ADFS 2012 R2 – Office 365 Modern Auth – Outlook kann eine Verbindung außerhalb des Netzwerks herstellen

tag-icon tag-icon windows-server-2012-r2 microsoft-office-365 adfs
ADFS 2012 R2 – Office 365 Modern Auth – Outlook kann eine Verbindung außerhalb des Netzwerks herstellen

Ich frage mich, ob ihr mir helfen könnt, denn ich stecke fest!

Ich habe ADFS für die Authentifizierung unseres Office 365-Mandanten konfiguriert, um uns die Möglichkeit zu geben, den Zugriff auf Office 365 auf Basis der IP-Adresse zu verhindern, sodass Mitarbeiter nur dann eine Verbindung zu Office 365 herstellen können, wenn sie sich im Büro oder im VPN befinden. Die Ausnahme hiervon ist ActiveSync, für das ich eine Ausnahme konfiguriert habe.

Ich habe die folgende ADFS-Anspruchsregel eingerichtet, die sicherstellen soll, dass eine Ablehnung erfolgt, wenn eine Anforderung über den Web-Anwendungsproxy (d. h. externe Verbindung) eingeht und ActiveSync oder Autodiscover nicht die verwendeten Anwendungen sind und deren Client-IP nicht eine unserer Büro-IPs ist:

exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");

Mir ist jedoch aufgefallen, dass Mitarbeiter von außerhalb des Netzwerks (z. B. zu Hause/auf Flughäfen usw.) eine Verbindung zu Outlook herstellen können, ohne eine Verbindung zum VPN herzustellen. Dies sollte nicht möglich sein, da ADFS über eine entsprechende Regel verfügt.

Kann mir jemand helfen, herauszufinden, warum Mitarbeiter sich immer noch von außerhalb des Netzwerks verbinden können? Ich habe das Gefühl, dass es mit unserer kürzlich erfolgten Umstellung von Office 2013 Standard MSI auf Office 365 Pro Plus C2R zusammenhängt, das eine moderne Authentifizierung verwendet, aber ich renne mit dem Kopf gegen die Wand!

Antwort1

In diesem Beitrag wird darauf hingewiesen, dass dies nur mit Azure AD Conditional Access möglich ist. Genau das tun wir, um den Zugriff auf ActiveSync nur von Clients aus zuzulassen, auf denen Intune installiert ist.

https://social.technet.microsoft.com/Forums/en-US/0c050377-4c4c-4a74-8a01-31e78ba11197/adfs-2016-block-outlook-with-modern-auth-from-external-users?forum=ADFS

verwandte Informationen