Prinzipiell können sich Office-365-Anwender von überall aus anmelden, wo ein Rechner mit Internetzugang zur Verfügung steht. Unternehmen, die zahlreiche Anwender an Office 365 anbinden, sollten sich in jedem Fall Gedanken über eine Verbesserung der Sicherheit machen. So bietet es sich beispielweise auszuschließen, dass User sich von Internetcafés oder aus dem Urlaubshotel an Office 365 anmelden.
Durch die Internetanbindung von Office 365 können Unternehmen grundsätzlich nicht steuern, von wo Anwender auf Office 365 zugreifen. Ab Active Directory-Verbunddienste 2.0 (ADFS 2.0) haben Unternehmen die Möglichkeit Client Access Policies zu erstellen. Mit diesen Richtlinien können Administratoren festlegen von welchen Standorten Anwender sich mit Office 365 verbinden können. In einem solchen Szenario authentifizieren sich die Anwender nicht an der Weboberfläche von Office 365, sondern an den Active Directory-Verbunddiensten. Diese leiten die Anmeldung an die Cloud weiter. Durch diese zusätzliche Option können Sie Regeln festlegen, wer sich an die verschiedenen Office 365-Dienste von wo anmelden darf. Für große Unternehmen ist das ideal. Wir zeigen Ihnen in diesem Beitrag die Hintergründe und wie Sie bei der Erstellung vorgehen.
Damit sich diese Richtlinien möglichst problemlos erstellen und umsetzen lassen, bietet Microsoft den kostenlosen Client Access Policy Builder. Dieser bietet die automatische Erstellung von Richtlinien für die meisten Szenarien und kann die notwendigen Einstellungen vollständig automatisieren. Client Access Policy Builder ist ein PowerShell-Skript mit einer grafischen Oberfläche, welches auch für Windows Server 2012/2012 R2 geeignet ist. Offiziell wird Windows Server 2012 R2 zwar noch nicht unterstützt, das Skript funktioniert dennoch. Sie müssen dazu nur eine kleine Änderung im Skript vornehmen, doch dazu später mehr.
Sinnvoll ist der Einsatz von Client Access Policy Builder, wenn ADFS 2.0 und neuer im Einsatz sind und externe Anbindungen an Office 365 verboten werden sollen. Das PowerShell-Skript, aus dem der Client Access Policy Builder besteht, bietet eine grafische Oberfläche. Die Richtlinien lassen sich auch ohne das Zusatztool umsetzen, entsprechende Anleitungen sind im TechNet zu finden, allerdings ist das nicht ganz einfach und sehr fehleranfällig. Bei einem Fehler sperren Sie sehr schnell alle Anwender vom Zugriff auf Office 365 aus.
Was kann Client Access Policy Builder?
Einfach ausgedrückt können Administratoren mit dem Skript festlegen, dass der komplette externe Zugriff auf Office 365 gesperrt wird und die Cloud-Lösung nur Verbindungen von innerhalb des Unternehmens zulässt. Natürlich lassen sich hier auch Ausnahmen für Exchange ActiveSync-Clients machen, also für Smartphones und Tablets, die auf Exchange Online in Office 365 zugreifen. Die Erstellung der notwendigen Regeln in ADFS und Office 365 wird vollständig durch das Tool in der grafischen Oberfläche übernommen. Setzen Sie bereits ADFS mit Office 365 ein, können Sie mit dem Tool in wenigen Sekunden die Sicherheit Ihrer Cloud-Lösung enorm erhöhen.
Außerdem kann Client Access Policy Builder auch webbasierte Anwendungen wie Outlook Web App und SharePoint Online auf die Ausnahmeliste setzen. Wer die Umgebung noch detaillierter verwalten will, kann den Zugriff für alle Benutzer für den externen Zugriff sperren, aber den Zugriff auf Basis von Active Directory-Benutzergruppen zulassen. Außerdem lassen sich auch ausschließlich alle externen Outlook-Clients sperren. Die Konfiguration der Richtlinien, sowie der IP-Adressen, erfolgt über eine grafische Oberfläche, die durch das Skript gestartet wird. Sie müssen nur die entsprechende Option für das Szenario auswählen, dass Sie einsetzen wollen.
Wenn Sie den kompletten externen Zugriff auf Office 365 blockieren wollen, können Sie IP-Adressbereiche angeben von denen Anwender Zugriff auf die blockierten Dienste erhalten sollen. Wenn VPN-Clients auf Office 365 über eine Internetleitung zugreifen, werden diese natürlich als interne Clients eingestuft. Alle Einstellungen lassen sich nachträglich anpassen und wieder zurücknehmen. Sie können dazu das PowerShell-Skript verwenden, oder manuell die Einstellungen vornehmen.
Client Access Policy Builder vorbereiten
Die grafische Oberfläche von Client Access Policy Builder können sich Administratoren durch einfachen Doppelklick auf PS1-Datei anzeigen lassen. Das funktioniert grundsätzlich auch auf Arbeitsstationen mit Windows 7/8.1. Allerdings sind in diesem Fall die Optionen deaktiviert, da das Tool eine Verbindung zum ADFS-Dienst voraussetzt. Sie sehen aber im Fenster welche Möglichkeiten zur Verfügung stehen. Auf ADFS-Servern wird das Fenster aktiviert und Sie können nach der Auswahl die Regeln in ADFS/Office 365 umsetzen lassen.
