PoC-Leitfaden: Sicherer Zugriff auf Office 365 mit Citrix Secure Private Access

Übersicht

Wenn Benutzer auf vertrauliche Inhalte in Microsoft 365 (Office 365) zugreifen, müssen Unternehmen in der Lage sein, die Benutzeranmeldevorgänge zu vereinfachen und gleichzeitig Authentifizierungsstandards durchzusetzen. Unternehmen müssen in der Lage sein, Microsoft 365 zu sichern, auch wenn es über die Grenzen des Rechenzentrums hinaus existiert. Citrix Workspace bietet Unternehmen erweiterte Sicherheitskontrollen für Microsoft 365.

In diesem Szenario authentifiziert sich ein Benutzer bei Citrix Workspace mit entweder Active Directory als primärem Benutzerverzeichnis.

Active Directory und Azure SSO

Wenn der Citrix Secure Private Access-Dienst dem Citrix-Abonnement zugewiesen ist, werden zusätzlich zu den Microsoft 365-Anwendungen erweiterte Sicherheitsrichtlinien angewendet, die von der Anwendung von Bildschirmwasserzeichen, der Einschränkung von Druck-/Download-Aktionen, Einschränkungen bei der Bildschirmaufnahme, der Verschleierung der Tastatur und dem Schutz von Benutzern vor nicht vertrauenswürdigen Links reichen.

Die folgende Animation zeigt einen Benutzer, der mit SSO auf Microsoft 365 zugreift und mit Citrix Secure Private Access gesichert ist.

Azure SSO Demo

Diese Demonstration zeigt einen IdP-initiierten SSO-Flow, bei dem der Benutzer die Anwendung aus Citrix Workspace startet. Dieses PoC-Handbuch unterstützt auch einen SP-initiierten SSO-Flow, bei dem der Benutzer versucht, direkt von seinem bevorzugten Browser aus auf die SaaS-App zuzugreifen.

Dieser Leitfaden zum Proof of Concept zeigt, wie Sie:

  1. Einrichten von Citrix Workspace
  2. Integriere ein primäres Benutzerverzeichnis
  3. Integrieren Sie Single Sign-On für SaaS-Anwendungen
  4. Definieren von Richtlinien zum Websitefiltern
  5. Überprüfen der Konfiguration

Einrichten von Citrix Workspace

Die ersten Schritte zum Einrichten der Umgebung besteht darin, Citrix Workspace für die Organisation vorzubereiten, einschließlich

  1. Einrichten der Workspace-URL
  2. Ermöglichung der entsprechenden Dienste

Workspace-URL festlegen

  1. Stellen Sie eine Verbindung mit Citrix Cloud her und melden Sie sich als Administratorkonto an
  2. Greifen Sie in Citrix Workspace über das Menü oben links auf Workspace-Konfiguration zu
  3. Geben Sie auf der Registerkarte Zugriff eine eindeutige URL für die Organisation ein und wählen Sie “Aktiviert”

Workspace-URL

Dienste aktivieren

Aktivieren Sie auf der Registerkarte Service-Integration die folgenden Dienste, um den Anwendungsfall für den sicheren Zugriff auf SaaS-Apps zu unterstützen.

  1. Secure Private Access
  2. Remotebrowserisolierung

Workspace-Dienste

Überprüfen

Citrix Workspace benötigt einige Augenblicke, um Dienste und URL-Einstellungen zu aktualisieren. Vergewissern Sie sich in einem Browser, dass die benutzerdefinierte Workspace-URL aktiv ist. Die Anmeldung ist jedoch verfügbar, sobald ein primäres Benutzerverzeichnis definiert und konfiguriert wurde.

Integrieren Sie ein Hauptbenutzerverzeichnis

Bevor sich Benutzer bei Workspace authentifizieren können, muss ein primäres Benutzerverzeichnis konfiguriert werden. Das primäre Benutzerverzeichnis ist die einzige Identität, die der Benutzer benötigt, da alle Anfragen für Apps in Workspace Single Sign-On für sekundäre Identitäten verwenden.

