requis. Pour l'authentification unique, seule l'applicationmobile Tunnel est requise.
Le déploiement de l'application Workspace ONE sur tous les périphériques Android ne déploie pasautomatiquement les conteneurs Android for Work d'application. Android for Work est requis pour utiliserla fonctionnalité de gestion adaptative de l'application Workspace ONE. Pour ajouter cette application àdes périphériques Android for Work également et pour en savoir plus sur les options supplémentairesdisponibles dans le cadre d'AirWatch MAM, consultez le guide Intégration de VMware AirWatch à Androidfor Work, disponible sur AirWatch Resources.
Configuration des composants d'authentification uniqueWindows 10L'authentification unique basée sur un certificat est recommandée pour les ordinateurs portables et lespostes de travail Windows gérés. L'authentification par certificat est prise en charge sur toutes lesinstallations Windows basées sur x86.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 10
Configurer l'assistant d'authentification unique mobileConfigurez l'authentification unique mobile pour permettre aux utilisateurs de périphériques inscrits parAirWatch de se connecter à leurs applications activées en toute sécurité sans entrer plusieurs mots depasse.
L'assistant exécute une série d'étapes pour configurer tous les paramètres de toutes les plates-formesprises en charge. Vous pouvez modifier la configuration après la configuration de l'assistant.
Figure 1‑2. Liste de composants qui sont configurés
La configuration de l'assistant peut prendre quelques minutes. N'actualisez pas la page de configurationde l'assistant ou ne la quittez pas si la configuration est en cours.
Vous pouvez également sélectionner des composants individuels pour effectuer une configurationmanuelle.
Procédure
1 Connectez-vous à la console AirWatch avec le mot de passe d'administration.
2 Sélectionnez Démarrage > Workspace ONE.
3 Dans la section Authentification unique mobile, cliquez sur Configurer.
4 Sur la page Configuration facile et rapide ! , cliquez sur Démarrer pour que l'assistant configure tousles composants d'authentification unique mobile pour Workspace ONE.
Cliquez sur Configuration manuelle pour configurer l'authentification unique mobile manuellement.
5 Sur la page Mise en route, cliquez sur Continuer.
6 Dans la page Configuration automatique, cliquez sur Démarrer la configuration.
Lorsqu'une étape se termine, une coche s'affiche devant.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 11
7 Cliquez sur Terminer lorsque la configuration est terminée.
Vous pouvez cliquer sur Modifier les paramètres pour modifier ou examiner la configuration ducomposant, sinon cliquez sur Fermer.
L'assistant d'authentification unique mobile configure automatiquement les composants suivants pourconfigurer l'authentification unique mobile pour les périphériques iOS, Android for Work et Windows 10avec Workspace ONE.
Tableau 1‑1. Composants configurés pour l'authentification unique mobile
Composant configuré DescriptionPage Paramètres de la consoled'administration
Autorité de certification Une connexion à l'autorité de certification AirWatchnative utilisée pour émettre des certificatsd'authentification pour l'authentification unique mobiledes périphériques iOS gérés est configurée.
Console AirWatch > Système > Intégrationd'entreprise > Autorités de certification
Modèles de certificat Un modèle de certificat AirWatch est préconfigurépour émettre des certificats pour l'authentificationunique mobile.
Console AirWatch > Système > Intégrationd'entreprise > Modèles de demande
VMware Tunnel VMware Tunnel est configuré et configure un certificatpour fournir des services locaux d'authentificationunique à des applications Android tierces connectéesà VMware Identity Manager.
Console AirWatch > Système > Intégrationd'entreprise > VMware Tunnel
Méthodes d'authentification Les méthodes d'authentification requises pourl'authentification unique mobile sont configurées dansle service VMware Identity Manager. Ces méthodesd'authentification établissent une chaîne d'approbationentre l'autorité de certification AirWatch et leserviceVMware Identity Manager. Les méthodesd'authentification configurées sont Mobile SSO pouriOS, Mobile SSO pour Android, Mot de passe(AirWatch Connector), Certificat (déploiement deCloud). De plus, la conformité des périphériques avecAirWatch est activée.
