Интересно, могли бы вы помочь, когда я застрял!
Я настроил ADFS для проверки подлинности для нашего клиента Office 365, чтобы предоставить нам возможность запретить доступ ко всему Office 365 на основе IP-адреса, чтобы сотрудники могли подключаться к O365, только если они находятся в офисе или через VPN. Исключением является ActiveSync, для которого я настроил исключение.
У меня есть следующее правило утверждения ADFS, которое должно гарантировать, что если запрос поступает через прокси-сервер веб-приложения (т. Е. Внешнее соединение), ActiveSync или Autodiscover не являются используемыми приложениями, а их клиентский IP-адрес не является одним из наших офисных IP-адресов. , оформить отказ:
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");
Однако я заметил, что сотрудники могут подключаться к Outlook извне сети (например, дома / в аэропортах и т. Д.) Без подключения к VPN. Это невозможно, поскольку в ADFS действует правило.
Может ли кто-нибудь помочь мне понять, почему сотрудники все еще могут подключаться к сети извне? У меня есть ощущение, что это связано с нашим недавним переходом с Office 2013 Standard MSI на Office 365 Pro Plus C2R, который использует современную аутентификацию, но я бьюсь головой об стену!
В этом сообщении указывается, что единственный способ сделать это - использовать условный доступ Azure AD - именно это мы и делаем, чтобы разрешить доступ к ActiveSync только для клиентов, на которых установлена Intune.