Damit Sie Client Access Policy Builder nutzen können, benötigen Sie eine Infrastruktur mit AD FS 2.0 Update Rollup 2, AD FS 2.1 oder AD FS 2012 R2. Zusätzlich benötigen Sie einen AD FS-Proxy, Web-Application Proxy oder einen Reverse-Proxy, der diese Anforderungen erfüllt. Um eine möglichst sichere Umgebung zu betreiben, bietet es sich an auf ADFS in Windows Server 2012 R2 zu setzen.
Vor einem Einsatz der Richtlinien müssen Sie zunächst genau planen, welche der erwähnten Sperrfunktionen Sie aktivieren und welche IP-Adressen Sie blockieren oder zulassen wollen. Sie müssen eine Liste der externen IP-Adressen oder IP-Adressbereiche erstellen, von denen interne Clients eine Verbindung zu Office 365 aufbauen dürfen. Gehen Sie hier nicht sorgfältig vor, besteht Gefahr, dass Sie mehr Funktionen blockieren, als Sie beabsichtigen, und auch die internen Clients nicht mehr mit Office 365 arbeiten können.
Die Dokumentation für Clientzugriffsrichtlinien im TechNet ist kompliziert, aber durchaus auch umsetzbar. Sie können aber mit dem bereits erwähnten Tool wesentlich einfacher die Einrichtung vornehmen. Durch die Verwendung des Microsoft Client Access Policy Builder können Sie die Einrichtung deutlich schneller und einfacher abschließen. Das Tool macht nichts anderes, als die Richtlinien in die Infrastruktur zu integrieren. Sie benötigen keinen zusätzlichen Dienst oder Server, das Tool ist lediglich ein Hilfsmittel für die Konfiguration von Richtlinien.
Client Access Policy Builder und Windows Server 2012 R2
Das Skript des Client Access Policy Builders müssen Sie auf Ihren primären AD FS-Server kopieren. Setzen Sie Windows Server 2012 R2 ein, müssen Sie eine Anpassung vornehmen, damit das Skript funktioniert. Dazu öffnen Sie das Skript entweder im Editor oder der PowerShell ISE. Suchen Sie im Skript nach der folgenden Zeile:
If (($OSVersion.Major -eq 6) -and ($OSVersion.Minor -eq 2))
Sie finden diese relativ weit oben im Skript. Ersetzen Sie den Parameter -eq mit -ge, damit Windows Server 2012 R2 erkannt wird. Ohne diese Änderung, erscheint eine Fehlermeldung in der grafischen Oberfläche, und Sie können keine Regeln setzen:
If (($OSVersion.Major -eq 6) -and ($OSVersion.Minor -ge 2))
Richtlinien mit Client Access Policy Builder erstellen und in ADFS einbinden
Starten Sie das Skript über das Kontextmenü. Wenn alles richtig konfiguriert ist, erscheint im unteren Bereich keine Fehlermeldung und die Option Create Rules for Claim Types ist aktiv. Sie können jetzt mit dem Tool arbeiten.
Nachdem Sie die Claim Types (Anspruch-Typen) erstellt haben, können Sie sich an die Erstellung der Regeln machen. Dazu müssen Sie festlegen, welches Blockierungs-Szenario Sie umsetzen wollen.
Geben Sie im Fenster auch die externe IP-Adresse Ihrer Organisation ein. Wenn Sie die Daten eingegeben haben, klicken Sie auf Build um die Konfiguration abzuschließen. Bei diesem Vorgang werden alle notwendigen Einstellungen vorgenommen und in ADFS integriert. Hat das Tool seine Arbeit abgeschlossen, können Sie es schließen. Für den Betrieb ist Client Access Policy Builder nicht notwendig.
Überprüfen Sie nach der Integration der Regeln, ob diese in ADFS eingetragen wurden. Öffnen Sie dazu die ADFS-Verwaltung und navigieren Sie zu. Navigieren Sie zu Vertrauensstellungen\Anspruchanbieter-Vertrauensstellungen und klicken Sie auf Active Directory. Wählen Sie aus dem Kontextmenü von Active Directory die Option Anspruchsregeln bearbeiten.
Sie sehen nach der Erstellung von Policies mit dem Client Access Policy Builder fünf neue Regeln, ganz unten im Fenster. Zusätzlich sollten Sie noch die hinterlegte Vertrauensstellung im Bereich Vertrauensstellungen\Vertrauensstellungen der vertrauenden Seite überprüfen. Hier ist die Vertrauensstellung zu Office 365 hinterlegt, wenn Sie ADFS mit Office 365 verbunden haben.
Überprüfen Sie auch hier die Regeln und stellen Sie sicher, dass diese korrekt umgesetzt wurden. Hier sehen Sie auch die verwendeten IP-Adressen. Sobald die Regeln repliziert und synchronisiert sind, werden diese auch umgesetzt. Sie können diese natürlich jederzeit an Ihre Bedürfnisse anpassen.
Fazit
Unternehmen, die auf ADFS und Office 365 setzen, sollten sich die Möglichkeiten des Client Access Policy Builders ansehen. Die Umsetzung ist sehr einfach, die Auswirkung enorm. Vor allem, wenn Sie verhindern wollen, dass Anwender auch von externen Rechnern auf Office 365 zugreifen, macht der Einsatz des Tools Sinn. Dazu kommt, dass die Konfiguration von Client Access Policies mit dem PowerShell-Skript wesentlich effizienter und schneller abläuft, als bei einer manuellen Konfiguration der Richtlinien. (mje)