Office 365 mit Client Access Policy Builder sicher betreiben

Damit Unternehmen Office 365 sicher betreiben können, sind einige Konfigurationsarbeiten notwendig. Wir geben in diesem Beitrag Tipps und zeigen die Verbindung von ADFS mit Office 365.

Sind Sie besorgt, dass der externe Zugriff der Benutzer auf ihr E-Mail-System eine Frage der Sicherheit ist und...

wollen Sie sicherstellen, dass der externe E-Mail-Zugriff sicherer gestaltet wird, dann ist es Zeit, Client Access Policies umzusetzen.

Für viele Unternehmen bringt ein Umzug auf Office 365 neue Optionen für den Zugriff auf Dienste wie Microsoft Exchange, auch über das Internet. Obwohl viele Organisationen Zugriff auf Outlook Web App, Outlook Anywhere oder ActiveSync bieten, wollen Sie unter Umständen, dass einige Endbenutzer nicht von einem Internet-Cafe auf ihre E-Mail zugreifen können. Auch die Anbindung eigener Smartphones, Tablets, Notebooks oder anderer privater Geräte an Office 365 ist nicht immer erwünscht. Wollen Sie in Ihrem Unternehmen die Sicherheit in diesem Bereich etwas professioneller und strenger Regeln, können Sie das über Client Access Policies vornehmen.

Office 365 ist ein Internet-basierter Dienst, was bedeutet, dass alle Clients das öffentliche Internet nutzen müssen um darauf zuzugreifen. Einige Organisationen lassen den Zugriff nur von besonders gesicherten Leitungen und Geräten zu.

Out-of-the-box ist ein Vorteil von Office 365, der dafür sorgt, dass Sie grundsätzlich kein Unternehmensgerät nutzen müssen, um den Dienst bereitzustellen zu verwalten oder auf die Funktionen zuzugreifen. Sie können die Leistungen, einschließlich der Installation von Outlook, den E-Mail-Zugriff und das Herunterladen von Client-Anwendungen überall durchführen, solange es eine Internet-Anbindung gibt. Für einige Organisationen, vor allem diejenigen, die mit finanziellen oder persönlichen Informationen arbeiten, bedeutet die Funktion, jedem Gerät auf diese Weise Verbindung zu gestatten, Probleme in der Sicherheit. Außerdem kann der Zugriff möglicherweise Vorschriften oder die interne Geschäftspolitik verletzen.

Damit Office 365 eine sinnvolle Technologie für Ihr Unternehmen sein kann, sollten Sie den Mailservice hier einrichten. Dadurch können Sie bestimmen, wer von wo aus auf die Mailservices zugreifen darf. Aber es ist komplizierter Dienste wie die Active Directory Federation Services (ADFS) zusammen mit Office 365 zu betreiben und zentrale Sicherheitsmechanismen des Unternehmens in die Cloud zu bringen.

Outlook ist ein aktiver Client. Das bedeutet, der Client sendet den Benutzernamen und das Passwort zu Office 365. Die Anwendung arbeitet und authentifiziert sich im Namen des Endbenutzers. Sofern Sie nicht nur Browser-basierte Dienste wie OWA und Sharepoint verwenden möchten, und sichere Zugriffsvarianten verwenden müssen, können Sie ADFS mit Office 365-Adressen verbinden und absichern. Standardmäßig kann jeder Outlook-Client mit den richtigen Anmeldeinformationen authentifiziert werden, unabhängig davon ob ADFS-Server im Internet zur Verfügung stehen oder nicht.

Microsoft weiß, dies für viele Organisationen mehr Sicherheitsfunktionen zur Verfügung stehen müssen. Daher wurden die Clientzugriffsrichtlinien (Client Access Policies) in Office 365 integriert.

Die verfügbaren Funktionen und Schlüsselanforderungen

Eine Client Access Policy ist eine von einer Reihe von grundlegenden Richtlinien für Microsoft die den Zugang zu Office 365 eingrenzen können. Sie haben folgende Möglichkeiten:

  • Blockieren Sie alle externen Zugriffe auf Office 365-Dienste
  • Blockieren Sie alle externen Zugriffe auf Office 365-Dienste, mit Ausnahme von ActiveSync-Geräten
  • Blockieren Sie alle externen Zugriffe auf Office 365-Dienste, mit Ausnahme von passiven Diensten, wie OWA oder andere browserbasierte Zugriffe.
  • Blockieren Sie alle externen Zugriffe auf Office 365-Dienste  für die Mitglieder von spezifischen Active Directory-Gruppen.
  • Blockieren Sie nur externe Outlook-Clients.

Wenn Sie den kompletten externen Zugriff blockieren, bedeutet dass: Nur IP-Adressbereiche, die Sie angeben, haben Zugriff. Wenn VPN-Clients auf Office 365 über Ihre Internetleitung zugreifen, werden sie als interne Clients eingestuft. Alle diese Maßnahmen blockieren den Zugang zu Lync Online und die Lizenzdienstleistungen für Office 2013 von externen Clients.

