ADFS 2012 R2 - Office 365 Modern Auth - Outlook может подключаться к внешней сети

Интересно, могли бы вы, ребята, помочь, поскольку я застрял!

Я настроил ADFS для аутентификации для нашего клиента Office 365, чтобы предоставить нам возможность предотвратить доступ ко всему Office 365 на основе IP-адреса, чтобы сотрудники могли подключаться к O365 только в том случае, если они находятся в офисе или VPN. Исключением является ActiveSync, для которого я настроил исключение.

У меня есть следующее правило утверждения ADFS, которое должно гарантировать, что если запрос поступает через прокси-сервер веб-приложения (то есть внешнее соединение) и ActiveSync или Autodiscover, не используются приложения, и их IP-адрес клиента не является одним из наши офисные IP-адреса, выдаем отказ:

exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.Autodiscover"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"])
&& NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "ipregexhere"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");

Однако я заметил, что сотрудники могут подключаться к Outlook извне сети (например, дома / в аэропортах и ​​т. д.) без подключения к VPN. Это невозможно, поскольку в ADFS действует правило.

Может ли кто-нибудь помочь мне понять, почему сотрудники все еще могут подключаться к сети извне? У меня есть ощущение, что это связано с нашим недавним переходом с Office 2013 Standard MSI на Office 365 Pro Plus C2R, который использует современную аутентификацию, но я бьюсь головой о стену!