Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Principerna som beskrivs i den här artikeln använder två typer av anspråk
Anspråk som AD FS skapar baserat på information som AD FS och webbprogramproxyn kan inspektera och verifiera, till exempel IP-adressen för klienten som ansluter direkt till AD FS eller WAP.
Anspråk som AD FS skapar baserat på information som vidarebefordras till AD FS av klienten som HTTP-huvuden
Viktigt: Principerna som beskrivs nedan blockerar scenarier för Windows 10-domänanslutning och inloggning som kräver åtkomst till följande ytterligare slutpunkter
AD FS-slutpunkter som krävs för Windows 10-domänanslutning och inloggning
- [federationstjänstnamn]/adfs/services/trust/2005/windowstransport
- [federationstjänstnamn]/adfs/services/trust/13/windowstransport
- [federationstjänstnamn]/adfs/services/trust/2005/usernamemixed
- [federationstjänstnamn]/adfs/services/trust/13/usernamemixed
- [federationstjänstnamn]/adfs/services/trust/2005/certifikatblandad
- [federationstjänstnamn]/adfs/services/trust/13/certifikatblandad
Viktigt: /adfs/services/trust/2005/windowstransport och /adfs/services/trust/13/windowstransport-slutpunkter bör endast aktiveras för intranätåtkomst eftersom de är avsedda att vara intranätuppkopplade slutpunkter som använder WIA-bindning på HTTPS. Om de exponeras för extranät kan begäranden mot dessa slutpunkter kringgå lockoutskydd. Dessa slutpunkter bör inaktiveras på proxyn (dvs. inaktiveras från extranätet) för att förhindra att AD-konton låses ute.
Lös problemet genom att uppdatera alla principer som nekar baserat på slutpunktsanspråket för att tillåta undantag för slutpunkterna ovan.
Till exempel regeln nedan:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "/adfs/ls/"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");
uppdateras till:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "(/adfs/ls/)|(/adfs/services/trust/2005/windowstransport)|(/adfs/services/trust/13/windowstransport)|(/adfs/services/trust/2005/usernamemixed)|(/adfs/services/trust/13/usernamemixed)|(/adfs/services/trust/2005/certificatemixed)|(/adfs/services/trust/13/certificatemixed)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");
Note
Anspråk från den här kategorin bör endast användas för att implementera affärsprinciper och inte som säkerhetsprinciper för att skydda åtkomsten till nätverket. Det är möjligt för obehöriga klienter att skicka rubriker med falsk information som ett sätt att få åtkomst.
Principerna som beskrivs i den här artikeln bör alltid användas med en annan autentiseringsmetod, till exempel användarnamn och lösenord eller multifaktorautentisering.
Scenarier för klientåtkomstprinciper
| Scenario | Description |
|---|---|
| Scenario 1: Blockera all extern åtkomst till Office 365 | Office 365-åtkomst tillåts från alla klienter i det interna företagsnätverket, men begäranden från externa klienter nekas baserat på IP-adressen för den externa klienten. |
| Scenario 2: Blockera all extern åtkomst till Office 365 utom Exchange ActiveSync | Office 365-åtkomst tillåts från alla klienter i det interna företagsnätverket, samt från externa klientenheter, till exempel smarta telefoner, som använder Exchange ActiveSync. Alla andra externa klienter, till exempel de som använder Outlook, blockeras. |
| Scenario 3: Blockera all extern åtkomst till Office 365 utom webbläsarbaserade program | Blockerar extern åtkomst till Office 365, förutom passiva (webbläsarbaserade) program som Outlook Web Access eller SharePoint Online. |
| Scenario 4: Blockera all extern åtkomst till Office 365 förutom avsedda Active Directory-grupper | Det här scenariot används för att testa och validera distribution av klientåtkomstprinciper. Den blockerar endast extern åtkomst till Office 365 för medlemmar i en eller flera Active Directory-grupper. Det kan också användas för att endast ge extern åtkomst till medlemmar i en grupp. |
Aktivera klientåtkomstpolicy
Om du vill aktivera klientåtkomstprincip i AD FS i Windows Server 2012 R2 måste du uppdatera det förlitande partförtroendet för Microsoft Office 365 Identity Platform. Välj ett av exempelscenarierna nedan för att konfigurera anspråksreglerna på det förlitande partförtroendet för Microsoft Office 365 Identity Platform som bäst uppfyller organisationens behov.
