行き詰まっているので、皆さんが助けてくれるかどうか知りたいです!
IP アドレスに基づいて Office 365 全体へのアクセスを禁止する機能を提供するため、Office 365 テナントの認証用に ADFS を構成しました。これにより、スタッフはオフィス内または VPN 上にいる場合にのみ O365 に接続できます。ただし、例外を構成した ActiveSync は例外です。
次の ADFS クレーム ルールを設定しています。このルールにより、Web アプリケーション プロキシ (つまり、外部接続) 経由で要求が届き、ActiveSync または Autodiscover が使用されているアプリケーションではなく、クライアント IP がオフィスの IP のいずれでもない場合は、拒否が発行されます。
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");
しかし、スタッフが VPN に接続せずにネットワークの外部 (自宅や空港など) から Outlook に接続できることに気付きました。ADFS にルールが設定されているため、これは不可能なはずです。
スタッフがまだネットワークの外部から接続できる理由を誰か教えてくれませんか? 最近、Office 2013 Standard MSI からモダン認証を使用する Office 365 Pro Plus C2R に変更したことが関係しているのではないかと思いますが、どうにもわかりません!
答え1
この投稿では、これを行う唯一の方法は Azure AD 条件付きアクセスを使用することであると示されています。これは、Intune がインストールされているクライアントからのみ ActiveSync へのアクセスを許可するために行っていることです。