Verhindern der Anmeldung an spezifische Office 365 Mandanten

Letzte Woche kam bei uns folgende Kundenanforderung herein:

Der Kunde erlaubt gewissen Benutzern keinerlei Zugang ins Internet, nun will er aber Office 365 einführen. Generell ist das ja kein Problem, da wir dann einfach nur die spezifischen Office 365 IP Adressen und URLs an den Firewalls bzw. Proxy-Servern freischalten lassen. Nun kam er Kunde aber zu uns zurück mit der Frage, was denn passiert, wenn sich der Benutzer privat einen eigenen Office 365 Mandanten erstellt, und über die dortigen Dienste wie Exchange Online oder OneDrive for Business Daten „durchtunnelt“.

Diese Fragestellung hatten wir bisher nicht, wir fanden Sie aber durchaus legitim und wir haben versucht eine Möglichkeit zu finden eine Whitelisting von spezifischen Tenants bzw. deren UPN Suffixe zu realisieren.

Obwohl Microsoft keine Möglichkeit für dieses Szenario bietet haben einen Ansatz erarbeitet. Dieser ist zwar nicht einfach umzusetzen, und „schön“ ist er schon gar nicht, aber im Testlabor hat es funktioniert:

Voraussetzung dafür ist, dass der HTTPS Verkehr des Clients IMMER durch eine intelligente Contentfiltering Lösung gejagt werden muss, die in der Lage ist den HTTPS Traffic aufzubrechen und hier konfigurierbare Rulesets anzuwenden

mslogin

Mann müsste auf diesem Proxy dann auf die URL „https://login.microsoftonline.com/common/userreal“ filtern, und jeglichen Traffic abbrechen, der in dieser URL nach dem Parameter „user=“ nicht eine der gewünschten Office 365 Tenants des Kunden enthält.

Hier ein Beispiel URL so einer Anmeldung:

https://login.microsoftonline.com/common/userrealm/?user=Andreas.Hoetzinger@gab-net.com&api-version=2.1&stsRequest=XXXXXXXXXXXXXXXXXXXXX&checkForMicrosoftAccount=false

Diese URL wird immer nach Verlassen des Login-ID Feldes auf https://login.microsoftonline.com aufgerufen, und dient dazu festzustellen ob die dieser Domänen Suffix überhaupt in O365 registriert ist, und wenn ja ob es sich um eine Federated-Domain oder um eine reine Azure AD Authentifzierung handelt.

Wir haben rausgefunden, dass wenn man diesen Aufruf bei unerwünschten Domains blockt, keine Anmeldung mit Accounts dieser Domäne möglich ist….

Wie gesagt das ganze ist natürlich nicht annähernd 100 % ausgetestet, wäre aber ein Ansatz.

lock

Sharing is caring!

Hinterlasse einen Kommentar