Client Access Policy Builder

Richtlinien für Office 365 mit kostenlosem Tool erstellen und umsetzen

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt. Das Blog von Thomas Joos finden Sie unter thomasjoos.wordpress.com.
Mit dem kostenlosen Client Access Policy Builder können Firmen regeln, von wo aus sich Anwender an Office 365 anmelden können. Dieser Beitrag erklärt wie es funktioniert, und was zu beachten ist.

Prinzipiell können sich Office-365-Anwender von überall aus anmelden, wo ein Rechner mit Internetzugang zur Verfügung steht. Unternehmen, die zahlreiche Anwender an Office 365 anbinden, sollten sich in jedem Fall Gedanken über eine Verbesserung der Sicherheit machen. So bietet es sich beispielweise auszuschließen, dass User sich von Internetcafés oder aus dem Urlaubshotel an Office 365 anmelden.

Durch die Internetanbindung von Office 365 können Unternehmen grundsätzlich nicht steuern, von wo Anwender auf Office 365 zugreifen. Ab Active Directory-Verbunddienste 2.0 (ADFS 2.0) haben Unternehmen die Möglichkeit Client Access Policies zu erstellen. Mit diesen Richtlinien können Administratoren festlegen von welchen Standorten Anwender sich mit Office 365 verbinden können. In einem solchen Szenario authentifizieren sich die Anwender nicht an der Weboberfläche von Office 365, sondern an den Active Directory-Verbunddiensten. Diese leiten die Anmeldung an die Cloud weiter. Durch diese zusätzliche Option können Sie Regeln festlegen, wer sich an die verschiedenen Office 365-Dienste von wo anmelden darf. Für große Unternehmen ist das ideal. Wir zeigen Ihnen in diesem Beitrag die Hintergründe und wie Sie bei der Erstellung vorgehen.

Damit sich diese Richtlinien möglichst problemlos erstellen und umsetzen lassen, bietet Microsoft den kostenlosen Client Access Policy Builder. Dieser bietet die automatische Erstellung von Richtlinien für die meisten Szenarien und kann die notwendigen Einstellungen vollständig automatisieren. Client Access Policy Builder ist ein PowerShell-Skript mit einer grafischen Oberfläche, welches auch für Windows Server 2012/2012 R2 geeignet ist. Offiziell wird Windows Server 2012 R2 zwar noch nicht unterstützt, das Skript funktioniert dennoch. Sie müssen dazu nur eine kleine Änderung im Skript vornehmen, doch dazu später mehr.

Sinnvoll ist der Einsatz von Client Access Policy Builder, wenn ADFS 2.0 und neuer im Einsatz sind und externe Anbindungen an Office 365 verboten werden sollen. Das PowerShell-Skript, aus dem der Client Access Policy Builder besteht, bietet eine grafische Oberfläche. Die Richtlinien lassen sich auch ohne das Zusatztool umsetzen, entsprechende Anleitungen sind im TechNet zu finden, allerdings ist das nicht ganz einfach und sehr fehleranfällig. Bei einem Fehler sperren Sie sehr schnell alle Anwender vom Zugriff auf Office 365 aus.

Was kann Client Access Policy Builder?

Einfach ausgedrückt können Administratoren mit dem Skript festlegen, dass der komplette externe Zugriff auf Office 365 gesperrt wird und die Cloud-Lösung nur Verbindungen von innerhalb des Unternehmens zulässt. Natürlich lassen sich hier auch Ausnahmen für Exchange ActiveSync-Clients machen, also für Smartphones und Tablets, die auf Exchange Online in Office 365 zugreifen. Die Erstellung der notwendigen Regeln in ADFS und Office 365 wird vollständig durch das Tool in der grafischen Oberfläche übernommen. Setzen Sie bereits ADFS mit Office 365 ein, können Sie mit dem Tool in wenigen Sekunden die Sicherheit Ihrer Cloud-Lösung enorm erhöhen.

Außerdem kann Client Access Policy Builder auch webbasierte Anwendungen wie Outlook Web App und SharePoint Online auf die Ausnahmeliste setzen. Wer die Umgebung noch detaillierter verwalten will, kann den Zugriff für alle Benutzer für den externen Zugriff sperren, aber den Zugriff auf Basis von Active Directory-Benutzergruppen zulassen. Außerdem lassen sich auch ausschließlich alle externen Outlook-Clients sperren. Die Konfiguration der Richtlinien, sowie der IP-Adressen, erfolgt über eine grafische Oberfläche, die durch das Skript gestartet wird. Sie müssen nur die entsprechende Option für das Szenario auswählen, dass Sie einsetzen wollen.

Wenn Sie den kompletten externen Zugriff auf Office 365 blockieren wollen, können Sie IP-Adressbereiche angeben von denen Anwender Zugriff auf die blockierten Dienste erhalten sollen. Wenn VPN-Clients auf Office 365 über eine Internetleitung zugreifen, werden diese natürlich als interne Clients eingestuft. Alle Einstellungen lassen sich nachträglich anpassen und wieder zurücknehmen. Sie können dazu das PowerShell-Skript verwenden, oder manuell die Einstellungen vornehmen.