ADFS 2012 R2 - Autenticación moderna de Office 365 - Outlook puede conectarse fuera de la red

¡Me pregunto si podrían ayudarme ya que estoy estancado!

He configurado ADFS para la autenticación para nuestro inquilino de Office 365 a fin de brindarnos la capacidad de impedir el acceso a todo Office 365 según la dirección IP, de modo que el personal solo pueda conectarse a O365 si está en la oficina o en la VPN. La excepción a esto es ActiveSync, para el cual configuré una excepción.

Tengo implementada la siguiente regla de reclamo de ADFS que debería garantizar que si llega una solicitud a través del proxy de la aplicación web (es decir, conexión externa) y ActiveSync o Autodiscover no son las aplicaciones utilizadas y su IP de cliente no es una de las IP de nuestra oficina. , emitir una denegación:

exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");

Sin embargo, he notado que el personal puede conectarse a Outlook desde fuera de la red (es decir, en casa/aeropuertos, etc.) sin conectarse a la VPN. Esto no debería ser posible ya que ADFS tiene una regla establecida.

¿Alguien puede ayudarme a descubrir por qué el personal todavía puede conectarse desde fuera de la red? Tengo la sensación de que está relacionado con nuestro reciente cambio de Office 2013 Standard MSI a Office 365 Pro Plus C2R, que usa autenticación moderna, ¡pero me estoy golpeando la cabeza contra la pared!