Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het beleid dat in dit artikel wordt beschreven, maakt gebruik van twee soorten claims
Claims AD FS maakt op basis van informatie die de AD FS en webtoepassingsproxy kan inspecteren en controleren, zoals het IP-adres van de client die rechtstreeks verbinding maakt met AD FS of de WAP.
Claims die AD FS maakt op basis van informatie die als HTTP-headers door de client wordt doorgestuurd naar AD FS.
Belangrijk: Het beleid zoals hieronder wordt beschreven, blokkeert windows 10-domeindeelname- en aanmeldingsscenario's waarvoor toegang tot de volgende aanvullende eindpunten is vereist
AD FS-eindpunten vereist voor het Windows 10-domeinlidmaatschap en -aanmelding
- [naam federatieservice]/adfs/services/trust/2005/windowstransport
- [naam federatieservice]/adfs/services/trust/13/windowstransport
- [naam federatieservice]/adfs/services/trust/2005/usernamemixed
- [naam federatieservice]/adfs/services/trust/13/usernamemixed
- [naam federatieservice]/adfs/services/trust/2005/certificatemixed
- [naam federatieservice]/adfs/services/trust/13/certificaatgemengd
Belangrijk: /adfs/services/trust/2005/windowstransport en /adfs/services/trust/13/windowstransport-eindpunten mogen alleen zijn ingeschakeld voor intranettoegang, omdat ze intranetgerichte eindpunten zijn die gebruikmaken van WIA-binding op HTTPS. Door ze beschikbaar te stellen op een extranet, kunnen verzoeken tegen deze eindpunten de vergrendelingsbeveiligingen omzeilen. Deze eindpunten moeten worden uitgeschakeld op de proxy (d.w.w. uitgeschakeld vanuit extranet) om de vergrendeling van ad-accounts te beveiligen.
U kunt dit oplossen door beleidsregels bij te werken die worden geweigerd op basis van de eindpuntclaim om uitzonderingen voor de bovenstaande eindpunten toe te staan.
Bijvoorbeeld de onderstaande regel:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "/adfs/ls/"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");
wordt bijgewerkt naar:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "(/adfs/ls/)|(/adfs/services/trust/2005/windowstransport)|(/adfs/services/trust/13/windowstransport)|(/adfs/services/trust/2005/usernamemixed)|(/adfs/services/trust/13/usernamemixed)|(/adfs/services/trust/2005/certificatemixed)|(/adfs/services/trust/13/certificatemixed)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");
Note
Aanspraken van deze categorie mogen alleen worden gebruikt om bedrijfsbeleid te implementeren en niet als beleid voor netwerkbeveiliging. Het is mogelijk dat onbevoegde clients headers met valse informatie verzenden als een manier om toegang te krijgen.
Het beleid dat in dit artikel wordt beschreven, moet altijd worden gebruikt met een andere verificatiemethode, zoals gebruikersnaam en wachtwoord of meervoudige verificatie.
Scenario's voor clienttoegangsbeleid
| Scenario | Description |
|---|---|
| Scenario 1: Alle externe toegang tot Office 365 blokkeren | Office 365-toegang is toegestaan vanaf alle clients in het interne bedrijfsnetwerk, maar aanvragen van externe clients worden geweigerd op basis van het IP-adres van de externe client. |
| Scenario 2: Alle externe toegang tot Office 365 blokkeren, met uitzondering van Exchange ActiveSync | Office 365-toegang is toegestaan van alle clients op het interne bedrijfsnetwerk, evenals van externe clientapparaten, zoals smartphones, die gebruikmaken van Exchange ActiveSync. Alle andere externe clients, zoals clients die Outlook gebruiken, worden geblokkeerd. |
| Scenario 3: Alle externe toegang tot Office 365 blokkeren, met uitzondering van browsertoepassingen | Hiermee blokkeert u externe toegang tot Office 365, met uitzondering van passieve (browsertoepassingen), zoals Outlook Web Access of SharePoint Online. |
| Scenario 4: Alle externe toegang tot Office 365 blokkeren, met uitzondering van aangewezen Active Directory-groepen | Dit scenario wordt gebruikt voor het testen en valideren van implementatie van clienttoegangsbeleid. Externe toegang tot Office 365 wordt alleen geblokkeerd voor leden van een of meer Active Directory-groepen. Het kan ook worden gebruikt om externe toegang alleen te bieden aan leden van een groep. |
Clienttoegangsbeleid inschakelen
Als u clienttoegangsbeleid wilt inschakelen in AD FS in Windows Server 2012 R2, moet u de vertrouwensrelatie van de Relying Party van Microsoft Office 365 Identity Platform bijwerken. Kies een van de onderstaande voorbeeldscenario's om de claimregels voor de Relying Party-vertrouwensrelatie van Microsoft Office 365 Identity Platform te configureren die het beste voldoen aan de behoeften van uw organisatie.