Eine Organisation kann mit Microsoft 365 eines der folgenden primären Benutzerverzeichnisse verwenden:

  • Active Directory: Um die Active Directory-Authentifizierung zu aktivieren, muss ein Cloud Connector im selben Rechenzentrum wie ein Active Directory-Domänencontroller bereitgestellt werden, indem Sie dem Cloud Connector-Installationshandbuch folgen.
  • Active Directory mit zeitbasiertem Einmalkennwort: Die Active Directory-basierte Authentifizierung kann auch eine Multifaktor-Authentifizierung mit einem zeitbasierten Einmalkennwort (TOTP) beinhalten. In diesem Handbuch werden die erforderlichen Schritte beschrieben, um diese Authentifizierungsoption zu aktivieren.
  • Azure Active Directory: Benutzer können sich mit einer Azure Active Directory-Identität bei Citrix Workspace authentifizieren. In diesem Handbuch werden die erforderlichen Schritte beschrieben, um diese Authentifizierungsoption zu aktivieren.

    Hinweis

    Wenn Sie AAD als primäres Authentifizierungsverzeichnis verwenden, können Sie die primäre Domäne (Anmeldedomäne des Benutzers) nicht verbinden, da dadurch eine Schleife entsteht. In solchen Fällen müssen Sie einen Verbund für die neue Domain erstellen.

    Für AAD-Benutzerkonten muss das Attribut immutableID festgelegt sein. Andernfalls schlägt die Authentifizierung mit der folgenden Fehlermeldung fehl: AADSTS51004
    Synchronisierte Azure AD Connect-Konten erhalten dieses Attribut automatisch.

  • Citrix Gateway: Organisationen können ein lokales Citrix Gateway verwenden, um als Identitätsanbieter für Citrix Workspace zu fungieren. Dieses Handbuch enthält Einzelheiten zur Integration.
  • Okta: Organisationen können Okta als primäres Benutzerverzeichnis für Citrix Workspace verwenden. Dieses Handbuch enthält Anweisungen zur Konfiguration dieser Option.

Verbund der Azure-Authentifizierung mit Citrix Workspace

Für einen erfolgreichen Verbund von Microsoft 365 mit Citrix Workspace, muss der Administrator Folgendes tun:

  • Eine SaaS-App konfigurieren
  • Autorisieren Sie eine SaaS-App
  • Authentifizierungsdomäne überprüfen
  • Domänenverbund konfigurieren

Eine SaaS-App konfigurieren

Wenn die Domäne in Azure verifiziert ist, kann eine Microsoft 365 SaaS-App in Citrix Workspace konfiguriert werden.

  • Wählen Sie in Citrix Cloud in der Secure Private Access-Kachel die Option Verwalten aus.

SaaS App einrichten 01

  • Wählen Sie im Menü Secure Private Access die Option Anwendungen aus.
  • Wählen Sie im Abschnitt Anwendung die Option App hinzufügen

Anwendungen - Vorlage

  • Wählen Sie im Assistenten zum Auswählen einer Vorlage die Option Office365aus

Setup SaaS App 02

  • Klicken Sie auf Weiter.

Anwendungen — App-Details

  • Ändern Sie im Abschnitt App-Details den Namen, das Symbolund die Beschreibung nach Bedarf, wobei alle verbleibenden Einträge unverändert bleiben.

SaaS App einrichten 03

Hinweis: Sie können den Datenverkehr auch über die in Ihrem Rechenzentrum installierte Connector Appliance weiterleiten. Daher müssen Sie von “Außerhalb meines Unternehmensnetzwerks” zu “In meinem Unternehmensnetzwerk” wechseln. .

  • Wählen Sie Weiter

Anwendungen — Single Sign-On

  • Überprüfen Sie im Single Sign-On-Fenster die Namen-ID-Format=Persistent und die Namen-ID=Active Directory-GUID (1)
  • Überprüfen Sie unter den erweiterten Attributen Attribute Name=IDPEmail, Attribute Format=Unspecified und Attribute Value=Email (2)

Hinweis

Die zweite Advanced-Attributoption wird automatisch hinzugefügt, um die MFA-Authentifizierungsanforderung zu unterdrücken, wenn der Benutzer den MFA bereits bei der Benutzerauthentifizierung bei Citrix Workspace eingegeben hat.

Attributname: http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
Attributformat: Unspecified
Attributwert: Custom value
Benutzerdefinierter Wert: http://schemas.microsoft.com/claims/multipleauthn

Damit Azure AD diese Behauptung akzeptiert, müssen wir beim Einrichten des Domainverbandes einen Parameter -SupportsMfa $truehinzufügen.

