Kebijakan Kontrol Akses di Windows Server 2012 R2 dan Windows Server 2012 AD FS

Artikel
02/13/2024

Kebijakan yang dijelaskan dalam artikel ini menggunakan dua jenis klaim

Klaim AD FS dibuat berdasarkan informasi yang dapat diperiksa dan diverifikasi oleh proksi Ad FS dan Aplikasi Web, seperti alamat IP klien yang terhubung langsung ke Layanan Federasi Direktori Aktif atau WAP.
Klaim AD FS dibuat berdasarkan informasi yang diteruskan ke Layanan Federasi Direktori Aktif oleh klien sebagai header HTTP

Penting: Kebijakan seperti yang didokumenkan di bawah ini akan memblokir skenario bergabung dan masuk domain Windows 10 yang memerlukan akses ke titik akhir tambahan berikut

Titik akhir LAYANAN Federasi Direktori Aktif diperlukan untuk Gabungan Domain Windows 10 dan masuk

[nama layanan federasi]/adfs/services/trust/2005/windowstransport
[nama layanan federasi]/adfs/services/trust/13/windowstransport
[nama layanan federasi]/adfs/services/trust/2005/usernamemixed
[nama layanan federasi]/adfs/services/trust/13/usernamemixed
[nama layanan federasi]/adfs/services/trust/2005/certificatemixed
[nama layanan federasi]/adfs/services/trust/13/certificatemixed

Penting: Titik akhir /adfs/services/trust/2005/windowstransport dan /adfs/services/trust/13/windowstransport hanya boleh diaktifkan untuk akses intranet karena dimaksudkan untuk menjadi intranet yang menghadapi titik akhir yang menggunakan pengikatan WIA di HTTPS. Mengeksposnya ke ekstranet dapat memungkinkan permintaan terhadap titik akhir ini untuk melewati perlindungan penguncian. Titik akhir ini harus dinonaktifkan pada proksi (yaitu dinonaktifkan dari ekstranet) untuk melindungi penguncian akun AD.

Untuk mengatasinya, perbarui kebijakan apa pun yang menolak berdasarkan klaim titik akhir untuk mengizinkan pengecualian untuk titik akhir di atas.

Misalnya, aturan di bawah ini:

c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "/adfs/ls/"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");

akan diperbarui ke:

c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "(/adfs/ls/)|(/adfs/services/trust/2005/windowstransport)|(/adfs/services/trust/13/windowstransport)|(/adfs/services/trust/2005/usernamemixed)|(/adfs/services/trust/13/usernamemixed)|(/adfs/services/trust/2005/certificatemixed)|(/adfs/services/trust/13/certificatemixed)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");

Catatan

Klaim dari kategori ini hanya boleh digunakan untuk menerapkan kebijakan bisnis dan bukan sebagai kebijakan keamanan untuk melindungi akses ke jaringan Anda. Dimungkinkan bagi klien yang tidak sah untuk mengirim header dengan informasi palsu sebagai cara untuk mendapatkan akses.

Kebijakan yang dijelaskan dalam artikel ini harus selalu digunakan dengan metode autentikasi lain, seperti nama pengguna dan kata sandi atau autentikasi multifaktor.

Skenario Kebijakan Akses Klien

Skenario	Deskripsi
Skenario 1: Memblokir semua akses eksternal ke Office 365	Akses Office 365 diizinkan dari semua klien di jaringan perusahaan internal, tetapi permintaan dari klien eksternal ditolak berdasarkan alamat IP klien eksternal.
Skenario 2: Memblokir semua akses eksternal ke Office 365 kecuali Exchange ActiveSync	Akses Office 365 diizinkan dari semua klien di jaringan perusahaan internal, serta dari perangkat klien eksternal apa pun, seperti ponsel pintar, yang menggunakan Exchange ActiveSync. Semua klien eksternal lainnya, seperti yang menggunakan Outlook, diblokir.
Skenario 3: Memblokir semua akses eksternal ke Office 365 kecuali aplikasi berbasis browser	Memblokir akses eksternal ke Office 365, kecuali untuk aplikasi pasif (berbasis browser) seperti Outlook Web Access atau SharePoint Online.
Skenario 4: Memblokir semua akses eksternal ke Office 365 kecuali untuk grup Direktori Aktif yang ditunjuk	Skenario ini digunakan untuk menguji dan memvalidasi penyebaran kebijakan akses klien. Ini memblokir akses eksternal ke Office 365 hanya untuk anggota satu atau beberapa grup Direktori Aktif. Ini juga dapat digunakan untuk menyediakan akses eksternal hanya kepada anggota grup.