Console d'administration deVMware Identity Manager > Identité etgestion de l'accès > Gérer > Méthodesd'authentification
Profils d'authentificationutilisateur
Des profils de configuration AirWatch pour iOS etWindows sont créés. Les profils servent à distribuerun certificat et à configurer des périphériques pourqu'ils s'authentifient avec le service VMware IdentityManager.
Console AirWatch> Périphériques >Profils et ressources > Profils
Stratégies d'accès La stratégie d'accès par défaut dans le serviceVMware Identity Manager est configurée avec desrègles d'accès pour chaque périphérique iOS, lespériphériques Android et les périphériquesWindows 10. Les utilisateurs s'authentifient à l'aide del'authentification unique mobile pour les périphériquesgérés. Voir Chapitre 2 Gestion des stratégies d'accèsà appliquer aux utilisateurs.
Console d'administration deVMware Identity Manager > Identité etgestion de l'accès > Gérer > Stratégies
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 12
Suivant
n Pour les périphériques iOS, les services doivent être intégrés à Kerberos. Cette méthoded'authentification pour les périphériques iOS utilise un centre de distribution de clés (KDC) sansutiliser un système tiers. Pour les déploiements sur site, deux options KDC sont disponibles. KDCcomme un service hébergé sur Cloud VMware Identity Manager et un KDC intégré sur le dispositif.Cette configuration est effectuée depuis la console d'administration de VMware Identity Manager. Voir Utilisation d'un centre de distribution de clés pour l'authentification à partir de périphériques iOS.
n Activez le VPN pour chaque application Android qui utilise la fonctionnalité Tunnel par application àpartir de la console d'administration d'AirWatch.
n Publiez le profil iOS pour activer SSO dans la console d'administration d'AirWatch. Le profil estgénéré, mais pas publié automatiquement.
n Pour les déploiements Windows, le certificat pour le déploiement de Cloud doit être configurémanuellement. Cette configuration est effectuée depuis la console d'administration de VMwareIdentity Manager. Consultez le Guide d'administration de VMware Identity Manager.
n Créez des stratégies d'accès pour les applications qui exigent un accès restreint à partir depériphériques gérés. Voir Chapitre 2 Gestion des stratégies d'accès à appliquer aux utilisateurs.
Utilisation d'un centre de distribution de clés pour l'authentification à partirde périphériques iOSPour le périphérique iOS, vous intégrez le service avec Kerberos. L'authentification Kerberos permet auxutilisateurs correctement connectés à leur domaine d'accéder à leur portail d'applications sans devoirsaisir de nouveau leurs informations d'identification. Cette méthode d'authentification pour lespériphériques iOS utilise un centre de distribution de clés (KDC) sans utiliser de connecteur ou desystème tiers.
Les locataires de Cloud VMware Identity Manager n'ont pas besoin de gérer ni de configurer le KDC.
Pour les déploiements sur site, deux options de service KDC sont disponibles.
n KDC intégré. Le KDC intégré nécessite l’initialisation du KDC sur le dispositif et la création d’entréesDNS publiques afin de permettre aux clients Kerberos de trouver le KDC. Pour plus d'informations surl'activation de KDC intégré, consultez le guide d'administration de VMware Identity Manager.
n KDC comme un service hébergé cloud VMware Identity Manager. L'utilisation de KDC dans le cloudnécessite de sélectionner le nom de domaine approprié dans la page adaptateur d’authentificationiOS.
