제가 갇혀 있는 동안 여러분이 도움을 줄 수 있는지 궁금합니다!
직원이 사무실에 있거나 VPN에 있는 경우에만 O365에 연결할 수 있도록 IP 주소를 기반으로 모든 Office 365에 대한 액세스를 방지하는 기능을 제공하기 위해 Office 365 테넌트에 대한 인증을 위해 ADFS를 구성했습니다. 이에 대한 예외는 예외를 구성한 ActiveSync입니다.
요청이 웹 응용 프로그램 프록시(예: 외부 연결)를 통해 들어오는 경우 ActiveSync 또는 자동 검색이 사용된 응용 프로그램이 아니고 해당 클라이언트 IP가 사무실 IP 중 하나가 아닌지 확인하는 다음과 같은 ADFS 클레임 규칙이 있습니다. , 거부를 실행합니다.
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");
그러나 직원들은 VPN에 연결하지 않고도 네트워크 외부(예: 집/공항 등)에서 Outlook에 연결할 수 있는 것으로 나타났습니다. ADFS에는 규칙이 있으므로 이는 불가능합니다.
직원이 여전히 네트워크 외부에서 연결할 수 있는 이유를 알아내도록 도와줄 수 있는 사람이 있습니까? 최근 Office 2013 Standard MSI에서 최신 인증을 사용하는 Office 365 Pro Plus C2R로 변경한 것과 관련이 있다는 느낌이 들지만 벽에 머리를 부딪히고 있습니다.
답변1
이 게시물에서는 이를 수행할 수 있는 유일한 방법이 Azure AD 조건부 액세스를 사용하는 것임을 나타냅니다. 이는 Intune이 설치된 클라이언트에서만 ActiveSync에 대한 액세스를 허용하기 위해 수행하고 있는 작업입니다.