Mengaktifkan Kebijakan Akses Klien

Untuk mengaktifkan kebijakan akses klien di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda harus memperbarui Platform Identitas Microsoft Office 365 yang mengandalkan kepercayaan pihak. Pilih salah satu contoh skenario di bawah ini untuk mengonfigurasi aturan klaim pada Platform Identitas Microsoft Office 365 yang mengandalkan kepercayaan pihak yang paling memenuhi kebutuhan organisasi Anda.

Skenario 1: Memblokir semua akses eksternal ke Office 365

Skenario kebijakan akses klien ini memungkinkan akses dari semua klien internal dan memblokir semua klien eksternal berdasarkan alamat IP klien eksternal. Anda bisa menggunakan prosedur berikut untuk menambahkan aturan Otorisasi Penerbitan yang benar ke kepercayaan pihak yang mengandalkan Office 365 untuk skenario yang Anda pilih.

Untuk membuat aturan guna memblokir semua akses eksternal ke Office 365

Dari Manajer Server, klik Alat, lalu klik Manajemen Layanan Federasi Direktori Aktif.
Di pohon konsol, di bawah Ad FS\Trust Relationships, klik Mengandalkan Kepercayaan Pihak, klik kanan kepercayaan Platform Identitas Microsoft Office 365, lalu klik Edit Aturan Klaim.
Dalam kotak dialog Edit Aturan Klaim, pilih tab Aturan Otorisasi Penerbitan, lalu klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "Jika ada klaim IP di luar rentang yang diinginkan, tolak". Di bawah Aturan kustom, ketik atau tempel sintaksis bahasa aturan klaim berikut (ganti nilai di atas untuk "x-ms-forwarded-client-ip" dengan ekspresi IP yang valid): c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");
Klik Selesai. Verifikasi bahwa aturan baru muncul di daftar Aturan Otorisasi Penerbitan sebelum aturan Izinkan Akses ke Semua Pengguna default (aturan Tolak akan diutamakan meskipun muncul sebelumnya dalam daftar). Jika Anda tidak memiliki aturan akses izin default, Anda dapat menambahkannya di akhir daftar Anda menggunakan bahasa aturan klaim sebagai berikut:

c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Untuk menyimpan aturan baru, dalam kotak dialog Edit Aturan Klaim, klik OK. Daftar yang dihasilkan akan terlihat seperti berikut ini.

Skenario 2: Memblokir semua akses eksternal ke Office 365 kecuali Exchange ActiveSync

Contoh berikut memungkinkan akses ke semua aplikasi Office 365, termasuk Exchange Online, dari klien internal termasuk Outlook. Ini memblokir akses dari klien yang berada di luar jaringan perusahaan, seperti yang ditunjukkan oleh alamat IP klien, kecuali untuk klien Exchange ActiveSync seperti ponsel pintar.

Untuk membuat aturan guna memblokir semua akses eksternal ke Office 365 kecuali Exchange ActiveSync

Dari Manajer Server, klik Alat, lalu klik Manajemen Layanan Federasi Direktori Aktif.
Di pohon konsol, di bawah Ad FS\Trust Relationships, klik Mengandalkan Kepercayaan Pihak, klik kanan kepercayaan Platform Identitas Microsoft Office 365, lalu klik Edit Aturan Klaim.
Dalam kotak dialog Edit Aturan Klaim, pilih tab Aturan Otorisasi Penerbitan, lalu klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "Jika ada klaim IP di luar rentang yang diinginkan, terbitkan klaim ipoutsiderange". Di bawah Aturan kustom, ketik atau tempel sintaksis bahasa aturan klaim berikut (ganti nilai di atas untuk "x-ms-forwarded-client-ip" dengan ekspresi IP yang valid):

c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");
Klik Selesai. Verifikasi bahwa aturan baru muncul di daftar Aturan Otorisasi Penerbitan.
Selanjutnya, dalam kotak dialog Edit Aturan Klaim, pada tab Aturan Otorisasi Penerbitan, klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim lagi.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.