Remarque Lorsque VMware Identity Manager est installé et configuré avec AirWatch dans unenvironnement Windows, la méthode d'authentification Mobile pour iOS doit être configurée pour utiliserle service KDC hébergé sur le Cloud VMware Identity Manager.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 13
Configurer le catalogue de Workspace ONEL'assistant Catalogue de Workspace ONE vous guide à travers les étapes de configuration du cataloguede Workspace ONE. Vous pouvez également utiliser l'étape des informations de marque personnaliséesde Workspace ONE pour ajouter les informations de marque de votre entreprise au catalogue deWorkspace ONE et à l'application.
Le catalogue de Workspace ONE est le référentiel de toutes les ressources que vous pouvez attribueraux utilisateurs. Les utilisateurs peuvent accéder aux applications d'entreprise que vous gérez dans lecatalogue de Workspace ONE en fonction des paramètres que vous établissez pour l'application.
Procédure
1 Connectez-vous à la console AirWatch avec le mot de passe d'administration.
2 Sélectionnez Démarrage > Workspace ONE.
3 Dans la section Catalogue de Workspace ONE, cliquez sur Configurer.
4 Dans la section Choisir les Smartgroups à attribuer, sélectionnez les groupes qui peuvent utiliserle catalogue de Workspace ONE.
Workspace ONE n'est pas déployé sur ces périphériques, il est attribué uniquement. Vous pouvezmodifier le type de déploiement automatique dans le service AirWatch Mobile ApplicationManagement (MAM) après la fin de l'assistant, si vous voulez envoyer l'application automatiquement.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 14
5 Cliquez sur Continuer.
6 Cliquez sur Afficher les applications Workspace ONE pour afficher la liste d'applications deWorkspace ONE et modifier leurs configurations de déploiement.
Remarque Le fait de cliquer sur le bouton Télécharger sur la page de l'assistant de WorkspaceONE télécharge un modèle d'e-mail de communication sur le démarrage de Workspace ONE qui peutêtre utilisé pour informer les utilisateurs du nouveau catalogue de ressources de Workspace ONE.
7 Cliquez sur Configuration de marque pour personnaliser la conception des informations de marque.Connectez-vous à la console d'administration de VMware Identity Manager. Vous devez utiliser lesinformations d'identification d'administration de VMware Identity Manager pour modifier lesinformations de marque de Workspace ONE.
Vous pouvez personnaliser le portail du catalogue de Workspace ONE, les pages de connexion et lavue de l'application.
Suivant
L'application n'est pas encore déployée. Déployez chaque application si nécessaire.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 15
Gestion des stratégies d'accès àappliquer aux utilisateurs 2Pour fournir un accès sécurisé au portail d'applications Workspace ONE des utilisateurs et lancer desapplications Web et de poste de travail, vous configurez des stratégies d'accès. Les stratégies d'accèsincluent des règles qui spécifient les critères devant être satisfaits afin de pouvoir vous connecter auportail d’applications et utiliser des ressources.
Les stratégies d'accès permettent aux administrateurs de configurer des fonctionnalités telles quel'authentification unique mobile, l'accès conditionnel à des applications basées sur l'inscription, le statutde conformité, le passage à une édition supérieure et l'authentification multi-facteur.
Les règles de stratégie mappent l'adresse IP demandeuse à des plages réseau et désignent le type depériphériques que les utilisateurs peuvent utiliser pour se connecter. La règle définit les méthodesd'authentification et le nombre d'heures pendant lesquelles l'authentification est valide. Vous pouvezsélectionner un ou plusieurs groupes à associer à la règle d’accès.
Une large variété d'options de configuration sont disponibles, mais ce guide de démarrage rapide décritles couches gérées et non gérées d'accès aux applications pour la mobilité d'entreprise.
La stratégie d'accès par défaut est configurée lorsque vous exécutez l'assistant Configurerl'authentification unique mobile pour autoriser l'accès à tous les types de périphériques qui ont étéconfigurés. Cette stratégie est considérée comme un accès de niveau 1 pour les applications auxquellespeuvent accéder des périphériques non gérés.