Scenario 1: Alle externe toegang tot Office 365 blokkeren
Dit scenario voor clienttoegangsbeleid biedt toegang vanaf alle interne clients en blokkeert alle externe clients op basis van het IP-adres van de externe client. U kunt de volgende procedures gebruiken om de juiste uitgifteautorisatieregels toe te voegen aan de vertrouwensrelatie van de Office 365-Relying Party voor het gekozen scenario.
Regels maken om alle externe toegang tot Office 365 te blokkeren
Klik in Serverbeheer op Extra en klik vervolgens op AD FS-beheer.
Klik in de consolestructuur onder AD FS\Vertrouwensrelaties op Relying Party Trusts, klik met de rechtermuisknop op de Vertrouwensrelatie van Microsoft Office 365 Identity Platform en klik vervolgens op Claimregels bewerken.
Selecteer in het dialoogvenster Claimregels bewerken het tabblad Uitgifteautorisatieregels en klik vervolgens op Regel toevoegen om de wizard Claimregel te starten.
Op de Regelsjabloon selecteren pagina, kies onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel en klik vervolgens op Volgende.
Typ op de pagina Regel configureren , onder Naam claimregel, de weergavenaam voor deze regel, bijvoorbeeld 'Als er een IP-claim buiten het gewenste bereik is, weigeren'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregeltaal (vervang de bovenstaande waarde voor 'x-ms-forwarded-client-ip' door een geldige IP-expressie):
c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");Klik op Voltooien. Controleer of de nieuwe regel wordt weergegeven in de lijst Uitgifteautorisatieregels voordat u de standaardregel Toegang tot alle gebruikers toestaat (de regel Weigeren heeft voorrang, ook al wordt deze eerder in de lijst weergegeven). Als u niet beschikt over de standaardtoegangsregel, kunt u er een toevoegen onderaan uw lijst met behulp van de claimregeltaal als volgt:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");Als u de nieuwe regels wilt opslaan, klikt u in het dialoogvenster Claimregels bewerken op OK. De resulterende lijst moet er als volgt uitzien.
Scenario 2: Alle externe toegang tot Office 365 blokkeren, met uitzondering van Exchange ActiveSync
In het volgende voorbeeld hebt u toegang tot alle Office 365-toepassingen, waaronder Exchange Online, van interne clients, waaronder Outlook. Het blokkeert de toegang van clients die zich buiten het bedrijfsnetwerk bevinden, zoals aangegeven door het IP-adres van de client, met uitzondering van Exchange ActiveSync-clients zoals smartphones.
Regels maken om alle externe toegang tot Office 365 te blokkeren, met uitzondering van Exchange ActiveSync
Klik in Serverbeheerder op Extra en klik vervolgens op AD FS-beheer.
Klik in de consolestructuur onder AD FS\Vertrouwensrelaties op Relying Party Trusts, klik met de rechtermuisknop op de Vertrouwensrelatie van Microsoft Office 365 Identity Platform en klik vervolgens op Claimregels bewerken.
Selecteer in het dialoogvenster Claimregels bewerken het tabblad Uitgifteautorisatieregels en klik vervolgens op Regel toevoegen om de wizard Claimregel te starten.
Op de Regelsjabloon selecteren pagina, kies onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel en klik vervolgens op Volgende.
