Steuern Sie den Zugriff auf Office 365 mit ADFS-Richtlinien

über andere Optionen wie die Kennwortsynchronisierung in Office 365. Obwohl mir der Password Sync-Ansatz sehr gut gefällt – und er ist ein bisschen einfacher zu implementieren – gibt es einige wichtige Vorteile für die Verwendung einer anderen Option.

Natürlich sind mit der Verwendung von ADFS (Active Directory Federation Services) zusätzliche Kosten verbunden. Zunächst müssen Sie berücksichtigen, dass Sie zusätzliche Computer verwalten müssen, auf denen ADFS und möglicherweise ADFS-Proxys ausgeführt werden. Zweitens wird ADFS zu einem wichtigen Bestandteil Ihres Setups, sobald Sie es aktivieren. Wenn Ihr ADFS-Server nicht mehr funktioniert oder anderweitig nicht mehr verfügbar ist, können sich Ihre Benutzer nicht authentifizieren, um Office 365 zu verwenden oder auf einen der Dienste zuzugreifen. Daher sollten Sie immer sicherstellen, dass Sie über ein hochverfügbares Setup verfügen. Wenn dies möglich ist, sollten Sie ein zweites Rechenzentrum oder virtuelle Azure-Maschinen verwenden.

Aber einer der Vorteile von mit ADFS ist, dass Sie die vollständige Kontrolle über Kennwörter und die zugehörigen Kennwortrichtlinien behalten. Jedoch, Passwortsynchronisierung bietet eine ähnliche Erfahrung. Kennwörter in Office 365 verfallen nicht für Endbenutzer, die ihre Kennwörter synchronisiert haben. Da sie gezwungen sind, ihr Kennwort nach einer bestimmten Zeit (abhängig von der Richtlinie) lokal zu ändern, wird das Kennwort mit Office 365 synchronisiert, sobald es geändert wird. Dies ist kein Game Changer, aber die Clientzugriffsrichtlinien gelten möglicherweise für einige Organisationen. Durch die Verwendung benutzerdefinierter Anspruchsregeln oder Clientzugriffsrichtlinien können Unternehmen genau steuern, wer sich über ADFS für den Zugriff auf Office 365 authentifizieren darf. Im Vergleich zu dieser Funktionalität ist die Kennwortsynchronisierung eher ein “Alles oder Nichts” -Ansatz.

Die Bedeutung von Clientzugriffsrichtlinien

Warum sollte jemand Clientzugriffsrichtlinien verwenden wollen? Beispielsweise müssen Sie möglicherweise einschränken, welche Benutzer bestimmte Office 365-Dienste verwenden können, je nachdem, wo sie sich befinden oder zu welcher Gruppe sie gehören. Bevor Sie mit diesen Richtlinien beginnen, müssen Sie wissen, wie ADFS mit Office 365 funktioniert.
Der Grund, warum Clientzugriffsrichtlinien wichtig sind, liegt darin, dass der Authentifizierungsablauf bestimmt, welche Ansprüche Sie verwenden können und welche nicht. Beispielsweise wird der Ablauf der aktiven Authentifizierung verwendet, wenn jemand Outlook verwendet. Dies bedeutet, dass eine eingehende Verbindung zu ADFS über Office 365 und nicht über die Arbeitsstation des Clients hergestellt wird. Daher ist es nicht möglich, die IP-Adresse des Clients (zumindest nicht direkt) zu verwenden, um den Zugriff über ADFS zu beschränken.
Je nachdem, wie und von wo aus ein Client eine Verbindung zu ADFS herstellt, werden mehrere Ansprüche an den ADFS-Server weitergeleitet. Wenn Sie eine verwenden ADFS-ProxyserverSie können insbesondere leicht erkennen, ob ein Benutzer intern oder extern ist (Abbildung 1). Dies hängt davon ab, ob eine direkte Verbindung zum ADFS-Server (intern) besteht oder ob die Verbindung über einen ADFS-Proxyserver (extern) hergestellt wird.

AD FS-Proxyserver zur Benutzeridentifikation
Verwenden Sie einen AD FS-Proxyserver, um festzustellen, ob Benutzer intern oder extern sind.

Neben einer Reihe von regulären Ansprüchen, anhand derer die Gruppenmitgliedschaft bestimmt werden kann, können Verbindungen zu ADFS auch die folgenden Ansprüche verwenden, um das Authentifizierungsverhalten zu steuern:

  • X-MS-Forwarded-Client-IP (die IP-Adresse des Clients)
  • X-MS-Client-Anwendung (die Anwendung, auf die zugegriffen wird, z. B. OWA)
  • X-MS-Client-User-Agent
  • X-MS-Proxy (wenn über einen ADFS-Proxyserver)
  • X-MS-Endpoint-Absolute-Path (welche Art von Authentifizierungsfluss wird verwendet)

Über den Autor:
Michael Van Horenbeeck ist ein Technologieberater, Microsoft Certified Trainer und Exchange MVP aus Belgien, der hauptsächlich mit Exchange Server, Office 365, Active Directory und etwas Lync arbeitet. Er ist seit 12 Jahren in der Branche tätig und ein häufiger Blogger, Mitglied der belgischen Unified Communications-Benutzergruppe Pro-Exchange und regelmäßiger Autor des Podcasts The UC Architects.

Similar Posts

Leave a Reply