想知道你们能否帮助我,因为我陷入困境了!
我已为我们的 Office 365 租户配置了 ADFS 身份验证,以便我们能够根据 IP 地址阻止访问所有 Office 365,这样员工只有在办公室或使用 VPN 时才能连接到 O365。ActiveSync 是个例外,我已为其配置了例外。
我有以下 ADFS 声明规则,该规则应确保如果请求通过 Web 应用程序代理(即外部连接)进入,并且 ActiveSync 或 Autodiscover 不是所使用的应用程序,并且其客户端 IP 不是我们的办公室 IP 之一,则发出拒绝:
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");
但是,我注意到员工无需连接 VPN 即可从网络外部(例如在家中/机场等)连接到 Outlook。这应该是不可能的,因为 ADFS 有规则。
有人能帮我弄清楚为什么员工仍然能够从网络外部连接吗?我感觉这与我们最近从 Office 2013 Standard MSI 更改为使用现代身份验证的 Office 365 Pro Plus C2R 有关,但我却一头雾水!
答案1
这篇文章表明,唯一的方法是使用 Azure AD 条件访问 - 我们正在这样做以仅允许安装了 Intune 的客户端访问 ActiveSync。