Vous pouvez créer des stratégies pour les applications qui exigent un accès restreint à partir depériphériques conformes gérés. VMware Identity Manager fournit plusieurs adaptateurs d'authentificationintégrés pour cela. Lorsque l'authentification unique mobile est configurée, ces méthodesd'authentification sont activées.
n Mobile SSO (pour iOS). Adaptateur basé sur Kerberos pour périphériques iOS
n Mobile SSO (pour Android). Mise en œuvre spécialement adaptée de l'authentification par certificatpour Android
n Certificat (déploiement de Cloud). Service d'authentification par certificat destiné aux navigateursWeb et aux périphériques de poste de travail
n Mot de passe. Permet l'authentification des mots de passe d'annuaire avec un connecteur uniquelorsque VMware Identity Manager et AirWatch sont déployés en même temps avec les deuxcomposants de VMware Enterprise Systems Connector
VMware, Inc. 16
n Mot de passe (AirWatch Connector). Permet l'authentification des mots de passe d'annuaire avec unconnecteur unique lorsque VMware Identity Manager et AirWatch sont déployés en même tempsuniquement à l'aide d'ACC
n Conformité des périphériques (avec AirWatch). Mesure la santé des périphériques gérés, ce quientraîne une réussite ou un échec en fonction de critères définis par AirWatch. La conformité peutêtre enchaînée avec n'importe quel autre adaptateur intégré, à l'exception de mot de passe
Stratégie d'accès par défaut de niveau 1 pourpériphériques non gérésUtilisez la stratégie d'accès par défaut comme stratégie L1 de ligne de base pour accéder à toutes lesapplications. Lorsque l'authentification unique mobile est configurée, des règles d'accès sont créées pourles périphériques iOS, Android et Windows 10. Chaque périphérique est activé pour l'authentificationunique à l'aide de la méthode d'authentification spécifique à ce périphérique. Dans chaque règle, laméthode de recours est mot de passe. Cette configuration offre la meilleure expérience pour gérer lespériphériques, tout en offrant une option de connexion manuelle pour les périphériques non gérés.
La stratégie par défaut est configurée pour autoriser l'accès à toutes les plages réseau. Le délaid'expiration de session est de huit heures.
Vous voulez peut-être un accès plus sécurisé à des périphériques non gérés avec VMware Verify ouautre authentification multifacteur.
Figure 2‑1. Exemple de stratégie par défaut pour périphériques non gérés
Lorsque l'assistant d'authentification unique mobile est utilisé pour configurer l'authentification uniquemobile, les règles de stratégie d'accès par défaut reflètent ce niveau de contrôle d'accès.
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 17
Configuration de stratégies de niveau 2 pourpériphériques gérésSi votre organisation déploie des applications qui contiennent des données sensibles, vous pouvez limiterl'accès à ces applications aux périphériques gérés par MDM. Les périphériques gérés peuvent être suiviset effacés, si nécessaire, et les données d'entreprise sont supprimées lorsque l'inscription dupériphérique est annulée.
Pour appliquer cette exigence gérée sur une sélection d'applications, vous créez des stratégiesspécifiques à une application pour ces applications. Lorsque vous créez la stratégie, dans la sectionAppliquer à, vous sélectionnez les applications qui s'appliquent à cette stratégie.
Créez une règle de stratégie pour chaque plate-forme de périphérique dans votre déploiement.Définissez la méthode d'authentification SSO correcte. Toutefois, comme les périphériques non gérés nedoivent pas accéder à ces applications, ne définissez pas une méthode d'authentification de secours. Parexemple, si un périphérique iOS non géré tente de se connecter à une application configurée uniquementpour l'accès des périphériques gérés, le périphérique ne répond pas avec le certificat encapsulé Kerberosapproprié. La tentative d'authentification échoue et l'utilisateur n'est pas en mesure d'accéder au contenu.
Figure 2‑2. Exemple de stratégie d'accès de niveau 2 pour périphériques gérés
Guide de démarrage rapide de VMware Workspace ONE
VMware, Inc. 18