Pada halaman Konfigurasi aturan, di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "Jika ada IP di luar rentang yang diinginkan DAN ada klaim non-EAS x-ms-client-application, tolak". Di bawah Aturan kustom, ketik atau tempel sintaks bahasa aturan klaim berikut:

c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value != "Microsoft.Exchange.ActiveSync"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");

Klik Selesai. Verifikasi bahwa aturan baru muncul di daftar Aturan Otorisasi Penerbitan.
Selanjutnya, dalam kotak dialog Edit Aturan Klaim, pada tab Aturan Otorisasi Penerbitan, klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim lagi.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "periksa apakah klaim aplikasi ada". Di bawah Aturan kustom, ketik atau tempel sintaks bahasa aturan klaim berikut:
```
NOT EXISTS([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application"]) => add(Type = "http://custom/xmsapplication", Value = "fail");
```
Klik Selesai. Verifikasi bahwa aturan baru muncul di daftar Aturan Otorisasi Penerbitan.
Selanjutnya, dalam kotak dialog Edit Aturan Klaim, pada tab Aturan Otorisasi Penerbitan, klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim lagi.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "tolak pengguna dengan ipoutsiderange true dan aplikasi gagal". Di bawah Aturan kustom, ketik atau tempel sintaks bahasa aturan klaim berikut:
```
c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "http://custom/xmsapplication", Value == "fail"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");
```
Klik Selesai. Verifikasi bahwa aturan baru muncul tepat di bawah aturan sebelumnya dan sebelum aturan Izinkan Akses ke Semua Pengguna default dalam daftar Aturan Otorisasi Penerbitan (aturan Tolak akan diutamakan meskipun muncul sebelumnya dalam daftar).
Jika Anda tidak memiliki aturan akses izin default, Anda dapat menambahkannya di akhir daftar Anda menggunakan bahasa aturan klaim sebagai berikut:
```
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");
```
Untuk menyimpan aturan baru, dalam kotak dialog Edit Aturan Klaim, klik OK. Daftar yang dihasilkan akan terlihat seperti berikut ini.

Skenario 3: Memblokir semua akses eksternal ke Office 365 kecuali aplikasi berbasis browser

Untuk membuat aturan guna memblokir semua akses eksternal ke Office 365 kecuali aplikasi berbasis browser

Dari Manajer Server, klik Alat, lalu klik Manajemen Layanan Federasi Direktori Aktif.
Di pohon konsol, di bawah Ad FS\Trust Relationships, klik Mengandalkan Kepercayaan Pihak, klik kanan kepercayaan Platform Identitas Microsoft Office 365, lalu klik Edit Aturan Klaim.
Dalam kotak dialog Edit Aturan Klaim, pilih tab Aturan Otorisasi Penerbitan, lalu klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "Jika ada klaim IP di luar rentang yang diinginkan, terbitkan klaim ipoutsiderange". Di bawah Aturan kustom, ketik atau tempel sintaks bahasa aturan klaim berikut (ganti nilai di atas untuk "x-ms-forwarded-client-ip" dengan ekspresi IP yang valid):

c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");

Klik Selesai. Verifikasi bahwa aturan baru muncul di daftar Aturan Otorisasi Penerbitan.
Selanjutnya, dalam kotak dialog Edit Aturan Klaim, pada tab Aturan Otorisasi Penerbitan, klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim lagi.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.

Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "Jika ada IP di luar rentang yang diinginkan DAN titik akhir bukan /adfs/ls, tolak". Di bawah Aturan kustom, ketik atau tempel sintaks bahasa aturan klaim berikut:

c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "/adfs/ls/"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");`

Klik Selesai. Verifikasi bahwa aturan baru muncul di daftar Aturan Otorisasi Penerbitan sebelum aturan Izinkan Akses ke Semua Pengguna default (aturan Tolak akan diutamakan meskipun muncul sebelumnya dalam daftar).