Es gibt zwei Optionen, um fortzufahren, die manuelle oder die automatische Konfiguration des Domainverbunds.
Wenn Sie den automatisierten Prozess (PowerShell-Skript)verwenden möchten, gehen Sie zum Abschnitt Automatisierte Konfiguration des Domänenverbunds.

Manuelle Konfiguration des Domainverbunds
  • Wählen Sie Herunterladen, um das CRT-basierte Zertifikat zu erfassen. (3)
  • Wählen Sie neben der Anmelde-URL die Schaltfläche Kopieren aus, um die Anmelde-URL zu erfassen. Diese URL wird später verwendet. (4)
  • Wählen Sie den SAML-Metadaten-Link (5)

SaaS App 05 einrichten

  • Suchen Sie in der SAML-Metadaten-Datei nach EntityID. Bitte kopieren Sie die gesamte URL und speichern Sie sie für die spätere Verwendung. Nach der Erfassung kann die SAML-Metadaten-Datei geschlossen werden.

SaaS App 06 einrichten

Automatisierte Konfiguration des Domainverbunds
  • Wählen Sie Bei Azure AD anmeldenaus, ein neuer Tab wird geöffnet und Sie werden zur Authentifizierung zum Azure AD-Portal weitergeleitet. (3)
  • Geben Sie ein Benutzerkonto an, dem “Global Administrator” -Berechtigungen zugewiesen wurden.
  • Sie sollten die folgende Meldung sehen, wenn die Anmeldung erfolgreich war

SaaS App 08 einrichten

  • Die Option für die Auswahl der MFA-Endbenutzer ist standardmäßig aktiviert.
  • Klicken Sie auf Klicken Sie hier, um Azure AD-Domänen abzurufen und die Liste aller Domänen anzuzeigen. (4)
  • Wählen Sie die Domäne für den Verbund aus der Dropdownliste. (5)
  • Klicken Sie auf Federate domain (6)

Setup SaaS App 09

Hinweis

  • Wenn Sie auf Federate domainklicken, werden die PowerShell-Skripts im Backend ausgeführt, und die Domäne wird föderiert.
  • Laden Sie bei Bedarf die PowerShell-Skripte von der Schnittstelle herunter. Geben Sie im PowerShell-Skript für den Domänenverbunddie Azure AD-Domäne (7) ein und klicken Sie auf Download (8).
  • Wählen Sie Weiter

Anwendungen — App-Konnektivität

  • Überprüfen Sie im Fenster App Connectivity, wie der Datenverkehr weitergeleitet werden soll (in diesem Fall direkt vom Client zur SaaS-Anwendung).

SaaS App 07 einrichten

  • Wählen Sie Weiter
  • Wählen Sie Fertig stellen, um die Konfiguration der Microsoft Office 365 SaaS-Apps abzuschließen.

Autorisieren Sie die SaaS-App und konfigurieren Sie die erweiterte Sicherheit

  • Wählen Sie im Menü Secure Private Access die Option Zugriffsrichtlinien aus.
  • Wählen Sie im Abschnitt Zugriffsrichtlinie die Option Richtlinie erstellenaus.

SaaS App 01 autorisieren

  • Geben Sie den Namen der Richtlinie und eine kurze Beschreibung der Richtlinieein.
  • Suchen Sie in der Dropdownliste Anwendungen nach “Humanity” und wählen Sie es aus.

Hinweis

Sie können mehrere Zugriffsregeln erstellen und verschiedene Zugriffsbedingungen für verschiedene Benutzer oder Benutzergruppen innerhalb einer einzigen Richtlinie konfigurieren. Diese Regeln können getrennt für HTTP/HTTPS- und TCP/UDP-Anwendungen angewendet werden, und das alles innerhalb einer einzigen Richtlinie. Weitere Informationen zu Mehrfachzugriffsregeln finden Sie unter Konfigurieren einer Zugriffsrichtlinie mit mehreren Regeln.

  • Klicken Sie auf Regel erstellen, um Regeln für die Richtlinie zu erstellen.

SaaS App 02 autorisieren

  • Geben Sie den Regelnamen und eine kurze Beschreibung der Regel ein und klicken Sie auf Weiter.

SaaS App 03 autorisieren

  • Fügen Sie die entsprechenden Benutzer/Gruppen hinzu, die berechtigt sind, die App zu starten, und klicken Sie auf Weiter.