Scenario 1: Blockera all extern åtkomst till Office 365
Det här scenariot för klientåtkomstprincip tillåter åtkomst från alla interna klienter och blockerar alla externa klienter baserat på IP-adressen för den externa klienten. Du kan använda följande procedurer för att lägga till rätt regler för utfärdandeauktorisering i det förlitande Office 365-partförtroendet för det valda scenariot.
Så här skapar du regler för att blockera all extern åtkomst till Office 365
Från Serverhanteraren klickar du på Verktyg och sedan på AD FS-hantering.
I konsolträdet under AD FS\Förtroenderelationer klickar du på Förlitande partsförtroenden, högerklickar på Microsoft Office 365 Identity Platform-förtroendet och klickar sedan på Redigera anspråksregler.
I dialogrutan Redigera anspråksregler väljer du fliken Utfärdandeauktoriseringsregler och klickar sedan på Lägg till regel för att starta guiden Anspråksregel.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel , under Anspråksregelnamn, skriver du visningsnamnet för den här regeln, till exempel "Om det finns ip-anspråk utanför önskat intervall nekar du". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk (ersätt värdet ovan för "x-ms-forwarded-client-ip" med ett giltigt IP-uttryck):
c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");Klicka på Slutför. Kontrollera att den nya regeln visas i listan Regler för utfärdandeauktorisering före standardregeln Tillåt åtkomst till alla användare (regeln Neka prioriteras även om den visas tidigare i listan). Om du inte har någon standardregel för åtkomsttillstånd kan du lägga till en i slutet av listan med hjälp av anspråksregelspråket enligt följande:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");Om du vill spara de nya reglerna klickar du på OK i dialogrutan Redigera anspråksregler. Den resulterande listan bör se ut så här.
Scenario 2: Blockera all extern åtkomst till Office 365 utom Exchange ActiveSync
I följande exempel får du åtkomst till alla Office 365-program, inklusive Exchange Online, från interna klienter, inklusive Outlook. Den blockerar åtkomst från klienter som finns utanför företagsnätverket, vilket anges av klientens IP-adress, med undantag för Exchange ActiveSync-klienter som smarta telefoner.
Skapa regler för att blockera all extern åtkomst till Office 365 utom Exchange ActiveSync
Från Serverhanteraren klickar du på Verktyg och sedan på AD FS-hantering.
I konsolträdet under AD FS\Förtroenderelationer klickar du på Förlitande partsförtroenden, högerklickar på Microsoft Office 365 Identity Platform-förtroendet och klickar sedan på Redigera anspråksregler.
I dialogrutan Redigera anspråksregler väljer du fliken Utfärdandeauktoriseringsregler och klickar sedan på Lägg till regel för att starta guiden Anspråksregel.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel , under Anspråksregelnamn, skriver du visningsnamnet för den här regeln, till exempel "Om det finns ip-anspråk utanför önskat intervall utfärdar du ipoutsiderange-anspråk". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk (ersätt värdet ovan för "x-ms-forwarded-client-ip" med ett giltigt IP-uttryck):
c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");Klicka på Slutför. Kontrollera att den nya regeln visas i listan Regler för utfärdandeauktorisering .
I dialogrutan Redigera anspråksregler går du till fliken Utfärdandeauktoriseringsregler och klickar på Lägg till regel för att starta guiden Anspråksregel igen.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel , under Anspråksregelnamn, skriver du visningsnamnet för den här regeln, till exempel "Om det finns en IP-adress utanför önskat intervall och det finns ett anspråk som inte är EAS x-ms-client-application, neka". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value != "Microsoft.Exchange.ActiveSync"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");Klicka på Slutför. Kontrollera att den nya regeln visas i listan Regler för utfärdandeauktorisering .
I dialogrutan Redigera anspråksregler går du till fliken Utfärdandeauktoriseringsregler och klickar på Lägg till regel för att starta guiden Anspråksregel igen.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel , under Anspråksregelnamn, skriver du visningsnamnet för den här regeln, till exempel "kontrollera om programanspråket finns". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk:
NOT EXISTS([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application"]) => add(Type = "http://custom/xmsapplication", Value = "fail");Klicka på Slutför. Kontrollera att den nya regeln visas i listan Regler för utfärdandeauktorisering .
I dialogrutan Redigera anspråksregler går du till fliken Utfärdandeauktoriseringsregler och klickar på Lägg till regel för att starta guiden Anspråksregel igen.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel , under Anspråksregelnamn, skriver du visningsnamnet för den här regeln, till exempel "neka användare med ipoutsiderange true och programfel". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "http://custom/xmsapplication", Value == "fail"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");Klicka på Slutför. Kontrollera att den nya regeln visas direkt under föregående regel och före standardregeln Tillåt åtkomst till alla användare i listan Regler för utfärdandeauktorisering (neka-regeln har företräde även om den visas tidigare i listan).
Om du inte har standardregeln för tillåten åtkomst kan du lägga till en i slutet av listan med hjälp av anspråksregelspråket på följande sätt:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");Om du vill spara de nya reglerna klickar du på OK i dialogrutan Redigera anspråksregler . Den resulterande listan bör se ut så här.
Scenario 3: Blockera all extern åtkomst till Office 365 utom webbläsarbaserade program
Skapa regler för att blockera all extern åtkomst till Office 365 utom webbläsarbaserade program
Från Serverhanteraren klickar du på Verktyg och sedan på AD FS-hantering.
I konsolträdet under AD FS\Förtroenderelationer klickar du på Förlitande partsförtroenden, högerklickar på Microsoft Office 365 Identity Platform-förtroendet och klickar sedan på Redigera anspråksregler.
I dialogrutan Redigera anspråksregler väljer du fliken Utfärdandeauktoriseringsregler och klickar sedan på Lägg till regel för att starta guiden Anspråksregel.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel , under Anspråksregelnamn, skriver du visningsnamnet för den här regeln, till exempel "Om det finns ip-anspråk utanför önskat intervall utfärdar du ipoutsiderange-anspråk". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk (ersätt värdet ovan för "x-ms-forwarded-client-ip" med ett giltigt IP-uttryck):
c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");
Klicka på Slutför. Kontrollera att den nya regeln visas i listan Regler för utfärdandeauktorisering .
I dialogrutan Redigera anspråksregler går du till fliken Utfärdandeauktoriseringsregler och klickar på Lägg till regel för att starta guiden Anspråksregel igen.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel under Anspråksregelnamn skriver du visningsnamnet för den här regeln, till exempel "Om det finns en IP-adress utanför önskat intervall OCH slutpunkten inte är /adfs/ls, neka". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "/adfs/ls/"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");`Klicka på Slutför. Kontrollera att den nya regeln visas i listan Regler för utfärdandeauktorisering före standardregeln Tillåt åtkomst till alla användare (regeln Neka prioriteras även om den visas tidigare i listan).
Om du inte har standardregeln för åtkomsttillstånd kan du lägga till en i slutet av listan med hjälp av anspråksregelspråket på följande sätt:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Om du vill spara de nya reglerna klickar du på OK i dialogrutan Redigera anspråksregler. Den resulterande listan bör se ut så här.
Scenario 4: Blockera all extern åtkomst till Office 365 förutom avsedda Active Directory-grupper
I följande exempel kan du få åtkomst från interna klienter baserat på IP-adress. Den blockerar åtkomst från klienter som finns utanför företagsnätverket som har en extern klient-IP-adress, förutom de personer i en angiven Active Directory-grupp.Använd följande steg för att lägga till rätt regler för utfärdandeauktorisering i Microsoft Office 365 Identity Platform-förlitande partförtroende med hjälp av guiden Anspråksregel:
Skapa regler för att blockera all extern åtkomst till Office 365, förutom avsedda Active Directory-grupper
Från Serverhanteraren klickar du på Verktyg och sedan på AD FS-hantering.
