Client Access Policy Builder

Richtlinien für Office 365 mit kostenlosem Tool erstellen und umsetzen

08.09.2014
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Client Access Policy Builder vorbereiten

Die grafische Oberfläche von Client Access Policy Builder können sich Administratoren durch einfachen Doppelklick auf PS1-Datei anzeigen lassen. Das funktioniert grundsätzlich auch auf Arbeitsstationen mit Windows 7/8.1. Allerdings sind in diesem Fall die Optionen deaktiviert, da das Tool eine Verbindung zum ADFS-Dienst voraussetzt. Sie sehen aber im Fenster welche Möglichkeiten zur Verfügung stehen. Auf ADFS-Servern wird das Fenster aktiviert und Sie können nach der Auswahl die Regeln in ADFS/Office 365 umsetzen lassen.

Damit Sie Client Access Policy Builder nutzen können, benötigen Sie eine Infrastruktur mit AD FS 2.0 Update Rollup 2, AD FS 2.1 oder AD FS 2012 R2. Zusätzlich benötigen Sie einen AD FS-Proxy, Web-Application Proxy oder einen Reverse-Proxy, der diese Anforderungen erfüllt. Um eine möglichst sichere Umgebung zu betreiben, bietet es sich an auf ADFS in Windows Server 2012 R2 zu setzen.

Vor einem Einsatz der Richtlinien müssen Sie zunächst genau planen, welche der erwähnten Sperrfunktionen Sie aktivieren und welche IP-Adressen Sie blockieren oder zulassen wollen. Sie müssen eine Liste der externen IP-Adressen oder IP-Adressbereiche erstellen, von denen interne Clients eine Verbindung zu Office 365 aufbauen dürfen. Gehen Sie hier nicht sorgfältig vor, besteht Gefahr, dass Sie mehr Funktionen blockieren, als Sie beabsichtigen, und auch die internen Clients nicht mehr mit Office 365 arbeiten können.

Die Dokumentation für Clientzugriffsrichtlinien im TechNet ist kompliziert, aber durchaus auch umsetzbar. Sie können aber mit dem bereits erwähnten Tool wesentlich einfacher die Einrichtung vornehmen. Durch die Verwendung des Microsoft Client Access Policy Builder können Sie die Einrichtung deutlich schneller und einfacher abschließen. Das Tool macht nichts anderes, als die Richtlinien in die Infrastruktur zu integrieren. Sie benötigen keinen zusätzlichen Dienst oder Server, das Tool ist lediglich ein Hilfsmittel für die Konfiguration von Richtlinien.

Client Access Policy Builder und Windows Server 2012 R2

Das Skript des Client Access Policy Builders müssen Sie auf Ihren primären AD FS-Server kopieren. Setzen Sie Windows Server 2012 R2 ein, müssen Sie eine Anpassung vornehmen, damit das Skript funktioniert. Dazu öffnen Sie das Skript entweder im Editor oder der PowerShell ISE. Suchen Sie im Skript nach der folgenden Zeile:

If (($OSVersion.Major -eq 6) -and ($OSVersion.Minor -eq 2))

Sie finden diese relativ weit oben im Skript. Ersetzen Sie den Parameter -eq mit -ge, damit Windows Server 2012 R2 erkannt wird. Ohne diese Änderung, erscheint eine Fehlermeldung in der grafischen Oberfläche, und Sie können keine Regeln setzen:

If (($OSVersion.Major -eq 6) -and ($OSVersion.Minor -ge 2))