Typ op de pagina Regel configureren , onder Claimregelnaam, de weergavenaam voor deze regel, bijvoorbeeld 'Als er een IP-claim buiten het gewenste bereik is, ipoutsiderange claim uitgeven'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregeltaal (vervang de bovenstaande waarde voor 'x-ms-forwarded-client-ip' door een geldige IP-expressie):
c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");Klik op Voltooien. Controleer of de nieuwe regel wordt weergegeven in de lijst uitgifteautorisatieregels .
Klik vervolgens in het dialoogvenster Claimregels bewerken op het tabblad Uitgifteautorisatieregels op Regel toevoegen om de wizard Claimregel opnieuw te starten.
Op de Regelsjabloon selecteren pagina, kies onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel en klik vervolgens op Volgende.
Typ op de Regel configureren pagina onder Claimregelnaam de weergavenaam voor deze regel, bijvoorbeeld 'Als er een IP-adres buiten het gewenste bereik is en er een niet-EAS x-ms-client-application claim is, wordt geweigerd'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregeltaal:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value != "Microsoft.Exchange.ActiveSync"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");Klik op Voltooien. Controleer of de nieuwe regel wordt weergegeven in de lijst uitgifteautorisatieregels .
Klik vervolgens in het dialoogvenster Claimregels bewerken op het tabblad Uitgifteautorisatieregels op Regel toevoegen om de wizard Claimregel opnieuw te starten.
Selecteer op de pagina Regelsjabloon onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel, en klik vervolgens op Volgende.
Typ op de pagina Regel configureren onder Claimregelnaam de weergavenaam voor deze regel, bijvoorbeeld 'Controleer of de toepassingsclaim bestaat'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregeltaal:
NOT EXISTS([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application"]) => add(Type = "http://custom/xmsapplication", Value = "fail");Klik op Voltooien. Controleer of de nieuwe regel wordt weergegeven in de lijst uitgifteautorisatieregels .
Klik vervolgens in het dialoogvenster Claimregels bewerken op het tabblad Uitgifteautorisatieregels op Regel toevoegen om de wizard Claimregel opnieuw te starten.
Selecteer op de pagina Regelsjabloon onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel, en klik vervolgens op Volgende.
Typ op de pagina Regel configureren , onder Claimregelnaam, de weergavenaam voor deze regel, bijvoorbeeld 'Gebruikers weigeren met ipoutsiderange true en toepassing mislukken'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregeltaal:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "http://custom/xmsapplication", Value == "fail"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");Klik op Voltooien. Controleer of de nieuwe regel direct onder de vorige regel wordt weergegeven en vóór de standaardregel Toegang tot alle gebruikers toestaan in de lijst Uitgifteautorisatieregels (de regel Weigeren heeft voorrang, ook al wordt deze eerder in de lijst weergegeven).
Als u niet beschikt over de standaardtoegangstoestemmingsregel, kunt u er een toevoegen aan het einde van uw lijst met behulp van de claimregeltaalsyntaxis als volgt:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");Als u de nieuwe regels wilt opslaan, klikt u in het dialoogvenster Claimregels bewerken op OK. De resulterende lijst moet er als volgt uitzien.
Scenario 3: Alle externe toegang tot Office 365 blokkeren, met uitzondering van browsertoepassingen
Regels maken om alle externe toegang tot Office 365 te blokkeren, met uitzondering van browsertoepassingen
Klik in Serverbeheer op Extra en klik vervolgens op AD FS-beheer.
Klik in de consolestructuur onder AD FS\Vertrouwensrelaties op Relying Party Trusts, klik met de rechtermuisknop op de Vertrouwensrelatie van Microsoft Office 365 Identity Platform en klik vervolgens op Claimregels bewerken.
Selecteer in het dialoogvenster Claimregels bewerken het tabblad Uitgifteautorisatieregels en klik vervolgens op Regel toevoegen om de wizard Claimregel te starten.
Op de Regelsjabloon selecteren pagina, kies onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel en klik vervolgens op Volgende.
