ADFS 2012 R2 - Office 365 Modern Auth - Outlook может подключаться к внешней сети

Ребята, не могли бы вы мне помочь, так как я застрял!

Я настроил ADFS для аутентификации для нашего клиента Office 365, чтобы предоставить нам возможность запретить доступ ко всему Office 365 на основе IP-адреса, чтобы сотрудники могли подключаться к O365 только если они находятся в офисе или в VPN. Исключением является ActiveSync, для которого я настроил исключение.

У меня есть следующее правило утверждения ADFS, которое должно гарантировать, что если запрос поступает через прокси-сервер веб-приложения (т. е. внешнее соединение), а ActiveSync или Autodiscover не являются используемыми приложениями, а их клиентский IP-адрес не является одним из IP-адресов нашего офиса, выдается отказ:

exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");

Однако я заметил, что сотрудники могут подключаться к Outlook из-за пределов сети (например, дома/в аэропорту и т. д.) без подключения к VPN. Это не должно быть возможным, поскольку в ADFS есть правило.

Может ли кто-нибудь помочь мне разобраться, почему сотрудники все еще могут подключаться из-за пределов сети? У меня такое чувство, что это связано с нашим недавним переходом с Office 2013 Standard MSI на Office 365 Pro Plus C2R, который использует современную аутентификацию, но я бьюсь головой об стену!