Gostaria de saber se vocês poderiam ajudar, pois estou preso!
Configurei o ADFS para autenticação para nosso locatário do Office 365 para nos fornecer a capacidade de impedir o acesso a todo o Office 365 com base no endereço IP, para que a equipe só possa se conectar ao O365 se estiver no escritório ou na VPN. A exceção a isso é o ActiveSync, para o qual configurei uma exceção.
Eu tenho a seguinte regra de declaração ADFS em vigor, que deve garantir que, se uma solicitação chegar por meio do proxy do aplicativo da web (ou seja, conexão externa) e ActiveSync ou Autodiscover, não sejam os aplicativos usados e o IP do cliente não seja um dos IPs do nosso escritório , emita uma negação:
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");
No entanto, notei que a equipe consegue se conectar ao Outlook de fora da rede (ou seja, em casa/aeroportos, etc.) sem se conectar à VPN. Isso não deveria ser possível, pois o ADFS tem uma regra em vigor.
Alguém pode me ajudar a descobrir por que a equipe ainda consegue se conectar de fora da rede? Tenho a sensação de que está relacionado à nossa recente mudança do Office 2013 Standard MSI para o Office 365 Pro Plus C2R, que usa autenticação moderna, mas estou batendo a cabeça na parede!
Responder1
Esta postagem indica que a única maneira de fazer isso é com o Acesso Condicional do Azure AD – que é o que estamos fazendo para permitir o acesso ao ActiveSync somente de clientes que tenham o Intune instalado.