Sichern Sie Office 365 mit dem Client Access Policy Builder

Für viele Unternehmen bringt die Umstellung auf Office 365 neue Optionen für den Zugriff auf Dienste wie Microsoft Exchange, …

über das Internet. Obwohl viele Organisationen Zugriff auf Outlook Web App, Outlook Anywhere oder ActiveSync bieten, möchten einige nicht, dass Endbenutzer von einem Internetcafé, einem persönlichen Gerät oder außerhalb des Büros auf E-Mails zugreifen. Wenn Ihre Organisation in die letztere Kategorie passt, sollten Sie eine Clientzugriffsrichtlinie erstellen.
Office 365 ist ein internetbasierter Dienst. Wenn Sie also nicht das dedizierte Angebot von Microsoft kaufen, müssen alle Clients das öffentliche Internet durchlaufen, um darauf zugreifen zu können. Einige Organisationen schreiben vor, dass der Clientzugriff von gesicherten (häufig Unternehmens-) Geräten aus erfolgt.
Ein Vorteil von Out of the Box Büro 365 Sie müssen sich nicht auf einem Unternehmensgerät befinden. Sie können von überall mit Internetverbindung auf bereitgestellte Dienste zugreifen, einschließlich der Installation von Outlook und des Herunterladens von E-Mails. Für einige Unternehmen, insbesondere für Unternehmen, die mit finanziellen oder persönlichen Informationen arbeiten, bedeutet die Möglichkeit, jedes Gerät auf diese Weise zu verbinden, dass sie möglicherweise gegen Vorschriften oder interne Geschäftsrichtlinien verstoßen.
Damit Office 365 eine funktionsfähige Technologie ist, bedeutet das Verschieben von Diensten wie E-Mail, dass Sie einschränken können, wer von wo auf sie zugreifen kann – und von wo aus – und was wichtig ist. Aber es ist komplizierter als einzuschränken, wer und was auf das zugreifen kann Active Directory-Verbunddienste (AD FS) -Server, die mit Office 365 zusammengeschlossen sind.
Outlook ist ein aktiver Client. Dies bedeutet, dass der Client den Benutzernamen und das Kennwort an Office 365 sendet, das sich dann im Namen des Endbenutzers an ihn wendet und sich authentifiziert. Sofern Sie nicht nur grundlegende browserbasierte Dienste wie OWA und SharePoint verwenden möchten, müssen Sie über Office 365-Adressen Zugriff auf AD FS gewähren. Standardmäßig kann jeder Outlook-Client mit den richtigen Anmeldeinformationen authentifizieren, ob die AD FS-Server dem breiteren Internet ausgesetzt sind oder nicht.
Microsoft weiß, dass dies für viele Unternehmen eine Anforderung ist, und hat daher eine Funktion namens Clientzugriffsrichtlinien integriert.

Verfügbare Funktionen und wichtige Anforderungen

Eine Clientzugriffsrichtlinie ist eine von mehreren grundlegenden Richtlinien, die Microsoft zur Einschränkung des Zugriffs auf Office 365 unterstützt:

  • Blockieren Sie den gesamten externen Zugriff auf Office 365-Dienste.
  • Blockieren Sie den gesamten externen Zugriff auf Office 365-Dienste, außer von ActiveSync-Geräten.
  • Blockieren Sie den gesamten externen Zugriff auf Office 365-Dienste, außer passiv (z. B. browserbasiert – OWA oder SharePoint Online) Kunden;
  • Blockieren Sie den gesamten externen Zugriff auf Office 365-Dienste für Mitglieder bestimmter Active Directory-Gruppen.
  • Blockieren Sie nur externe Outlook-Clients.

Wenn wir “Alle externen Zugriffe blockieren” sagen, bedeutet dies, dass Sie keine IP-Adressbereiche angeben. Wenn VPN-Clients über Ihren Internet-Breakout auf Office 365 zugreifen, werden sie als intern klassifiziert. Alle diese Richtlinien blockieren den Zugriff auf Lync Online und die Lizenzierungsdienste für Büro 2013 von externen Kunden.
Auf der Serverseite müssen Sie sicherstellen, dass Sie zwei Mindestanforderungen erfüllen:

  • AD FS 2.0 Update Rollup 2, AD FS 2.1 oder AD FS 2012 R2;
  • AD FS-Proxy, Webanwendungsproxy oder ein Reverse-Proxy, der diese Anforderungen erfüllt.

AD FS und der Office 365-Mandant sollten sich in einem guten Betriebszustand befinden. Dies bedeutet normalerweise, dass ein oder zwei Testpostfächer konfiguriert wurden und Sie die Authentifizierung zwischen Clients getestet haben.
Sie müssen auswählen, welches dieser Szenarien Ihren Anforderungen am besten entspricht, und sicherstellen, dass Sie eine vollständige Liste der externen IP-Adressen oder IP-Adressbereiche haben, aus denen interne Clients stammen.