Jika Anda tidak memiliki aturan akses izin default, Anda dapat menambahkannya di akhir daftar Anda menggunakan bahasa aturan klaim sebagai berikut:

c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");

Untuk menyimpan aturan baru, dalam kotak dialog Edit Aturan Klaim, klik OK. Daftar yang dihasilkan akan terlihat seperti berikut ini.

Skenario 4: Memblokir semua akses eksternal ke Office 365 kecuali untuk grup Direktori Aktif yang ditunjuk

Contoh berikut memungkinkan akses dari klien internal berdasarkan alamat IP. Ini memblokir akses dari klien yang berada di luar jaringan perusahaan yang memiliki alamat IP klien eksternal, kecuali untuk individu tersebut dalam Grup Direktori Aktif tertentu. Gunakan langkah-langkah berikut untuk menambahkan aturan Otorisasi Penerbitan yang benar ke Platform Identitas Microsoft Office 365 yang mengandalkan kepercayaan pihak menggunakan Panduan Aturan Klaim:

Untuk membuat aturan guna memblokir semua akses eksternal ke Office 365, kecuali untuk grup Direktori Aktif yang ditunjuk

Dari Manajer Server, klik Alat, lalu klik Manajemen Layanan Federasi Direktori Aktif.
Di pohon konsol, di bawah Ad FS\Trust Relationships, klik Mengandalkan Kepercayaan Pihak, klik kanan kepercayaan Platform Identitas Microsoft Office 365, lalu klik Edit Aturan Klaim.
Dalam kotak dialog Edit Aturan Klaim, pilih tab Aturan Otorisasi Penerbitan, lalu klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "Jika ada klaim IP di luar rentang yang diinginkan, terbitkan klaim ipoutsiderange." Di bawah Aturan kustom, ketik atau tempel sintaks bahasa aturan klaim berikut (ganti nilai di atas untuk "x-ms-forwarded-client-ip" dengan ekspresi IP yang valid):
```
`c1:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");`
```
Klik Selesai. Verifikasi bahwa aturan baru muncul di daftar Aturan Otorisasi Penerbitan.
Selanjutnya, dalam kotak dialog Edit Aturan Klaim, pada tab Aturan Otorisasi Penerbitan, klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim lagi.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "periksa SID grup". Di bawah Aturan kustom, ketik atau tempel sintaksis bahasa aturan klaim berikut (ganti "groupsid" dengan SID aktual grup AD yang Anda gunakan):
```
NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-32-100"]) => add(Type = "http://custom/groupsid", Value = "fail");
```
Klik Selesai. Verifikasi bahwa aturan baru muncul di daftar Aturan Otorisasi Penerbitan.
Selanjutnya, dalam kotak dialog Edit Aturan Klaim, pada tab Aturan Otorisasi Penerbitan, klik Tambahkan Aturan untuk memulai Panduan Aturan Klaim lagi.
Pada halaman Pilih Templat Aturan, di bawah Templat aturan klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
Pada halaman Konfigurasi aturan , di bawah Nama aturan klaim, ketik nama tampilan untuk aturan ini, misalnya "tolak pengguna dengan ipoutsiderange true dan groupsid fail". Di bawah Aturan kustom, ketik atau tempel sintaks bahasa aturan klaim berikut:

c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "http://custom/groupsid", Value == "fail"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");

Klik Selesai. Verifikasi bahwa aturan baru muncul tepat di bawah aturan sebelumnya dan sebelum aturan Izinkan Akses ke Semua Pengguna default dalam daftar Aturan Otorisasi Penerbitan (aturan Tolak akan diutamakan meskipun muncul sebelumnya dalam daftar).

Jika Anda tidak memiliki aturan akses izin default, Anda dapat menambahkannya di akhir daftar Anda menggunakan bahasa aturan klaim sebagai berikut:

c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");

Untuk menyimpan aturan baru, dalam kotak dialog Edit Aturan Klaim, klik OK. Daftar yang dihasilkan akan terlihat seperti berikut ini.