Hinweis

Klicken Sie auf +, um je nach Kontext mehrere Bedingungen hinzuzufügen.

SaaS App 04 autorisieren

  • Geben Sie an, ob auf die HTTP/HTTPS-App mit oder ohne Einschränkungen zugegriffen werden kann.
    Für den vorherigen Screenshot ist keine Einschränkung konfiguriert.
    Wenn eine erhöhte Sicherheit erforderlich ist, ändern Sie „Zugriff zulassen“ in „Zugriff mit Einschränkungen zulassen“.
  • Geben Sie die Aktion für TCP/UDP-Apps an.
    Der vorherige Screenshot verweigert den Zugriff auf TCP/UDP-Apps.
  • Klicken Sie auf Weiter.

SaaS App 05 autorisieren

  • Auf der Seite „Zusammenfassung“ werden die Details der Policy-Regel angezeigt.
    Überprüfen Sie die Angaben und klicken Sie auf Fertig stellen .

SaaS App 06 autorisieren

  • Vergewissern Sie sich, dass im Dialogfeld Richtlinie erstellen das Kontrollkästchen Richtlinie beim Speichern aktivieren aktiviert ist, und klicken Sie auf Speichern.

Hinweis: Für erste SSO-Tests ist es immer eine gute Idee, die erweiterte Sicherheit zu konfigurieren, indem die Option “Im Remote-Browser öffnen” gesetzt ist.

Authentifizierungsdomäne überprüfen

Azure muss den vollqualifizierten Domänennamen verifizieren, um die Authentifizierung bei Citrix Workspace zu verbinden. Führen Sie im Azure-Portal die folgenden Schritte aus:

  • Zugreifen auf Azure Active Directory
  • Wählen Sie Benutzerdefinierte Domainnamen im Navigationsfenster
  • Wählen Sie Benutzerdefinierte Domain hinzufügen
  • Geben Sie den vollqualifizierten Domänennamen ein

Domain-Verifizierung 01

  • Wählen Sie Domain hinzufügen
  • Azure bietet Aufzeichnungen, die Sie in Ihren Domainnamen-Registrar integrieren können. Wenn Sie fertig sind, wählen Sie Verifizierenaus

Domain-Verifizierung 02

  • Nach Abschluss enthält die Domain eine verifizierte Marke

Domain-Verifizierung 03

Domänenverbund konfigurieren

Hinweis

Sie können diesen Abschnitt überspringen, wenn die Konfiguration für den automatisierten Domänenverbund verwendet wurde.
Fahren Sie mit dem Abschnitt Validieren fort.

Die endgültige Konfiguration besteht darin, dass Azure Citrix Workspace als Verbundautorität für die verifizierte Domäne verwendet. Die Konfiguration des Verbunds muss mit PowerShell erfolgen.

  • PowerShell starten
  • Fügen Sie die entsprechenden Module mit den folgenden Befehlen hinzu
Install-Module AzureAD -Force
Import-Module AzureAD -Force
Install-Module MSOnline -Force
Import-module MSOnline -Force
<!--NeedCopy-->
  • Stellen Sie über PowerShell eine Verbindung zu Microsoft Online her und authentifizieren Sie sich mit einem Microsoft-Cloud-Konto (z. B. admin.user@onmicrosoft.com)
Connect-MSOLService
<!--NeedCopy-->
  • Stellen Sie sicher, dass die Domäne derzeit auf In Azure verwaltet festgelegt ist, indem Sie den folgenden PowerShell-Befehl ausführen
Get-MsolDomain
<!--NeedCopy-->

Domänenverbund 01

  • Verwenden Sie den folgenden Code in einem PowerShell-Skript, um diese Domäne zu einem Verbund zu machen, indem Sie die Variablen ändern, um sie an Ihrer Umgebung anzupassen
 $dom = "workspaces.wwco.net" # The fully qualified domain name verified within Azure
 $fedBrandName = "CitrixWorkspaceSAMLIdP" # A name to help remember the configuration purpose
 $uri = "https://app.netscalergateway.net/ngs/[entityID]/saml/login?APPID=[APPID]" # The Login URL from the Office365 app configuration
 $logoffuri = "https://app.netscalergateway.net/cgi/logout" # Standard entry for all. Do not change
 $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<location of certificate downloaded from Citrix Secure Private Access service/filename.crt>") # Path to the downloaded certificate file from Office 365 app configuration (e.g., C:\temp\filename.crt)
 $certData = [system.convert]::tobase64string($cert.rawdata)
 $IssuerUri = "https://citrix.com/[entityID]" # The entityID taken from the Office365 app configuration SAML Metadata file

