お世話になっております。
outlookクライアントからOffice365ExchangeOnlineへの接続についてお力を貸していただきたく、投稿させていただきました。
【環境】
・Office365にはADFS、WAPを用いたフェデレーション認証、シングルサインオンを構築済み
・オンプレミスにはExchange2010を導入しており、Office365Exchange Onlineとのハイブリット構成
・Outlookクライアントは2010をメインで使用。(社内利用)
【質問内容】
・ADFSにて社内Outlookクライアントからの認証のみを許可することはできないでしょうか。
【質問背景】
ハイブリッド環境でオンプレミスにあるメールボックスからExchange Onlineにメールボックスを移行した際、
移行には成功したものの、社内Outlookクライアントから接続できない事象が発生しております。
調査の結果、Outlookからの認証は社内からであっても一度外に出て、WAPを経由しての認証になることが分かりました。
参考:https://blogs.technet.microsoft.com/exchangeteamjp/2015/05/19/outlook-125/
しかしながら、弊社ではADFSにて社外からの認証は一部のユーザーのみ許可するルールとしており、
今回の該当ユーザーは社外からのアクセスを許可しないユーザーとなっております。
(※ADFSは3.0を使用。「アクセス制御ポリシー」の「外部接続ユーザーの許可」にてアクセス許可・拒否を設定。)
なお、テストとして上記の「外部接続ユーザーの許可」に該当ユーザーと同じ状態のテストユーザー作成し、追加したところ、Outlookクライアントから接続できたことを確認しています。
この状態ですと、Outlookクライアント以外のアクセスも許可されてしまうため、望ましくあらず、
今回のユーザーの理想としては以下の構成にしたいと考えております。
・社外からのアクセスは拒否
・社内からoutlookクライアントを利用(許可)
「外部接続ユーザーの許可」に追加してしまうと以下のようになってしまう。
・社外からのアクセス許可
・社内からoutlookクライアントを利用(許可)
【現在のユーザー状態】
・社外からのアクセスは拒否
・社内からoutlookクライアントも拒否
※上記の通り、どちらも外からの認証となってしまうため、どちらも拒否されてしまっている。
これをoutlookクライアントのみ許可したい
その他、ご提示すべき情報があれば、申告させていただきます。
以上、よろしくお願いいたします。
