Al configurar el SSO para Office 365, para que Chrome y Firefox puedan acceder a los servicios en la Intranet, la Protección ampliada para la autenticación debe estar deshabilitada en el servidor de ADFS.
Dado que solo se puede acceder al servidor ADFS en la Intranet, y si el servidor proxy ADFS maneja los inicios de sesión externos, ¿existe una preocupación de seguridad importante con respecto a la desactivación de la Protección ampliada?
Creo que no tiene que deshabilitar (ExtendedProtectionTokenCheck = Ninguna) la protección extendida, solo necesita hacerla opcional (Permitir en lugar de Requerir).
Esto permite conectar clientes incompatibles sin esta protección (y vulnerable a MITM), pero también permite que InternetExplorer use la protección adicional. Sin embargo, no hay forma de imponer esto en el cliente, por lo que creo que se vuelve vulnerable a una baja de calificación.
Una idea sería que tiene un punto final especial que permite omitir la protección extendida pero que no será utilizado por los clientes habituales. Entonces, solo sus clientes extranjeros serán vulnerables al problema MITM. Dependiendo de otros factores, esto podría no ser un gran riesgo. Si sus empleados están acostumbrados a ir a almorzar sin bloquear sus pantallas, no tiene que preocuparse por eso :)
La documentación de MS está aquí: enlace