Typ op de pagina Regel configureren , onder Claimregelnaam, de weergavenaam voor deze regel, bijvoorbeeld 'Als er een IP-claim buiten het gewenste bereik is, ipoutsiderange claim uitgeven'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregel (vervang de bovenstaande waarde voor 'x-ms-forwarded-client-ip' door een geldige IP-expressie):
c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");
Klik op Voltooien. Controleer of de nieuwe regel wordt weergegeven in de lijst uitgifteautorisatieregels .
Klik vervolgens in het dialoogvenster Claimregels bewerken op het tabblad Uitgifteautorisatieregels op Regel toevoegen om de wizard Claimregel opnieuw te starten.
Selecteer op de pagina Regelsjabloon onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel, en klik vervolgens op Volgende.
Typ op de pagina Regel configureren onder Claimregelnaam de weergavenaam voor deze regel, bijvoorbeeld 'Als er een IP is buiten het gewenste bereik EN het eindpunt niet /adfs/ls is, weigeren'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregeltaal:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "/adfs/ls/"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");`Klik op Voltooien. Controleer of de nieuwe regel wordt weergegeven in de lijst Uitgifteautorisatieregels voordat u de standaardregel Toegang tot alle gebruikers toestaat (de regel Weigeren heeft voorrang, ook al wordt deze eerder in de lijst weergegeven).
Als u niet beschikt over de standaardtoegangsregel, kunt u er een aan het einde van uw lijst toevoegen met behulp van de claimtaal als volgt:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Als u de nieuwe regels wilt opslaan, klikt u in het dialoogvenster Claimregels bewerken op OK. De resulterende lijst moet er als volgt uitzien.
Scenario 4: Alle externe toegang tot Office 365 blokkeren, met uitzondering van aangewezen Active Directory-groepen
In het volgende voorbeeld is toegang mogelijk vanaf interne clients op basis van IP-adres. Het blokkeert de toegang van clients die zich buiten het bedrijfsnetwerk bevinden met een extern client-IP-adres, met uitzondering van die personen in een opgegeven Active Directory-groep. Gebruik de volgende stappen om de juiste uitgifteautorisatieregels toe te voegen aan de Relying Party-vertrouwensrelatie van Microsoft Office 365 Identity Platform met behulp van de wizard Claimregel:
Regels maken om alle externe toegang tot Office 365 te blokkeren, met uitzondering van aangewezen Active Directory-groepen
Klik in Serverbeheer op Extra en klik vervolgens op AD FS Management.
Klik in de consolestructuur onder AD FS\Vertrouwensrelaties op Relying Party Trusts, klik met de rechtermuisknop op de Vertrouwensrelatie van Microsoft Office 365 Identity Platform en klik vervolgens op Claimregels bewerken.
Selecteer in het dialoogvenster Claimregels bewerken het tabblad Uitgifteautorisatieregels en klik vervolgens op Regel toevoegen om de wizard Claimregel te starten.
Op de Regelsjabloon selecteren pagina, kies onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel en klik vervolgens op Volgende.
Typ op de pagina Regel configureren onder Claimregelnaam de weergavenaam voor deze regel, bijvoorbeeld 'Als er een IP-claim buiten het gewenste bereik is, geeft u ipoutsiderange-claim op. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregel (vervang de bovenstaande waarde voor 'x-ms-forwarded-client-ip' door een geldige IP-expressie):
`c1:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");`Klik op Voltooien. Controleer of de nieuwe regel wordt weergegeven in de lijst uitgifteautorisatieregels .
Klik vervolgens in het dialoogvenster Claimregels bewerken op het tabblad Uitgifteautorisatieregels op Regel toevoegen om de wizard Claimregel opnieuw te starten.
Selecteer op de pagina Regelsjabloon onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel, en klik vervolgens op Volgende.
Typ op de pagina Regel configureren , onder Claimregelnaam, de weergavenaam voor deze regel, bijvoorbeeld 'groep-SID controleren'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregeltaal (vervang 'groupsid' door de werkelijke SID van de AD-groep die u gebruikt):
NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-32-100"]) => add(Type = "http://custom/groupsid", Value = "fail");Klik op Voltooien. Controleer of de nieuwe regel wordt weergegeven in de lijst uitgifteautorisatieregels .
