Veri güvenliği konusu günümüzde en önemli konulardan biridir. Bu noktada Office 365, “Security and Compliance” yönetim paneli sunmakta olup, bunun yanı sıra EM+S ürünleri ile de desteklemektedir. Microsoft 365 ürünleri uçtan uca güvenlik, Office 365 hizmetleri ve Windows 10 ile ilgili çözümleri bir arada barındıran lisans modellerini içerir.
Kullanıcıların günlük hayatlarının vazgeçilmez Office 365 hizmeti olan Exchange Online, kullanıcılara yüksek boyutlu mail kutuları sunmanın yanı sıra birçok özellik ile verimliliklerini arttırır. Kullanıcılar maillerine Outlook uygulamalarının yanı sıra web arayüzü olan OWA arayüzünden erişim sağlar. Böylelikle kullanıcılar herhangi cihazdan maillerine erişim sağlarlar. Bu noktada ekli dosyalar ve onların güvenliği önemli noktalardan biridir. Döküman yönetimi için Azure Information Protection ürünleri ile etiketleme ve yetkilendirme yapmanın yanı sıra OWA posta kutusu ilkeleri ve Azure Active Directory Koşullu Erişim ile yönetim kabiliyetleri güçlendirilir. Bir uygulama düzeyinde davranışı değiştirmek için, koşullu erişim politikaları uygulanır ve uygulama ayarları ile politika ayarları arasındaki etkileşimi sağlar. Kısacası, Azure Active Directory gelen oturumları izler ve bir kullanıcı kontrole tabi olur ve kontroldeki bilgi kısıtlamayı getiren uygulamalara aktarılır. Koşullu erişim ile entegre çalışan uygulamalardan biri de Exchange Online’dır. Bu noktada OWA posta kutusu politikaları ile Koşullu Erişimin yetenekleri de arttırılabilir. Bu noktada ConditionalAccessPolicy önemli komutlardan biridir, parametreleri ile OWA posta kutusu ilkeleri nasıl davracağını bilir. OWA posta kutusu ilkelerindeki ConditionalAccessPolicy’nin parametreleri ile belgeler ile ilgili aşağıdaki ayarlar yapılabilir:
Off: OWA’ya ConditionalAccessPolicy uygulanmaz. Bu varsayılan olan ayardır.
ReadOnly: Kullanıcılar mail eklerini bilgisayarlarına indiremez ve uyumlu olmayan bilgisayarlarda Offline Mode etkinleştiremezler. Tarayıcıdaki ekleri hala görüntüleyebilirler.
ReadOnlyPlusAttachmentsBlocked: ReadOnly’daki tüm kısıtlamalar geçerlidir, ancak kullanıcılar tarayıcıdaki ekleri göremezler.
Yukarıdaki belirtilen parametreler ile OWA kurallarında ekli dosyalarda neler yapılacağına dair kısıtlamalar getirilebilir. Koşullu Erişim Azure Active Directory Premium lisans modeli ile gelen ve OWA posta kutusu ilkesinin beraber kullanılması ile OWA’daki mail eki ile alınacak aksiyon belirlenir.
OWA posta kutusu ilkesi yazmadan önce Azure Active Directory üzerinde Koşullu Erişim kuralı oluşturulur. Bu kural bir kullanıcı ya da grup için oluşturulabilir. İlk yapılması gereken işlemlerden biri kullanıcı ve grupların seçilmesi ve ardından hangi uygulama için bu kuralın geçerli olacağı belirlenir. Burada Exchange Online seçilir.
Şekilde de görüldüğü üzere “Erişim denetimleri” bölümündeki “Oturum” başlığında “Uygulama tarafından zorlanan kısıtlamaları kullan” seçeneği ile devam edilir.
Azure Active Directory’de Koşullu Erişim kuralı oluşturulduktan sonra ilgili OWA posta kutusu politikası yazılır bunun için öncelikle Exchange Online’a bağlantı sağlanır. Bunun için aşağıdaki komutlar kullanılmalıdır:
Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session -DisableNameChecking
OWA posta kutusu ilkesi ile ConditionalAccessPolicy parametrelerini kullanmak için aşağıdaki PowerShell komutu kullanılır. Öncelikle OWA posta kutusu ilkesi oluşturulur ve akabinde ilgili OWA posta kutusu ilkesine ConditionalAccessPolicy parametresi kullanılarak ilgili kuralda yetkilendirme yapılandırılır. Aşağıdaki komutta “ReadOnly” parametresi kullanılarak kullanıcıların bilgisayarlara mail eklerini indirmeleri yasaklanır. Tarayıcılarında ekli dosyanın görüntülenmesine izin verilir.
New-OwaMailboxPolicy -Name “Mail_Eki_İndirme_Kısıtlaması”
Set-OwaMailboxPolicy -Identity “Mail_Eki_İndirme_Kısıtlaması” -ConditionalAccessPolicy ReadOnly
Set-CASMailbox cmdlet’i ile de ilgili mail kutusuna oluşturulan politikanın atanması sağlanır:
Set-CASMailbox -Identity ” demo.user@lab57685.onmicrosoft.com” -OwaMailboxPolicy “Mail_Eki_İndirme_Kısıtlaması”
Şekilde de görüldüğü üzere kullanıcı mail kutusunun özellikler bölümündeki “E-posta Bağlantısı”nın altındaki “Ayrıntıları Göster” seçeneğinde Outlook Web App posta kutusu ilkesi görüntülenecektir. Burada eski kuralın geçerli olması ya da başka ilkenin görüntülenmesi durumunda oluşturulan OWA posta kutusu ilkesinin kullanıcıya atanması gerekir.
İlgili kuralın oluşturulmasının ardından CAS güncelleştirmesinin etkili olması için bir süre beklenilmelidir. İlgili OWA mail kutusu politikasının oluşturulduğu kullanıcı normalde ekler seçeneğini görüntüleyebilecektir. Ancak indirme işlemi gerçekleştirmek istediğinde sınırlı erişimin olduğuna dair bildirim görüntüler.
