ADFS 2012 R2 - Office 365 現代身份驗證 - Outlook 能夠連接外部網絡

想知道你們是否可以幫助我，因為我被困住了！

我為 Office 365 租用戶配置了 ADFS 進行身份驗證，以便我們能夠阻止基於 IP 位址存取所有 Office 365，以便員工只能在辦公室或 VPN 上連接到 O365。 ActiveSync 是一個例外，我已經對其配置了例外。

我制定了以下ADFS 聲明規則，該規則應確保如果請求通過Web 應用程式代理（即外部連接）傳入，並且ActiveSync 或自動發現不是所使用的應用程序，並且它們的客戶端IP 不是我們的辦公室IP之一，發出拒絕：

exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");

但是，我注意到員工可以從網路外部（即在家/機場等）連接到 Outlook，而無需連接到 VPN。這應該是不可能的，因為 ADFS 已經制定了規則。

誰能幫我弄清楚為什麼員工仍然可以從網路外部連接？我有一種感覺，這與我們最近從 Office 2013 標準 MSI 更改為使用現代身份驗證的 Office 365 Pro Plus C2R 有關，但我正在用頭撞牆！