Membangun ekspresi rentang alamat IP

Klaim x-ms-forwarded-client-ip diisi dari header HTTP yang saat ini diatur hanya oleh Exchange Online, yang mengisi header saat meneruskan permintaan autentikasi ke LAYANAN Federasi Direktori Aktif. Nilai klaim mungkin salah satu dari yang berikut:

Catatan

Exchange Online saat ini hanya mendukung alamat IPV4 dan bukan IPV6.

Satu alamat IP: Alamat IP klien yang terhubung langsung ke Exchange Online

Catatan

Alamat IP klien di jaringan perusahaan akan muncul sebagai alamat IP antarmuka eksternal dari proksi atau gateway keluar organisasi.
Klien yang terhubung ke jaringan perusahaan oleh VPN atau oleh Microsoft DirectAccess (DA) dapat muncul sebagai klien perusahaan internal atau sebagai klien eksternal tergantung pada konfigurasi VPN atau DA.

Satu atau beberapa alamat IP: Ketika Exchange Online tidak dapat menentukan alamat IP klien yang menghubungkan, itu akan menetapkan nilai berdasarkan nilai header x-forwarded-for, header non-standar yang dapat disertakan dalam permintaan berbasis HTTP dan didukung oleh banyak klien, load balancer, dan proksi di pasar.

Catatan

Beberapa alamat IP, menunjukkan alamat IP klien dan alamat setiap proksi yang melewati permintaan, akan dipisahkan oleh koma.
Alamat IP yang terkait dengan infrastruktur Exchange Online tidak akan ada dalam daftar.

Ekspresi Reguler

Ketika Anda harus mencocokkan berbagai alamat IP, anda harus membuat ekspresi reguler untuk melakukan perbandingan. Dalam rangkaian langkah berikutnya, kami akan memberikan contoh cara membuat ekspresi tersebut agar sesuai dengan rentang alamat berikut (perhatikan bahwa Anda harus mengubah contoh ini agar sesuai dengan rentang IP publik Anda):

192.168.1.1 – 192.168.1.25
10.0.0.1 – 10.0.0.14

Pertama, pola dasar yang akan cocok dengan satu alamat IP adalah sebagai berikut: \b###\.###.###\.####\b

Memperluas ini, kita dapat mencocokkan dua alamat IP berbeda dengan ekspresi OR sebagai berikut: \b###\.##\#b|\b###\.#####.###\b

Jadi, contoh yang cocok hanya dengan dua alamat (seperti 192.168.1.1 atau 10.0.0.1) adalah: \b192\.168\.1\.1\b|\b10\.0\.0\.1\b

Ini memberi Anda teknik di mana Anda dapat memasukkan sejumlah alamat. Jika rentang alamat perlu diizinkan, misalnya 192.168.1.1 – 192.168.1.25, pencocokan harus dilakukan karakter berdasarkan karakter: \b192\.168\.1\. ([1-9]|1[0-9]|2[0-5])\b

Perhatikan hal berikut:
Alamat IP diperlakukan sebagai string dan bukan angka.
Aturan dipecah sebagai berikut: \b192\.168\.1\.
Ini cocok dengan nilai apa pun yang dimulai dengan 192.168.1.
Berikut ini cocok dengan rentang yang diperlukan untuk bagian alamat setelah titik desimal akhir:
- ([1-9] Kecocokan alamat yang berakhiran 1-9
- |1[0-9] Kecocokan alamat yang berakhiran 10-19
- |2[0-5]) Cocok dengan alamat yang berakhiran 20-25
Perhatikan bahwa tanda kurung harus diposisikan dengan benar, sehingga Anda tidak mulai mencocokkan bagian alamat IP lainnya.
Dengan blok 192 yang cocok, kita dapat menulis ekspresi serupa untuk blok 10: \b10\.0\.0\. ([1-9]|1[0-4])\b
Dan menyatukannya, ekspresi berikut harus cocok dengan semua alamat untuk "192.168.1.1~25" dan "10.0.0.1~14": \b192\.168\.1\. ([1-9]|1[0-9]|2[0-5])\b|\b10\.0\.0\. ([1-9]|1[0-4])\b

Menguji Ekspresi

Ekspresi regex bisa menjadi cukup rumit, jadi kami sangat menyarankan untuk menggunakan alat verifikasi regex. Jika Anda melakukan pencarian internet untuk "penyusun ekspresi regex online", Anda akan menemukan beberapa utilitas online yang baik yang akan memungkinkan Anda untuk mencoba ekspresi Anda terhadap data sampel.

