访问规则
访问规则(Device Access Policies)允许管理员精细控制用户可以进行身份验证的条件:浏览器类型、操作系统、VaultysID 身份安全级别、授权的 IP 地址等。
有三个策略范围可用:
- 全局 — 适用于组织中的所有用户。
- 管理员 — 仅适用于管理员。
- 组 — 适用于指定的用户组和/或文件夹。
概述
从菜单 访问策略 > 策略 中访问访问规则。
全局策略
首次访问时,尚未配置任何策略。单击 创建全局策略 按钮初始化适用于所有用户的默认策略。
配置策略
创建后,策略将显示在编辑器中。每个侧边选项卡对应一个控制维度。彩色徽章表示每个部分的配置状态。
违规操作
定义违反规则时应采取的操作。
| 值 | 行为 |
|---|---|
| 允许 | 忽略规则 — 无阻止 |
| 警告 | 允许访问但通知用户 |
| 管理员批准 | 访问暂停直到管理员批准 |
| 阻止 | 拒绝访问 |
浏览器选项卡
根据使用的浏览器(Chrome、Firefox、Edge、Safari、Brave、Opera 等)允许或限制访问。全部 和 无 选项适用全局规则。
操作系统选项卡
限制所需的操作系统访问:Windows、macOS、Linux、iOS、Android 或 Chrome OS。
浏览器安全选项卡
设置与浏览器安全相关的要求(扩展、已启用的设置)。
VaultysID 安全选项卡
要求 VaultysID 身份的最低安全级别:
- 软件 — 存储在软件内存中的密钥
- 密码 — 通过密码验证
- 硬件 — 物理安全密钥(FIDO2 / CTAP2)
IP 地址选项卡
填写允许的 IP 地址或 CIDR 范围(例如:192.168.1.0/24)。只有来自这些网络的连接将被接受。
创建其他策略
要创建 管理员 或 组 策略,请使用工具栏中的 添加策略 按钮。
打开面板以选择范围。
管理员策略
信息
只能存在一个管理员策略。如果已存在,则创建按钮将被禁用。
管理员策略仅适用于管理员。要删除它,请使用工具栏中的 删除策略 按钮。
组策略
组策略允许针对特定用户或文件夹子集制定自定义规则。
在左侧列中选择一个组以访问其编辑器。
成员和文件夹
将策略与个别用户或整个文件夹关联。文件夹中的所有成员将自动受到覆盖。
信息
对于相关用户,组策略的规则优先于全局策略。