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     –federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP

To suppress an MFA authentication request when the user has already entered the MFA during user authentication to Citrix Workspace, use the following command:

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     –federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP `
     -SupportsMfa $true
<!--NeedCopy-->
  • Stellen Sie sicher, dass die Domäne derzeit in Azure auf Federated festgelegt ist, indem Sie den folgenden PowerShell-Befehl ausführen
Get-MsolDomain
<!--NeedCopy-->

Domänenverbund 02

  • Überprüfen Sie die Verbundeinstellungen in Azure, indem Sie den folgenden PowerShell-Befehl ausführen
Get-MsolDomainFederationSettings -DomainName $dom
<!--NeedCopy-->

Domänenverbund 03

Hinweis

Wenn die Verbundeinstellungen entfernt werden müssen, führen Sie den folgenden PowerShell-Befehl aus:
Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed

Überprüfen

IdP-initiierte Validierung

  • Melden Sie sich als Benutzer bei Citrix Workspace an
  • Wählen Sie die Office 365-Anwendung aus
  • Beachten Sie die URL, um zu sehen, wie sie kurz durch Azure umgeleitet wird
  • Das Office 365-Portal wird erfolgreich gestartet

SP-initiierte Validierung

  • Starten Sie einen Browser
  • Wechseln Sie zur unternehmensdefinierten URL für die SaaS-Anwendung
  • Der Browser leitet zur Authentifizierung zu Azure Active Directory und dann zu Citrix Workspace weiter
  • Sobald sich der Benutzer mit dem primären Benutzerverzeichnis authentifiziert hat, wird die SaaS-App mit Citrix gestartet und bietet Single Sign-On

Definieren Sie nicht genehmigte Websites

Nicht genehmigte Websites sind Apps, die nicht in der Secure Private Access-Konfiguration konfiguriert sind, auf die aber über den Citrix Enterprise Browser zugegriffen werden kann. Sie können Regeln für diese nicht genehmigten Websites konfigurieren. Beispielsweise kann ein Link innerhalb einer SaaS-App auf eine schädliche Website verweisen. Mit diesen Regeln kann ein Administrator anhand einer bestimmten Website-URL oder einer Website-Kategorie den Zugriff zulassen, den Zugriff blockieren oder die Anfrage an eine gehostete, sichere Browserinstanz umleiten, was dazu beiträgt, browserbasierte Angriffe zu verhindern.

  • Verwalten Sie in der Citrix Cloud die Kachel Secure Private Access

Citrix Secure Private Access 1

  • Wenn diese Anleitung befolgt wurde, sind die Schritte Endbenutzerauthentifizierung einrichten und Endbenutzerzugriff auf SaaS-, Web- und virtuelle Anwendungen konfigurieren abgeschlossen.
  • Wählen Sie im Menü Secure Private Access die Option Einstellungen
  • Wechseln Sie zum Tab Unsanktionierte Websites
  • Wählen Sie Bearbeiten
  • Aktivieren Sie die Option Webseitenlisten filtern

Citrix Secure Private Access 2

  • Klicken Sie im entsprechenden Abschnitt auf Hinzufügen, um Websites zu blockieren, Websites zuzulassen oder den Benutzer an einen sicheren Browser umzuleiten (Remote Browser Isolation)
  • Um beispielsweise Websites im Abschnitt „Blockierte Kategorien“ zu blockieren, klicken Sie auf Hinzufügen
  • Geben Sie eine Website ein, auf die Benutzer nicht zugreifen können, und klicken Sie auf Hinzufügen
  • Klicken Sie auf Speichern, damit die Änderungen wirksam werden

Validieren Sie die Konfiguration

IdP-initiierte Validierung

  • Melden Sie sich als Benutzer bei Citrix Workspace an
  • Wählen Sie Office 365 aus.
    Wenn die erweiterte Sicherheit deaktiviert ist, wird die App im lokalen Browser gestartet. Andernfalls wird Enterprise Browser verwendet.
  • Der Benutzer meldet sich automatisch bei der App an
  • Die entsprechenden erweiterten Sicherheitsrichtlinien werden angewendet
  • Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die in den gesperrten, zulässigen und umgeleiteten Kategorien enthalten ist
  • Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die sich in den gesperrten, zulässigen und umgeleiteten URLs befindet
  • Die SaaS App wird erfolgreich eingeführt

