可以在存取原则群组中设置的项目

for Google Workspace / for Microsoft 365

 

Q.

在存取原则群组中有什么可以进行设定的项目?

A.

存取法原则群组中,可以对以下项目进行设定。

__________2020-12-18_14.06.30.png

Cookie保留时间

如果在HENNGE的登入介面中勾选「记住登入」,可以在Cookie保留时间设定登入持续时间

关于如何设定功能「记住登入」,请参照以下文章。

 

允许存取的条件

网页浏览器或者基于网页浏览器进行认证的app,对Google Workspace和Microosft 365允许进行存取时的条件设定。

条件表达式:

  • 停用
    取消对网页浏览器或者基于网页浏览器进行认证的app的存取限制,可以直接进行存取。

  • 启用:false
    禁止存取所有网页浏览器或者基于网页浏览器进行认证的app。

  • 启用:ip4:xxx.xxx.xxx.xxx
    对网页浏览器或者基于网页浏览器进行认证的app,只允许从指定的IP地址,xxx.xxx.xxx.xxx 进行存取。同时IP地址也可以根据CIDR(无类别域间路由)的范围进行指定(ip4:xxx.xxx.xxx.xxx/xx)

  • 启用:has_pass:true
    对网页浏览器或者基于网页浏览器进行认证的app,通过判断正在进行存取的浏览器中是否存在通行证进行存取控制。
  • 启用:hsb:true
    允许通过HENNGE Secure Browser进行存取。
  • 启用:device_cert:any
    允许通过HENNGE Device Certificate 进行存取

 

设定范本:

以下设定为:允许通过网页浏览器,在指定IP地址或者存在通行证的情况下进行存取。

 ip4:xxx.xxx.xxx.xxx or has_pass:true

 

不需要OTP的条件

在通过网页浏览器或者基于网页浏览器进行认证的app进行存取时,除了要求帐号ID和密码之外,可以进行要求OTP的设定。

注意事项:

同时启用「允许存取的条件」和「不需要OTP的条件」时,请对这两个项目的设定进行检查。
如果「不需要OTP的条件」中的设定与「允许存取的条件」相同的情况下,系统只会通过「与许存取的条件」进行判定。在此情况下想要通过OTP进行两步骤验证的话,需要设定「允许存取的条件」为停用。

关于OTP的使用方法,请参照以下文章。

 

条件表达式:

  • 停用
    通过网页浏览器或者基于网页浏览器进行认证的app进行存取控制时,不需要输入OTP进行两步骤验证
  • 启用:false
    通过网页浏览器或者基于网页浏览器进行认证的app进行存取时,一律要求进行OTP验证。

  • 启用:ip4:xxx.xxx.xxx.xxx
    通过网页浏览器或者基于网页浏览器进行认证的app进行存取时,除指定IP地址,都需要输入OTP进行验证。同时IP地址也可以根据CIDR(无类别域间路由)的范围进行指定(ip4:xxx.xxx.xxx.xxx/xx)

  • 启用:has_pass:true
    通过网页浏览器或者基于网页浏览器进行认证的app进行存取时,如果浏览器中不存在通行证,则需要输入OTP进行验证。如果存在通行证,则无须OTP验证

  • 启用:hsb:true
    除HENNGE Secure Browser进行存取以外,需要输入OTP进行验证。
    如果通过HENNGE Secure Browser 进行存取控制,则无须OTP验证
  • 启用:device_cert:any
    HENNGE Device Certificate 使用时 以外に OTP の入力を要求する条件式です。

设定例:

 Webブラウザ または Webブラウザベース认证対応アプリ で、IP アドレス、或いは、入场证クッキーが存在するブラウザ、或いは、HENNGE Secure Browserからのアクセスの际には OTP の入力要求を行わない场合の设定例は下记の通りとなります。

 ip4:xxx.xxx.xxx.xxx or has_pass:true or hsb:true

 

