Richtlinien mit Client Access Policy Builder erstellen und in ADFS einbinden
Starten Sie das Skript über das Kontextmenü. Wenn alles richtig konfiguriert ist, erscheint im unteren Bereich keine Fehlermeldung und die Option Create Rules for Claim Types ist aktiv. Sie können jetzt mit dem Tool arbeiten.
Nachdem Sie die Claim Types (Anspruch-Typen) erstellt haben, können Sie sich an die Erstellung der Regeln machen. Dazu müssen Sie festlegen, welches Blockierungs-Szenario Sie umsetzen wollen.
Geben Sie im Fenster auch die externe IP-Adresse Ihrer Organisation ein. Wenn Sie die Daten eingegeben haben, klicken Sie auf Build um die Konfiguration abzuschließen. Bei diesem Vorgang werden alle notwendigen Einstellungen vorgenommen und in ADFS integriert. Hat das Tool seine Arbeit abgeschlossen, können Sie es schließen. Für den Betrieb ist Client Access Policy Builder nicht notwendig.
Überprüfen Sie nach der Integration der Regeln, ob diese in ADFS eingetragen wurden. Öffnen Sie dazu die ADFS-Verwaltung und navigieren Sie zu. Navigieren Sie zu Vertrauensstellungen\Anspruchanbieter-Vertrauensstellungen und klicken Sie auf Active Directory. Wählen Sie aus dem Kontextmenü von Active Directory die Option Anspruchsregeln bearbeiten.
- Client Access Policy Builder
Im ersten Schritt erstellen Sie Regel für Claim Types mit Client Access Policy Builder. - Client Access Policy Builder
Im zweiten Schritt der Erstellung von Client Access Policies legen Sie das Szenario fest, welches Sie umsetzen wollen. - Client Access Policy Builder
Haben Sie die Erstellung der Regeln abgeschlossen, können Sie diese zu ADFS übertragen. - Client Access Policy Builder
In der ADFS-Verwaltung steuern Sie die hinterlegten Regeln für den Zugriff auf Office 365. - Client Access Policy Builder
Client Access Policy Builder hat neue Regeln für den Zugriff auf Office 365 durch ADFS erstellt.
Sie sehen nach der Erstellung von Policies mit dem Client Access Policy Builder fünf neue Regeln, ganz unten im Fenster. Zusätzlich sollten Sie noch die hinterlegte Vertrauensstellung im Bereich Vertrauensstellungen\Vertrauensstellungen der vertrauenden Seite überprüfen. Hier ist die Vertrauensstellung zu Office 365 hinterlegt, wenn Sie ADFS mit Office 365 verbunden haben.
Überprüfen Sie auch hier die Regeln und stellen Sie sicher, dass diese korrekt umgesetzt wurden. Hier sehen Sie auch die verwendeten IP-Adressen. Sobald die Regeln repliziert und synchronisiert sind, werden diese auch umgesetzt. Sie können diese natürlich jederzeit an Ihre Bedürfnisse anpassen.
Fazit
Unternehmen, die auf ADFS und Office 365 setzen, sollten sich die Möglichkeiten des Client Access Policy Builders ansehen. Die Umsetzung ist sehr einfach, die Auswirkung enorm. Vor allem, wenn Sie verhindern wollen, dass Anwender auch von externen Rechnern auf Office 365 zugreifen, macht der Einsatz des Tools Sinn. Dazu kommt, dass die Konfiguration von Client Access Policies mit dem PowerShell-Skript wesentlich effizienter und schneller abläuft, als bei einer manuellen Konfiguration der Richtlinien. (mje)