Hallo Leser,

heute melde ich mich wieder mal mit einem AD FS-Thema. Wie ich in meinem Artikel „Exchange Active Sync über ADFS (HTTP Basic / ADFS for Rich Clients)“ bereits berichtet habe, bietet AD FS mit Server 2016 / 2019 einige Neuerungen. Darunter eben auch die „AD FS for Rich Clients“. Dabei wird die Authentifizierung des Clients bereits durch den WAP / AD FS ausgeführt und nicht durch die Applikation im Backend.

Wie die Applikationen vorbereitet werden, habe ich bereits an einigen Stellen dokumentiert.

Heute möchte ich auf eine zusätzliche Funktion eingehen, mit deren Hilfe eine „Zugriffssteuerungsrichtlinie“ im AD FS erstellt und anschließend verknüpft werden kann. Mittels einer Zugriffssteuerungsrichtlinie, die auf die Vertrauensstellung angewandt wird, kann eine Vorauthentifizierung, bspw. auf AD-Gruppenbasis, realisiert werden.

Ich verwende diese Funktion, um nur bestimmten Benutzern den Zugriff auf Active Sync, Outlook Anywhere und Autodiscover zu gewähren. Wichtig zu wissen ist, dass die Konfiguration nur dann funktioniert, wenn das Backend-System die Standardauthentifizierung akzeptiert. Somit sind ggf. Konfigurationsänderungen am Exchange notwendig.

Outlook on the Web wird in meinem Fall via AD FS freigegeben, da die Verzeichnisse OWA und ECP die Token-Authentifizierung akzeptieren.

Wichtig:

Diese Konfiguration baut auf dem oben genannten Beitrag auf und erweitert ihn um eine Gruppenabfrage. Selbstverständlich sind auch alle vorhergegangenen Beiträge Voraussetzung für diesen Beitrag. Eine Übersicht gibt es hier –>  ADFS 4.0 mit Exchange 2016 – Konfigurationsübersicht

Wenn alle Exchange- und ADFS-Konfigurationen vorgenommen wurden, kann mit den folgenden Schritten die Veröffentlichung mit Vorauthentifizierung fortgesetzt werden:

Schritt 1 – AD-Gruppen

Ich verwende für die Exchange-Zugriffe drei AD-Gruppen, die auf die Ressourcen zugreifen dürfen:

02 - AD-Gruppen für Exchange

Somit habe ich drei Gruppen für ActiveSync, Outlook on the Web und Outlook Anywhere.

Schritt 2 – Zugriffssteuerungsrichtlinien erstellen

Zunächst müssen die Zugriffssteuerungsrichtlinien erstellt werden. Anschließend werden diese mit der Vertrauensstellung verknüpft.

  1. Anmelden am AD FS Server
  2. AD FS Konsole öffnen
  3. Zum Container „Zugriffssteuerungsrichtlinien“ wechseln (Bild 3)
  4. Zugriffssteuerungsrichtlinie hinzufügen
    1. Namen und Beschreibung vergeben (Bild 4)
    2. „Hinzufügen“ klicken
    3. im Regel-Editor den Radio-Button „Benutzer“ auswählen –> von bestimmten Gruppen
    4. unterhalb im Fenster die AD-Gruppe(n) für die Regel definieren (Bild 5)
    5. mit „OK“ bestätigen
    6. fertig ist die Richtlinie (Bild 6)
    7. mit „OK“ bestätigen
  5. Wiederholen für drei weitere Regeln:
    1. Outlook on the Web
    2. Outlook Anywhere
    3. Autodiscover –> Für Autodiscover erlaube ich zwei Gruppen: RES-EAS-erlaubt und RES-OA-erlaubt (Bild 7)
  6. Somit sind nun vier neue Zugriffssteuerungsrichtlinien vorhanden (Bild 8)

Schritt 3 – Zugriffssteuerungsrichtlinien verknüpfen

Die neuen Richtlinien müssen nun mit den erstellten ADSF-Vertrauensstellungen verknüpft werden. Insgesamt nutze ich für die Veröffentlichung von Exchange fünf Regeln, die auch für die externe Verwendung geeignet sind:

09 - Exchange relaying party trusts

Jede dieser Regeln kann mit einer Zugriffssteuerungsrichtlinie verknüpft werden.

  1. Vertrauensstellung der vertrauenden Seite (Relaying Party Trust) auswählen
  2. Rechtsklick oder Optionsmenü –> „Zugriffssteuerungsrichtlinie bearbeiten“ (Bild 10)
  3. im Standard werden die Ausstellungsautorisierungsrichtlinien verwendet –> Auf „Zugriffssteuerungsrichtlinie verwenden“ klicken (Bild 11)
  4. zuvor erstellte Zugriffssteuerungsrichtlinien auswählen (Bild 12)
  5. mit „Anwenden“ und „OK“ bestätigen
  6. für alle  gewünschten Vertrauensstellungen wiederholen
  7. Fertig (Bild 13)

Schritt 4 – Web Application Proxy Regeln

Um auf die Exchange-Systeme auch von extern durch Vorauthentifizierung auf dem WAP zugreifen zu können, müssen alle Applikationen im WAP mit den Vertrauensstellungen im AD FS verknüpft sein. ist dies der Fall, steht der Vorauthentifizierung und der damit verbundenen Gruppenabfrage nichts mehr im Weg.

14 - Alle Exchange WAP Regeln

Viel Erfolg beim Erstellen und Veröffentlichen!

Andi