SP-initiierte Validierung

  • Starten Sie einen Browser
  • Gehen Sie zur Office 365-Website und wählen Sie Anmelden
  • Geben Sie den Benutzernamen ein
  • Der Browser leitet den Browser zur Authentifizierung an Citrix Workspace um
  • Sobald sich der Benutzer beim primären Benutzerverzeichnis authentifiziert hat, wird Office 365 im lokalen Browser gestartet, wenn die erweiterte Sicherheit deaktiviert ist.
    Wenn die erweiterte Sicherheit aktiviert ist, startet eine Secure Browser-Instanz Office 365.

Microsoft 365-verwandte Domains

Ein verwandtes Domänenfeld ist verfügbar, wenn Sie eine App im Citrix Secure Private Service erstellen. Die erweiterten Sicherheitsrichtlinien verwenden diese verwandten Domänen, um zu bestimmen, wann die Richtlinie durchgesetzt werden muss.

Die folgende Liste zeigt die aktuellen Domänen, die Microsoft 365-Apps zugeordnet sind.

*Hinweis: Diese Domains können sich jederzeit ändern*

  • *.office.com
  • *.office365.com
  • *.sharepoint.com
  • *.live.com
  • *.onenote.com
  • *.microsoft.com
  • *.powerbi.com
  • *.dynamics.com
  • *.microsoftstream.com
  • *.powerapps.com
  • *.yammer.com
  • *.windowsazure.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msocdn.com
  • *.microsoftonline.com
  • *.windows.net
  • *.microsoftonline-p.com
  • *.akamaihd.net
  • *.sharepointonline.com
  • *.officescriptsservice.com
  • *.live.net
  • *.office.net
  • *.msftauth.net

Microsoft 365-Apps

Angenommen, es ist vorzuziehen, eine bestimmte Microsoft 365-App (Word, PowerPoint oder Excel) anstelle des Microsoft 365-Portals zu starten. In diesem Fall muss der Administrator für jede App eine separate Anwendungsinstanz innerhalb des Citrix Secure Private Access Service erstellen. Jede App hat eine eindeutige URL, die den richtigen Wert für die in diesem Handbuch konfigurierte Verbunddomäne enthalten muss. Der Eintrag für Verbunddomäne informiert Azure, auf die richtige Konfiguration der Verbunddomäne umzuleiten.

*Hinweis: Der vom IdP initiierte Flow berücksichtigt den Relaystatus nicht. Verwenden Sie den SP-initiierten Flow, um direkt in der App zu landen.*

  • Word: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FWord%3Fauth%3D2&whr=Verbunddomäne
  • PowerPoint: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=Verbunddomäne
  • Excel: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FExcel%3Fauth%3D2&whr=Verbunddomäne
  • CRM/Dynamics Online: https://<tenant>.crm.dynamics.com/?whr=Verbunddomäne
  • OneDrive for Business: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=Verbunddomäne
  • Outlook-Kalender: https://outlook.office.com/owa/?realm=Verbunddomäne&path=/calendar/view/Month
  • Outlook-Webzugriff auf Exchange Online: https://outlook.com/owa/Verbunddomäne
  • SharePoint Online: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=Verbunddomäne
  • Microsoft Teams: https://login.microsoftonline.com/common/oauth2/authorize?client_id=cc15fd57-2c6c-4117-a88c-83b1d56b4bbe&response_mode=form_post&response_type=code+id_token&scope=openid+profile&redirect_uri=https%3a%2f%2fteams.microsoft.com%2f&domain_hint=Verbunddomäne

Bleiben Sie angemeldet

In der Standardkonfiguration zeigt Azure Active Directory während des Anmeldevorgangs ein Dialogfeld an, in dem die Benutzer angemeldet bleiben können.

Persistente Anmeldung 01

Dies ist eine Azure-Einstellung, die einfach wie folgt geändert werden kann:

  • Wählen Sie in Azure Azure Active Directory
  • Wählen Sie Company Branding
  • Wählen Sie das aktivierte Locale
  • Wählen Sie im Bereich Unternehmensbranding bearbeiten für die Anzeige die Option Nein aus, um angemeldet zu bleiben

Persistente Anmeldung 01

  • Wählen Sie Speichern

Problembehandlung

Benutzerkonto existiert nicht im Verzeichnis

Beim Versuch, Microsoft 365 zu starten, erhält der Benutzer möglicherweise die folgende Fehlermeldung:
AADSTS51004: The user account "account name" does not exist in the "GUID" directory. To sign into this application, the account must be added to the directory.

