Hallo Forengemeinde!
Wenn ich den o.g. Report öffnen und bei "Available Reports" oben rechts "User" auswähle, sehe ich ja, welcher User wie viel Traffic verursacht hat.
In der Liste der User tauchen aber an Stele von Usernamen auch immer mal wieder IP-Adressen von lokalen PCs auf, die ebenfalls Traffic verursachen.
Ich frage mich nun: Wie kann das sein?
Ich nehme an, dass es sich um Traffic von PC-Systemen handelt, die zwar eingeschaltet sind, an denen aber kein User angemeldet ist.
DANN dürften die aber doch über die WebProtection gar nicht raus kommen? (Standard-Mode, AD-Authentification, BLOCK access on Authentication-Failure).
OK, dann könnte es noch eine direkte IP-Verbindung am Proxy vorbei sein, aber warum wird die dann a) hier gelsitet und b) müsste es dann ja unter Network Prpotection auch eine Firewall-Regel geben, die diesen Traffic zuläßt? NIcht der Fall...
Es sind bei den IP-Adressen übrigens immer die selben URLs, die aufgerufen werden:
sharepoint.com, microsoft.com, microsoftonline.com, microsoftazuread-sso.com und live.com.
Sharepoint (Online) nutzen wir zwar nicht direkt, aber wir haben Teams im Einsatz, das seine Dateiablage im HIntergrund ja auch vie Sharepoint regelt.
Auf den PCs ist der Teams-Client installiert und der agiert (vielleicht) am Proxy vorbei, aber der startet doch erst NACH der Benutzeranmeldung?
Und selbst wenn er vorher startet und am Proxy vorbei geht: Warum logging unter WebProtection und wie ohne Firewall-Regel?
Hat dazu jemand vlt. eine Idee?
DANKE!!