Столкнулся с проблемой -- необходимо было сделать правило для ADFS разрешающее внешние подключения по ActiveSync, OWA (с двухфакторной аутентификацией), Lync (толстый клиент). И, соответственно, запретить из вне толстого клиента Outlook, в том числе и с Маков, в том числе по POP3/IMAP/SMTP.
Собственно вот оно -- правило -- пусть здесь повисит.
ms-forwarded-client-ip -- public NAT -- in this case two DMZ networks AAA.BBB.CCC.0/24 and DDD.EEE.FFF.0/24
Для проверки RegExp я использовал RegEx tester
В зависимости от приложения значения x-ms-client-application могут быть следующие:
Собственно вот оно -- правило -- пусть здесь повисит.
ADFS Rule to control access to Office365 -- allow ActiveSync, Lync (full client too), OWA. Deny Outlook full client (IMAP, POP3, SMTP, Exchange RPC).
ms-forwarded-client-ip -- public NAT -- in this case two DMZ networks AAA.BBB.CCC.0/24 and DDD.EEE.FFF.0/24
NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "\bAAA\.BBB\.CCC\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-5][0-9])\b|\bDDD\.EEE\.FFF\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-5][0-9])\b"])
&& exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value =~ "Microsoft.Exchange.RPC|Microsoft.Exchange.WebServices| Microsoft.Exchange.PopImap|Microsoft.Exchange.SMTP"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "false");
Для проверки RegExp я использовал RegEx tester
В зависимости от приложения значения x-ms-client-application могут быть следующие:
Microsoft.Exchange.ActiveSync
Microsoft.Exchange.Autodiscover
Microsoft.Exchange.OfflineAddressBook
Microsoft.Exchange.RPC
Microsoft.Exchange.WebServices
Microsoft.Exchange.Powershell
Microsoft.Exchange.SMTP
Microsoft.Exchange.PopImap
No comments:
Post a Comment