我正在测试 Azure 条件访问,以创建一条规则,阻止在办公室网络之外使用 Office 365 云和客户端应用程序。
我设置了一条新策略,它阻止了云访问,但没有阻止 Outlook 等桌面客户端,如果我转到“假设”菜单并使用我正在测试的选项运行它,它会说它应该阻止对 Outlook 的访问。
我知道使用 ADFS 会更容易,但我知道使用有条件访问也可以做到。
有没有办法排除故障或通过某种日志我可以知道为什么它没有阻止桌面应用程序的访问?
谢谢
答案1
如果您想要阻止桌面客户端,可以单击新政策- 选择要控制访问的用户和组 - 选择云应用程序- 选择状况-客户端应用程序- 选择移动应用程序和桌面客户端,或调制解调器身份验证客户端,或 Exchange activesync 客户端或其他客户端。
然后从访问控制中选择阻止访问予以执行。
返回检查该策略是否已启用。至于假设工具,这里有一个解释。
它可让您了解条件访问策略对环境的影响。此工具可让您评估用户的模拟登录,而不是通过手动执行多次登录来测试您的策略。模拟会估计此登录对您的策略的影响并生成模拟报告。
有关详细信息,请参阅Azure Active Directory 条件访问假设工具 - 预览版 和 Azure Active Directory 条件访问中的条件
答案2
设法找到答案,在我的案例中,OAuth2ClientProfileEnabled 在网上交换中被设置为 false ,而我需要将其设置为 true。
要检查它是真还是假,请运行:
Get-OrganizationConfig | findstr OAuth2ClientProfileEnabled
并将其设置为 true:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
一旦完成,政策就开始生效。