Auf der Server-Seite, müssen Sie sicherstellen, dass Sie zwei Mindestanforderungen erfüllen:

ADFS 2.0 Update Rollup 2, AD FS 2.1 oder ADFS 2012 R2;

ADFS-Proxy, Web-Application Proxy oder ein Reverse-Proxy, der diese Anforderungen erfüllt.

ADFS und Office 365-Abonnements sollten sich in einem guten, funktionsfähigen Zustand befinden. Dies bedeutet normalerweise, dass ein oder zwei Testpostfächer konfiguriert wurden und Sie die Authentifizierung über Clients getestet haben.

Sie müssen entscheiden, welche dieser Szenarien am besten Ihren Anforderungen entspricht, und sicherstellen, dass Sie eine vollständige Liste der externen IP-Adressen oder IP-Adressbereiche vorliegen haben, von denen interne Clients eine Verbindung zu Office 365 aufbauen.   

Implementieren einer Client Access Policy

Die Dokumentation für Client-Zugriffsrichtlinien in der TechNet kann kompliziert erscheinen, wenn Sie Ihre eigenen regulären Ausdrücke für die IP-Adressbereiche verwenden wollen oder einfach etwas anderes tun wollen als üblich. Aber es gibt einen einfacheren Weg, um die Richtlinien einzurichten.

Durch die Verwendung des Microsoft Client Access Policy Builder können Sie die Einrichtung etwas einfacher vornehmen. Hierbei handelt es sich um ein PowerShell-Skript, das Ihnen eine grafische Benutzerschnittstelle bietet. Mit diesem können Sie Änderungen mit Hilfe eines Assistenten einfach umsetzen. Um loszulegen laden Sie einfach das Skript auf Ihren primären ADFS-Server. Wenn Sie Windows Server 2012 R2 einsetzen, müssen Sie eine kleine Anpassung vornehmen, damit das Skript funktioniert.  Suchen Sie im Skript nach der folgenden Zeile:

If (($OSVersion.Major -eq 6) -and ($OSVersion.Minor -eq 2))

Ersetzen Sie den-eq mit -ge, damit Windows Server 2012 R2 erkannt wird:

If (($OSVersion.Major -eq 6) -and ($OSVersion.Minor -ge 2))

Client Access Policy Builder
Die grafische Oberfläche des Client Access Policy Builder.

Mit der Anpassung haben Sie den kompliziertesten Teil schon abgeschlossen. Anschließend starten Sie den ClientAccess Policy Builder (siehe Abbildung 1).  In der Oberfläche können Sie  mit der Einrichtung beginnen, in dem Sie bei Step1 auf Create Rules for Claim Types klicken.

Nach dem Erstellen der Anspruch- Typen geben Sie die spezifischen Einstellungen für Ihr Szenario ein. Für unser Beispiel wählen wir die Blockierung des kompletten externen Zugriffs, außer den Zugriff mit Exchange ActiveSync. Geben Sie hier auch die externe IP-Adresse Ihrer Organisation ein. Wenn Sie mit der neuen Konfiguration einverstanden sind (siehe Abbildung 2) klicken Sie auf Build um die Konfiguration abzuschließen.

Konfigurieren der Einstellung f�r eine neue Client Access Policy

Konfigurieren der Einstellung für eine neue Client Access Policy.

Nachdem Sie die Änderungen vorgenommen haben, können Sie diese überprüfen, wenn Sie diese in der ADFS-Verwaltungskonsole eingebunden haben. Navigieren Sie zu Trust Relationships > Claims Provider Trusts and suchen Sie nach  Active Directory. Wählen Sie dann Edit Claim Rules (Abbildung 3). Sie sehen nach der Einbindung  fünf neue Regeln.

ADFS
Bearbeiten der Anspruchsregeln in ADFS.

Sie können sicherstellen, dass die Regeln den Office 365-Zugriff von externen Clients blockieren, indem Sie zu Trust Relationships > Relying Party Trusts dann auf Edit Claim Rules bei Microsoft Office 365 Identity Platform klicken.

Nachdem Sie die Option gestartet haben, startet das Edit Claim Rules-Fenster. Wählen Sie  Issuance Authorization, überprüfen Sie, dass Sie einen neuen Anspruch mit der Bezeichnung „Block all external access to Office 365“ vorfinden und wählen Sie dann Edit Rule (Abbildung 4).

Office 365
Bearbeiten der neuen Regeln für Office 365.

Hier sehen Sie die Inhalte der Regel. ActiveSync wird explizit erwähnt, zusammen mit der externen IP-Adresse.

Sie brauchen hier keine Änderungen vorzunehmen, solange Sie die Regel nicht löschen oder anpassen wollen. Wie bei jeder Änderung, stellen Sie sicher dass die erwarteten Ergebnisse in ADFS angezeigt werden. Zugang von internen Clients und Exchange ActiveSync-Clients sollten unberührt weiter funktionieren, nachdem Sie die Regeln aktiv geschaltet haben. Zugriff von externen Clients sollten mit einer Not Authorized-Fehlermeldung bei einem Anmeldeversuch in einem Browser erscheinen oder zu einer Ablehnung führen, wenn Sie das Kennwort in Outlook eingegeben haben.

Folgen Sie SearchEnterpriseSoftware.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im August 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Office-Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close