Saat menguji ekspresi, penting untuk memahami apa yang diharapkan untuk dicocokkan. Sistem Exchange online dapat mengirim banyak alamat IP, dipisahkan oleh koma. Ekspresi yang disediakan di atas akan berfungsi untuk ini. Namun, penting untuk memikirkan hal ini saat menguji ekspresi regex Anda. Misalnya, seseorang mungkin menggunakan contoh input berikut untuk memverifikasi contoh di atas:

192.168.1.1, 192.168.1.2, 192.169.1.1. 192.168.12.1, 192.168.1.10, 192.168.1.25, 192.168.1.26, 192.168.1.30, 1192.168.1.20

10.0.0.1, 10.0.0.5, 10.0.0.10, 10.0.1.0, 10.0.1.1, 110.0.0.1, 10.0.0.14, 10.0.0.15, 10.0.0.10, 10,0.0.1

Jenis Klaim

Layanan Federasi Direktori Aktif di Windows Server 2012 R2 menyediakan informasi konteks permintaan menggunakan jenis klaim berikut:

X-MS-Forwarded-Client-IP

Jenis klaim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip

Klaim Layanan Federasi Direktori Aktif ini mewakili "upaya terbaik" untuk memastikan alamat IP pengguna (misalnya, klien Outlook) membuat permintaan. Klaim ini dapat berisi beberapa alamat IP, termasuk alamat setiap proksi yang meneruskan permintaan. Klaim ini diisi dari HTTP. Nilai klaim dapat berupa salah satu hal berikut:

Satu alamat IP - Alamat IP klien yang terhubung langsung ke Exchange Online

Catatan

Alamat IP klien di jaringan perusahaan akan muncul sebagai alamat IP antarmuka eksternal dari proksi atau gateway keluar organisasi.

Satu atau beberapa alamat IP
- Jika Exchange Online tidak dapat menentukan alamat IP klien yang terhubung, itu akan menetapkan nilai berdasarkan nilai header x-forwarded-for, header non-standar yang dapat disertakan dalam permintaan berbasis HTTP dan didukung oleh banyak klien, load balancer, dan proksi di pasar.
- Beberapa alamat IP yang menunjukkan alamat IP klien dan alamat setiap proksi yang melewati permintaan akan dipisahkan oleh koma.

Catatan

Alamat IP yang terkait dengan infrastruktur Exchange Online tidak akan ada dalam daftar.

Peringatan

Exchange Online saat ini hanya mendukung alamat IPV4; ini tidak mendukung alamat IPV6.

X-MS-Client-Application

Jenis klaim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application

Klaim Layanan Federasi Direktori Aktif ini mewakili protokol yang digunakan oleh klien akhir, yang sesuai secara longgar dengan aplikasi yang digunakan. Klaim ini diisi dari header HTTP yang saat ini hanya diatur oleh Exchange Online, yang mengisi header saat meneruskan permintaan autentikasi ke Layanan Federasi Direktori Aktif. Tergantung pada aplikasi, nilai klaim ini akan menjadi salah satu hal berikut:

Dalam kasus perangkat yang menggunakan Exchange Active Sync, nilainya adalah Microsoft.Exchange.ActiveSync.
Penggunaan klien Microsoft Outlook dapat mengakibatkan salah satu nilai berikut:
- Microsoft.Exchange.Autodiscover
- Microsoft.Exchange.OfflineAddressBook
- Microsoft.Exchange.RPCMicrosoft.Exchange.WebServices
- Microsoft.Exchange.RPCMicrosoft.Exchange.WebServices
Nilai lain yang mungkin untuk header ini meliputi yang berikut ini:
- Microsoft.Exchange.Powershell
- Microsoft.Exchange.SMTP
- Microsoft.Exchange.Pop
- Microsoft.Exchange.Imap

X-MS-Client-User-Agent

Jenis klaim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent

Klaim Layanan Federasi Direktori Aktif ini menyediakan string untuk mewakili jenis perangkat yang digunakan klien untuk mengakses layanan. Ini dapat digunakan ketika pelanggan ingin mencegah akses untuk perangkat tertentu (seperti jenis ponsel pintar tertentu). Contoh nilai untuk klaim ini termasuk (tetapi tidak terbatas pada) nilai di bawah ini.