Implementieren einer Clientzugriffsrichtlinie

Die Dokumentation für Clientzugriffsrichtlinien in TechNet kann komplex erscheinen, wenn Sie abseits der ausgetretenen Pfade arbeiten oder Ihre eigenen regulären Ausdrücke für IP-Adressbereiche erstellen möchten. Es gibt jedoch eine einfachere Möglichkeit, sie einzurichten.
Durch die Nutzung Microsoft Client Access Policy BuilderMit diesem PowerShell-Skript, das Ihnen eine grafische Benutzeroberfläche bietet, können Sie Änderungen mithilfe eines hilfreichen Assistenten implementieren. Laden Sie zunächst das Skript einfach auf Ihren primären AD FS-Server herunter. Wenn Sie Windows Server 2012 R2 ausführen, müssen Sie vor der Ausführung eine kleine Anpassung am Skript vornehmen, um sicherzustellen, dass das AD FS-Modul korrekt geladen wird.
Suchen Sie nach der folgenden Zeile:
If (($OSVersion.Major -eq 6) -and ($OSVersion.Minor -eq 2))
Ersetze das -eq mit-geben Es wird also festgestellt, dass 2012 R2 (Nebenversion 3) ausgeführt wird:
If (($OSVersion.Major -eq 6) -and ($OSVersion.Minor -ge 2))
Wir haben den schwierigen Teil abgeschlossen. Starten Sie jetzt den Builder für Clientzugriffsrichtlinien. Sie sehen die Builder-Benutzeroberfläche als einfaches einseitiges Formular. Wenn Sie bereit sind, die Änderungen vorzunehmen, suchen Sie Schritt 1 und wähle Erstellen Sie Regeln für Anspruchstypen (Abbildung 1).

Builder für Clientzugriffsrichtlinien
Abbildung 1. Builder für Clientzugriffsrichtlinien

Geben Sie nach dem Erstellen der Anspruchstypen die für Ihr Szenario spezifischen Einstellungen ein. In unserem Beispiel blockieren wir den gesamten externen Zugriff mit Ausnahme von Exchange ActiveSync und geben dann die externe IP-Adresse unserer Organisation ein. Wenn wir mit der neuen Konfiguration zufrieden sind, wählen wir Bauen (Figur 2).

Anspruchstyp erstellen
Abbildung 2. Anspruchstyp erstellen.

Nachdem Sie die Änderungen vorgenommen haben, können Sie überprüfen, ob sie in der AD FS-Verwaltungskonsole angewendet wurden. Navigieren Sie zu Vertrauensstellungen> Vertrauensstellungen von Anspruchsanbietern und suchen Active Directory. Dann wähle Anspruchsregeln bearbeiten (Figur 3). Sie sehen fünf neue Regeln, wie in beschrieben Schritt 2 des oben genannten TechNet-Artikels (Abbildung 4).

Anspruchsregeln bearbeiten
Abbildung 3. Anspruchsregeln bearbeiten.
Neue Anspruchsregeln
Abbildung 4. Neue Anspruchsregeln

Sie können dann überprüfen, ob die Regeln zum Blockieren des Office 365-Zugriffs von externen Clients angewendet wurden, indem Sie zu navigieren Vertrauensbeziehungen> Vertrauensstellungen von vertrauenden Parteien dann wählen Anspruchsregeln bearbeiten für die Microsoft Office 365-Identitätsplattform (Abbildung 5).

Microsoft Office 365-Identitätsplattform
Abbildung 5. Microsoft Office 365 Identity Platform.

Das Anspruchsregeln bearbeiten Fenster sollte erscheinen. Wählen AusstellungsautorisierungsregelnÜberprüfen Sie, ob ein neuer Anspruch mit dem Namen aufgeführt ist Blockieren Sie den gesamten externen Zugriff auf Office 365 und dann wählen Regel bearbeiten (Abbildung 6).

Ausstellungsautorisierungsregeln
Abbildung 6. Ausstellungsautorisierungsregeln.

Sie sehen den Inhalt der Regel. ActiveSync wird zusammen mit der externen IP-Adresse explizit erwähnt (Abbildung 7).

ActiveSync in Anspruchsregeln
Abbildung 7. ActiveSync in Anspruchsregeln.

Sie müssen keine Änderungen an dem, was hier ist, vornehmen, es sei denn, Sie möchten die neuen Regeln löschen.
Stellen Sie wie bei jeder Änderung sicher, dass die AD FS-Änderungen die erwarteten Ergebnisse erzielen. Der Zugriff von internen Clients und Exchange ActiveSync-Clients sollte nicht betroffen sein. Der Zugriff von externen Clients sollte zu a führen Nicht berechtigt Fehlermeldung bei versuchter Anmeldung mit einem Browser oder Verweigerung der Annahme des Kennworts in Outlook.
Über den Autor
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden Microsoft Gold-Partner in Großbritannien. Goodman hat seit Version 5.5 intensiv mit Microsoft Exchange und seit seinen Anfängen in Exchange Labs und mit Office 365 zusammengearbeitet [email protected]

Similar Posts

Leave a Reply