Problembehandlung bei Benutzerkonten 01

Im Folgenden finden Sie Vorschläge zur Lösung dieses Problems:

  • Stellen Sie sicher, dass der Benutzer für die Verwendung von Microsoft 365 in der Microsoft 365-Administratorkonsole lizenziert ist
  • Stellen Sie sicher, dass die im Fehler identifizierte E-Mail-Adresse mit dem primären Benutzerverzeichnis, Azure Active Directory und Microsoft 365 übereinstimmt.
  • Stellen Sie sicher, dass das Attribut immutableId am Benutzerobjekt festgelegt ist.
    (Dies ist in reinen AAD-Umgebungen nicht der Fall!)
    immutableId Sie können einfach mit den folgenden PowerShell-Befehlen berechnet und gesetzt werden:

     $userUPN="john.doh@company.com"  #change the userPricipalName before executing
     Install-Module AzureAD -Force
     Import-Module AzureAD -Force
     Install-Module MSOnline -Force
     Import-module MSOnline -Force
     Connect-MsolService
     $userObjectID=(Get-MsolUser -UserPrincipalName $userUPN).objectId
     $userImmutableId=[System.Convert]::ToBase64String([System.Guid]::New($userObjectID).ToByteArray())
     Set-MsolUser -UserPrincipalName $userUPN -ImmutableId $userImmutableId
     <!--NeedCopy-->
    

Federation Realm Object

Während der Validierung erhält ein Benutzer möglicherweise den folgenden Fehler:
AADSTS50107: The requested federation realm object 'https://<ADFShostname>/adfs/services/trust' does not exist.

Fehlerbehebung für Verbundbereich 01

Dies wird häufig dadurch verursacht, dass die Domain nicht verifiziert oder ordnungsgemäß verbunden wird. Lesen Sie die folgenden Abschnitte des PoC-Leitfadens:

Erweiterte Sicherheitsrichtlinien scheitern

Bei Benutzern kann es zu Fehlern bei erweiterten Sicherheitsrichtlinien (Wasserzeichen, Drucken oder Zugriff auf die Zwischenablage) kommen. In der Regel passiert dies, weil die SaaS-Anwendung mehrere Domainnamen verwendet. Innerhalb der Anwendungskonfigurationseinstellungen für die SaaS-App gab es einen Eintrag für Related Domains.

Setup SaaS App 02

Die erweiterten Sicherheitsrichtlinien werden auf diese verwandten Domänen angewendet. Der Abschnitt Microsoft 365-bezogene Domänen dieses PoC-Handbuchs enthält den ersten Satz verwandter Domänen, die Microsoft jederzeit ändern kann.

Eine zugehörige Domain muss noch hinzugefügt werden, falls die erweiterten Sicherheitsrichtlinien in bestimmten App-Abschnitten nicht funktionieren. Um fehlende Domainnamen zu identifizieren, kann ein Administrator mit einem lokalen Browser auf die SaaS-App zugreifen und folgende Schritte ausführen:

  • Navigieren Sie zu dem Bereich der App, in dem die Richtlinien fehlschlagen
  • Wählen Sie in Google Chrome und Microsoft Edge (Chromium-Version) die drei Punkte oben rechts im Browser aus, um einen Menübildschirm anzuzeigen.
  • Wählen Sie Weitere Toolsaus.
  • Wählen Sie Entwicklertools
  • Wählen Sie in den Entwicklertools die Option Quellen. Dies enthält eine Liste von Access-Domain-Namen für diesen Anwendungsabschnitt. Um die erweiterten Sicherheitsrichtlinien für diesen Teil der App zu aktivieren, müssen diese Domänennamen in das Feld Verwandte Domänen innerhalb der App-Konfiguration eingegeben werden. Verwandte Domains werden wie folgt hinzugefügt: *.domain.com

Verbesserte Sicherheits-Fehlerbehebung 01

PoC-Leitfaden: Sicherer Zugriff auf Office 365 mit Citrix Secure Private Access