Di bawah ini adalah contoh apa yang mungkin dimuat nilai x-ms-user-agent untuk klien yang x-ms-client-application-nya adalah "Microsoft.Exchange.ActiveSync"

Vortex/1.0
Apple-iPad1C1/812.1
Apple-i Telepon 3C1/811.2
Apple-i Telepon/704.11
Moto-DROID2/4.5.1
SAMSUNGSPHD700/100.202
Android/0.3

Ada kemungkinan juga bahwa nilai ini kosong.

X-MS-Proxy

Jenis klaim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy

Klaim Layanan Federasi Direktori Aktif ini menunjukkan bahwa permintaan telah melewati proksi Aplikasi Web. Klaim ini diisi oleh proksi Aplikasi Web, yang mengisi header saat meneruskan permintaan autentikasi ke Layanan Federasi ujung belakang. Layanan Federasi Direktori Aktif kemudian mengonversinya menjadi klaim.

Nilai klaim adalah nama DNS proksi Aplikasi Web yang meneruskan permintaan.

InsideCorporateNetwork

Jenis klaim: https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork

Mirip dengan jenis klaim x-ms-proxy di atas, jenis klaim ini menunjukkan apakah permintaan telah melewati proksi aplikasi web. Tidak seperti x-ms-proxy, insidecorporatenetwork adalah nilai boolean dengan True yang menunjukkan permintaan langsung ke layanan federasi dari dalam jaringan perusahaan.

X-MS-Endpoint-Absolute-Path (Aktif vs Pasif)

Jenis klaim: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path

Jenis klaim ini dapat digunakan untuk menentukan permintaan yang berasal dari klien "aktif" (kaya) versus klien "pasif" (berbasis browser web). Ini memungkinkan permintaan eksternal dari aplikasi berbasis browser seperti Outlook Web Access, SharePoint Online, atau portal Office 365 diizinkan saat permintaan yang berasal dari klien kaya seperti Microsoft Outlook diblokir.

Nilai klaim adalah nama layanan Layanan Federasi Direktori Aktif yang menerima permintaan.

Lihat Juga

Operasi Layanan Federasi Direktori Aktif

Bagikan melalui

Kebijakan Kontrol Akses di Windows Server 2012 R2 dan Windows Server 2012 AD FS

Skenario Kebijakan Akses Klien

Mengaktifkan Kebijakan Akses Klien

Skenario 1: Memblokir semua akses eksternal ke Office 365

Untuk membuat aturan guna memblokir semua akses eksternal ke Office 365

Skenario 2: Memblokir semua akses eksternal ke Office 365 kecuali Exchange ActiveSync

Untuk membuat aturan guna memblokir semua akses eksternal ke Office 365 kecuali Exchange ActiveSync

Skenario 3: Memblokir semua akses eksternal ke Office 365 kecuali aplikasi berbasis browser

Untuk membuat aturan guna memblokir semua akses eksternal ke Office 365 kecuali aplikasi berbasis browser

Skenario 4: Memblokir semua akses eksternal ke Office 365 kecuali untuk grup Direktori Aktif yang ditunjuk

Untuk membuat aturan guna memblokir semua akses eksternal ke Office 365, kecuali untuk grup Direktori Aktif yang ditunjuk

Membangun ekspresi rentang alamat IP

Ekspresi Reguler

Menguji Ekspresi

Jenis Klaim

X-MS-Forwarded-Client-IP

X-MS-Client-Application

X-MS-Client-User-Agent

X-MS-Proxy

InsideCorporateNetwork

X-MS-Endpoint-Absolute-Path (Aktif vs Pasif)

Lihat Juga

Sumber Daya Tambahan: