Client Access Policy Builder
Richtlinien für Office 365 mit kostenlosem Tool erstellen und umsetzen
Prinzipiell können sich Office-365-Anwender von überall aus anmelden, wo ein Rechner mit Internetzugang zur Verfügung steht. Unternehmen, die zahlreiche Anwender an Office 365 anbinden, sollten sich in jedem Fall Gedanken über eine Verbesserung der Sicherheit machen. So bietet es sich beispielweise an auszuschließen, dass User sich von Internetcafés oder aus dem Urlaubshotel an Office 365 anmelden.
Durch die Internetanbindung von Office 365 können Unternehmen grundsätzlich nicht steuern, von wo Anwender auf Office 365 zugreifen. Ab Active-Directory-Verbunddienste 2.0 (ADFS 2.0) haben Unternehmen die Möglichkeit, Client Access Policies zu erstellen. Mit diesen Richtlinien können Administratoren festlegen, von welchen Standorten aus Anwender sich mit Office 365 verbinden können. In einem solchen Szenario authentifizieren sich die Anwender nicht an der Weboberfläche von Office 365, sondern an den Active-Directory-Verbunddiensten. Diese leiten die Anmeldung an die Cloud weiter. Durch diese zusätzliche Option können Sie Regeln festlegen, wer sich an die verschiedenen Office-365-Dienste von wo anmelden darf. Für große Unternehmen ist das ideal. Wir zeigen Ihnen in diesem Beitrag die Hintergründe und wie Sie bei der Erstellung vorgehen.
- Office 365
Office 365 eignet sich auch für den Einsatz in kleinen Unternehmen und lässt sich in Verbindung mit Windows Server 2012 R2 Essentials einsetzen. - Office 365
Office 365 kann Berichte für die Dienste in Office 365 erstellen. - Office 365
Mail Protection Reports for Office 365 kann eine umfangreiche Auswertung für Ihr Office 365-Abonnement durchführen. - Office 365
In Office 365 können Sie E-Mails sicher verschlüsseln lassen. Die Optionen dazu sind in den Transportregeln erhalten. - Office 365
Power BI wird über eine eigene Weboberfläche in Office 365 verwaltet. - Office 365
Die Datenauswertung von Power BI erfolgt über eine Bibliothek in SharePoint Online. - Office 365
Ihr Office-365-Abo können Sie auch in der PowerShell verwalten. - Office 365
Mit der Zwei-Wege-Authentifizierung sichern Sie Office 365 ab. Benutzer müssen Sie nach der Aktivierung über zwei Wege an Office 365 anmelden, zum Beispiel mit Benutzername/Kennwort und einer PIN. - Office 365
OCAT findet Fehler bei der Verbindung von Office 365 und lokalen Outlook-Clients. - Office 365
Mit OnRamp können Sie Ihre Office 365-Konfiguration testen
Damit sich diese Richtlinien möglichst problemlos erstellen und umsetzen lassen, bietet Microsoft den kostenlosen Client Access Policy Builder. Dieser bietet die automatische Erstellung von Richtlinien für die meisten Szenarien und kann die notwendigen Einstellungen vollständig automatisieren. Client Access Policy Builder ist ein PowerShell-Skript mit einer grafischen Oberfläche, das auch für Windows Server 2012/2012 R2 geeignet ist. Offiziell wird Windows Server 2012 R2 zwar noch nicht unterstützt, das Skript funktioniert dennoch. Sie müssen dazu nur eine kleine Änderung im Skript vornehmen, doch dazu später mehr.
Sinnvoll ist der Einsatz von Client Access Policy Builder, wenn ADFS 2.0 und neuer im Einsatz sind und externe Anbindungen an Office 365 verboten werden sollen. Das PowerShell-Skript, aus dem der Client Access Policy Builder besteht, bietet eine grafische Oberfläche. Die Richtlinien lassen sich auch ohne das Zusatz-Tool umsetzen; entsprechende Anleitungen sind im TechNet zu finden, allerdings ist das nicht ganz einfach und sehr fehleranfällig. Bei einem Fehler sperren Sie sehr schnell alle Anwender vom Zugriff auf Office 365 aus.
Was kann Client Access Policy Builder?
Einfach ausgedrückt können Administratoren mit dem Skript festlegen, dass der komplette externe Zugriff auf Office 365 gesperrt wird und die Cloud-Lösung nur Verbindungen von innerhalb des Unternehmens zulässt. Natürlich lassen sich hier auch Ausnahmen für Exchange ActiveSync-Clients machen, also für Smartphones und Tablets, die auf Exchange Online in Office 365 zugreifen. Die Erstellung der notwendigen Regeln in ADFS und Office 365 wird vollständig durch das Tool in der grafischen Oberfläche übernommen. Setzen Sie bereits ADFS mit Office 365 ein, können Sie mit dem Tool in wenigen Sekunden die Sicherheit Ihrer Cloud-Lösung enorm erhöhen.
Außerdem kann Client Access Policy Builder auch webbasierte Anwendungen wie Outlook Web App und SharePoint Online auf die Ausnahmeliste setzen. Wer die Umgebung noch detaillierter verwalten will, kann den Zugriff für alle Benutzer für den externen Zugriff sperren, aber den Zugriff auf Basis von Active-Directory-Benutzergruppen zulassen. Außerdem lassen sich auch ausschließlich alle externen Outlook-Clients sperren. Die Konfiguration der Richtlinien sowie der IP-Adressen erfolgt über eine grafische Oberfläche, die durch das Skript gestartet wird. Sie müssen nur die entsprechende Option für das Szenario auswählen, das Sie einsetzen wollen.
Wenn Sie den kompletten externen Zugriff auf Office 365 blockieren wollen, können Sie IP-Adressbereiche angeben, von denen Anwender Zugriff auf die blockierten Dienste erhalten sollen. Wenn VPN-Clients auf Office 365 über eine Internetleitung zugreifen, werden diese natürlich als interne Clients eingestuft. Alle Einstellungen lassen sich nachträglich anpassen und wieder zurücknehmen. Sie können dazu das PowerShell-Skript verwenden oder manuell die Einstellungen vornehmen.