OTP 共有键の変更を许可する条件

HENNGE Access Controlユーザー设定画面→「OTP(ワンタイムパスワード)设定」で、スマホアプリでのOTP设定を行う项目の有効化/无効化の设定をします。

mceclip0.png

mceclip1.png

 

条件式凡例:

  • 无効
    スマホアプリでのOTP设定を行う项目を有効化します。

  • 有効:false
    スマホアプリでのOTP设定を行う项目を无効化します(グレーアウトし、选択できないようになります)。

OTP 通知メールアドレスの変更を许可する条件

HENNGE Access Controlユーザー设定画面→「OTP(ワンタイムパスワード)设定」で、EメールによるOTP受け取り设定を行う项目の有効化/无効化の设定をします。

mceclip0.png

mceclip2.png

条件式凡例:

  • 无効
    EメールによるOTP受け取り设定を行う项目を有効化します。

  • 有効:false
    EメールによるOTP受け取り设定を行う项目を无効化します(グレーアウトし、选択できないようになります)。

※「OTP 共有键の変更を许可する条件」、「OTP 通知メールアドレスの変更を许可する条件」をいずれも「有効: false」とすることにより、HENNGE Access Controlユーザー设定画面の「OTP(ワンタイムパスワード)设定」の项目自体を非表示とできます。

 

セキュアブラウザ设定画面へのアクセスを许可する条件

HENNGE Access Controlユーザー设定画面 (*) に、HENNGE Secure Browserの利用设定メニューを表示/非表示する条件を设定できます。

mceclip3.png

 ↓

mceclip6.png

条件式凡例:

  • 无効
    HENNGE Secure Browser利用设定メニューを表示します。

  • 有効:false
    HENNGE Secure Browser利用设定メニューを表示しません。

未読メールチェック设定の変更を许可する条件

HENNGE Access Controlユーザー设定画面に、HENNGE Secure Browserで未読チェック设定メニューを表示/非表示する条件を设定できます。(以下の画像はOffice365向けのHENNGE Access Control画面での例となります)

※未読通知の设定はAndroid, iPhone端末のみ可能です。

mceclip4.png

  ↓

mceclip5.png

条件式凡例:

  • 无効
    HENNGE Secure Browserで未読チェック设定メニューを表示します。

  • 有効:false
    HENNGE Secure Browserで未読チェック设定メニューを表示しません。

自动端末认证

HENNGE Secure Browserの端末认证要求について、自动で许可またはドメインの规定値を使用します。

详细はこちらを参照ください。

アプリケーション(デスクトップ/モバイル)からのアクセスを许可する条件

Microsoft 365 のみ利用可能な设定项目です。

Outlook / Lync クライアント、OneDrive など アプリケーションを経由した际のアクセスを许可する条件を设定できます。条件式内では、IP アドレスによる条件指定の他に、アクセス元のアプリから送出される http ヘッダー内のユーザーエージェント文字列(条件式 uastr:)を记述する事もできます。しかしながら、ユーザーエージェント指定による条件式指定は、アプリケーション侧の仕様変更に伴い送出される文字列が変更される可能性もありますので、実运用いただく际には充分なご検讨をお愿い致します。

条件式凡例:

  • 无効
    すべての场合にアクセスが许可されます。

  • 有効:ip4:xxx.xxx.xxx.xxx
    IP アドレス xxx.xxx.xxx.xxx からのアクセスを许可します。CIDR表记で范囲指定(ip4:xxx.xxx.xxx.xxx/xx)することもできます。

  • 有効:(uastr:"%Outlook%" or uastr:"%MSRPC%")
    Outlook クライアントのアクセスが许可されます。
  • 有効:(uastr:"%Apple-%" and ms_client_app:Microsoft.Exchange.ActiveSync) or (uastr:"%Android%" and ms_client_app:Microsoft.Exchange.ActiveSync)
    iPhone/iPad/Android にプリインストールされたネイティブアプリから Active Sync 接続が许可されます。 

(*) HENNGE Access Controlユーザー设定画面の URL は以下となります。

          
这篇文章对您有帮助吗?

常见问题