Klik vervolgens in het dialoogvenster Claimregels bewerken op het tabblad Uitgifteautorisatieregels op Regel toevoegen om de wizard Claimregel opnieuw te starten.
Selecteer op de pagina Regelsjabloon onder Claimregelsjabloon de optie Claims verzenden met behulp van een aangepaste regel, en klik vervolgens op Volgende.
Typ op de pagina Regel configureren , onder Claimregelnaam, de weergavenaam voor deze regel, bijvoorbeeld 'Gebruikers weigeren met ipoutsiderange true en groupsid fail'. Typ of plak onder Aangepaste regel de volgende syntaxis van de claimregeltaal:
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "http://custom/groupsid", Value == "fail"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");
- Klik op Voltooien. Controleer of de nieuwe regel direct onder de vorige regel wordt weergegeven en vóór de standaardregel Toegang tot alle gebruikers toestaan in de lijst Uitgifteautorisatieregels (de regel Weigeren heeft voorrang, ook al wordt deze eerder in de lijst weergegeven).
Als u niet beschikt over de standaardtoegangsvergunningregel, kunt u er aan het einde van uw lijst een toevoegen door gebruik te maken van de claimregeltaal, zoals hieronder weergegeven:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Als u de nieuwe regels wilt opslaan, klikt u in het dialoogvenster Claimregels bewerken op OK. De resulterende lijst moet er als volgt uitzien.
Het bouwen van de expressie voor het IP-adresbereik
De claim x-ms-forwarded-client-ip wordt ingevuld vanuit een HTTP-header die momenteel alleen is ingesteld door Exchange Online, die de header vult bij het doorgeven van de verificatieaanvraag aan AD FS. De waarde van de claim kan een van de volgende zijn:
Note
Exchange Online ondersteunt momenteel alleen IPV4- en niet IPV6-adressen.
- Eén IP-adres: het IP-adres van de client die rechtstreeks is verbonden met Exchange Online
Note
- Het IP-adres van een client in het bedrijfsnetwerk wordt weergegeven als het IP-adres van de externe interface van de uitgaande proxy of gateway van de organisatie.
- Clients die zijn verbonden met het bedrijfsnetwerk door een VPN of door Microsoft DirectAccess (DA) kunnen worden weergegeven als interne zakelijke clients of als externe clients, afhankelijk van de configuratie van VPN of DA.
- Een of meer IP-adressen: wanneer Exchange Online het IP-adres van de verbindingsclient niet kan bepalen, wordt de waarde ingesteld op basis van de waarde van de x-doorgestuurde header, een niet-standaardheader die kan worden opgenomen in HTTP-aanvragen en wordt ondersteund door veel clients, load balancers en proxy's op de markt.
Note
- Meerdere IP-adressen, die het IP-adres van de client en het adres aangeven van elke proxy die de aanvraag heeft doorgegeven, worden gescheiden door een komma.
- IP-adressen met betrekking tot de Exchange Online-infrastructuur staan niet in de lijst.
Reguliere expressies
Wanneer u een bereik met IP-adressen moet koppelen, moet u een reguliere expressie maken om de vergelijking uit te voeren. In de volgende reeks stappen geven we voorbeelden voor het samenstellen van een dergelijke expressie die overeenkomt met de volgende adresbereiken (houd er rekening mee dat u deze voorbeelden moet wijzigen zodat deze overeenkomen met uw openbare IP-bereik):
192.168.1.1 – 192.168.1.25
10.0.0.1 – 10.0.0.14
Ten eerste is het basispatroon dat overeenkomt met één IP-adres als volgt: \b###\.##\.##\.#####\b
Als we dit uitbreiden, kunnen we twee verschillende IP-adressen overeenkomen door gebruik te maken van een OR-expressie als volgt: \b###\.###\.###\.###\b|\b###\.###\.###\.###\b
Een voorbeeld dat overeenkomt met slechts twee adressen (zoals 192.168.1.1 of 10.0.0.1) is: \b192\.168\.1\.1\b|\b10\.0\.0\.1\b
Dit geeft u de techniek waarmee u een willekeurig aantal adressen kunt invoeren. Wanneer een adresbereik moet worden toegestaan, bijvoorbeeld 192.168.1.1 – 192.168.1.25, moet de overeenkomst karakter voor karakter worden gedaan: \b192\.168\.1\.([1-9]|1[0-9]|2[0-5])\b
Let op het volgende:
Het IP-adres wordt behandeld als tekenreeks en niet als een getal.
