ADFS V4 (2016): Gerätebezogener Access - Claim Typs werden nicht verwendet
Der Gerätebezogenen Access funktionier aber noch nicht wie gewünscht. Ich habe folgendes getestet:
ADFS-Eventlog aus meiner Laborumgebung – ADFS Claim Rules funktionieren:
Wir möchten folgende Claim Rules für den Device Access nutzen:
http://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype/
Workplace
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
true
Event-Log aus unserer Produktivumgebung: DeviceContex Claims fehlen
http://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
Vielen Dank für Ihre Hilfe.
ADFS-Eventlog aus meiner Laborumgebung – ADFS Claim Rules funktionieren:
Wir möchten folgende Claim Rules für den Device Access nutzen:
http://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype/
Workplace
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
true
Event-Log aus unserer Produktivumgebung: DeviceContex Claims fehlen
http://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
Vielen Dank für Ihre Hilfe.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399160
Url: https://administrator.de/forum/adfs-v4-2016-geraetebezogener-access-claim-typs-werden-nicht-verwendet-399160.html
Ausgedruckt am: 27.04.2025 um 08:04 Uhr
3 Kommentare
Neuester Kommentar
Moin,
was eine Sauklaue...
- Ein Hallo und Gruß haben noch keinem geschadet
- Unvollständige Informationen (z.B. Build von Windows Server, Betriebssystem auf den Clients, etc...)
- Zuordnung Screenshots etwas merkwürdig.
- Was hast du bereits versucht/getestet?
- Wie sehen die Claims bis dato aus?
Gruß,
Dani
was eine Sauklaue...
- Ein Hallo und Gruß haben noch keinem geschadet
- Unvollständige Informationen (z.B. Build von Windows Server, Betriebssystem auf den Clients, etc...)
- Zuordnung Screenshots etwas merkwürdig.
- Was hast du bereits versucht/getestet?
- Wie sehen die Claims bis dato aus?
Gruß,
Dani
Sorry für die fehlende Netiquette..
Die Frage ist echt etwas Abstakt formuliert, deshalb etwas ausführlicher
Ich möchte durch den Einsatz des ADFS zwei Regeln für die O365 Anmeldung umsetzten:
1. Nur Zugriff, wenn IP aus lokalem NW erfolgt:
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)true$"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
das klappt sowohl in der Testumgebung als auch in der Produktivumgebung gut
2. Per Intune verwaltete Geräte wie iOS und Android Devices gelten als "compliend" - der Rest wird durch ADFS geblockt
c:[Type == "http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant", Value =~ "^(?i)true$"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
das funktioniert nur in der Testumgebung in der produktiven wird der Claim-Typ nicht in der Ereignisanzeige bei den Infos angezeicht - dazu die Screenshots s.o.
Die Ereignisanzeige ist bis jetzt das einzige Tool, wo ich mein Problem lokalisiern konnte...
Das Testsystem habe ich in Azure gebaut, Server 2016 Bulid1607 14393.2724
Produkivsystem auf VMWare, Server 2016 Bulid1607 14393.2759
beide Umgebungen habe ich mit dem ADFS-Wizzard vom AAD-Connect deployed
Freundliche Grüße
Die Frage ist echt etwas Abstakt formuliert, deshalb etwas ausführlicher
Ich möchte durch den Einsatz des ADFS zwei Regeln für die O365 Anmeldung umsetzten:
1. Nur Zugriff, wenn IP aus lokalem NW erfolgt:
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)true$"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
das klappt sowohl in der Testumgebung als auch in der Produktivumgebung gut
2. Per Intune verwaltete Geräte wie iOS und Android Devices gelten als "compliend" - der Rest wird durch ADFS geblockt
c:[Type == "http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant", Value =~ "^(?i)true$"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
das funktioniert nur in der Testumgebung in der produktiven wird der Claim-Typ nicht in der Ereignisanzeige bei den Infos angezeicht - dazu die Screenshots s.o.
Die Ereignisanzeige ist bis jetzt das einzige Tool, wo ich mein Problem lokalisiern konnte...
Das Testsystem habe ich in Azure gebaut, Server 2016 Bulid1607 14393.2724
Produkivsystem auf VMWare, Server 2016 Bulid1607 14393.2759
beide Umgebungen habe ich mit dem ADFS-Wizzard vom AAD-Connect deployed
Freundliche Grüße
Moin,
Gruß,
Dani
das funktioniert nur in der Testumgebung in der produktiven wird der Claim-Typ nicht in der Ereignisanzeige bei den Infos angezeicht - dazu die Screenshots s.o.
hast du evtl. unter Endpunkte die entsprechende Schemas aktiviert bzw. schon abgeglichen?!Gruß,
Dani