I konsolträdet under AD FS\Förtroenderelationer klickar du på Förlitande partsförtroenden, högerklickar på Microsoft Office 365 Identity Platform-förtroendet och klickar sedan på Redigera anspråksregler.
I dialogrutan Redigera anspråksregler väljer du fliken Utfärdandeauktoriseringsregler och klickar sedan på Lägg till regel för att starta guiden Anspråksregel.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel , under Anspråksregelnamn, skriver du visningsnamnet för den här regeln, till exempel "Om det finns ett IP-anspråk utanför önskat intervall utfärdar du ipoutsiderange-anspråk.". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk (ersätt värdet ovan för "x-ms-forwarded-client-ip" med ett giltigt IP-uttryck):
`c1:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");`Klicka på Slutför. Kontrollera att den nya regeln visas i listan Regler för utfärdandeauktorisering .
I dialogrutan Redigera anspråksregler går du till fliken Utfärdandeauktoriseringsregler och klickar på Lägg till regel för att starta guiden Anspråksregel igen.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel , under Anspråksregelnamn, skriver du visningsnamnet för den här regeln, till exempel "kontrollera grupp-SID". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk (ersätt "groupsid" med det faktiska SID för den AD-grupp som du använder):
NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-32-100"]) => add(Type = "http://custom/groupsid", Value = "fail");Klicka på Slutför. Kontrollera att den nya regeln visas i listan Regler för utfärdandeauktorisering .
I dialogrutan Redigera anspråksregler går du till fliken Utfärdandeauktoriseringsregler och klickar på Lägg till regel för att starta guiden Anspråksregel igen.
På sidan Välj regelmall går du till mallen Anspråksregel, väljer Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
På sidan Konfigurera regel under Anspråksregelnamn skriver du visningsnamnet för den här regeln, till exempel "neka användare med ipoutsiderange true och groupsid fail". Under Anpassad regel skriver eller klistrar du in följande syntax för anspråksregelspråk:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "http://custom/groupsid", Value == "fail"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");
- Klicka på Slutför. Kontrollera att den nya regeln visas direkt under föregående regel och före standardregeln Tillåt åtkomst till alla användare i listan Regler för utfärdandeauktorisering (neka-regeln har företräde även om den visas tidigare i listan).
Om du inte har standardregeln för att tillåta åtkomst kan du lägga till en i slutet av listan med hjälp av språket för anspråksregel på följande sätt:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Om du vill spara de nya reglerna klickar du på OK i dialogrutan Redigera anspråksregler . Den resulterande listan bör se ut så här.
Skapa ip-adressintervalluttrycket
Anspråket x-ms-forwarded-client-ip fylls från en HTTP-rubrik som för närvarande endast anges av Exchange Online, vilken fyller i rubriken när autentiseringsbegäran skickas till AD FS. Värdet för anspråket kan vara något av följande:
Note
Exchange Online stöder för närvarande endast IPV4-adresser och inte IPV6-adresser.
- En enskild IP-adress: IP-adressen för klienten som är direkt ansluten till Exchange Online
Note
- IP-adressen för en klient i företagsnätverket visas som ip-adressen för det externa gränssnittet för organisationens utgående proxy eller gateway.
- Klienter som är anslutna till företagsnätverket via ett VPN eller av Microsoft DirectAccess (DA) kan visas som interna företagsklienter eller som externa klienter beroende på konfigurationen av VPN eller DA.
- En eller flera IP-adresser: När Exchange Online inte kan fastställa IP-adressen för den anslutande klienten anges värdet baserat på värdet för rubriken x-forwarded-for, ett icke-standardhuvud som kan ingå i HTTP-baserade begäranden och stöds av många klienter, lastbalanserare och proxyservrar på marknaden.
Note
- Flera IP-adresser, som anger klientens IP-adress och adressen för varje proxy som skickade begäran, avgränsas med kommatecken.
- IP-adresser som är relaterade till Exchange Online-infrastrukturen finns inte med i listan.
Reguljära uttryck
När du måste matcha ett intervall med IP-adresser blir det nödvändigt att konstruera ett reguljärt uttryck för att utföra jämförelsen. I nästa stegserie ger vi exempel på hur du skapar ett sådant uttryck för att matcha följande adressintervall (observera att du måste ändra dessa exempel så att de matchar ditt offentliga IP-intervall):
192.168.1.1 – 192.168.1.25
10.0.0.1 – 10.0.0.14
Först är det grundläggande mönstret som matchar en enskild IP-adress följande: \b###\.###\.###\.####\b
Om vi utökar detta kan vi matcha två olika IP-adresser med ett OR-uttryck på följande sätt: \b###\.###\.##\.###\b|\b###\.##\.##\.###\b
Ett exempel som bara matchar två adresser (till exempel 192.168.1.1 eller 10.0.0.1) skulle alltså vara: \b192\.168\.1\.1\b|\b10\.0\.0\.1\b
Detta ger dig den teknik med vilken du kan ange valfritt antal adresser. Om ett adressintervall måste tillåtas, till exempel 192.168.1.1 – 192.168.1.25, måste matchningen utföras efter tecken: \b192\.168\.1\. ([1-9]|1[0-9]|2[0-5])\b
Observera följande:
IP-adressen behandlas som en sträng och inte ett tal.
Regeln är uppdelad på följande sätt: \b192\.168\.1\.
Detta matchar alla värden som börjar med 192.168.1.
Följande matchar de intervall som krävs för delen av adressen efter den sista decimalpunkten:
([1-9] Matchar adresser som slutar i 1-9
|1[0-9] Matchar adresser som slutar 10–19
|2[0-5]) Matchar adresser som slutar med 20–25
Observera att parenteserna måste vara korrekt placerade så att du inte börjar matcha andra delar av IP-adresser.
Med 192-blocket matchat kan vi skriva ett liknande uttryck för 10-blocket: \b10\.0\.0\. ([1-9]|1[0-4])\b
Och om du sätter ihop dem ska följande uttryck matcha alla adresser för "192.168.1.1~25" och "10.0.0.1~14": \b192\.168\.1\. ([1-9]|1[0-9]|2[0-5])\b|\b10\.0\.0\. ([1-9]|1[0-4])\b
Testa uttrycket
Regex-uttryck kan bli ganska knepiga, så vi rekommenderar starkt att du använder ett regex-verifieringsverktyg. Om du gör en internetsökning efter "online regex expression builder" hittar du flera bra onlineverktyg som gör att du kan prova dina uttryck mot exempeldata.
När du testar uttrycket är det viktigt att du förstår vad du kan förvänta dig att behöva matcha. Exchange Online-systemet kan skicka många IP-adresser, avgränsade med kommatecken. De uttryck som anges ovan fungerar för detta. Det är dock viktigt att tänka på detta när du testar dina regex-uttryck. Man kan till exempel använda följande exempelindata för att verifiera exemplen ovan:
192.168.1.1, 192.168.1.2, 192.169.1.1. 192.168.12.1, 192.168.1.10, 192.168.1.25, 192.168.1.26, 192.168.1.30, 1192.168.1.20
10.0.0.1, 10.0.0.5, 10.0.0.10, 10.0.1.0, 10.0.1.1, 110.0.0.1, 10.0.0.14, 10.0.0.15, 10.0.0.10, 10,0.0.1
Anspråkstyper
AD FS i Windows Server 2012 R2 tillhandahåller sammanhangsinformation för begäran med hjälp av följande anspråkstyper:
X-MS-Forwarded-Client-IP
Anspråkstyp: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip
Det här AD FS-anspråket representerar ett "bästa försök" att fastställa IP-adressen för användaren (till exempel Outlook-klienten) som gör begäran. Det här anspråket kan innehålla flera IP-adresser, inklusive adressen för varje proxy som vidarebefordrade begäran. Det här anspråket fylls i från en HTTP-förfrågan. Värdet för anspråket kan vara något av följande:
- En enskild IP-adress – IP-adressen för klienten som är direkt ansluten till Exchange Online
Note
IP-adressen för en klient i företagsnätverket visas som ip-adressen för det externa gränssnittet för organisationens utgående proxy eller gateway.