De regel wordt als volgt onderverdeeld: \b192\.168\.1\.
Dit komt overeen met een waarde die begint met 192.168.1.
Het volgende komt overeen met het bereik dat vereist is voor het gedeelte van het adres na het laatste decimaalteken:
([1-9] Komt overeen met adressen die eindigen op 1-9
|1[0-9] Komt overeen met adressen die eindigen op 10-19
|2[0-5]) Komt overeen met adressen die eindigen op 20-25
Houd er rekening mee dat de haakjes correct gepositioneerd moeten worden, zodat u niet begint met andere delen van IP-adressen gaat matchen.
Als het 192-blok overeenkomt, kunnen we een vergelijkbare expressie schrijven voor het 10-blok: \b10\.0\.0\. ([1-9]|1[0-4])\b
En de volgende expressie moet overeenkomen met alle adressen voor '192.168.1.1~25' en '10.0.0.1~14': \b192\.168\.1\. ([1-9]|1[0-9]|2[0-5])\b|\b10\.0\.0\.0\. ([1-9]|1[0-4])\b
De expressie testen
Regex-expressies kunnen behoorlijk lastig worden, dus we raden u ten zeerste aan om een regex-verificatieprogramma te gebruiken. Als u op internet zoekt naar 'online opbouwfunctie voor regex-expressies', vindt u verschillende goede onlinehulpprogramma's waarmee u uw expressies kunt uitproberen op basis van voorbeeldgegevens.
Bij het testen van de expressie is het belangrijk dat u begrijpt wat u kunt verwachten dat overeenkomt. Het Exchange Online-systeem kan veel IP-adressen verzenden, gescheiden door komma's. De bovenstaande expressies werken hiervoor. Het is echter belangrijk om hierover na te denken bij het testen van uw regex-expressies. U kunt bijvoorbeeld de volgende voorbeeldinvoer gebruiken om de bovenstaande voorbeelden te controleren:
192.168.1.1, 192.168.1.2, 192.169.1.1. 192.168.12.1, 192.168.1.10, 192.168.1.25, 192.168.1.26, 192.168.1.30, 1192.168.1.20
10.0.0.1, 10.0.0.5, 10.0.0.10, 10.0.1.0, 10.0.1.1, 110.0.0.1, 10.0.0.14, 10.0.0.15, 10.0.0.10, 10,0.0.1
Claimtypen
AD FS in Windows Server 2012 R2 biedt informatie over aanvraagcontext met behulp van de volgende claimtypen:
X-MS-Forwarded-Client-IP
Type claim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip
Deze AD FS-claim vertegenwoordigt een 'beste poging' bij het vaststellen van het IP-adres van de gebruiker (bijvoorbeeld de Outlook-client) die de aanvraag doet. Deze claim kan meerdere IP-adressen bevatten, inclusief het adres van elke proxy die de aanvraag heeft doorgestuurd. Deze claim wordt ingevuld vanuit een HTTP. De waarde van de claim kan een van de volgende zijn:
- Eén IP-adres: het IP-adres van de client die rechtstreeks is verbonden met Exchange Online
Note
Het IP-adres van een client in het bedrijfsnetwerk wordt weergegeven als het IP-adres van de externe interface van de uitgaande proxy of gateway van de organisatie.
Een of meer IP-adressen
Als Exchange Online het IP-adres van de verbindingsclient niet kan bepalen, wordt de waarde ingesteld op basis van de waarde van de x-doorgestuurde header, een niet-standaardheader die kan worden opgenomen in HTTP-aanvragen en wordt ondersteund door veel clients, load balancers en proxy's op de markt.
Meerdere IP-adressen die het IP-adres van de client aangeven en het adres van elke proxy die de aanvraag heeft doorgegeven, worden gescheiden door een komma.
Note
IP-adressen met betrekking tot de Exchange Online-infrastructuur zijn niet aanwezig in de lijst.
Warning
Exchange Online ondersteunt momenteel alleen IPV4-adressen; het biedt geen ondersteuning voor IPV6-adressen.
X-MS-Client-Application
Type claim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application
Deze AD FS-claim vertegenwoordigt het protocol dat wordt gebruikt door de eindclient, die losjes overeenkomt met de toepassing die wordt gebruikt. Deze claim wordt ingevuld vanuit een HTTP-header die momenteel alleen is ingesteld door Exchange Online, die de header vult bij het doorgeven van de verificatieaanvraag aan AD FS. Afhankelijk van de toepassing is de waarde van deze claim een van de volgende:
In het geval van apparaten die Exchange Active Sync gebruiken, is de waarde Microsoft.Exchange.ActiveSync.
Het gebruik van de Microsoft Outlook-client kan resulteren in een van de volgende waarden:
Microsoft.Exchange.Autodiscover
Microsoft.Exchange.OfflineAddressBook
Microsoft.Exchange.RPCMicrosoft.Exchange.WebServices
Microsoft.Exchange.RPCMicrosoft.Exchange.WebServices
Andere mogelijke waarden voor deze header zijn onder andere:
Microsoft.Exchange.Powershell
Microsoft.Exchange.SMTP
Microsoft.Exchange.Pop
Microsoft.Exchange.Imap
X-MS-Client-User-Agent
Type claim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent
Deze AD FS-claim biedt een tekenreeks voor het apparaattype dat de client gebruikt voor toegang tot de service. Dit kan worden gebruikt wanneer klanten toegang willen voorkomen voor bepaalde apparaten (zoals bepaalde typen smartphones). Voorbeeldwaarden voor deze claim omvatten (maar zijn niet beperkt tot) de onderstaande waarden.
Hieronder vindt u voorbeelden van wat de x-ms-user-agent-waarde kan bevatten voor een client waarvan de x-ms-client-application 'Microsoft.Exchange.ActiveSync' is
Vortex/1.0
Apple-iPad1C1/812.1
Apple-iPhone3C1/811.2
Apple-iPhone/704.11
Moto-DROID2/4.5.1
SAMSUNGSPHD700/100.202
Android/0.3
Het is ook mogelijk dat deze waarde leeg is.
X-MS-Proxy
Type claim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy
Deze AD FS-claim geeft aan dat de aanvraag is doorgegeven via de webtoepassingsproxy. Deze claim wordt ingevuld door de webtoepassingsproxy, die de header vult bij het doorgeven van de verificatieaanvraag aan de back-end federation-service. AD FS converteert het vervolgens naar een claim.
De waarde van de claim is de DNS-naam van de webtoepassingsproxy die de aanvraag heeft doorgegeven.
InsideCorporateNetwork
Type claim: https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork
Net als bij het bovenstaande claimtype x-ms-proxy geeft dit claimtype aan of de aanvraag is doorgegeven via de webtoepassingsproxy. In tegenstelling tot x-ms-proxy is insidecorporatenetwork een booleaanse waarde met True die een aanvraag rechtstreeks aangeeft aan de federation-service vanuit het bedrijfsnetwerk.
X-MS-Endpoint-Absolute-Path (actief versus passief)
Type claim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path
Dit claimtype kan worden gebruikt voor het bepalen van aanvragen die afkomstig zijn van "actieve" (rijke) clients versus "passieve" (webbrowsergebaseerde) clients. Hierdoor kunnen externe aanvragen van browsertoepassingen zoals Outlook Web Access, SharePoint Online of de Office 365-portal worden toegestaan terwijl aanvragen die afkomstig zijn van rijke clients, zoals Microsoft Outlook, worden geblokkeerd.
De waarde van de claim is de naam van de AD FS-service die de aanvraag heeft ontvangen.