En eller flera IP-adresser
Om Exchange Online inte kan fastställa IP-adressen för den anslutande klienten anges värdet baserat på värdet för rubriken x-forwarded-for, ett icke-standardhuvud som kan ingå i HTTP-baserade begäranden och som stöds av många klienter, lastbalanserare och proxyservrar på marknaden.
Flera IP-adresser som anger klientens IP-adress och adressen för varje proxy som skickade begäran avgränsas med kommatecken.
Note
IP-adresser som är relaterade till Exchange Online-infrastrukturen finns inte i listan.
Warning
Exchange Online stöder för närvarande endast IPV4-adresser. det stöder inte IPV6-adresser.
X-MS-Client-Application
Anspråkstyp: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application
Detta AD FS-anspråk representerar det protokoll som används av slutklienten, vilket motsvarar det program som används löst. Det här anspråket fylls i från ett HTTP-huvud som för närvarande endast anges av Exchange Online, som fyller i huvudet när autentiseringsbegäran skickas till AD FS. Beroende på applikationen är värdet för det här anspråket något av följande:
För enheter som använder Exchange Active Sync är värdet Microsoft.Exchange.ActiveSync.
Användning av Microsoft Outlook-klienten kan resultera i något av följande värden:
Microsoft.Exchange.Autodiscover
Microsoft.Exchange.OfflineAddressBook
Microsoft.Exchange.RPCMicrosoft.Exchange.WebServices
Microsoft.Exchange.RPCMicrosoft.Exchange.WebServices
Andra möjliga värden för den här rubriken är följande:
Microsoft.Exchange.Powershell
Microsoft.Exchange.SMTP
Microsoft.Exchange.Pop
Microsoft.Exchange.Imap
X-MS-Client-User-Agent
Anspråkstyp: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent
Det här AD FS-anspråket innehåller en sträng som representerar den enhetstyp som klienten använder för att få åtkomst till tjänsten. Detta kan användas när kunder vill förhindra åtkomst för vissa enheter (till exempel vissa typer av smarta telefoner). Exempelvärden för det här anspråket är (men är inte begränsade till) värdena nedan.
Nedan visas exempel på vad värdet x-ms-user-agent kan innehålla för en klient vars x-ms-client-application är "Microsoft.Exchange.ActiveSync"
Vortex/1.0
Apple-iPad1C1/812.1
Apple-iPhone3C1/811.2
Apple-iPhone/704.11
Moto-DROID2/4.5.1
SAMSUNGSPHD700/100.202
Android/0.3
Det är också möjligt att det här värdet är tomt.
X-MS-Proxy
Anspråkstyp: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy
Det här AD FS-anspråket anger att begäran har skickats via webbprogramproxyn. Det här kravet fylls i av webbapplikationsproxyn, som fyller i rubriken när autentiseringsbegäran skickas till den bakomliggande federationstjänsten. AD FS konverterar den sedan till ett anspråk.
Värdet för anspråket är DNS-namnet på webbprogramproxyn som skickade begäran.
InsideCorporateNetwork
Anspråkstyp: https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork
På samma sätt som ovanstående x-ms-proxy-anspråkstyp anger den här anspråkstypen om begäran har skickats via webbprogramproxyn. Till skillnad från x-ms-proxy är insidecorporatenetwork ett booleskt värde med True som anger en begäran direkt till federationstjänsten inifrån företagsnätverket.
X-MS-Endpoint-Absolute-Path (aktiv eller passiv)
Anspråkstyp: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path
Den här anspråkstypen kan användas för att fastställa begäranden som kommer från "aktiva" (omfattande) klienter jämfört med "passiva" (webbläsarbaserade) klienter. På så sätt kan externa begäranden från webbläsarbaserade program som Outlook Web Access, SharePoint Online eller Office 365-portalen tillåtas medan begäranden från rich-klienter som Microsoft Outlook blockeras.
Värdet för anspråket är namnet på AD FS-tjänsten som tog emot begäran.